Cybermenaces financières en 2013.
1ère partie : phishing
Kaspersky Lab
Kaspersky Lab
Cybermenaces financières en 2013
_Toc383623429
Introduction : argent et risques dans le contexte de l'utilis...
Kaspersky Lab
Cybermenaces financières en 2013
Introduction : argent et risques dans le
contexte de l'utilisation de plusi...
Kaspersky Lab
Cybermenaces financières en 2013
Kaspersky Lab compte plus de 16 ans d'expérience dans le développement de s...
Kaspersky Lab
Cybermenaces financières en 2013
L'étude porte sur l'ensemble de l'année 2013 et les comparaisons ont été ré...
Kaspersky Lab
Cybermenaces financières en 2013
Dans le cadre de cette étude, nous avons pu confirmer que les pages de phis...
Kaspersky Lab
Cybermenaces financières en 2013
Part des détections par l'anti-phishing Internet sur l'ensemble des détecti...
Kaspersky Lab
Cybermenaces financières en 2013
Pays les plus souvent attaqués en 2013
Les données fournies ici et après pr...
Kaspersky Lab
Cybermenaces financières en 2013
Etats-Unis a quant à elle considérablement augmenté, passant de 17,56 % en ...
Kaspersky Lab
Cybermenaces financières en 2013
Cibles exploitées par le phishing en 2013
On constate avec intérêt que la r...
Kaspersky Lab
Cybermenaces financières en 2013
part d'attaques impliquant des sites factices de services de messagerie s'e...
Kaspersky Lab
Cybermenaces financières en 2013
Attaques financières : une tendance inquiétante
En 2012, sur 22,95 % des at...
Kaspersky Lab
Cybermenaces financières en 2013
Cibles exploitées par le phishing financier en 2013
La tendance se marque e...
Kaspersky Lab
Cybermenaces financières en 2013
Phishing financier uniquement, en 2012 Phishing financier uniquement,
en 20...
Kaspersky Lab
Cybermenaces financières en 2013
Attaques contre les banques en 2013
Systèmes de paiement
A l'instar des att...
Kaspersky Lab
Cybermenaces financières en 2013
Attaques contre les systèmes de paiement en 2013
Kaspersky Lab
Cybermenaces financières en 2013
Paypal, qui demeure le système de paiement préféré sur Internet, jouit d'un...
Kaspersky Lab
Cybermenaces financières en 2013
Exemple d'attaque de phishing qui imite le site du système de paiement Visa...
Kaspersky Lab
Cybermenaces financières en 2013
Attaques contre les magasins en ligne en 2013
Parmi les cibles traditionnel...
Kaspersky Lab
Cybermenaces financières en 2013
Analyse détaillée de la dynamique des attaques
L'activité professionnelle e...
Kaspersky Lab
Cybermenaces financières en 2013
magasin en ligne ou de toute autre organisation financière ou commerciale p...
Kaspersky Lab
Cybermenaces financières en 2013
Pays les plus souvent attaqués : utilisateurs de Mac
Les différences dans l...
Kaspersky Lab
Cybermenaces financières en 2013
Au cours de la période étudiée, près de 38,92 % de l'ensemble des déclenche...
Kaspersky Lab
Cybermenaces financières en 2013
C'est donc ainsi que les experts de Kaspersky Lab ont vu l'année 2013 du po...
Kaspersky Lab
Cybermenaces financières en 2013
Cybermenaces financières en 2013.
2e partie : programmes malveillants
Kaspersky Lab
Cybermenaces financières en 2013
Cybermenaces financières en 2013. 2e partie : programmes malveillants
Princ...
Kaspersky Lab
Cybermenaces financières en 2013
Principales conclusions
D'après les données envoyées par les sous-systèmes ...
Kaspersky Lab
Cybermenaces financières en 2013
En 2013, les solutions de Kaspersky Lab ont repoussé 28,4 millions d'attaqu...
Kaspersky Lab
Cybermenaces financières en 2013
son niveau antérieur qu'à l'automne 2012. Toutefois, le nombre d'utilisateu...
