SlideShare une entreprise Scribd logo
1  sur  8
Télécharger pour lire hors ligne
comprendre les attaques
Man-in-the-browser
Analyse et réduction de ces menaces
pour les institutions financières
Livre Blanc
Contexte
Les cybercriminels utilisent des méthodes nouvelles et plus sophistiquées pour
s’attaquer aux utilisateurs en ligne. Une des menaces en forte croissance déployées
aujourd’hui est l’attaque troyenne « Man-in-the-Browser (MITB) ou “homme dans le
navigateur”. Les attaques Man-in-the-browser font partie de l’évolution naturelle de la
cybercriminalité, évolution résultant d’une sécurité en ligne plus forte et d’une prise de
conscience plus grande du grand public. La propagation des attaques Man-in-the-
browser est favorisée par les attaques de spear phishing, la popularité de sites de
réseaux sociaux et l’augmentation de l’infection par téléchargement. L’année dernière, il
y a eu une augmentation exponentielle du nombre de ces attaques contre des
institutions financières dont nombre de banques européennes et américaines.
Présentation des attaques man-in-the-browser
Une attaque « man-in-the-browser » vise à intercepter les données qui transitent sur un
canal de communication sécurisé entre un utilisateur et une application en ligne. Un
cheval de Troie s’incruste dans le navigateur de l’utilisateur et peut être programmé pour
s’activer dès que cet utilisateur accède à des sites spécifiques, comme des sites de
banque en ligne. Une fois activé, le cheval de Troie « man-in-the-browser » intercepte et
manipule toute information communiquée en ligne et en temps réel par l’utilisateur.
Nombre de familles de trojans (chevaux de Troie) sont utilisées pour mener des attaques
MITB, on peut citer notamment Zeus/SpyEye, URLzone, Silent Banker, Sinowal et Gozi.
Certains chevaux de Troie MITB sont tellement avancés qu’ils rendent les fraudes encore
plus aisées. Ils utilisent des fonctionnalités de programmation pour automatiser
entièrement la procédure, de la contamination à l’encaissement. Les chevaux de Troie
MITB offrent de nombreuses autres capacités, dont :
•	Insertion de code HTML pour permettre l’affichage de pages sophistiquées d’ingénierie
sociale (i.e: insertion d’un champ dans une page invitant l’utilisateur à saisir le numéro
et le code PIN de sa carte bancaire, en complément de son identifiant et mot de passe).
•	Fenêtres Pop-ups HTML ou JavaScript pour communiquer  en temps réel avec la victime
(i.e : demandant à la victime d’entrer un « one-time-password » valide ou de divulguer
les réponses à ses questions secrètes).
•	Interaction en temps réel de chevaux de Troie avec des bases de données de comptes
de mules pour faciliter le transfert automatique d’argent.
page 2
Le cheminement ou flux basique d’une attaque MITB est le suivant1
:
1. Un utilisateur est infecté par un cheval de Troie MITB
2. Lorsque l’utilisateur démarre une session de banque en ligne, le cheval de Troie se met
en action et lance ses fonctionnalités MITB
3. L’utilisateur effectue toutes les étapes d’authentification, y compris l’authentification à
deux facteurs, si nécessaire. Le cheval de Troie attend en silence une connexion réussie
et/ou que l’utilisateur initialise un transfert d’argent.
4. Le cheval de Troie manipule les détails de la transaction (exemple le bénéficiaire et le
montant du transfert). Le compte du bénéficiaire légitime est remplacé par un compte
de mule du fraudeur.
5. Le cheval de Troie maintien une vue en apparence légitime de la transaction en utilisant
des techniques d’ingénierie sociale. Il affiche de fausses pages HTML à l’utilisateur,
montrant les détails de la transaction2
legitime (telle que saisie par l’utilisateur). Si une
authentification supplémentaire est nécessaire pour terminer la transaction, le cheval
de Troie peut interagir avec l’utilisateur pour qu’il saisisse en temps réel les
informations pour la méthode d’authentification exigée par son institution financière.
Ce qui rend les attaques MITB difficiles à détecter du coté serveur de la banque est que
toutes les actions menées semblent être effectuées depuis le navigateur de l’utilisateur
légitime. Les caractéristiques telles que langue Windows et adresse IP semblent
identiques aux données réelles de l’utilisateur. Ceci crée un vrai défit : comment
distinguer les transactions authentiques des malveillantes.
Taux d’Infection Exponentiel 
Aujourd’hui, l’accroissement dramatique du nombre d’attaques man-in-the-browser (et la
diffusion de logiciels malveillants en général) est favorisé par divers vecteurs dont le
spear phishing, l’augmentation des sites de réseaux sociaux, et l’infection par
téléchargement3
.
Le Spear phishing est un contributeur important dans la diffusion des attaques man-in-
the-browser. Utilisant des techniques bien ficelées d’ingénierie sociale, les criminels
lancent des campagnes sophistiquées de Spear phishing ciblant les clients de banque
d’entreprise et des individus a haut potentiel financier. La disponibilité sur internet de
données sur les personnes, notamment sur des sites comme Facebook et LinkedIn,
permet aux criminels de recueillir assez d’informations crédibles sur leurs cibles avant de
leur envoyer des emails extrêmement crédibles et qui ont de fortes chances de générer
une réponse. Le Spear phishing ne cible pas uniquement des consommateurs, il
s’intéresse aussi aux employés dans l’entreprise. Quarante-cinq pour cent des employés
indiquent avoir reçu un email de phishing au travail4
.
La popularité et le nombre important d’utilisateurs des réseaux sociaux ont aussi
contribué à l’expansion des chevaux de Troie et malware. Le trafic important et la portée
mondiale de ces sites en ont fait une cible de choix pour les criminels. Aujourd’hui, 40 %
des utilisateurs de réseaux sociaux ont subi une forme d’attaque5
par malware.
1 Ceci est une description générale d’attaques MITB. Il peut y avoir d’autres cas et scénarios, mais les étapes sont
communes à la plupart des attaques MITB constatées par RSA. Dans ce document, nous focalisons sur les
Trojans automatiques dans la manipulation des données d’une transaction générée par l’utilisateur légitime.
2 Certains Trojans sont programmés pour remplacer le champs “solde” du compte utilisateur, et afficher un solde
exactement comme il devait être après la transaction légitime de l’utilisateur.
3 Un programme qui est automatiquement téléchargé sur la machine de l’utilisateur sans son consentement ou
connaissance. Le téléchargement peut avoir lieu sur simple visite d’un site web ou consultation d’un email.
4 RSA 2011 Workplace Security Report
5 Sophos Security Threat Report 2011
Le processus d’encaissement
(ou cash out) via des
comptes de mules est devenu
totalement automatisé.
Certaines versions du cheval
de Troie Zeus/SpyEye, par
exemple, sont construites
avec des scripts qui
interagissent avec des outils
de gestion de mules. Chaque
fois qu’une transaction MITB
est tentée via une machine
infectée, le cheval de Troie se
met en relation avec l’outil de
gestion de mule et tire le 1er
numéro de compte de mule
disponible pour recevoir les
fonds volés.
page 3
Enfin, la contamination par téléchargement caché (drive-by downloads ) aussi joué un
rôle majeur dans la croissance des attaques MITB. Un drive-by downloads est initialisé
quand un utilisateur est redirigé vers un site spécifiquement créé par des criminels afin
d’infecter des utilisateurs – le plus souvent après avoir cliqué sur un lien dans un email.
Dans d’autres cas, les criminels exploitent les vulnérabilités de sites légitimes pour y
mettre du code malveillant qui redirige le trafic vers des points d’infection: l’utilisateur
télécharge aini un trojan, sans avoir une quelconque connaissance qu’il a été infecté.
Aujourd’hui, environ 2 pages sur 1000 affichées aux utilisateurs dans les résultats des
moteurs de recherche contiennent un drive-by downloads6
.
Le résultat final est la croissance exponentielle du nombre d’utilisateurs infectés par une
forme quelconque de malware. Le Trojan bancaire le plus répandu est Zeus/SpyEye
impliqué dans 80% des attaques ciblant les institutions financières au premier trimestre
20117
. Cette famille de malware n’est pas seulement la plus largement diffusée, c’est
aussi celle connue comme ayant les caractéristiques et fonctionnalités MITB les plus
sophistiquées disponibles à la vente sur le marché souterrain des criminels.
MITB - caractéristiques et fonctionnalités
Les capacités du man-in-the-browser ont rejoint le top des désirs de la plupart des
criminels. Après la mise en oeuvre couronnée de succès de fonctionnalités MITB dans
Zeus, d’autre Trojans ont suivi la tendance notamment : Bugat, Clod, Gozi (v2, 2010),
Lamp, Mimicker, Patcher, Silent Banker, Silon, SpyEye, Syscron, et URLZone. Tous ces
Trojans ont certaines fonctionnalités MITB pour automatiser des transactions
frauduleuses utilisant des scripts spécifiques. Ci-dessous un exemple de certaines
fonctionnalités MITB communes à nombre de familles troyennes actives actuellement:
Zeus/SpyEye
Zeus/SpyEye a la capacité d’identifier et intercepter en temps réel les différents types de
trafic Internet et est exploité principalement pour lancer des attaques automatisées, qui
utilisent par exemple une série d’identifiants personnels de la victime et d’identifiants de
