Les cybercriminels ont tenté de voler au moins 75 millions de dollars auprès de comptes grands publics et professionnels en utilisant des techniques de fraudes automatisées. Ces dernières sont capables de contourner les systèmes de double authentification, précise un rapport de l'éditeur d'anti-virus McAfee et le spécialiste de la sécurité des services bancaires Guardian Analytics.

Les techniques de fraudes automatisées sont une évolution des attaques appelées Man in the browser (homme dans le navigateur) et pilotées par des logiciels malveillants ciblant les services bancaires comme Zeus ou SpyEye. Ces derniers ont longtemps eu la possibilité d'intégrer du contenu infecté dans des formulaires ou des pop-up dans les sites web des banques depuis un ordinateur corrompu. Cette fonctionnalité est traditionnellement utilisée pour recueillir des détails financiers et les identifiants des victimes. Cependant, l'étude montre que les cybercriminels combinent de plus en plus des injections basées sur des malwares avec des scripts hébergés sur des serveurs pour se greffer sur des sessions bancaires et initier des transferts frauduleux en temps réel.

Un mélange de script et d'injection via un malware

Ces scripts hébergés en externe et sollicités par le malware sont conçus pour fonctionner avec certains sites bancaires en ligne et automatisent entièrement le processus de fraude. Ils peuvent lire les soldes des comptes et transférer des sommes prédéfinies via des intermédiaires, dont la sélection se fait automatiquement par l'interrogation d'une base de données constamment mise à jour sur les intermédiaires. L'étude souligne aussi que ces scripts sont capables de contourner les systèmes de double authentification mis en oeuvre par le système bancaire. Les malwares interceptent le processus d'authentification et captent le mot de passe à usage unique généré. Il est ensuite utilisé pour réaliser la fraude en arrière-plan, avec un message sur l'écran à destination de l'utilisateur : « Attendez s'il vous plaît ».

Ce type d'attaques automatisées, que les chercheurs des deux sociétés qui ont publié le rapport appellent « Operation High Roller », a d'abord été observé en Europe (Italie, Allemagne, Pays-Bas). Cependant depuis mars dernier, elles ont été observées en Amérique Latine et aux Etats-Unis. En extrapolant les données recensées sur les attaques européennes, les chercheurs ont estimé que les cybercriminels avaient tenté de voler entre 75 millions et de 2,5 milliards de dollars. Les attaques visent en général des comptes importants détenus par les entreprises ou des clients fortunés. Le rapport indique que « les victimes aux Etats-Unis  étaient des entreprises ayant des comptes avec un solde minimum de plusieurs millions de dollars ».