Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Rapport de fraude RSA, Dernière menace en ligne : la fraude « Homme dans le navigateur Internet »

décembre 2009 par RSA ANTI-FRAUD COMMAND CENTER

Sur l’année écoulée, RSA a été le témoin de l’augmentation exponentielle d’attaques de type « homme dans le navigateur Internet, » aussi appelées « Man-in-the-browser ».

Ces attaques ont été observées particulièrement dans les pays ou l’authentification à deux facteurs est largement déployée, comme c’est le cas en Europe, principalement dans le secteur bancaire.
Une attaque « Man-in-the-browser » (MITB) est conçue pour intercepter et manipuler des données lorsqu’elles transitent par des communications sécurisées entre un utilisateur et une application en ligne.

Lors de cette attaque, un Trojan infecte le navigateur Internet de l’utilisateur et il peut être programmé pour se déclencher quand l’utilisateur accède à des sites spécifiques en ligne, comme son service bancaire.
Dans ce cas, le cheval de Troie attend que l’utilisateur initie une transaction et il modifie en temps réel les données de paiement (parfois même le montant) dans l’objectif de transférer l’argent vers le compte d’une mule. Tout ceci se passe de manière transparente pour l’utilisateur, il ne remarque nullement que quelque chose d’anormal se passe sur sa transaction.

Il est également très difficile pour la banque de détecter ce type d attaque car la transaction est vue par le serveur de la banque comme étant exécutée par le navigateur de l’utilisateur légitime. Même certaines caractéristiques, telles que la chaîne de caractères de l’agent utilisateur et l’adresse IP apparaîtront comme étant réellement celles de l’utilisateur, créant un vrai challenge pour réussir à distinguer les transactions honnêtes des transactions malicieuses.

UNE MENACE MONDIALE EN FORTE AUGMENTATION

Les attaques MITB ne sont pas limitées à une seule région géographique : c’est une menace qui touche toutes les régions du monde. Ceci est particulièrement vrai dans les pays où l’authentification à deux facteurs est déployée, car c’est la meilleure attaque que les fraudeurs ont trouvé pour contourner l’authentification à deux facteurs.

Les Trojan MITB font partie de l’évolution naturelle de la fraude en ligne. En effet, avant l’authentification à deux facteurs, les fraudeurs étaient capables de collecter les informations pour commettre leurs fraudes en utilisant simplement des attaques standard de type phishing et Trojans qui n’interfèrent pas avec l’activité transactionnelle en ligne de l’utilisateur. Mais avec le développement des mécanismes de sécurité en ligne et la prise de conscience plus importante des consommateurs, les fraudeurs devaient améliorer leurs outils pour venir à bout de l’authentification à deux facteurs.

RSA a constaté que le nombre d’attaque MITB a augmenté d’un facteur de 10 au cours des 12 derniers mois. Cette augmentation est en partie tirée en avant par le nombre d’infections « drive by download ». Avec ce type d’infection, ce sont directement les vulnérabilités des sites Internet légitimes qui sont exploitées par les botnets et les kits d’infection pour placer un « iframe » sur le site en brèche. Ceci va permettre de relayer le trafic vers les points d’infection dans l’intention de télécharger un Trojan sur le PC de chaque visiteur du site.

Un exemple est la page « Fan » du site de Paul McCartney qui a été la victime d’une telle attaque en avril dernier. Le site a été hacké pendant 2 jours et tous les visiteurs du site ont été infectés par une forme dangereuse de malware financier.

STRATEGIES DE MITIGATION

Après de nombreuses investigations sur les trojans et en particulier cette nouvelle menace MITB, plusieurs conclusions peuvent être tirées :

• Une protection par mot de passe n’est pas suffisante pour stopper les attaques MITB. Protéger une transaction ou avoir la capacité de surveiller et d’identifier les activités suspectes post-connexion deviennent indispensables.

• Certains chevaux de Troie utilisent l’injection de code HTML pour demander des habilitations supplémentaires utiles à l’authentification. Il est donc recommandé d’avoir recours à l’authentification « out-of-band », plus résistante aux attaques MITB car elle contourne le canal d’authentification en ligne.

• L’intelligence sur la fraude est un élément crucial de la mitigation. Les fraudeurs utilisent un système de communication complexe pour les mises à jour des infections, les points d’infections et les zones de dépôt afin de diffuser largement leurs chevaux de Troie et recueillir les informations d’identification compromises. Le nombre de ressources de communication des trojans que RSA a traité depuis janvier 2009 a augmenté de 300 % et les comptes de mules jouent des rôles de plus en plus importants dans le processus de valorisation monétaire (cashout). Avoir une connaissance accrue des procédés utilisés et pouvoir l’utiliser en temps réel est indispensable pour mettre en place une solution complète qui anticipe la fraude et sécurise au maximum les données


Voir les articles précédents

    

Voir les articles suivants