ses périphériques. Zeus/SpyEye facilite aussi le détournement manuel de la session
active internet d’une victime. Pour réussir ceci, le criminel a besoin que la victime soit
présente en ligne et prête à fournir un OTP valable selon la demande.
Pour entrer dans une session en cours, le criminel doit jouer à la perfection le rôle de la
victime. Il aura par exemple besoin d’accéder aux cookies de la victime. Or les cookies
HTTP ont une signature numérique propre associée afin qu’ils soient utilisables
uniquement pour la personne prévue. mais comme un cookie ne peut pas être contrefait;
les criminels doivent les voler afin de pouvoir ensuite présenter le cookie nécessaire au
serveur de la banque et ainsi gagner l’accès à une session bancaire en ligne légitime.
Par ailleurs, il n’est pas toujours possible d’intercepter secrètement une session bancaire
en cours; Zeus/SpyEye offre donc des moyens pour pouvoir détourner l’attention de
l’utilisateur : il propose ainsi la fonctionnalité d’injection de code HTML , ce qui permet
de présenter à l’utilisateur de faux messages contextuels, par exemple des messages de
maintenance l’informant que la session a été temporairement suspendue.
Une variante de SpyEye, a même permis à un criminel de supplanter la demande de
déconnexion de l’utilisateur légitime et ainsi continuer la transaction en arrière-plan. En
effet dès que l’utilisateur a soumis ses habilitations, le trojan SpyEye a présenté une
fausse page d’information indiquant à l’utilisateur que ses données de sécurité étaient
en cours de vérification. La figure 1 montre le faux message affiché à l’utilisateur lui
demandant de pas fermer ou recharger la page, puisque en réalité le criminel est
toujours connecté sur à la même session et exécute un transfert d’argent frauduleux.
RSA a mené une étude
approfondie examinant les
menaces MITB et le réseau
de mules qui les supportent.
Parmi les informations
remontées de l’étude des
opérations de gestion de
mules, on note:
• Age moyen d’une mule: 31
• Durée de vie moyenne d’un
compte de mule : 3 jours
(ceci reflète la moyenne entre
la première et la dernière
utilisation du compte, pas
depuis quand la mule a été
recrutée)
• Nombre moyen de tentatives
de fraudes par compte de
mule : 18
• Montant moyen transféré via
une mule: $3,980 pour la
banque de détail
6 Microsoft Intelligence Report, Volume 9: 100
7  RSA FraudAction Quarterly Trojan Report, April 2011
page 4
SilentBanker
Le Trojan SilentBanker offre de nombreuses fonctionnalités avancées MITB dont :
•	Scripts MITB qui interceptent des données envoyées de la victime vers la banque  
•	Un capteur OTP qui peut intercepter et voler des codes SMS, des numéro TAN 
(Transaction Authorisation Number) et autres codes one-time password (OTP) utilisés
par les banques pour authentifier un transfert d’argent par un utilisateur.
•	Injections HTML locales pour imiter les sistes web des sintitutions financières ciblées;
SilentBanker utilise des injections HTML surtout pour obtenir des mots de passe OTP.
Généralement SilentBanker attend qu’une victime se connecte avec succès au vrai site
Web de la banque, et là il injecte un nouveau contenu HTML dans la page. Les champs
nouvellement injectés incitent les victimes à divulguer des données sensibles, rarement
demandées par leur banque, comme le numéro de leur carte de paiement et leur PIN.
URLzone
URLzone a la capacité d’injecter un code dans une page web chargée dans le navigateur
de l’utilisateur afon de lancer des attaques MITB. URLzone utilise le détournement de
session traditionnel pour voler les codes OTP des clients afin de réaliser des transactions
frauduleuses. Pour réussir une attaque MITB, URLzone compte sur une variété de
techniques d’ingénierie sociale. En général, ceci est exécuté grâce à une autre injection
de code qui – après que l’utilisateur ait fournit un code OTP valable – crée une page avec
un faux message d’erreur (ex:, “Nous ne sommes pas en mesure de terminer votre
transaction actuellement. Merci de réessayer plus tard”).
Gozi
Une variante récente de Gozi est programmée pour voler de nombreux types de données;
Gozi possède des injections qui ont déjà réussi à voler des codes token SMS et des
numéros TAN. Il a également des scripts qui récupèrent8
l’information complémentaire
telle que limites quotidiennes de transfert et soldes de comptes chèque, épargne et carte
de crédit.
Les logs du trojan Gozi contenant les procédures de transactions automatisées montrent
clairement que Gozi est préprogrammé pour déterminer quel pourcentage du solde de
compte peut être transféré à la fois. Pour déterminer la somme à transférer, Gozi
récupère d’abord le solde du compte courant. La figure 2 montre un enregistrement créé
par Gozi lors de l’exécution des transferts automatisés d’argent. Le Log du trojan montre
que Gozi prend le solde du compte et les limites quotidiennes de transfert et ensuite
utilise le TAN pour finir le transfert.
8 Le Data Scraping (récupération de données) est utilisé par les Trojans pour accéder au
source code de la page, y localiser les données pertinentes et les envoyer au criminel.
Figure 1:  Exemple de fausse page qui
pourrait être présentée à des
utilisateurs infectés au cours d’une
attaque man-in-the-browser
page 5
reduire la fraude exige une securité multi-niveaux
Après une investigation intensive sur les Trojans et logiciels malveillants, spécifiquement
les attaques man-in-the-browser, on peut tirer plusieurs conclusions :
1. La protection lors du login n’est pas suffisante pour arrêter les attaques MITB. Même si
l’utilisateur légitime est connecté sur le compte, les Trojans MITB sont capables de faire
des transferts d’argent de ce compte pendant la session bancaire de l’utilisateur.
2. Les attaques MITB sont difficiles à détecter sans monitoring et protection des
transactions. Un Trojan MITB peut détourner un poste utilisateur de sorte que n’importe
quelle transaction malveillante exécutée apparaitra toujours comme provenant de
l’utilisateur légitime. Donc au-delà du suivi du poste et de l’adresse IP, de puissantes
fonctionnalités de profilage comportemental sont indispensables à la détection MITB.
3. Comme certains Trojans utilisent des injections HTML pour demander des habilitations
nécessaires à une authentification additionnelle, l’authentification Hors-bande est plus
résistante au MITB car elle contourne le canal internet.
4. Les recherches manuelles sur les fraudes MITB ne peuvent pas être efficaces. En effet
un Trojan peut être entièrement automatisé pour exécuter l’intégralité du processus en
temps réel – de l’infection à l’encaissement. Donc plus la fenêtre de temps pour
valider le transfert de fonds est réduite, moins il y aura de temps pour examiner
manuellement ces cas de transfert. Il est donc indispensable de mettre en œuvre une
authentification additionnelle (de préférence une vraie authentification hors bande).
5. L’intelligence est un élément important de la réduction de la fraude. Les comptes de
mules par exemple jouent un rôle majeur dans le processus d’encaissement. L’accès à
l’intelligence fraude est cruciale au développement d’une solution efficace.
Une approche de sécurité multi-niveaux –combinant un monitoring de transaction selon
le risque, la détection, l’arrêt et les services d’intelligence sur les attaques de Trojans,
ainsi que des capacités hors bande– fournit solide défense contre les menaces man-in-
the-browser. Les institutions financières répondent au défi des attaques man-in-te-
browser grâce aux solutions RSA suivantes:
•	Transaction Monitoring: RSA®
Transaction Monitoring s’intéresse aux activités conduites
post-login afin de détecter un comportement inhabituel qui pourrait indiquer une
tentative de fraude ou une activité de Trojan. La solution fonctionne avec n’importe
quelle authentification forte existante et peut être déployée de manière totalement
invisible pour l’utilisateur final. Par ailleurs, RSA Transaction Monitoring offre des
Figure 2: Un log du Trojan Gozi
montrant un transfert de monnaie
automatique MITB
page 6
fonctions avancées pour identifier un comportement de Trojan, par exemple détecter un
détournement manuel de session, des comptes de mules et des injections HTML.
•	Trojan : Détection, Shutdown et Intelligence: RSA®
FraudAction™
Anti-Trojan Service a
pour but de réduire l’impact des Trojans à travers l’iedntification et le shutdown des
points d’infection trouvés et le blocage des ressources utilisées par le trojan pour
communiquer (c’est a dire: serveur drop, serveurs de Command  Control). En
complément le service essaye d’extraire les habilitations volées et les informations sur
les comptes de mules ouverts pour recevoir les transferts d’argent frauduleux.
•	RSA eFraudNetwork: RSA®
Adaptive Authentication et RSA Transaction Monitoring
exploitent des informations sur les modèles de fraude contenues dans le référentiel de
données RSA®
eFraudNetwork™
. L’eFraudNetwork est alimenté de données sur la fraude
fournies par un vaste réseau de clients, utilisateurs finaux, ISPs, et autres parties
tierces. Régulièrement, les analystes du RSA Anti-Fraud Command Center apportent de
nombreues contributions d’intelligence sur la cybercriminalité.
•	Authentification Hors-bande: RSA offre une authentification téléphonique Hors-bande
