Appels téléphoniques frauduleux aux PME en lien avec le cheval de Troie bancaire "Retefe"

16.02.2016 - Depuis début février 2016, la Centrale d'enregistrement et d'analyse pour la sûreté de l'information MELANI et le service de coordination de la lutte contre la criminalité sur Internet SCOCI observent une augmentation des messages concernant des appels téléphoniques frauduleux. Ces appels ont pour but de préparer une fraude eBanking.

L'approche est nouvelle: le criminel appelle des PME en Suisse sous un prétexte (par exemple pour notifier l'arrivée d'un paquet ) afin d'obtenir une adresse E-Mail. Une fois qu'il l'a obtenue, il envoie après une courte période un message E-Mail plausible et faisant référence à l'appel téléphonique. Ce message contient un lien vers un fournisseur de Cloud. Derrière ce lien se trouve un fichier ZIP contenant un Javascript malfaisant ou un programme exécutable. En cliquant ce fichier, le système d'exploitation est modifié (la configuration du Proxy Web de Internet Explorer et de Firefox est modifiée, et un certificat d'une Certificate Authority (CA) malfaisante est installé dans le storage des certificats). Après ces modifications, l'attaquant peut avoir accès au compte bancaire de la victime la prochaine que celle-ci se connecte à son compte eBanking.

Modus Operandi
Modus Operandi

Le criminel utilise des numéros de téléphone suisses pour ces appels frauduleux et envoie les courrier électroniques avec des adresses d’expéditeur qui ressemblent aux adresses de sociétés légitimes. Les noms de domaines des adresses d’expéditeur suivants ont été observés entre autres:

yurist-plus.com
betost-law.com
cva-swisskurier.com
advokaturburo.com
cva-swisskurier.com
grischamodellbau.com
steuershop.com
swiss-courier.com

 

Exemple d’un courrier électronique
Exemple d’un courrier électronique (en allemand)

Sur la base de l’infrastructure technique et du logiciel malveillant utilisé, MELANI et SCOCI supposent que l’attaque est en relation avec les incidents du logiciel malveillant „Retefe“ de l’année passée.

MELANI et SCOCI conseillent:

  • Soyez prudent si vous recevez des appels des personnes inconnues.
  • Soyez prudent avec les messages électroniques contenant des liens pas écrits en entier (comme par exemple „Cliquez ici“), même si l’adresse d’expéditeur semble être fiable.
  • Si vous recevez un écran de bloquage après le login disant que l’eBanking n’est pas disponible à ce moment, contactez immédiatement votre institut financier.
  • Contactez votre banque si vous remarquez des choses extraordinaires pendant le Login à l’eBanking.  (par exemple l’affichage d’une minuterie)
  • Si vous êtes victime d'une fraude, déposez plainte auprès de votre police cantonale.

Pour la sécurité de l'informatique dans les PME, MELANI et le portail PME de l’administration fédéral ont tous deux publié des checklistes:

Pour plus d'informations concernant „Retefe“:

Contact spécialisé
Dernière modification 16.02.2016

Début de la page

https://www.melani.admin.ch/content/melani/fr/home/documentation/lettre-d-information/eBanking_Trojaner_Retefe.html