Kaspersky Lab
Cybermenaces financières en 2013
Pays les plus souvent attaqués en 2012-2013
Le Top 10 des pays concentrent ...
Kaspersky Lab
Cybermenaces financières en 2013
Géographie des attaques menées à l'aide de programmes malveillants financie...
Kaspersky Lab
Cybermenaces financières en 2013
Les utilisateurs en Russie courraient le plus grand risque de devenir les v...
Kaspersky Lab
Cybermenaces financières en 2013
Pays
Utilisateurs
attaqués par
des
programmes
malveillants
financiers
Dynam...
Kaspersky Lab
Cybermenaces financières en 2013
Pourcentage des utilisateurs confrontés à des programmes malveillants finan...
Kaspersky Lab
Cybermenaces financières en 2013
Attaques à l'aide de programmes malveillants en 2013
Les représentants de l...
Kaspersky Lab
Cybermenaces financières en 2013
capable de télécharger sur l'ordinateur de nouveaux programmes à l'insu de ...
Kaspersky Lab
Cybermenaces financières en 2013
A la fin de l'année 2013, la part globale des utilisateurs attaqués chaque ...
Kaspersky Lab
Cybermenaces financières en 2013
victoire importante dans la lutte contre la cybercriminalité. Toutefois, le...
Kaspersky Lab
Cybermenaces financières en 2013
Carberp, 2012-2013
La tendance globale est évidente : après l'accalmie rela...
Kaspersky Lab
Cybermenaces financières en 2013
Nombre d'attaques impliquant des programmes malveillants de type bancaire,
...
Kaspersky Lab
Cybermenaces financières en 2013
En théorie, toute personne qui le souhaite peut obtenir des bitcoins en uti...
Kaspersky Lab
Cybermenaces financières en 2013
Bref, de phénomène "local" soutenu par quelques enthousiastes, le bitcoin e...
Kaspersky Lab
Cybermenaces financières en 2013
Comme on peut le voir sur le graphique, le nombre de déclenchements des pro...
Kaspersky Lab
Cybermenaces financières en 2013
Le nombre de déclenchements des produits de Kaspersky Lab provoqués par des...
Kaspersky Lab
Cybermenaces financières en 2013
Les programmes malveillants développés pour voler des informations financiè...
Kaspersky Lab
Cybermenaces financières en 2013
Programmes malveillants pour appareils nomades en 2013
Et la majorité des p...
Kaspersky Lab
Cybermenaces financières en 2013
Nombre d'échantillons de programmes malveillants bancaires pour appareils
n...
Kaspersky Lab
Cybermenaces financières en 2013
Attaques organisées à l'aide de programmes malveillants bancaires pour appa...
Kaspersky Lab
Cybermenaces financières en 2013
En Russie, certaines grandes banques permettent à leurs clients d'alimenter...
Kaspersky Lab
Cybermenaces financières en 2013
Répartition géographique des attaques menées à l'aide de programmes malveil...
Kaspersky Lab
Cybermenaces financières en 2013
Conclusion : protégez votre porte-monnaie
numérique
L'étude a clairement dé...
Kaspersky Lab
Cybermenaces financières en 2013
outils qui permettent d'utiliser les services de transactions bancaires par...
Prochain SlideShare
Chargement dans…5
×

Etude Kaspersky Lab : Impact Phishing sur les finances

2 628 vues

Publié le

Au cours de l'année 2013, Kaspersky Labs, éditeur de solutions de sécurité, s'est attelé à déterminer quels étaient les effets du phishing sur l'économie et les finances.
Thibault Deschamps, journaliste pour ITespresso.fr vous propose le compte rendu détaillé de l'étude.