permettant aux utilisateurs d’entrer un one-time password sur le clavier de leur
téléphone. L’autehntification hors-bande permet une puissante protection contre les
attaques man-in-the-browser car elle sépare le processus d’authentification du canal
Web channel, le rendant ainsi plus difficile à compromettre.
Monitoring de Transactions
La protection de la connexion est essentielle, mais elle n’est pas suffisante car les
pirates ont développé une technologie capable de manipuler les transactions après le
login. La protection de transaction se réfère à la capacité d’une organisation à surveiller
et identifier les activités suspectes post-connexion – une capacité souvent associée à
une solution de surveillance des fraudes basée sur le risque.
La plupart du temps, les transactions exigent un examen plus approfondi, car elles
présentent un risque plus important que le simple fait de se connecter à un compte. Par
exemple, un utilisateur non autorisé peut obtenir l’accès à un compte mais le risque
majeur se produit si une transaction, par exemple un transfert de l’argent disponible sur
le compte, est tentée. Dans de tels cas, une solution de protection des transactions
alertera les équipes de fraudes ou bien défiera les utilisateurs de manière appropriée.
RSA Transaction Monitoring s’appuie sur le moteur en auto-apprentissage RSA Risk
Engine qui évalue en arrière plan, les risques pour tous les utilisateurs. La solution peut
s’associer à n’importe quelle autre solution d’authentification existante et passer
entièrement inaperçue aux yeux de l’utilisateur. Lorsqu’un utilisateur tente d’effectuer
une transaction, le risque est évalué au niveau de chaque activité et un score unique est
attribué. Lorsque ce score dépasse le seuil acceptable (défini par l’entreprise qui a
déployé la solution) ou qu’une politique interne n’est pas respectée, un incident est
ouvert dans l’outil RSA Case Manager. Cet outil permet la gestion et l’investigation
complète de l’incident avec une focalisation sur les transactions de risque le plus élevé.
En cas de risque extrême ou lorsque le temps nécessaire à l’étude d’un incident est
insuffisant, l’utilisateur est challengé en avec un appel téléphonique hors bande en
temps réel avant que la transaction soit menée à son terme.
RSA Transaction Monitoring est aussi capable de détecter les Tojans en réalisant des
analyses comportementales avancées. Les comportements habituels des utilisateurs sont
passés au crible et lorsqu’un comportement s’écarte de ce modèle, le score de risque de
cet utilisateur augmente. L’analyse des comportements utilisateurs, notamment les
activités de paiements qu’il effectué, est essentielle au niveau des transactions. Cela est
particulièrement vrai pour le trojan Man-in-the-browser, du fait qu’il patiente le temps
qu’un utilisateur se connecte à son compte bancaire. Il n’intervient qu’une fois la
connexion établie.
page 7
Au cours de la session, certains modèles peuvent révéler un comportement inhabituel.
Par exemple, l’ajout d’un nouveau bénéficiaire suivi d’un versement immédiat en sa
faveur apporte la preuve d’un comportement atypique. Ce type d’activité est indétectable
à la connexion. En outre, Transaction Monitoring offre davantage de fonctionnalités
avancées pour détecter les Trojans , comme la détection du piratage manuel de session,
l’analyse des modèles comportementaux des Trojans, la détection de compte mule et
d’insertion de code HTML.
Transaction Monitoring repose également sur RSA®eFraudNetwork™, un référentiel
inter-entreprise de modèles de fraudes détectées et remontées par le large réseau RSA
de clients, ISP et autres parries tierces contributeurs de communauté à travers le
monde. Lorsqu’une activité est identifiée comme comportant un risque élevé, les
données de la fraude, le profil de la transaction, l’adresse IP et les empreintes
numériques du périphérique sont transférés à un référentiel de données partagé.
Le réseau eFraudNetwork alimente directement en données de fraude le système
Transaction Monitoring et se révèle l’une des nombreuses sources utilisées dans
l’affectation d’un score de risque. Il comprend également des données sur les comptes
mule provenant du service RSA FraudAction Anti-Trojan.
Trojan : détection, shutdown et intelligence
Le service RSA FraudAction Anti-Trojan, un élément essentiel de la solution RSA 
FraudAction, se concentre sur l’atténuation de l’impact des attaques de chevaux de Troie.
RSA s’est particulièrement intéressé aux attaques man-in-the-browser , les a analysées
et a intégré l’intelligence de leur concept dans le service RSA FraudAction Anti-Trojan.
Une détection, un blocage et un arrêt précoces, tels sont les éléments fondamentaux
permettant de limiter l’impact d’un cheval de Troie et d’atténuer les dommages
occasionnés. Toutefois, le fait de fermer ou de bloquer l’accès aux zones d’infection, aux
zones de mise à jour, aux sites de dépôt et aux messageries de diffusion, se révèle une
procédure bien plus compliquée que prévu. De plus, les trojans constituent une menace
plus complexe à traiter dans la mesure où des milliers de variantes de ces programmes
criminels existent.
Grâce à son travail avec les principales institutions financières et à sa surveillance des
nombreuses attaques, RSA a créé des liens avec certains des plus importants FAI et
bureaux d’enregistrement de sites au monde. Le centre antifraude, RSA Anti-Fraud
Command Center renforce ces liens de manière à engager un processus 24x7 de
cessation et d’abstention.
Le laboratoire RSA FraudAction Research Lab renforce les points forts et les services de
RSA. Cette équipe de chercheurs chevronnés est dédiée à l’investigation et étude des
derniers outils, technologies et tactiques utilisés par les cybercriminels. Cette équipe a
pour objet d’affronter les nouvelles menaces, comme les attaques man-in-the-browser et
entend mettre au point les outils et les processus nécessaires pour les stopper dans les
plus brefs délais.
Capacités hors-bande
Les méthodes de communication hors bande (Out-Of-Band) constituent une arme
puissante contre ces menaces sophistiquées, car elles contournent le canal de
communication le plus souvent utilisé par les pirates, à savoir Internet. Cela se révèle
tout particulièrement vrai dans le cas des attaques man-in-the-browser lorsqu’un cheval
de Troie s’installe directement dans le navigateur de l’utilisateur. Les méthodes de
communication hors bande utilisent par exemple le courrier postal, le téléphone, ou un
message texte (aussi appelé SMS pour Short Message Service).
Le module RSA Adaptive Authentication Out-of-band Phone fournit aux utilisateurs un
passecode à usage unique qui s’affiche dans leur navigateur Web. Le système génère
l’appel et compose automatiquement l’appel téléphonique. L’appel passe en revue les
EMC2
, EMC, RSA, et le logo RSA sont des marques déposées ou des marques d’EMC Corporation aux Etats Unis et
autres pays. Toutes les autres marques citées sont la propriété de leurs détenteurs respectifs.
©2010-2011 EMC Corporation. Tous drooits réservés. Publié aux USA.
FR MITB wp 0611
A propos de RSA
RSA, est le premier fournisseur de solutions sécurité, de gestion du risque et de la
conformité pour l’accélération business. RSA contribue au succès des plus grandes
entreprises mondiales en solutionnant leurs challenges de sécurité les plus
complexes et sensibles. Ces défis comprennent notamment gérer le risque
organisationnel, sécuriser l’accès mobile et la collaboration, prouver la conformité et
sécuriser les environnements virtuels et Cloud.
En combinant les contrôles métiers sensibles majeurs au niveau de la certification
d’identité, du Data Loss Prevention, du chiffrement et tokenization, de la protection
contre la Fraude et du SIEM avec des capacités eGRC leaders de l’industrie ainsi que
des services efficaces de consulting, RSA apporte la visibilité et la confiance à des
millions d’identités utilisateurs, aux transactions qu’elles exécutent et aux données
qu’elles génèrent.
www.rsa.com
détails de la transaction et invite l’utilisateur à saisir sur le clavier de son téléphone, le
passecode à usage unique affiché dans son navigateur Web. Une fois le numéro saisi sur le
téléphone, puis confirmé, la transaction se poursuit sans interruption.
Il s’agit là d’une « véritable » authentification hors bande, car le passcode est saisi sur le
téléphone et non sur l’ordinateur infecté (comme cela est habituellement le cas lorsque
le mot de passe est reçu via la messagerie électronique ou SMS).
Conclusion
Les cybercriminels n’ont de cesse de faire évoluer leurs outils et leurs tactiques pour
contourner les défenses mises en place même par les institutions financières les plus
consciencieuses en matière de sécurité. De nos jours, les attaques man-in-the-browser
constituent l’une des menaces les plus complexes ciblant les utilisateurs et affectant les
institutions financières dans le monde entier. La protection de la connexion à elle seule
ne peut suffire à les bloquer. Les institutions financières entreprises doivent combiner un
monitoring basé sur le risque des transactions, la détection, l’arrêt et l’intelligence sur
les Trojans, et des fonctionnalités hors bande pour une véritable sécurité multi-niveaux
capable de réduire l’impact des attaques man-in-the-browser.

