Une nouvelle cyber attaque dirigée contre le e-banking suisse

Une nouvelle cyber attaque dirigée contre le e-banking suisse

Depuis quelques jours, une énorme fraude en ligne contenant le Troyen bancaire Retefe, s’attaque à la Suisse. Ce phishing est spécialement développé pour s’attaquer à l’e-banking de banques suisses .  L’email contient deux pièces jointes (un pour Mac l’autre pour PC ) contenant le malware et pousse l’utilisateur à les ouvrir. Il y a de nombreuses variations de l’email envoyé utilisant des fausses adresses tel que la police zurichoise , l'administration fiscale , des e-Tickets de Swiss , etc. Une fois la pièce jointe ouverte, le malware est téléchargé depuis Dropbox pour Windows et prétend être une mise à jour système pour Mac. Le Troyen se propage ensuite sur le système et effectue une attaque MitM & MitB .  Ce malware installe des faux certificats (ressemblant à Comodo) dans la racine du système afin de pouvoir intercepter tout le trafic (même crypté) sans qu’il n’y ait aucune alerte qui apparaisse pour l’utilisateur.

Si la victime se trouve en suisse (le malware vérifie la géolocalisation IP) alors un proxy va intercepter toutes les connexions à ces banques  

.postfinance.ch, cs.directnet.com, akb.ch, ubs.com, tb.raiffeisendirect.ch, bkb.ch, lukb.ch, zkb.ch, onba.ch, gkb.ch, bekb.ch, zugerkb.ch, bcge.ch, raiffeisen.ch, credit-suisse.com, .clientis.ch, clientis.ch, bcvs.ch, .cic.ch, cic.ch, baloise.ch, ukb.ch, .ukb.ch, urkb.ch, .urkb.ch, eek.ch, szkb.ch, shkb.ch, glkb.ch, nkb.ch, owkb.ch, cash.ch, bcf.ch, ebanking.raiffeisen.ch, bcv.ch, juliusbaer.com, abs.ch, bcn.ch, blkb.ch, bcj.ch, zuercherlandbank.ch, valiant.ch, wir.ch, bankthalwil.ch, piguetgalland.ch, triba.ch, inlinea.ch, bernerlandbank.ch, bancasempione.ch, bsibank.com, corneronline.ch, vermoegenszentrum.ch, gobanking.ch, slbucheggberg.ch, slfrutigen.ch, hypobank.ch, regiobank.ch, rbm.ch, hbl.ch, ersparniskasse.ch, ekr.ch, sparkasse-dielsdorf.ch, eki.ch, bankgantrisch.ch, bbobank.ch, alpharheintalbank.ch, aekbank.ch, acrevis.ch, credinvest.ch, bancazarattini.ch, appkb.ch, arabbank.ch, apbank.ch, notenstein-laroche.ch, bankbiz.ch, bankleerau.ch, btv3banken.ch, dcbank.ch, bordier.com, banquethaler.com, bankzimmerberg.ch, bbva.ch, bankhaus-jungholz.ch, sparhafen.ch, banquecramer.ch, banqueduleman.ch, bcpconnect.com, bil.com, vontobel.com, pbgate.net, bnpparibas.com, ceanet.ch, ce-riviera.ch, cedc.ch, cmvsa.ch, ekaffoltern.ch, glarner-regionalbank.ch, cen.ch, cbhbank.com, coutts.com, cimbanque.net, cembra.ch, commerzbank.com, dominickco.ch, efginternational.com, exane.com, falconpb.com, gemeinschaftsbank.ch, frankfurter-bankgesellschaft.com, globalance-bank.com, ca-financements.ch, hsbcprivatebank.com, leihkasse-stammheim.ch, incorebank.ch, lienhardt.ch, mmwarburg.ch, maerki-baumann.ch, mirabaud.com, nordea.ch, pbihag.ch, rahnbodmer.ch, mybancaria.ch, reyl.com, saanenbank.ch, sebgroup.com, slguerbetal.ch, bankslm.ch, neuehelvetischebank.ch, slr.ch, slwynigen.ch, sparkasse.ch, umtb.ch, trafina.ch, ubp.com 

Pour ensuite les rediriger sur un site identique à celui de sa banque, mais hébergé sur le darkweb et détenu par les hackeurs

Une fois que l’utilisateur s’authentifie, toutes les informations (nom d’utilisateur, mot de passe, navigateur, configuration du système, etc.) sont envoyées aux hackeurs qui peuvent ensuite compromettre le compte bancaire. 