http://www.itespresso.fr/kaspersky-phishing-progresse-menace-les-entreprises-75000.html

Publié dans : Économie & finance
0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
2 628
Sur SlideShare
0
Issues des intégrations
0
Intégrations
1 682
Actions
Partages
0
Téléchargements
11
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Etude Kaspersky Lab : Impact Phishing sur les finances

  1. 1. Cybermenaces financières en 2013. 1ère partie : phishing Kaspersky Lab
  2. 2. Kaspersky Lab Cybermenaces financières en 2013 _Toc383623429 Introduction : argent et risques dans le contexte de l'utilisation de plusieurs périphériques 2 Méthodologie du rapport ....................................................................................................3 Principales conclusions ......................................................................................................4 Menaces de phishing .........................................................................................................4 Attaques et utilisateurs....................................................................................................5 Géographie des attaques................................................................................................6 Cibles .............................................................................................................................8 Attaques financières : une tendance inquiétante........................................................... 11 Gros plan sur les cibles exploitées par le phishing financier ......................................... 13 Analyse détaillée de la dynamique des attaques........................................................... 19 Phishing contre OS X : premiers signes d'une menace grandissante ........................... 20
  3. 3. Kaspersky Lab Cybermenaces financières en 2013 Introduction : argent et risques dans le contexte de l'utilisation de plusieurs périphériques Les cybercriminels qui recherchent les méthodes pour dérober l'argent des utilisateurs de magasin en ligne, de porte-monnaie électroniques ou de système de transactions bancaires par Internet ne datent pas d'hier. Ceci étant dit, le domaine d'activités de ces escrocs avait été limité pendant longtemps, principalement en raison de la diffusion relativement faible des modes de paiement électroniques. Ces dernières années, l'argent électronique a occupé une place de plus en plus importante. Le confort d'utilisation et la disponibilité globale des systèmes de paiement électroniques et des services de transactions bancaires par Internet attirent de nombreux utilisateurs et les régulateurs du secteur financier ainsi que les banques de nombreux pays envisagent sérieusement le retrait pur et simple de l'argent en liquide dans les économies nationales au profit d'argent dématérialisé. Les statistiques tirées d'un sondage international réalisé par l'agence B2B International en coopération avec Kaspersky Lab en 2013 confirme la croissance de la popularité des paiements numériques : 98 % des personnes interrogées ont affirmé qu'elles utilisaient régulièrement les services de transactions bancaires par Internet, les porte-monnaie électroniques et les magasins en ligne. La tendance à l'utilisation de modes de paiement dématérialisés s'accompagne d'une augmentation du nombre de périphériques capables de réaliser des transactions financières. D'après les données de l'enquête citées ci-dessus, les ordinateurs de bureau et les ordinateurs portables demeurent les principaux "périphériques" qui interviennent dans l'utilisation de services financiers. 87 % des participants ont affirmé qu'ils réalisaient les opérations financières électroniques au départ de leur ordinateur de bureau ou de leur ordinateur portable. Toutefois, la part de périphériques nomades utilisés aux mêmes fins n'est pas négligeable elle non plus : les tablettes ou les smartphones étaient les périphériques privilégiés de 22 et 27 % respectivement des participants pour la réalisation d'opérations financières. Les individus malintentionnés ont bien entendu observé ces tendances. La hausse croissante du nombre d'utilisateurs de tous les systèmes possibles de paiement électronique attire les criminels et ceux-ci investissent de plus en plus de ressources dans le développement d'escroqueries qui leur permettent d'accéder d'abord aux données financières des victimes, puis à l'argent en lui-même. Bien que les attaques financières figurent parmi les attaques les plus complexes et les plus chères à organiser, elles figurent également parmi celles qui sont les plus rentables pour les cybercriminels car en cas de réussite, ils ont accès directement à l'argent des victimes. Tout ce qui leur reste à faire alors est de prendre l'argent et de le blanchir. L'auteur d'un programme malveillant ou l'opérateur d'un réseau de zombies pour attaques DDoS ou diffusions de messages non sollicités doit, quant à lui, trouver des acheteurs pour ses services.