Contenu connexe

En vedette

Posibilidades de comunicación con las nntt
Posibilidades de comunicación con las nnttPosibilidades de comunicación con las nntt
Posibilidades de comunicación con las nnttLuiscoronel77
 
T7 rosalia garcia_gomez
T7 rosalia garcia_gomezT7 rosalia garcia_gomez
T7 rosalia garcia_gomezsmnietobo
 
Homenaxe a miguel hernandez
Homenaxe a miguel hernandezHomenaxe a miguel hernandez
Homenaxe a miguel hernandezmartamarzana
 
Sesiones 1 y 2 #cscmcv enero 2013
Sesiones 1 y 2 #cscmcv enero 2013Sesiones 1 y 2 #cscmcv enero 2013
Sesiones 1 y 2 #cscmcv enero 2013Gonzalo Garre Rodas
 
Cómo podemos medir las reacciones quimicas
Cómo podemos medir las reacciones quimicasCómo podemos medir las reacciones quimicas
Cómo podemos medir las reacciones quimicaskerenrocha
 
Modelos de de calidad software indicom
Modelos de de calidad software indicomModelos de de calidad software indicom
Modelos de de calidad software indicomKozmo Hernan
 
LA PUBLICIDAD Y LA CONCIENCIA
LA PUBLICIDAD Y LA CONCIENCIALA PUBLICIDAD Y LA CONCIENCIA
LA PUBLICIDAD Y LA CONCIENCIADaniza (Mazuera)
 
La temperatura de
La temperatura deLa temperatura de
La temperatura deDian0196
 
Los hogan
Los hoganLos hogan
Los hogannix8221
 
Le projet de loi El Khomri dans son intégralité :
Le projet de loi El Khomri dans son intégralité :Le projet de loi El Khomri dans son intégralité :
Le projet de loi El Khomri dans son intégralité :Jean-michel Neugate
 
Trabajo de acces
Trabajo de accesTrabajo de acces
Trabajo de accessistemasiti
 
Guadaleupe- Guadalupe- situación geográfica de francia.
Guadaleupe- Guadalupe- situación geográfica de francia.Guadaleupe- Guadalupe- situación geográfica de francia.
Guadaleupe- Guadalupe- situación geográfica de francia.Rumy Niko
 

En vedette (20)

Sena 07 jul
Sena 07 julSena 07 jul
Sena 07 jul
 
Posibilidades de comunicación con las nntt
Posibilidades de comunicación con las nnttPosibilidades de comunicación con las nntt
Posibilidades de comunicación con las nntt
 
T7 rosalia garcia_gomez
T7 rosalia garcia_gomezT7 rosalia garcia_gomez
T7 rosalia garcia_gomez
 
Prve quetzalli hernandez
Prve quetzalli hernandezPrve quetzalli hernandez
Prve quetzalli hernandez
 
Homenaxe a miguel hernandez
Homenaxe a miguel hernandezHomenaxe a miguel hernandez
Homenaxe a miguel hernandez
 
Presentacion FSC III
Presentacion FSC IIIPresentacion FSC III
Presentacion FSC III
 
Sesiones 1 y 2 #cscmcv enero 2013
Sesiones 1 y 2 #cscmcv enero 2013Sesiones 1 y 2 #cscmcv enero 2013
Sesiones 1 y 2 #cscmcv enero 2013
 
Integración didáctica de las nuevas tecnologías
Integración didáctica de las nuevas tecnologíasIntegración didáctica de las nuevas tecnologías
Integración didáctica de las nuevas tecnologías
 
Cómo podemos medir las reacciones quimicas
Cómo podemos medir las reacciones quimicasCómo podemos medir las reacciones quimicas
Cómo podemos medir las reacciones quimicas
 
Modelos de de calidad software indicom
Modelos de de calidad software indicomModelos de de calidad software indicom
Modelos de de calidad software indicom
 
Jonathanvillalta
JonathanvillaltaJonathanvillalta
Jonathanvillalta
 
Polimero
PolimeroPolimero
Polimero
 
LA PUBLICIDAD Y LA CONCIENCIA
LA PUBLICIDAD Y LA CONCIENCIALA PUBLICIDAD Y LA CONCIENCIA
LA PUBLICIDAD Y LA CONCIENCIA
 
La temperatura de
La temperatura deLa temperatura de
La temperatura de
 
Los hogan
Los hoganLos hogan
Los hogan
 
Le projet de loi El Khomri dans son intégralité :
Le projet de loi El Khomri dans son intégralité :Le projet de loi El Khomri dans son intégralité :
Le projet de loi El Khomri dans son intégralité :
 
Treuer
TreuerTreuer
Treuer
 
Trabajo de acces
Trabajo de accesTrabajo de acces
Trabajo de acces
 
Sena 07 jul
Sena 07 julSena 07 jul
Sena 07 jul
 
Guadaleupe- Guadalupe- situación geográfica de francia.
Guadaleupe- Guadalupe- situación geográfica de francia.Guadaleupe- Guadalupe- situación geográfica de francia.
Guadaleupe- Guadalupe- situación geográfica de francia.
 

Similaire à 11577 mitb wp_0611_fr

Group-IB_AGILLY-secteur financier_VS_Fraud_E-booklet_2022.en.fr .pdf
Group-IB_AGILLY-secteur financier_VS_Fraud_E-booklet_2022.en.fr .pdfGroup-IB_AGILLY-secteur financier_VS_Fraud_E-booklet_2022.en.fr .pdf
Group-IB_AGILLY-secteur financier_VS_Fraud_E-booklet_2022.en.fr .pdfAGILLY
 
Conférence IIRCO - Projection des conflits sur l'espace numérique
Conférence IIRCO - Projection des conflits sur l'espace numériqueConférence IIRCO - Projection des conflits sur l'espace numérique
Conférence IIRCO - Projection des conflits sur l'espace numériqueOPcyberland
 
Livre blanc F-Secure Ransomware - le chantage qui fait déchanter
Livre blanc F-Secure Ransomware - le chantage qui fait déchanterLivre blanc F-Secure Ransomware - le chantage qui fait déchanter
Livre blanc F-Secure Ransomware - le chantage qui fait déchanterNRC
 
Le secteur financier assiégé par un vicieux logiciel bancaire malveillant @...
Le secteur financier assiégé par un vicieux logiciel bancaire malveillant @...Le secteur financier assiégé par un vicieux logiciel bancaire malveillant @...
Le secteur financier assiégé par un vicieux logiciel bancaire malveillant @...ITrust - Cybersecurity as a Service
 
Rapport Threat Intelligence Check Point du 25 juillet 2016
Rapport Threat Intelligence Check Point du 25 juillet 2016Rapport Threat Intelligence Check Point du 25 juillet 2016
Rapport Threat Intelligence Check Point du 25 juillet 2016Blandine Delaporte
 
Panorama de la cybercriminalité en 2016
Panorama de la cybercriminalité en 2016Panorama de la cybercriminalité en 2016
Panorama de la cybercriminalité en 2016Serrerom
 
Rapport Threat Intelligence Check Point du 8 août 2016
Rapport Threat Intelligence Check Point du 8 août 2016Rapport Threat Intelligence Check Point du 8 août 2016
Rapport Threat Intelligence Check Point du 8 août 2016Blandine Delaporte
 
Rapport Threat Intelligence Check Point du 4 juillet 2016
Rapport Threat Intelligence Check Point du 4 juillet 2016Rapport Threat Intelligence Check Point du 4 juillet 2016
Rapport Threat Intelligence Check Point du 4 juillet 2016Blandine Delaporte
 
Rapport Threat Intelligence Check Point du 29 août 2016
Rapport Threat Intelligence Check Point du 29 août 2016Rapport Threat Intelligence Check Point du 29 août 2016
Rapport Threat Intelligence Check Point du 29 août 2016Blandine Delaporte
 
CHAPITRE 2 SECURITE INFORMATIQUE.pptx
CHAPITRE 2 SECURITE INFORMATIQUE.pptxCHAPITRE 2 SECURITE INFORMATIQUE.pptx
CHAPITRE 2 SECURITE INFORMATIQUE.pptxSchadracMoualou
 
Rapport Threat Intelligence Check Point du 2 mai 2016
Rapport Threat Intelligence Check Point du 2 mai 2016Rapport Threat Intelligence Check Point du 2 mai 2016
Rapport Threat Intelligence Check Point du 2 mai 2016Blandine Delaporte
 
Conference fep cybersecurite 24 janvier 2018
Conference fep cybersecurite   24 janvier 2018Conference fep cybersecurite   24 janvier 2018
Conference fep cybersecurite 24 janvier 2018OPcyberland
 
Conference fep cybersecurite 24 janvier 2018
Conference fep cybersecurite   24 janvier 2018Conference fep cybersecurite   24 janvier 2018
Conference fep cybersecurite 24 janvier 2018OPcyberland
 
Rapport Threat Intelligence Check Point du 23 mai 2016
Rapport Threat Intelligence Check Point du 23 mai 2016Rapport Threat Intelligence Check Point du 23 mai 2016
Rapport Threat Intelligence Check Point du 23 mai 2016Blandine Delaporte
 
Rapport Threat Intelligence Check Point du 19 décembre 2016
Rapport Threat Intelligence Check Point du 19 décembre 2016Rapport Threat Intelligence Check Point du 19 décembre 2016
Rapport Threat Intelligence Check Point du 19 décembre 2016Blandine Delaporte
 
Rapport des menaces en 2015 par F-Secure
Rapport des menaces en 2015 par F-SecureRapport des menaces en 2015 par F-Secure
Rapport des menaces en 2015 par F-SecureNRC
 
Rapport F-Secure sur la cybersécurité 2017
Rapport F-Secure sur la cybersécurité 2017Rapport F-Secure sur la cybersécurité 2017
Rapport F-Secure sur la cybersécurité 2017NRC
 

