SIM Card Tricksters Target Mobile Payments. The criminal activity that targets mobile banking has not yet reached the levels of web banking, mostly because the volume of mobile banking to this point hasn't made it as attractive a target.
But as mobile banking grows, that's starting to change — particularly since mobile banking is vulnerable to a wide variety of criminal threats. A new strain of crime that tricks users out of their subscriber identity module (SIM) cards has quickly emerged to threaten banks and other enablers of mobile payments such as telecoms. "This special attack involves stealing information to generate new SIM cards," says Orem Kedem, a director at the security firm Trusteer, who described the threat in a recent interview. Kedem says the new attacks on SIM cards grew out of an earlier criminal threat that uses the victim's mobile number to redirect one-time passwords (OTPs — a method to protect electronic transfers) to the crook's phone.
Gozi : un cheval de Troie ingénieux et auto-activable. Le cheval de Troie Gozi, de fabrication russe, ne fera probablement pas couler autant d'encre que son acolyte Kardphisher, dont le renom tient uniquement à son aptitude à se travestir en une mise à jour du système WGA de Microsoft (Windows Genuine Advantage).
Il aura néanmoins provoqué le branle-bas de combat parmi les éditeurs d'antivirus, spéculant sur l'apparition imminente d'une génération de codes malveillants faisant appel au social engineering, à l'image de Kardphisher. Le Troyen Gozi, qui n'en est déjà plus à sa première version puisque la souche daterait de janvier, circule sur Internet depuis le 17 avril. Spécialisé dans le vol de données, il aurait d'ores et déjà abusé plus de 2 000 utilisateurs (5 200 selon SecureWorks qui serait remonté jusqu'au serveur stockant le butin). Le cheval de Troie comporte en effet deux améliorations techniques majeures par rapport à ses prédécesseurs. Des cartes SIM pour percer les coffres-forts. Un chercheur employé par le fournisseur de solutions de sécurité Trusteer a découvert une nouvelle technique utilisée par les cybercriminels pour partir à l’assaut des comptes bancaires.
Leurs nouvelles armes : des cartes SIM frauduleuses. La technique consiste, via une variante du cheval de Troie Gozi, à obtenir le numéro IMEI d’une victime en utilisant une fausse page Web de services bancaires. Ce numéro, une fois récupéré par les cybercriminels avec les données d’identité de leur cible, est utilisé pour obtenir une nouvelle carte SIM auprès des opérateurs téléphoniques. Comme certaines banques utilisent un système de sécurité basé sur un mot de passe à usage unique envoyé sur le mobile du titulaire d’un compte bancaire, il ne reste plus au cybercriminel qu’à fournir ce mot de passe sur le site Web d’une banque pour autoriser des transferts d’argent.
Fraudes à l’e-banking via des copies de cartes SIM. Des cybercriminels ont réussi à obtenir de certains opérateurs de téléphonie mobile des cartes SIM de remplacement au nom de leurs victimes, qu'ils utilisent ensuite pour contourner les protections des services bancaires en ligne, et notamment recevoir les codes de sécurité envoyés par les banques.
C'est ce qu'a pu établir un chercheur du fournisseur de solutions de sécurité Trusteer. Dans un blog, celui-ci explique avoir identifié récemment des variantes du cheval de Troie Gozi, lequel injecte des formulaires frauduleux dans les pages web de services bancaires en ligne pour tromper les victimes et les inciter à dévoiler le numéro IMEI (International Mobile Equipment Identity) de leur téléphone mobile, plus des renseignements personnels et d'autres informations de sécurité. Déposer plainte au nom de l'abonné Les cybercriminels ont mis au point plusieurs techniques afin de contourner ces systèmes anti-fraude.
Www.LeMondeInformatique.fr.