  4. 4. Kaspersky Lab Cybermenaces financières en 2013 Kaspersky Lab compte plus de 16 ans d'expérience dans le développement de solutions de protection contre toutes les cyberattaques possibles et imaginables, y compris les attaques financières. Il est impossible de développer de telles technologies sans une analyse constante des nouveaux modèles de programmes malveillants, des astuces d'ingénierie sociale et des autres outils largement employés par les criminels qui élaborent ces escroqueries financières. Une des conclusions les plus évidentes que l'on peut tirer de ces analyses, c'est la multitude des moyens qui interviennent dans les attaques malveillantes financières, à la différence des nombreux autres types d'attaque : depuis les pages de phishing qui imitent les pages de sites Internet d'institutions financières licites jusqu'à l'exploitation de vulnérabilités dans des applications populaires ou la création sur commande de programmes malveillants. Vu la complexité des cyberattaques financières, l'analyse de leur influence sur le niveau de sécurité des internautes requiert une démarche structurée. C'est la raison pour laquelle dans le cadre de l'élaboration de ce rapport, les experts de Kaspersky Lab ont tenu compte non seulement des menaces sous Windows, mais également des menaces pour Mac OS X et Android ; de même, ils se sont intéressés aux programmes malveillants qui présentaient un potentiel pour voler des données financières en plus des programmes malveillants "spécialisés". Et ils ont étudié aussi bien la diffusion de chevaux de Troie dangereux que les attaques de phishing qui peuvent être très efficaces dans l'obtention des précieuses données financières. Kaspersky Lab est convaincue que cette méthode est la seule qui permette d'atteindre l'objectif de ce rapport : dresser un état des lieux le plus complet possible des cybermenaces qui planent sur les services financiers en ligne et tenter simultanément d'évaluer l'ampleur du danger que celles-ci représentent. Méthodologie du rapport Le présent rapport repose sur des données obtenues auprès des participants au Kaspersky Security Network, ce service international distribué dans le Cloud dont l'objectif est de réagir efficacement aux données relatives aux menaces rencontrées par les utilisateurs des produits de Kaspersky Lab. Kaspersky Security Network a été créé pour pouvoir fournir aux utilisateurs des produits de la société toutes les informations relatives aux menaces les plus récentes. Grâce à ce réseau, l'intervalle de temps entre la découverte d'une menace inconnue jusque là et l'ajout des signatures pour cette menace dans les bases se mesure en minutes. L'autre fonction de Kaspersky Security Network est le traitement des statistiques anonymes sur les menaces qui touchent les ordinateurs des utilisateurs. Les utilisateurs participent volontairement au Kaspersky Security Network. Les données obtenues auprès de ces utilisateurs ont été exploitées dans la réalisation du présent rapport. Dans le cadre de ce rapport, nous avons tenu compte des informations relatives au nombre de déclenchements des modules des produits de Kaspersky Lab qui assurent la protection contre le phishing (sous Microsoft Windows et Apple OS X), contre les applications malveillantes (sous Windows) et contre les applications malveillantes pour appareils mobiles (sous Google Android). De plus, les statistiques des utilisateurs attaqués ont également été prises en compte pour les sous-systèmes de protection des produits de Kaspersky Lab qui le permettaient. Le rapport fournit également une analyse de la géographie des attaques et de leur intensité.
  5. 5. Kaspersky Lab Cybermenaces financières en 2013 L'étude porte sur l'ensemble de l'année 2013 et les comparaisons ont été réalisées par rapport aux données récoltées en 2012. Les cibles employées dans les campagnes de phishing, le nombre de tentatives bloquées de chargement de pages factices de systèmes de paiement, de service de transactions bancaires par Internet, de magasins en ligne ou autres organisations à caractère financière font l'objet de l'étude. De plus, les experts de Kaspersky Lab ont choisi quelques dizaines d'exemplaires de programmes malveillants spécialement développés pour voler des données financières et ils ont analysé leur propagation sur l'ensemble de la période étudiée. Vu que l'année 2013 aura été marquée par la popularité de la cryptodevise Bitcoin, les experts de Kaspersky Lab ont traité à part les menaces liées à la génération et au vol de cette devise et ont suivi leur évolution. Principales conclusions D'après les données envoyées par les sous-systèmes de protection des produits de Kaspersky Lab, le nombre d'attaques à caractère financier, qu'il s'agisse de phishing ou d'attaques à l'aide d'un programme malveillant, ont considérablement augmenté en 2013. Voici les chiffres obtenus pour la période couverte par notre étude :  Le secteur financier aura été impliqué dans 31,45 % des attaques de phishing en 2013.  