Après s'être fait remarquer l'année dernière pour avoir réussi à voler près d'1 milliard de dollars de fonds dans plus d'une centaine d'établissements bancaires répartis dans une trentaine de pays, le groupe de pirates Carbanak semble avoir trouvé maintenant une nouvelle cible : les hôtels. Le mode opératoire choisi par les attaquants relève d'une technique bien connue mais non moins efficace, le social engineering. Se faisant passer pour des clients rencontrant des difficultés pour accéder au système de réservation en ligne, ils appellent le service client des hôtels pour leur demander de l'aide. Ce faisant, ils envoient par mail un document censé contenir leurs informations de réservation alors qu'il comporte en réalité un malware qui va ensuite se loger dans l'ordinateur de l'hôtelier.
« Les pirates sont très obstinés », souligne Brian Hussey, directeur des incidents au sein de la société de sécurité Trustwave. « Ils vont rester en ligne avec leur interlocuteur du service client jusqu'à ce qu'il ouvre la pièce jointe. Ils parlent un excellent anglais ». Une façon donc quasiment imparable pour le gang Carbanak de gagner la confiance de leurs victimes et de s'assurer que leur piège a bien fonctionné. Mais ce n'est pas tout car ils se renseignent également sur les liens professionnels des contacts qu'ils appellent leur permettant ainsi de lâcher pendant leur conversation des noms de personnes existantes et connues de leurs interlocuteurs pour gagner un peu plus en crédibilité.
Le parfait couteau suisse du cyberpirate
Une fois le malware installé, ce dernier est utilisé pour télécharger d'autres outils malveillants afin de pénétrer le réseau de l'hôtel. L'objectif est alors d'aller voler les coordonnées et informations des cartes de crédit dans les terminaux points de vente ou les systèmes de paiement e-commerce. Ces dernières années, les commerçants, restaurants et hôtels ont été touchés par des attaques similaires de vols de données bancaires. Mais aujourd'hui, le malware installé par le gang Carbanak s'avère plus sophistiqué, capable de prendre des captures d'écran, voler les mots de passe et les adresses e-mail ainsi que scanner les réseaux pour chercher des cibles. Un parfait couteau suisse pour cyberpirate en somme.
« Une fois que le malware trouve ce qu'il veut, il peut voler n'importe quel numéro de carte bancaire qui transite sur des serveurs », prévient TrustWave dans un billet de blog, sans toutefois donner de précision sur le nombre d'établissements déjà touchés, si ce n'est que pour trois de ces clients, on a retrouvé dans ce malware du code déjà utilisé lors des précédentes attaques effectuées par Carbanak. « Pour une grande chaîne de restaurant, cela peut concerner un million de clients à une période donnée. »
Bah. Finalement la source du mal est montré du doigt par les pirates. Plus le mépris des entreprises à former leurs employés sur les outils qu'ils vont utiliser toute l'année voire plus. C'est quand même curieux qu'on puisse encore ouvrir une pièce jointe aussi facilement et être infecté tout aussi facilement. Que font les admins ? Où est la charte de sécurité ? Ça craint.
Signaler un abus