Similaire à 11577 mitb wp_0611_fr (20)

Group-IB_AGILLY-secteur financier_VS_Fraud_E-booklet_2022.en.fr .pdf
Group-IB_AGILLY-secteur financier_VS_Fraud_E-booklet_2022.en.fr .pdfGroup-IB_AGILLY-secteur financier_VS_Fraud_E-booklet_2022.en.fr .pdf
Group-IB_AGILLY-secteur financier_VS_Fraud_E-booklet_2022.en.fr .pdf
 
Conférence IIRCO - Projection des conflits sur l'espace numérique
Conférence IIRCO - Projection des conflits sur l'espace numériqueConférence IIRCO - Projection des conflits sur l'espace numérique
Conférence IIRCO - Projection des conflits sur l'espace numérique
 
Livre blanc F-Secure Ransomware - le chantage qui fait déchanter
Livre blanc F-Secure Ransomware - le chantage qui fait déchanterLivre blanc F-Secure Ransomware - le chantage qui fait déchanter
Livre blanc F-Secure Ransomware - le chantage qui fait déchanter
 
Le secteur financier assiégé par un vicieux logiciel bancaire malveillant @...
Le secteur financier assiégé par un vicieux logiciel bancaire malveillant @...Le secteur financier assiégé par un vicieux logiciel bancaire malveillant @...
Le secteur financier assiégé par un vicieux logiciel bancaire malveillant @...
 
Rapport Threat Intelligence Check Point du 25 juillet 2016
Rapport Threat Intelligence Check Point du 25 juillet 2016Rapport Threat Intelligence Check Point du 25 juillet 2016
Rapport Threat Intelligence Check Point du 25 juillet 2016
 
Panorama de la cybercriminalité en 2016
Panorama de la cybercriminalité en 2016Panorama de la cybercriminalité en 2016
Panorama de la cybercriminalité en 2016
 
Rapport Threat Intelligence Check Point du 8 août 2016
Rapport Threat Intelligence Check Point du 8 août 2016Rapport Threat Intelligence Check Point du 8 août 2016
Rapport Threat Intelligence Check Point du 8 août 2016
 
Rapport Threat Intelligence Check Point du 4 juillet 2016
Rapport Threat Intelligence Check Point du 4 juillet 2016Rapport Threat Intelligence Check Point du 4 juillet 2016
Rapport Threat Intelligence Check Point du 4 juillet 2016
 
Rapport Threat Intelligence Check Point du 29 août 2016
Rapport Threat Intelligence Check Point du 29 août 2016Rapport Threat Intelligence Check Point du 29 août 2016
Rapport Threat Intelligence Check Point du 29 août 2016
 
L’IoT et le soulèvement des machines
L’IoT et le soulèvement des machinesL’IoT et le soulèvement des machines
L’IoT et le soulèvement des machines
 
CHAPITRE 2 SECURITE INFORMATIQUE.pptx
CHAPITRE 2 SECURITE INFORMATIQUE.pptxCHAPITRE 2 SECURITE INFORMATIQUE.pptx
CHAPITRE 2 SECURITE INFORMATIQUE.pptx
 
Rapport Threat Intelligence Check Point du 2 mai 2016
Rapport Threat Intelligence Check Point du 2 mai 2016Rapport Threat Intelligence Check Point du 2 mai 2016
Rapport Threat Intelligence Check Point du 2 mai 2016
 
Conference fep cybersecurite 24 janvier 2018
Conference fep cybersecurite   24 janvier 2018Conference fep cybersecurite   24 janvier 2018
Conference fep cybersecurite 24 janvier 2018
 
Conference fep cybersecurite 24 janvier 2018
Conference fep cybersecurite   24 janvier 2018Conference fep cybersecurite   24 janvier 2018
Conference fep cybersecurite 24 janvier 2018
 
Rapport Threat Intelligence Check Point du 23 mai 2016
Rapport Threat Intelligence Check Point du 23 mai 2016Rapport Threat Intelligence Check Point du 23 mai 2016
Rapport Threat Intelligence Check Point du 23 mai 2016
 
AMAN - APT 2016
AMAN - APT 2016AMAN - APT 2016
AMAN - APT 2016
 
Rapport Threat Intelligence Check Point du 19 décembre 2016
Rapport Threat Intelligence Check Point du 19 décembre 2016Rapport Threat Intelligence Check Point du 19 décembre 2016
Rapport Threat Intelligence Check Point du 19 décembre 2016
 
Logiciel Malveillant Et Le Virus
Logiciel Malveillant Et Le VirusLogiciel Malveillant Et Le Virus
Logiciel Malveillant Et Le Virus
 
Rapport des menaces en 2015 par F-Secure
Rapport des menaces en 2015 par F-SecureRapport des menaces en 2015 par F-Secure
Rapport des menaces en 2015 par F-Secure
 
Rapport F-Secure sur la cybersécurité 2017
Rapport F-Secure sur la cybersécurité 2017Rapport F-Secure sur la cybersécurité 2017
Rapport F-Secure sur la cybersécurité 2017
 

Plus de Hai Nguyen

Sp 29 two_factor_auth_guide
Sp 29 two_factor_auth_guideSp 29 two_factor_auth_guide
Sp 29 two_factor_auth_guideHai Nguyen
 
Session 7 e_raja_kailar
Session 7 e_raja_kailarSession 7 e_raja_kailar
Session 7 e_raja_kailarHai Nguyen
 
Securing corporate assets_with_2_fa
Securing corporate assets_with_2_faSecuring corporate assets_with_2_fa
Securing corporate assets_with_2_faHai Nguyen
 
Scc soft token datasheet
Scc soft token datasheetScc soft token datasheet
Scc soft token datasheetHai Nguyen
 
Rsa two factorauthentication
Rsa two factorauthenticationRsa two factorauthentication
Rsa two factorauthenticationHai Nguyen
 
Quest defender provides_secure__affordable_two-factor_authentication_for_okla...
Quest defender provides_secure__affordable_two-factor_authentication_for_okla...Quest defender provides_secure__affordable_two-factor_authentication_for_okla...
Quest defender provides_secure__affordable_two-factor_authentication_for_okla...Hai Nguyen
 
Pg 2 fa_tech_brief
Pg 2 fa_tech_briefPg 2 fa_tech_brief
Pg 2 fa_tech_briefHai Nguyen
 
Ouch 201211 en
Ouch 201211 enOuch 201211 en
Ouch 201211 enHai Nguyen
 
N ye c-rfp-two-factor-authentication
N ye c-rfp-two-factor-authenticationN ye c-rfp-two-factor-authentication
N ye c-rfp-two-factor-authenticationHai Nguyen
 
Multiple credentials-in-the-enterprise
Multiple credentials-in-the-enterpriseMultiple credentials-in-the-enterprise
Multiple credentials-in-the-enterpriseHai Nguyen
 
Mobile authentication
Mobile authenticationMobile authentication
Mobile authenticationHai Nguyen
 
Ijcsi 9-4-2-457-462
Ijcsi 9-4-2-457-462Ijcsi 9-4-2-457-462
Ijcsi 9-4-2-457-462Hai Nguyen
 
Identity cues two factor data sheet
Identity cues two factor data sheetIdentity cues two factor data sheet
Identity cues two factor data sheetHai Nguyen
 
Hotpin datasheet
Hotpin datasheetHotpin datasheet
Hotpin datasheetHai Nguyen
 
Ds netsuite-two-factor-authentication
Ds netsuite-two-factor-authenticationDs netsuite-two-factor-authentication
Ds netsuite-two-factor-authenticationHai Nguyen
 
Datasheet two factor-authenticationx
Datasheet two factor-authenticationxDatasheet two factor-authenticationx
Datasheet two factor-authenticationxHai Nguyen
 
Cryptomathic white paper 2fa for banking
Cryptomathic white paper 2fa for bankingCryptomathic white paper 2fa for banking
Cryptomathic white paper 2fa for bankingHai Nguyen
 

Plus de Hai Nguyen (20)

Sp 29 two_factor_auth_guide
Sp 29 two_factor_auth_guideSp 29 two_factor_auth_guide
Sp 29 two_factor_auth_guide
 
Sms based otp
Sms based otpSms based otp
Sms based otp
 
Session 7 e_raja_kailar
Session 7 e_raja_kailarSession 7 e_raja_kailar
Session 7 e_raja_kailar
 
Securing corporate assets_with_2_fa
Securing corporate assets_with_2_faSecuring corporate assets_with_2_fa
Securing corporate assets_with_2_fa
 
Scc soft token datasheet
Scc soft token datasheetScc soft token datasheet
Scc soft token datasheet
 
Rsa two factorauthentication
Rsa two factorauthenticationRsa two factorauthentication
Rsa two factorauthentication
 
Quest defender provides_secure__affordable_two-factor_authentication_for_okla...
Quest defender provides_secure__affordable_two-factor_authentication_for_okla...Quest defender provides_secure__affordable_two-factor_authentication_for_okla...
Quest defender provides_secure__affordable_two-factor_authentication_for_okla...
 