22,2 % de l'ensemble des attaques impliquaient de faux sites de banque ; par rapport à 2012, la part du phishing bancaire a doublé.  59,5 % des attaques de phishing bancaire exploitaient le nom de seulement 25 banques internationales. Les autres attaques visaient plus de 1 000 autres banques.  38,92 % de l'ensemble des déclenchements des technologies de protection de Kaspersky Lab sur des Mac ont été provoqués par des pages de phishing "financier". Plus loin dans ce rapport, nous aborderons en détail la dynamique des attaques ainsi que la liste des cibles et sa répartition géographique. Menaces de phishing Le phishing ou la création de copies factices de sites dans le but d'obtenir les données confidentielles des utilisateurs est une menace bien répandue. Cela tient pour beaucoup au fait que la mise en œuvre de la campagne de phishing la plus élémentaire ne requiert pas de connaissances spéciales en programmation de la part du cybercriminel. Il lui suffit de connaître les bases de la création de pages Web. L'objectif principal du phishing est de convaincre la victime qu'elle se trouve bien sur le site d'origine et non pas sur un site factice. Ces tentatives sont souvent couronnées de succès et c'est la raison pour laquelle les campagnes de phishing sont souvent utilisées aussi bien en tant qu'outil principal pour obtenir des informations importantes sur les utilisateurs, qu'en tant que partie d'une attaque complexe afin d'attirer la victime sur un site d'où un programme malveillant sera téléchargé.
  6. 6. Kaspersky Lab Cybermenaces financières en 2013 Dans le cadre de cette étude, nous avons pu confirmer que les pages de phishing sont très souvent utilisées dans le cadre de cyberattaques qui visent à voler les données financières des utilisateurs. Mais avant de passer à l'analyse détaillée de ces attaques, il convient de dresser le tableau général des menaces de phishing en 2013. Attaques et utilisateurs Les solutions de protection de Kaspersky Lab disposent de quatre sous-système de protection contre les attaques de phishing. Les bases anti-phising, à l'instar des bases des signatures des programmes malveillants, sont enregistrées sur les périphériques des utilisateurs et contiennent la liste des liens de phishing les plus répandus et les plus récents au moment de la publication de ces bases. Le deuxième sous-système est une base anti- phishing dans le Cloud consultée par les solutions de protection de Kaspersky Lab lorsque l'utilisateur rencontre un lien suspect dont les informations ne figurent pas encore dans la base anti-phishing locale. Cette base est actualisée plus vite que les bases locales et permet d'identifier les attaques de phishing les plus récentes. De plus, les produits de Kaspersky Lab intègrent deux systèmes automatiques de détection des liens et des pages de phishing : un système pour la messagerie et l'autre pour Internet. Le système de messagerie analyse les liens dans les messages électroniques de l'utilisateur si celui-ci utilise un des clients de messagerie répandus (Microsoft Outlook, etc.). Le système de détection automatique pour Internet analyse tout ce qui s'affiche dans le navigateur de l'utilisateur sur la base d'une sélection de règles heuristiques et il est en mesure d'identifier les toutes nouvelles pages de phishing qui ne figurent dans aucune des bases. Pour le présent rapport, Kaspersky Lab a utilisé les données fournies uniquement par le système de détection Internet car, en général, il se déclenche uniquement si les informations relatives à la nouvelle page de phishing ne figurent pas dans les bases de Kaspersky Lab et qui plus est, il est capable de déterminer la cible exploitée dans l'attaque de phishing, à la différence des bases locales et dans le Cloud. De plus, alors que les bases anti-phishing sont en mesure de déceler une attaque de phishing par la simple présence de liens dans le message ou dans les résultats de recherche de Google, le système automatique de détection Internet se déclenche lorsque l'utilisateur clique sur le lien, autrement dit lorsque la personne est déjà partiellement tombée dans le piège préparé par les individus malintentionnés.
