PME visées par un cheval de Troie bancaire

02.02.2015 - Ces derniers jours, toujours plus de PME suisses ont prévenu la Centrale d’enregistrement et d’analyse pour la sûreté de l’information MELANI qu’elles avaient reçu des pourriels suspects. Ces messages, manifestement expédiés au nom de partenaires commerciaux, cherchent à infecter leur destinataire avec un cheval de Troie spécialisé dans l’e-banking. Dans un cas récemment signalé, la fraude a permis de dérober plus d’un million de francs à une entreprise fribourgeoise.

Beaucoup d'envois font mention d'un prétendu fax transmis par courriel. Ils indiquent habituellement à la rubrique Objet «Fax message has been receive» et comportent en annexe un fichier intitulé «FAX_XXXXXXXXXXXX.zip», où X peut être n'importe quel nombre. Ces courriels ne sont pas envoyés, comme ils le sont souvent, par des réseaux de zombies (botnets) mais proviennent bel et bien du compte de l'expéditeur, qui a été compromis à cette fin. Le maliciel contenu dans le fichier « .zip » dérobe le carnet d'adresses de sa victime, puis se réexpédie à tous les destinataires trouvés. Et comme l'expéditeur n'a pas été falsifié et qu'il s'agit, dans bien des cas, d'un partenaire commercial du destinataire, ce dernier risque d'autant plus d'ouvrir l'annexe et de s'infecter avec ledit maliciel.

Exemple de pourriel:

 

Objet: Fax message has been receive

De: X

Date: 22.01.2015 12:52

À: Undisclosed recipients;

Message: FAX_947188278124.zip (FAX_947188278124.scr)

I have sent you a fax message. Please check document attached. 

Ce pourriel peu sophistiqué est facile à détecter, notamment à cause de l'absence de signature et de ses fautes d'orthographe. Il semblerait pourtant que ces derniers jours, de nombreux destinataires se soient malgré tout laissé persuader d'ouvrir l'annexe du fichier et se soient ainsi infectés.

Le maliciel est un injecteur (dropper) du nom d'Upatre. De tels virus ont pour mission de télécharger d'autres maliciels depuis Internet. Dans les cas analysés, un cheval de Troie spécialisé dans l'e-banking portant le nom de Dyre était téléchargé.

Nous constatons ces derniers mois que les cyberpirates s'en prennent toujours plus aux PME, en profitant du fait que beaucoup d'entreprises se protègent insuffisamment contre les risques du cyberspace. MELANI a connaissance d'entreprises qui s'étaient contentées d'un antivirus désuet, voire qui n'en avaient installé aucun sur leurs ordinateurs.

Le problème n'est pas nécessairement dû aux PME, mais tient souvent aussi aux prestataires de services informatiques mandatés, qui font parfois preuve de négligence en matière de sécurité informatique. A fortiori si les responsabilités respectives du client et du prestataire n'ont pas été réglées avec une précision suffisante.

Au-delà des règles de comportement usuelles, MELANI fait les recommandations suivantes:

  • Veillez à faire régulièrement (tous les jours) une sauvegarde externe de vos données et conservez-la en lieu sûr (offline). Testez régulièrement son bon fonctionnement.
  • Assurez-vous qu'un antivirus à jour soit installé sur votre ordinateur.
  • Analysez régulièrement votre ordinateur avec un antivirus à jour (analyse complète du système).
  • Méfiez-vous des courriels, même de ceux d'expéditeurs dignes de confiance. En cas de doute, téléphonez à l'auteur du courriel pour obtenir des éclaircissements.
  • Si lors d'une session d'e-banking, après avoir indiqué les informations nécessaires (mot de passe, numéro mTAN/jeton) vous voyez s'afficher un écran verrouillé avec par ex. le message «l'e-banking est hors service pour le moment», veuillez prendre contact avec votre banque.
  • Si des évènements inhabituels se produisent lors de la procédure d'identification (par ex. apparition d'une minuterie, etc.), veuillez prendre contact avec votre banque.

Au cas où vous auriez déjà reçu de tels courriels et ouvert leur annexe, nous vous recommandons d'analyser votre système avec un antivirus ou un outil de suppression des logiciels malveillants (malware removal tool). Des explications figurent sous le lien suivant:

MELANI met à disposition un aide-mémoire pour aider les PME suisses à améliorer la sécurité dans leurs réseaux. Cet aide-mémoire est téléchargeable sous le lien:

En outre, vous trouverez sur le Portail PME de la Confédération un programme en dix points visant à accroître la sécurité informatique:

 

 

Dernière modification 02.02.2015

Début de la page

https://www.melani.admin.ch/content/melani/fr/home/documentation/lettre-d-information/pme-visees-par-un-cheval-de-troie-bancaire.html