Pg 2 fa_tech_brief
Pg 2 fa_tech_briefPg 2 fa_tech_brief
Pg 2 fa_tech_brief
 
Ouch 201211 en
Ouch 201211 enOuch 201211 en
Ouch 201211 en
 
N ye c-rfp-two-factor-authentication
N ye c-rfp-two-factor-authenticationN ye c-rfp-two-factor-authentication
N ye c-rfp-two-factor-authentication
 
Multiple credentials-in-the-enterprise
Multiple credentials-in-the-enterpriseMultiple credentials-in-the-enterprise
Multiple credentials-in-the-enterprise
 
Mobile authentication
Mobile authenticationMobile authentication
Mobile authentication
 
Ijcsi 9-4-2-457-462
Ijcsi 9-4-2-457-462Ijcsi 9-4-2-457-462
Ijcsi 9-4-2-457-462
 
Identity cues two factor data sheet
Identity cues two factor data sheetIdentity cues two factor data sheet
Identity cues two factor data sheet
 
Hotpin datasheet
Hotpin datasheetHotpin datasheet
Hotpin datasheet
 
Gambling
GamblingGambling
Gambling
 
Ds netsuite-two-factor-authentication
Ds netsuite-two-factor-authenticationDs netsuite-two-factor-authentication
Ds netsuite-two-factor-authentication
 
Datasheet two factor-authenticationx
Datasheet two factor-authenticationxDatasheet two factor-authenticationx
Datasheet two factor-authenticationx
 
Csd6059
Csd6059Csd6059
Csd6059
 
Cryptomathic white paper 2fa for banking
Cryptomathic white paper 2fa for bankingCryptomathic white paper 2fa for banking
Cryptomathic white paper 2fa for banking
 