  7. 7. Kaspersky Lab Cybermenaces financières en 2013 Part des détections par l'anti-phishing Internet sur l'ensemble des détections en 2013 D'après les données de Kaspersky Lab, près de 39,6 millions d'utilisateurs ont été confrontés à du phishing en 2013. Par rapport à 2012, il s'agit d'une légère augmentation de 2,32 %. Plus de 600 millions de notifications de confrontation à des liens ou des pages de phishing ont été émises par l'ensemble des sous-systèmes de protection contre le phishing de Kaspersky Lab. Ce chiffre est comparable à celui de 2012. Le nombre d'attaques bloquées par l'anti-phishing Internet heuristique a considérablement augmenté au cours de cette même période : il progresse en effet de 22,2 % et passe de 270 millions en 2012 à environ 330 millions en 2013. Ceci s'explique en partie par l'amélioration continue du système de détection heuristique. Géographie des attaques En 2013, la majorité des attaques de phishing bloquées par Kaspersky Lab a touché les Etats-Unis : les utilisateurs de ce pays ont été victimes de 30,8 % de l'ensemble des attaques. Viennent ensuite la Russie (11,2 %) et l'Allemagne (9,32 %).
  8. 8. Kaspersky Lab Cybermenaces financières en 2013 Pays les plus souvent attaqués en 2013 Les données fournies ici et après proviennent de Kaspersky Security Network Par rapport à 2012, le classement des pays le plus souvent attaqués a subi des modifications considérables. Par exemple, la part d'attaques contre les utilisateurs en Russie a reculé de 9,19 points de pour cent tandis que la part d'attaques contre les utilisateurs aux
  9. 9. Kaspersky Lab Cybermenaces financières en 2013 Etats-Unis a quant à elle considérablement augmenté, passant de 17,56 % en 2012 à 30,8 % en 2013. La part d'attaques contre les utilisateurs en Allemagne a également augmenté de 3,49 points de pour cent et est passée de 5,83 à 9,32 %. Il existe plusieurs explications pour cette répartition géographique des attaques. Nous avions déjà observé ce phénomène de réduction du nombre d'attaques dans certains pays et de son augmentation dans d'autres dans des rapports antérieurs. Le renforcement de la lutte contre la cybercriminalité, les procédures plus complexes d'enregistrement de noms de domaine, etc. peuvent entraîner une réduction du nombre d'attaques. L'augmentation peut quant à elle être provoquée par une croissance "naturelle" du nombre d'internautes et de ressources Internet distinctes : réseaux sociaux, magasins en ligne, etc. Plus la fréquence de consultation de pages Web dans un pays donné augmente, plus le risque d'exposition à des pages de phishing augmente également. Cibles Comme l'illustre le diagramme ci-dessous, la majorité des attaques en 2013 a exploité les réseaux sociaux :près de 35,4 %. Les cibles exploitées par le phishing financier tels que les copies de site de banques, de systèmes de paiement ou de magasins en ligne sont intervenues dans près de 31,45 % des attaques. Les systèmes de messagerie occupent la 3e place avec 23,3 %.
  10. 10. Kaspersky Lab Cybermenaces financières en 2013 Cibles exploitées par le phishing en 2013 On constate avec intérêt que la répartition des cibles en fonction du type a fortement changé par rapport à 2012. La part d'attaques impliquant des pages factices de réseaux sociaux a augmenté de 6,79 points de pour cent pour atteindre 35,39 %. La part d'attaques financières quant à elle a augmenté de 8,5 points de pour cent pour atteindre 31,45 %. De son côté, la
  11. 11. Kaspersky Lab Cybermenaces financières en 2013 part d'attaques impliquant des sites factices de services de messagerie s'est contractée de 10,5 points de pour cent pour atteindre 23,3 %. Les jeux en ligne sont passés de 3,14 % en 2012 à 2,33 % en 2013. Cibles exploitées par le phishing en 2012 et 2013 La tendance la plus remarquable observée entre 2012 et 2013, c'est l'augmentation de la part d'attaques financières, ce qui nous amène à réaliser une analyse plus détaillée de la dynamique de ces attaques.
