La résurgence des logiciels malveillants dans le secteur bancaire

La diminution des attaques par malware est-elle l’arbre qui cache la forêt ? Avec la montée en puissance des réseaux sociaux, voire de l’Internet des objets, les vecteurs de menace se multiplient. Tous les moyens sont bons : même le téléphone, qui avait disparu de la scène de la fraude, est réapparu avec l’arnaque au président. Selon Andy Scherpenberg, spécialiste solutions fraude chez SAS, la solution consiste d’une part à développer une approche globale et d’autre part à construire une plate-forme analytique dédiée à la fraude.

Nous savons que ça va arriver. Et pourtant, nous ne sommes pas prêts.

 

De l’argent facile pour les groupes criminels organisés

d
C’est vrai, nous avons observé une diminution des logiciels malveillants pour les banques. Pourquoi un fraudeur s’embêterait-il à développer un logiciel pour escroquer les clients d’une banque alors qu’il peut obtenir leurs identifiants par téléphone ? De par son faible coût et sa grande efficacité, la technologie sociale a déclenché une véritable tempête dans la sphère criminelle, lorsqu’il est devenu si facile de menacer les individus de révéler leurs identifiants, mots de passe et codes d’authentification. A suivi le vishing, ou hameçonnage par téléphone, qui a fait la une des médias. Paniquées à l’idée de subir des pertes croissantes et d’entacher leur réputation, les banques ont pris le problème à bras-le-corps. Équipées d’outils maison ou tiers, elles ont commencé à lutter contre les tentatives de fraude. Même l’administration s’y est mise. Au final, la coopération interbancaire au sein de ses fédérations, les logiciels de détection de fraudes utilisés par les banques et la sensibilisation du public ont contribué à réduire de manière significative les attaques par vishing. Si certains établissements disposent encore d’un système de détection de fraudes trop sommaire et/ou d’une clientèle vulnérable, le vishing semble globalement avoir fait son temps.

Les fraudeurs aussi ont des business plans !

d
Les fraudeurs ont, eux aussi, besoin de gagner leur vie. Ils ont également des business plans, des reporting et des indicateurs de performance à respecter. Et gare à ceux qui ne les atteignent pas ! Les conséquences peuvent aller bien au-delà du simple licenciement… Ils changent alors de terrain de jeu. Fraude au président, fraude bancaire par téléphone,… : ils n’ont que l’embarras du choix. Ils tentent leur chance. Et si ce n’est pas concluant, ils changent de mode opératoire. Jusqu’à ce que les résultats surpassent les efforts déployés. Tout est question de retour sur investissement. Ce qui nous ramène au point de départ : les logiciels malveillants. Mais pas les versions grossières de jadis, qui se propageaient sans relâche, mais avec une signature aisément déchiffrable. Ces programmes visaient les PC Windows non mis à jour et dépourvus de scanner antivirus (malheureusement, il en reste). Non, les nouveaux logiciels sont sophistiqués, polymorphes et s’adaptent à mesure qu’ils se propagent. Les fraudeurs ciblent leurs victimes et limitent délibérément leurs attaques pour échapper le plus longtemps possible à la vigilance des éditeurs d’antivirus. Ils opèrent en sous-marin. Les malware de type « Man-in-the-Browser » (littéralement, « homme dans le navigateur ») posent des difficultés supplémentaires aux clients et aux banques. D’un côté, le client ne voit pas ce qu’il se passe réellement, et de l’autre, la banque identifie une authentification correcte au niveau d’un point d’accès connu. À l’arrière-plan, le fraudeur décide de la somme à débiter et du compte à créditer.

La cape d’invisibilité

d
Et nous ne parlons même pas des logiciels malveillants qui prolifèrent déjà autour des banques du monde entier et qui pourraient permettre aux criminels d’effectuer des transactions depuis l’intérieur de ces établissements. Vous n’en avez pas entendu parler ? Si vous vous souvenez de l’opération de cyberespionnage « Red October », lancée en 2008 et menée pendant cinq ans, imaginez ce que les fraudeurs sont capables de créer aujourd’hui.

 

Restez calme… et paniquez !

d
Alors comment faire face à toutes ces menaces ? Comment s’armer contre cette déferlante de tentatives de fraude ? Tout l’enjeu consiste à trouver, non pas une solution à l’échelle du problème, mais une approche plus globale. La sensibilisation, la communication, la prévention via l’identification des ressources, l’encryptage et même l’isolement sont autant d’éléments qui définissent un solide cadre de sécurité. Et sur quoi pouvons-nous nous appuyer pour détecter ces fraudes ? L’abandon des vieilles méthodes serait une grave erreur. Il faut simplement les remettre au goût du jour. Vous avez, par exemple, le référentiel mondial de logiciels malveillants et de virus de Trend Micro qui, une fois un code malveillant identifié, transmet automatiquement sa signature à tous les abonnés. Ou encore, l’approche « sandbox » de CheckPoint, qui contrôle le comportement d’un email ou d’un fichier téléchargé comportant des macros avant de le sortir de quarantaine. Mais tout cela ne suffit pas. Les experts sont unanimes : l’analyse des réseaux, des points de contact et du comportement des utilisateurs permettra de passer à un niveau supérieur. En établissant des profils de comportements, les anomalies pourront permettre de détecter là où les malware sont en train d’intervenir.

 

Le temps de trouver l’aiguille, la botte de foin s’est envolée…

d
Des outils d’analyse efficaces sont essentiels pour protéger notre capital, qu’il s’agisse d’informations ou de finance. C’est comme si l’on voulait attraper une goutte d’eau dans une cascade avant qu’elle n’atteigne la rivière. Heureusement, les prix des équipements, des processeurs et de la mémoire ont considérablement baissé. Il ne reste qu’une chose à faire : agir. Si nous ne voulons pas nous en mordre les doigts plus tard.

 

 

Téléchargez le livre blanc de l’International Institute for Analytics qui présente les principales questions et réponses sur la fraude financière à l’ère du numérique.

 

 

A lire sur Business Analytics Info :

« Prévention des fraudes : la banque digitale se tourne vers les big data »

et

« Comment mettre en place un projet analytique de lutte contre la fraude bancaire ? ».