11577 mitb wp_0611_fr

  • 1. comprendre les attaques Man-in-the-browser Analyse et réduction de ces menaces pour les institutions financières Livre Blanc Contexte Les cybercriminels utilisent des méthodes nouvelles et plus sophistiquées pour s’attaquer aux utilisateurs en ligne. Une des menaces en forte croissance déployées aujourd’hui est l’attaque troyenne « Man-in-the-Browser (MITB) ou “homme dans le navigateur”. Les attaques Man-in-the-browser font partie de l’évolution naturelle de la cybercriminalité, évolution résultant d’une sécurité en ligne plus forte et d’une prise de conscience plus grande du grand public. La propagation des attaques Man-in-the- browser est favorisée par les attaques de spear phishing, la popularité de sites de réseaux sociaux et l’augmentation de l’infection par téléchargement. L’année dernière, il y a eu une augmentation exponentielle du nombre de ces attaques contre des institutions financières dont nombre de banques européennes et américaines. Présentation des attaques man-in-the-browser Une attaque « man-in-the-browser » vise à intercepter les données qui transitent sur un canal de communication sécurisé entre un utilisateur et une application en ligne. Un cheval de Troie s’incruste dans le navigateur de l’utilisateur et peut être programmé pour s’activer dès que cet utilisateur accède à des sites spécifiques, comme des sites de banque en ligne. Une fois activé, le cheval de Troie « man-in-the-browser » intercepte et manipule toute information communiquée en ligne et en temps réel par l’utilisateur. Nombre de familles de trojans (chevaux de Troie) sont utilisées pour mener des attaques MITB, on peut citer notamment Zeus/SpyEye, URLzone, Silent Banker, Sinowal et Gozi. Certains chevaux de Troie MITB sont tellement avancés qu’ils rendent les fraudes encore plus aisées. Ils utilisent des fonctionnalités de programmation pour automatiser entièrement la procédure, de la contamination à l’encaissement. Les chevaux de Troie MITB offrent de nombreuses autres capacités, dont : • Insertion de code HTML pour permettre l’affichage de pages sophistiquées d’ingénierie sociale (i.e: insertion d’un champ dans une page invitant l’utilisateur à saisir le numéro et le code PIN de sa carte bancaire, en complément de son identifiant et mot de passe). • Fenêtres Pop-ups HTML ou JavaScript pour communiquer en temps réel avec la victime (i.e : demandant à la victime d’entrer un « one-time-password » valide ou de divulguer les réponses à ses questions secrètes). • Interaction en temps réel de chevaux de Troie avec des bases de données de comptes de mules pour faciliter le transfert automatique d’argent.
  • 2. page 2 Le cheminement ou flux basique d’une attaque MITB est le suivant1 : 1. Un utilisateur est infecté par un cheval de Troie MITB 2. Lorsque l’utilisateur démarre une session de banque en ligne, le cheval de Troie se met en action et lance ses fonctionnalités MITB 3. L’utilisateur effectue toutes les étapes d’authentification, y compris l’authentification à deux facteurs, si nécessaire. Le cheval de Troie attend en silence une connexion réussie et/ou que l’utilisateur initialise un transfert d’argent. 4. Le cheval de Troie manipule les détails de la transaction (exemple le bénéficiaire et le montant du transfert). Le compte du bénéficiaire légitime est remplacé par un compte de mule du fraudeur. 5. Le cheval de Troie maintien une vue en apparence légitime de la transaction en utilisant des techniques d’ingénierie sociale. Il affiche de fausses pages HTML à l’utilisateur, montrant les détails de la transaction2 legitime (telle que saisie par l’utilisateur). Si une authentification supplémentaire est nécessaire pour terminer la transaction, le cheval de Troie peut interagir avec l’utilisateur pour qu’il saisisse en temps réel les informations pour la méthode d’authentification exigée par son institution financière. Ce qui rend les attaques MITB difficiles à détecter du coté serveur de la banque est que toutes les actions menées semblent être effectuées depuis le navigateur de l’utilisateur légitime. Les caractéristiques telles que langue Windows et adresse IP semblent identiques aux données réelles de l’utilisateur. Ceci crée un vrai défit : comment distinguer les transactions authentiques des malveillantes. Taux d’Infection Exponentiel Aujourd’hui, l’accroissement dramatique du nombre d’attaques man-in-the-browser (et la diffusion de logiciels malveillants en général) est favorisé par divers vecteurs dont le spear phishing, l’augmentation des sites de réseaux sociaux, et l’infection par téléchargement3 . Le Spear phishing est un contributeur important dans la diffusion des attaques man-in- the-browser. Utilisant des techniques bien ficelées d’ingénierie sociale, les criminels lancent des campagnes sophistiquées de Spear phishing ciblant les clients de banque d’entreprise et des individus a haut potentiel financier. La disponibilité sur internet de données sur les personnes, notamment sur des sites comme Facebook et LinkedIn, permet aux criminels de recueillir assez d’informations crédibles sur leurs cibles avant de leur envoyer des emails extrêmement crédibles et qui ont de fortes chances de générer une réponse. Le Spear phishing ne cible pas uniquement des consommateurs, il s’intéresse aussi aux employés dans l’entreprise. Quarante-cinq pour cent des employés indiquent avoir reçu un email de phishing au travail4 . La popularité et le nombre important d’utilisateurs des réseaux sociaux ont aussi contribué à l’expansion des chevaux de Troie et malware. Le trafic important et la portée mondiale de ces sites en ont fait une cible de choix pour les criminels. Aujourd’hui, 40 % des utilisateurs de réseaux sociaux ont subi une forme d’attaque5 par malware. 1 Ceci est une description générale d’attaques MITB. Il peut y avoir d’autres cas et scénarios, mais les étapes sont communes à la plupart des attaques MITB constatées par RSA. Dans ce document, nous focalisons sur les Trojans automatiques dans la manipulation des données d’une transaction générée par l’utilisateur légitime. 2 Certains Trojans sont programmés pour remplacer le champs “solde” du compte utilisateur, et afficher un solde exactement comme il devait être après la transaction légitime de l’utilisateur. 3 Un programme qui est automatiquement téléchargé sur la machine de l’utilisateur sans son consentement ou connaissance. Le téléchargement peut avoir lieu sur simple visite d’un site web ou consultation d’un email. 4 RSA 2011 Workplace Security Report 5 Sophos Security Threat Report 2011 Le processus d’encaissement (ou cash out) via des comptes de mules est devenu totalement automatisé. Certaines versions du cheval de Troie Zeus/SpyEye, par exemple, sont construites avec des scripts qui interagissent avec des outils de gestion de mules. Chaque fois qu’une transaction MITB est tentée via une machine infectée, le cheval de Troie se met en relation avec l’outil de gestion de mule et tire le 1er numéro de compte de mule disponible pour recevoir les fonds volés.
  • 3. page 3 Enfin, la contamination par téléchargement caché (drive-by downloads ) aussi joué un rôle majeur dans la croissance des attaques MITB. Un drive-by downloads est initialisé quand un utilisateur est redirigé vers un site spécifiquement créé par des criminels afin d’infecter des utilisateurs – le plus souvent après avoir cliqué sur un lien dans un email. Dans d’autres cas, les criminels exploitent les vulnérabilités de sites légitimes pour y mettre du code malveillant qui redirige le trafic vers des points d’infection: l’utilisateur télécharge aini un trojan, sans avoir une quelconque connaissance qu’il a été infecté. Aujourd’hui, environ 2 pages sur 1000 affichées aux utilisateurs dans les résultats des moteurs de recherche contiennent un drive-by downloads6 . Le résultat final est la croissance exponentielle du nombre d’utilisateurs infectés par une forme quelconque de malware. Le Trojan bancaire le plus répandu est Zeus/SpyEye impliqué dans 80% des attaques ciblant les institutions financières au premier trimestre 20117 . Cette famille de malware n’est pas seulement la plus largement diffusée, c’est aussi celle connue comme ayant les caractéristiques et fonctionnalités MITB les plus sophistiquées disponibles à la vente sur le marché souterrain des criminels. MITB - caractéristiques et fonctionnalités Les capacités du man-in-the-browser ont rejoint le top des désirs de la plupart des criminels. Après la mise en oeuvre couronnée de succès de fonctionnalités MITB dans Zeus, d’autre Trojans ont suivi la tendance notamment : Bugat, Clod, Gozi (v2, 2010), Lamp, Mimicker, Patcher, Silent Banker, Silon, SpyEye, Syscron, et URLZone. Tous ces Trojans ont certaines fonctionnalités MITB pour automatiser des transactions frauduleuses utilisant des scripts spécifiques. Ci-dessous un exemple de certaines fonctionnalités MITB communes à nombre de familles troyennes actives actuellement: Zeus/SpyEye Zeus/SpyEye a la capacité d’identifier et intercepter en temps réel les différents types de trafic Internet et est exploité principalement pour lancer des attaques automatisées, qui utilisent par exemple une série d’identifiants personnels de la victime et d’identifiants de ses périphériques. Zeus/SpyEye facilite aussi le détournement manuel de la session active internet d’une victime. Pour réussir ceci, le criminel a besoin que la victime soit présente en ligne et prête à fournir un OTP valable selon la demande. Pour entrer dans une session en cours, le criminel doit jouer à la perfection le rôle de la victime. Il aura par exemple besoin d’accéder aux cookies de la victime. Or les cookies HTTP ont une signature numérique propre associée afin qu’ils soient utilisables uniquement pour la personne prévue. mais comme un cookie ne peut pas être contrefait; les criminels doivent les voler afin de pouvoir ensuite présenter le cookie nécessaire au serveur de la banque et ainsi gagner l’accès à une session bancaire en ligne légitime. Par ailleurs, il n’est pas toujours possible d’intercepter secrètement une session bancaire en cours; Zeus/SpyEye offre donc des moyens pour pouvoir détourner l’attention de l’utilisateur : il propose ainsi la fonctionnalité d’injection de code HTML , ce qui permet de présenter à l’utilisateur de faux messages contextuels, par exemple des messages de maintenance l’informant que la session a été temporairement suspendue. Une variante de SpyEye, a même permis à un criminel de supplanter la demande de déconnexion de l’utilisateur légitime et ainsi continuer la transaction en arrière-plan. En effet dès que l’utilisateur a soumis ses habilitations, le trojan SpyEye a présenté une fausse page d’information indiquant à l’utilisateur que ses données de sécurité étaient en cours de vérification. La figure 1 montre le faux message affiché à l’utilisateur lui demandant de pas fermer ou recharger la page, puisque en réalité le criminel est toujours connecté sur à la même session et exécute un transfert d’argent frauduleux. RSA a mené une étude approfondie examinant les menaces MITB et le réseau de mules qui les supportent. Parmi les informations remontées de l’étude des opérations de gestion de mules, on note: • Age moyen d’une mule: 31 • Durée de vie moyenne d’un compte de mule : 3 jours (ceci reflète la moyenne entre la première et la dernière utilisation du compte, pas depuis quand la mule a été recrutée) • Nombre moyen de tentatives de fraudes par compte de mule : 18 • Montant moyen transféré via une mule: $3,980 pour la banque de détail 6 Microsoft Intelligence Report, Volume 9: 100 7 RSA FraudAction Quarterly Trojan Report, April 2011
  • 4. page 4 SilentBanker Le Trojan SilentBanker offre de nombreuses fonctionnalités avancées MITB dont : • Scripts MITB qui interceptent des données envoyées de la victime vers la banque • Un capteur OTP qui peut intercepter et voler des codes SMS, des numéro TAN (Transaction Authorisation Number) et autres codes one-time password (OTP) utilisés par les banques pour authentifier un transfert d’argent par un utilisateur. • Injections HTML locales pour imiter les sistes web des sintitutions financières ciblées; SilentBanker utilise des injections HTML surtout pour obtenir des mots de passe OTP. Généralement SilentBanker attend qu’une victime se connecte avec succès au vrai site Web de la banque, et là il injecte un nouveau contenu HTML dans la page. Les champs nouvellement injectés incitent les victimes à divulguer des données sensibles, rarement demandées par leur banque, comme le numéro de leur carte de paiement et leur PIN. URLzone URLzone a la capacité d’injecter un code dans une page web chargée dans le navigateur de l’utilisateur afon de lancer des attaques MITB. URLzone utilise le détournement de session traditionnel pour voler les codes OTP des clients afin de réaliser des transactions frauduleuses. Pour réussir une attaque MITB, URLzone compte sur une variété de techniques d’ingénierie sociale. En général, ceci est exécuté grâce à une autre injection de code qui – après que l’utilisateur ait fournit un code OTP valable – crée une page avec un faux message d’erreur (ex:, “Nous ne sommes pas en mesure de terminer votre transaction actuellement. Merci de réessayer plus tard”). Gozi Une variante récente de Gozi est programmée pour voler de nombreux types de données; Gozi possède des injections qui ont déjà réussi à voler des codes token SMS et des numéros TAN. Il a également des scripts qui récupèrent8 l’information complémentaire telle que limites quotidiennes de transfert et soldes de comptes chèque, épargne et carte de crédit. Les logs du trojan Gozi contenant les procédures de transactions automatisées montrent clairement que Gozi est préprogrammé pour déterminer quel pourcentage du solde de compte peut être transféré à la fois. Pour déterminer la somme à transférer, Gozi récupère d’abord le solde du compte courant. La figure 2 montre un enregistrement créé par Gozi lors de l’exécution des transferts automatisés d’argent. Le Log du trojan montre que Gozi prend le solde du compte et les limites quotidiennes de transfert et ensuite utilise le TAN pour finir le transfert. 8 Le Data Scraping (récupération de données) est utilisé par les Trojans pour accéder au source code de la page, y localiser les données pertinentes et les envoyer au criminel. Figure 1: Exemple de fausse page qui pourrait être présentée à des utilisateurs infectés au cours d’une attaque man-in-the-browser