  12. 12. Kaspersky Lab Cybermenaces financières en 2013 Attaques financières : une tendance inquiétante En 2012, sur 22,95 % des attaques de phishing visant tous les services financiers imaginables, 11,92 % impliquaient des faux sites de banques et de services de transactions bancaires par Internet ;5,66 %, des magasins en ligne et 5,37 %, des sites de systèmes de paiement. Phishing financier en 2012 En 2013 par contre, il y a eu de grands chamboulements dans la répartition des attaques au sein de la catégorie Finances en ligne. La part d'attaques de phishing impliquant des banques a presque doublé pour atteindre 22,2 % ; la part des magasins en ligne a légèrement augmenté et est passée de 5,66 à 6,51 % tandis que la part des systèmes de paiement a reculé de 2,63 points de pour cent. Une seule conclusion s'impose : les individus malintentionnés prêtent de plus en plus attention aux services bancaires en ligne. Il s'agit d'une des tendances les plus marquées dans le domaine des menaces de type phishing.
  13. 13. Kaspersky Lab Cybermenaces financières en 2013 Cibles exploitées par le phishing financier en 2013 La tendance se marque encore plus clairement si l'on examine le phishing financier à l'écart des autres catégories. Les fausses pages de banques ont provoqué en 2013 70,59 % de l'ensemble des déclenchements de l'anti-phishing Internet de Kaspersky Lab dans la catégorie Finances en ligne alors qu'un an auparavant, la part du phishing bancaire dans l'ensemble des menaces de phishing atteignait 51,95 %. La part des attaques contre les magasins en ligne a reculé de 24,66 % en 2012 à 20,71 % en 2013. La part des attaques contre les systèmes de paiement a chuté de 23,39 % à 8,7 %.
  14. 14. Kaspersky Lab Cybermenaces financières en 2013 Phishing financier uniquement, en 2012 Phishing financier uniquement, en 2013 Gros plan sur les cibles exploitées par le phishing financier Banques Bien que les bases anti-phishing de Kaspersky Lab contiennent plus de 1 000 noms de banques qui ont été utilisées par des criminels dans le cadre d'attaques ou qui pourraient l'être à l'avenir en raison de leur popularité, la majorité des attaques de phishing organisées à l'aide de fausses pages de banque n'a utilisé que 25 organisations actives dans le secteur bancaire. Ces 25 banques ont été exploitées dans près de 59,5 % de l'ensemble des attaques bancaires. Toutefois, il faut signaler que la majorité des noms repris dans cette liste appartient à de grandes banques internationales présentes dans des dizaines de pays à travers le monde. La diffusion et la reconnaissance d'une marque sont deux des principaux éléments utilisés par les individus malintentionnés qui élaborent les attaques de phishing. En effet, plus une marque est populaire, plus les criminels peuvent attirer facilement les victimes sur un faux site aux couleurs de cette marque.
  15. 15. Kaspersky Lab Cybermenaces financières en 2013 Attaques contre les banques en 2013 Systèmes de paiement A l'instar des attaques contre les banques, la reconnaissance de la marque joue également un rôle important dans la diffusion des attaques organisées en exploitant des systèmes de paiement. Près de 90 % des attaques de phishing impliquant ces derniers visaient une des cinq marques internationales suivantes : PayPal, American Express, MasterCard International, Visa ou Western Union.
  16. 16. Kaspersky Lab Cybermenaces financières en 2013 Attaques contre les systèmes de paiement en 2013
  17. 17. Kaspersky Lab Cybermenaces financières en 2013 Paypal, qui demeure le système de paiement préféré sur Internet, jouit d'une popularité stable auprès des individus malintentionnés. Cette marque est intervenue dans 44,12 % des attaques. Exemple d'attaque de phishing qui imite le site de PayPal La part d'attaques détournant American Express est considérable : 26,26 %. Les pages des systèmes de paiement MasterCard International et Visa Inc. sont plus rarement falsifiées par les individus malintentionnés. Elles n'interviennent respectivement que dans 11,63 et 6,36 % des attaques.