Comment se protéger


Une bonne sécurité informatique doit couvrir une protection en profondeur afin de s’assurer que plusieurs niveaux de protection puissent bloquer l’attaque. Voici plusieurs points essentiels afin de pouvoir empêcher cette attaque de vous infecter : 

Email 
Nous recommandons d’utiliser un système de protection avancé pour votre email, avec une chambre à détonation pour les pièces jointes (VM d’ouverture), une whitelist pour les extensions, une validation stricte des en-têtes de l’email et un outil d’alerte pour les utilisateurs finaux en cas d’emails suspects. 
La solution ZENMail par ZENData offre tous ces services et de nombreux d’autres 

Anti-Malware 
Nous recommandons d’utiliser un antivirus nouvelle génération qui peut bloquer des attaques encore inconnues basées sur de l’intelligence artificielle et analyse du comportement. Il est aussi important d’avoir un une plateforme de reporting & d’analyse afin d’avoir une visibilité sur les menaces et de pouvoir comprendre ce que les malwares tentent de faire. 
La solution d’ Invincea représentée par ZENData répond à ces critères et est un des leader sur ce marché mondial. 

Analyse des activités 
Nous recommandons la mise en place d’un SIEM/SOC afin de pouvoir récupérer tous les événements passés sur une infrastructure (tel que l’installation de nouveaux certificats) et de pouvoir agir rapidement sur les incidents. 
ZENData offre des services de SIEM & SOC avec une permanence d’analyse et des protocoles de réactions automatisés défini au cas par cas. 

Formation des utilisateurs 
Nous recommandons de former et d’éduquer les utilisateurs sur les risques, dangers et conséquences des cyber-attaques. Seulement avec une formation continue et adaptée, les utilisateurs pourront activement protéger votre société. 
ZENData fournit des formations personnalisées en ligne, en salle de cours, sous format de stage et autour de petit déjeuner. 

Finalement la NSA a sur son portail GitHub un outil open source pour vérifier les certificats d’origine. 

ZENData reste à votre disposition pour contrôler et protéger votre infrastructure ainsi que de vous conseiller et former vos utilisateurs. 

N’hésitez pas à nous contacter. 

Tweets de ZENData

RT @dlitchfield: Oracle are fixing 302 vulnerabilities tomorrow, many with a CVSS score of 10 or 9.8... Order you coffee and pizzas now. ht…
RT @MikaelThalen: Kanye West's iPhone passcode: 0-0-0-0-0-0 https://t.co/D7Gfkc9U9I
RT @EFF: BREAKING: #NetNeutrality is now law in California. https://t.co/yF5L33UXPF
RT @TheHackersNews: Google security researcher discloses details and PoC exploit for a new #Linux Kernel vulnerability (CVE-2018-17182) ht…
RT @SparkZheng: iOS 12 Jailbreak on iPhone XS by @PanguTeam ! Bypass PAC mitigation on the new A12 chip. That's amazing!!!👏👏👏 https://t.co/

Nous animons aussi le blog de cyber-sécurité du magazine Bilan. Retrouvez nos articles sur leur site: www.bilan.ch/steven-meyer

Contact

ZENData - Cyber-sécurité

Informations

Contactez-nous pour une analyse gratuite de vos besoins en sécurité ou pour des renseignements sur nos services, solutions et produits.

ZENData Sarl

Téléphone: +4122 588 65 90

Email:

Adresse: 114 rue du Rhône, 1204 Genève, Suisse


LinkedIn: linkedin.com/company/zendata

Twitter: twitter.com/ZenDataSec

Facebook: facebook.com/zendataSec

Google+: plus.google.com/+ZendataCh

Contactez-nous

10+15=

Souhaitez-vous vous inscrire à notre newsletter mensuelle ?

Vous y trouverez nos articles, l’actualité, des conseils et des informations importantes liées à la cyber-sécurité.