Généralement, les malwares de type cheval de Troie s’installent sur les ordinateurs pour transmettre à des escrocs des données personnelles telles que logins, mots de passe, e-mails, numéros de compte. Elles seront utilisées dans un deuxième temps pour accéder à des comptes privés en ligne. Mais il y a maintenant plus direct : un virus qui, une fois installé, pompe votre argent directement depuis votre compte bancaire.
C’est la société californienne Finjan, spécialiste en sécurité informatique, qui l’a identifié. Elle le décrit dans un rapport sur le cybercrime qui vient d’être publié (voir ici : issue n°3, 2009). Ce cheval de Troie vise pour l’instant les clients de banques allemandes. Son principe est simple et assez terrifiant.
Tout commence comme souvent avec les virus : un e-mail avec un lien vers un site Internet. Le site peut être soit un vrai site, mais déjà infecté, soit un site conçu exprès pour piéger l’internaute.
En cliquant et en arrivant sur les sites concernés, ce dernier active sans le savoir un code malicieux. Celui-ci exploite une faille de sécurité du navigateur et installe sur l’ordinateur un programme, appelé URLzone bank, conçu pour communiquer avec les sites de banques pendant la session de connexion.
438 000 euros volés en 22 jours
A partir de là, l’escroc envoie à partir d’un serveur ses instructions au programme malicieux qui lui retourne des informations. Il peut alors connaître l’état du compte (crédits, débits), les opérations effectuées (transferts, virements, etc.) et, plus important, extraire des sommes.
Mais cela va plus loin. Avec toutes ces informations, les escrocs peuvent s’assurer qu’ils pillent un compte qui n’est pas déjà à découvert. Ensuite, ils prennent soin de ne pas retirer de sommes trop importantes. C’est le programme qui calcule lui-même la somme adéquate. Tout ceci afin de ne pas alerter les systèmes de sécurité de la banque en procédant à des retraits anormaux ou à la régularité inhabituelle. Après quoi, le programme ordonne un virement vers un compte contrôlé par les escrocs.
La méfiance de l’utilisateur est elle aussi endormie grâce à de faux relevés bancaires produits par le cheval de Troie ! En consultant ses relevés de compte en ligne depuis l’ordinateur infecté, la victime de ce piratage ne s’apercevra de rien. En revanche, si cette consultation s’opère depuis une autre machine, le problème sera visible. Tout n’est pas perdu…
Les sommes détournées atterrissent sur des comptes de « mules », et non sur les comptes des escrocs eux-mêmes. Les « mules », comme dans les arnaques du monde physique, sont des passeurs occasionnels, embauchés pour participer à une arnaque, et payés avec une commission sur le produit global du forfait.
D’après Finjan, 438 000 euros ont été ainsi volés en 22 jours courant août, à partir de quelques centaines d’ordinateurs, même si plus de 6 000 machines ont été infectées.
Pour éviter tout problème, le premier réflexe doit être toujours le même : ne pas ouvrir d’e-mails douteux, en provenance d’expéditeurs inconnus, ne pas cliquer sur des liens dont vous ne connaissez pas l’origine. Et, dans le cas qui nous occupe, consulter de temps en temps votre compte en ligne depuis un ordinateur diffférent du votre…
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.