Des escrocs tentent d'accéder à l’e-banking d’utilisateurs suisses
MELANI a récemment communiqué au sujet d’attaques visant les utilisateurs d’e-banking en Suisse. Les escrocs tentent de manipuler les clients pour se procurer une copie des lettres d’activation envoyées par courrier postal.
La Centrale d’enregistrement et d’analyse pour la sûreté de l’information (MELANI) a décelé, depuis deux semaines, une série d’attaques qui visent les utilisateurs d’e-banking en Suisse. «Depuis 2016, les criminels essaient de contourner les moyens d'authentification mobiles en recourant à l'ingénierie sociale et en utilisant des maliciels tels que Retefe», explique MELANI dans son communiqué.
Les malfaiteurs cherchent à présent à se procurer les lettres contenant les données d’activation du processus d’authentification mobile envoyées aux clients par voie postale. En général, ces lettres contiennent une mosaïque que l'utilisateur doit numériser ou photographier par le biais d’une app telle que PhotoTAN, CrontoSign ou SecureSign lorsqu'il se connecte pour la première fois à l'e-banking depuis un appareil mobile. Après cette étape, l’appareil est reconnu par la banque comme étant autorisé pour la connexion à l’e-banking.
Les escrocs tenteraient d'obtenir les données d'activation contenues dans ces lettres en manipulant leurs victimes et en les incitant à leur envoyer une copie numérique ou une photographie, souligne MELANI. Une fois les données obtenues, les escrocs peuvent activer un autre appareil mobile qui sera également reconnu par la banque comme étant valable pour l’authentification. Les malfaiteurs peuvent ensuite se connecter au compte de leurs victimes et effectuer des paiements à l'insu de celles-ci.
MELANI émet une série de recommandations afin d’éviter tout attaque:
• Ne jamais transmettre les informations contenues dans les lettres servant à l’authentification de l’e-banking et contacter sa banque par téléphone en cas de doute.
• Lors de la connexion, vérifier qu’il s’agit bien d’une simple connexion et non pas d’une validation de paiement.
• Vérifier entièrement les données lors d’un paiement (IBAN, adresse du destinataire, montant, etc).
• Toujours installer des apps via les stores officiels (Google Play, Apple Store).
• Installer les mises à jour nécessaires sur son ordinateur et ses appareils mobiles.
Enfin, MELANI met en garde contre les messages d’erreur ou de sécurité qui s’affichent avant ou après la connexion à l’e-banking, en effet, ces derniers peuvent représenter une menace.