  • 5. page 5 reduire la fraude exige une securité multi-niveaux Après une investigation intensive sur les Trojans et logiciels malveillants, spécifiquement les attaques man-in-the-browser, on peut tirer plusieurs conclusions : 1. La protection lors du login n’est pas suffisante pour arrêter les attaques MITB. Même si l’utilisateur légitime est connecté sur le compte, les Trojans MITB sont capables de faire des transferts d’argent de ce compte pendant la session bancaire de l’utilisateur. 2. Les attaques MITB sont difficiles à détecter sans monitoring et protection des transactions. Un Trojan MITB peut détourner un poste utilisateur de sorte que n’importe quelle transaction malveillante exécutée apparaitra toujours comme provenant de l’utilisateur légitime. Donc au-delà du suivi du poste et de l’adresse IP, de puissantes fonctionnalités de profilage comportemental sont indispensables à la détection MITB. 3. Comme certains Trojans utilisent des injections HTML pour demander des habilitations nécessaires à une authentification additionnelle, l’authentification Hors-bande est plus résistante au MITB car elle contourne le canal internet. 4. Les recherches manuelles sur les fraudes MITB ne peuvent pas être efficaces. En effet un Trojan peut être entièrement automatisé pour exécuter l’intégralité du processus en temps réel – de l’infection à l’encaissement. Donc plus la fenêtre de temps pour valider le transfert de fonds est réduite, moins il y aura de temps pour examiner manuellement ces cas de transfert. Il est donc indispensable de mettre en œuvre une authentification additionnelle (de préférence une vraie authentification hors bande). 5. L’intelligence est un élément important de la réduction de la fraude. Les comptes de mules par exemple jouent un rôle majeur dans le processus d’encaissement. L’accès à l’intelligence fraude est cruciale au développement d’une solution efficace. Une approche de sécurité multi-niveaux –combinant un monitoring de transaction selon le risque, la détection, l’arrêt et les services d’intelligence sur les attaques de Trojans, ainsi que des capacités hors bande– fournit solide défense contre les menaces man-in- the-browser. Les institutions financières répondent au défi des attaques man-in-te- browser grâce aux solutions RSA suivantes: • Transaction Monitoring: RSA® Transaction Monitoring s’intéresse aux activités conduites post-login afin de détecter un comportement inhabituel qui pourrait indiquer une tentative de fraude ou une activité de Trojan. La solution fonctionne avec n’importe quelle authentification forte existante et peut être déployée de manière totalement invisible pour l’utilisateur final. Par ailleurs, RSA Transaction Monitoring offre des Figure 2: Un log du Trojan Gozi montrant un transfert de monnaie automatique MITB
  • 6. page 6 fonctions avancées pour identifier un comportement de Trojan, par exemple détecter un détournement manuel de session, des comptes de mules et des injections HTML. • Trojan : Détection, Shutdown et Intelligence: RSA® FraudAction™ Anti-Trojan Service a pour but de réduire l’impact des Trojans à travers l’iedntification et le shutdown des points d’infection trouvés et le blocage des ressources utilisées par le trojan pour communiquer (c’est a dire: serveur drop, serveurs de Command Control). En complément le service essaye d’extraire les habilitations volées et les informations sur les comptes de mules ouverts pour recevoir les transferts d’argent frauduleux. • RSA eFraudNetwork: RSA® Adaptive Authentication et RSA Transaction Monitoring exploitent des informations sur les modèles de fraude contenues dans le référentiel de données RSA® eFraudNetwork™ . L’eFraudNetwork est alimenté de données sur la fraude fournies par un vaste réseau de clients, utilisateurs finaux, ISPs, et autres parties tierces. Régulièrement, les analystes du RSA Anti-Fraud Command Center apportent de nombreues contributions d’intelligence sur la cybercriminalité. • Authentification Hors-bande: RSA offre une authentification téléphonique Hors-bande permettant aux utilisateurs d’entrer un one-time password sur le clavier de leur téléphone. L’autehntification hors-bande permet une puissante protection contre les attaques man-in-the-browser car elle sépare le processus d’authentification du canal Web channel, le rendant ainsi plus difficile à compromettre. Monitoring de Transactions La protection de la connexion est essentielle, mais elle n’est pas suffisante car les pirates ont développé une technologie capable de manipuler les transactions après le login. La protection de transaction se réfère à la capacité d’une organisation à surveiller et identifier les activités suspectes post-connexion – une capacité souvent associée à une solution de surveillance des fraudes basée sur le risque. La plupart du temps, les transactions exigent un examen plus approfondi, car elles présentent un risque plus important que le simple fait de se connecter à un compte. Par exemple, un utilisateur non autorisé peut obtenir l’accès à un compte mais le risque majeur se produit si une transaction, par exemple un transfert de l’argent disponible sur le compte, est tentée. Dans de tels cas, une solution de protection des transactions alertera les équipes de fraudes ou bien défiera les utilisateurs de manière appropriée. RSA Transaction Monitoring s’appuie sur le moteur en auto-apprentissage RSA Risk Engine qui évalue en arrière plan, les risques pour tous les utilisateurs. La solution peut s’associer à n’importe quelle autre solution d’authentification existante et passer entièrement inaperçue aux yeux de l’utilisateur. Lorsqu’un utilisateur tente d’effectuer une transaction, le risque est évalué au niveau de chaque activité et un score unique est attribué. Lorsque ce score dépasse le seuil acceptable (défini par l’entreprise qui a déployé la solution) ou qu’une politique interne n’est pas respectée, un incident est ouvert dans l’outil RSA Case Manager. Cet outil permet la gestion et l’investigation complète de l’incident avec une focalisation sur les transactions de risque le plus élevé. En cas de risque extrême ou lorsque le temps nécessaire à l’étude d’un incident est insuffisant, l’utilisateur est challengé en avec un appel téléphonique hors bande en temps réel avant que la transaction soit menée à son terme. RSA Transaction Monitoring est aussi capable de détecter les Tojans en réalisant des analyses comportementales avancées. Les comportements habituels des utilisateurs sont passés au crible et lorsqu’un comportement s’écarte de ce modèle, le score de risque de cet utilisateur augmente. L’analyse des comportements utilisateurs, notamment les activités de paiements qu’il effectué, est essentielle au niveau des transactions. Cela est particulièrement vrai pour le trojan Man-in-the-browser, du fait qu’il patiente le temps qu’un utilisateur se connecte à son compte bancaire. Il n’intervient qu’une fois la connexion établie.
  • 7. page 7 Au cours de la session, certains modèles peuvent révéler un comportement inhabituel. Par exemple, l’ajout d’un nouveau bénéficiaire suivi d’un versement immédiat en sa faveur apporte la preuve d’un comportement atypique. Ce type d’activité est indétectable à la connexion. En outre, Transaction Monitoring offre davantage de fonctionnalités avancées pour détecter les Trojans , comme la détection du piratage manuel de session, l’analyse des modèles comportementaux des Trojans, la détection de compte mule et d’insertion de code HTML. Transaction Monitoring repose également sur RSA®eFraudNetwork™, un référentiel inter-entreprise de modèles de fraudes détectées et remontées par le large réseau RSA de clients, ISP et autres parries tierces contributeurs de communauté à travers le monde. Lorsqu’une activité est identifiée comme comportant un risque élevé, les données de la fraude, le profil de la transaction, l’adresse IP et les empreintes numériques du périphérique sont transférés à un référentiel de données partagé. Le réseau eFraudNetwork alimente directement en données de fraude le système Transaction Monitoring et se révèle l’une des nombreuses sources utilisées dans l’affectation d’un score de risque. Il comprend également des données sur les comptes mule provenant du service RSA FraudAction Anti-Trojan. Trojan : détection, shutdown et intelligence Le service RSA FraudAction Anti-Trojan, un élément essentiel de la solution RSA FraudAction, se concentre sur l’atténuation de l’impact des attaques de chevaux de Troie. RSA s’est particulièrement intéressé aux attaques man-in-the-browser , les a analysées et a intégré l’intelligence de leur concept dans le service RSA FraudAction Anti-Trojan. Une détection, un blocage et un arrêt précoces, tels sont les éléments fondamentaux permettant de limiter l’impact d’un cheval de Troie et d’atténuer les dommages occasionnés. Toutefois, le fait de fermer ou de bloquer l’accès aux zones d’infection, aux zones de mise à jour, aux sites de dépôt et aux messageries de diffusion, se révèle une procédure bien plus compliquée que prévu. De plus, les trojans constituent une menace plus complexe à traiter dans la mesure où des milliers de variantes de ces programmes criminels existent. Grâce à son travail avec les principales institutions financières et à sa surveillance des nombreuses attaques, RSA a créé des liens avec certains des plus importants FAI et bureaux d’enregistrement de sites au monde. Le centre antifraude, RSA Anti-Fraud Command Center renforce ces liens de manière à engager un processus 24x7 de cessation et d’abstention. Le laboratoire RSA FraudAction Research Lab renforce les points forts et les services de RSA. Cette équipe de chercheurs chevronnés est dédiée à l’investigation et étude des derniers outils, technologies et tactiques utilisés par les cybercriminels. Cette équipe a pour objet d’affronter les nouvelles menaces, comme les attaques man-in-the-browser et entend mettre au point les outils et les processus nécessaires pour les stopper dans les plus brefs délais. Capacités hors-bande Les méthodes de communication hors bande (Out-Of-Band) constituent une arme puissante contre ces menaces sophistiquées, car elles contournent le canal de communication le plus souvent utilisé par les pirates, à savoir Internet. Cela se révèle tout particulièrement vrai dans le cas des attaques man-in-the-browser lorsqu’un cheval de Troie s’installe directement dans le navigateur de l’utilisateur. Les méthodes de communication hors bande utilisent par exemple le courrier postal, le téléphone, ou un message texte (aussi appelé SMS pour Short Message Service). Le module RSA Adaptive Authentication Out-of-band Phone fournit aux utilisateurs un passecode à usage unique qui s’affiche dans leur navigateur Web. Le système génère l’appel et compose automatiquement l’appel téléphonique. L’appel passe en revue les
  • 8. EMC2 , EMC, RSA, et le logo RSA sont des marques déposées ou des marques d’EMC Corporation aux Etats Unis et autres pays. Toutes les autres marques citées sont la propriété de leurs détenteurs respectifs. ©2010-2011 EMC Corporation. Tous drooits réservés. Publié aux USA. FR MITB wp 0611 A propos de RSA RSA, est le premier fournisseur de solutions sécurité, de gestion du risque et de la conformité pour l’accélération business. RSA contribue au succès des plus grandes entreprises mondiales en solutionnant leurs challenges de sécurité les plus complexes et sensibles. Ces défis comprennent notamment gérer le risque organisationnel, sécuriser l’accès mobile et la collaboration, prouver la conformité et sécuriser les environnements virtuels et Cloud. En combinant les contrôles métiers sensibles majeurs au niveau de la certification d’identité, du Data Loss Prevention, du chiffrement et tokenization, de la protection contre la Fraude et du SIEM avec des capacités eGRC leaders de l’industrie ainsi que des services efficaces de consulting, RSA apporte la visibilité et la confiance à des millions d’identités utilisateurs, aux transactions qu’elles exécutent et aux données qu’elles génèrent. www.rsa.com détails de la transaction et invite l’utilisateur à saisir sur le clavier de son téléphone, le passecode à usage unique affiché dans son navigateur Web. Une fois le numéro saisi sur le téléphone, puis confirmé, la transaction se poursuit sans interruption. Il s’agit là d’une « véritable » authentification hors bande, car le passcode est saisi sur le téléphone et non sur l’ordinateur infecté (comme cela est habituellement le cas lorsque le mot de passe est reçu via la messagerie électronique ou SMS). Conclusion Les cybercriminels n’ont de cesse de faire évoluer leurs outils et leurs tactiques pour contourner les défenses mises en place même par les institutions financières les plus consciencieuses en matière de sécurité. De nos jours, les attaques man-in-the-browser constituent l’une des menaces les plus complexes ciblant les utilisateurs et affectant les institutions financières dans le monde entier. La protection de la connexion à elle seule ne peut suffire à les bloquer. Les institutions financières entreprises doivent combiner un monitoring basé sur le risque des transactions, la détection, l’arrêt et l’intelligence sur les Trojans, et des fonctionnalités hors bande pour une véritable sécurité multi-niveaux capable de réduire l’impact des attaques man-in-the-browser.