  18. 18. Kaspersky Lab Cybermenaces financières en 2013 Exemple d'attaque de phishing qui imite le site du système de paiement Visa Magasins en ligne Dans la catégorie « Magasins en ligne », les leaders au niveau du nombre d'attaques sont depuis plusieurs années déjà les pages et les liens de phishing qui évoquent le magasin en ligne Amazon.com (61,11 %). Exemple de fausse page du site d'Amazon visant des utilisateurs en Allemagne. Vu sa position dominante en tant que magasin en ligne proposant une très large sélection d'articles, Amazon est un nom connu de nombreux utilisateurs et c'est la raison pour laquelle les individus malintentionnés qui créent de fausses pages aiment s'en inspirer. Les attaques qui exploitent la renommée d'Apple atteignent un niveau non négligeable (12,89 %). En général, les individus malintentionnés tentent d'imiter un magasin en ligne de produits Apple, ainsi que l'App Store et iTunes Store.
  19. 19. Kaspersky Lab Cybermenaces financières en 2013 Attaques contre les magasins en ligne en 2013 Parmi les cibles traditionnelles exploitées dans les attaques, nous retrouvons également le site de ventes aux enchères eBay (12 %). Le magasin en ligne chinois Alibaba (4,34 %) est utilisé de plus en plus souvent dans des attaques. En 2013, il a été rejoint par Taobao (1,26 %), autre magasin en ligne chinois. Près de 3 % de l'ensemble des attaques exploitant des magasins en ligne reposaient sur MercadoLibre.com, un site de ventes aux enchères d'Amérique latine. Ce diagramme illustre le caractère international du phishing financier. Comme on peut le voir, les victimes de ces attaques peuvent être anglophones, mais elles peuvent également être de langue maternelle chinoise, espagnole, portugaise, etc.
  20. 20. Kaspersky Lab Cybermenaces financières en 2013 Analyse détaillée de la dynamique des attaques L'activité professionnelle et le marketing des entreprises dont le nom est utilisé par des individus malintentionnés dans les attaques de phishing exercent également une influence sur le nombre d'attaques. Cette tendance est visible dans l'exemple du diagramme des attaques qui ont exploité le nom d'Apple et ses produits. Attaques exploitant la marque Apple au 2e semestre 2013 Presque tout au long de l'année, la dynamique des déclenchements des technologies de protection de Kaspersky Lab contre les menaces qui exploitaient la marque de commerce Apple s'est caractérisée par des pics et des creux allant de 1 000 à 2 500 déclenchements par jour. Toutefois, comme le montre le diagramme ci-dessus, l'historique des attaques présentent deux pics remarquables qui correspondaient exactement à l'annonce de la sortie de l'iPhone 5s et 5c (10 septembre 2013) et à l'annonce de la sortie de l'iPad Air et de l'iPad Mini avec écran retina (22 octobre 2013). La logique dans ce cas est claire : les produits d'Apple sont toujours un sujet intéressant pour les actualités et les forums sur Internet. C'est encore plus vrai à la veille de l'annonce de nouveaux produits. L'utilisation de mots clés "très recherchés" est une méthode traditionnelle utilisée par les individus malintentionnés pour attirer un public vers de faux sites et le diagramme montre que cette technique fonctionne vraiment. Apple n'est pas l'unique cible exploitée par les auteurs d'attaques de phishing. Le nombre d'attaques impliquant son nom varie en fonction de l'activité marketing de la société. Outre les catastrophes naturelles et les grands événements internationaux dont la présentation dans les médias et les forums peuvent entraîner ce qu'on appelle le courrier indésirable et le phishing thématique, les campagnes marketing de grande ampleur d'une banque, d'un
  21. 21. Kaspersky Lab Cybermenaces financières en 2013 magasin en ligne ou de toute autre organisation financière ou commerciale peut être source de phishing. La conclusion que doivent tirer les banques, les systèmes de paiement et autres organisations financières qui organisent souvent des campagnes marketing sur Internet est simple : la campagne de publicité visant à décrocher de nouveaux clients doit s'accompagner d'une campagne d'informations des clients sur les cybermenaces potentielles. Phishing contre OS X : premiers signes d'une menace grandissante Le nombre d'attaques malveillantes contre les utilisateurs d'ordinateurs tournant sous OS X a toujours été plusieurs fois inférieur à celui des attaques menées contre les utilisateurs Windows. La raison en est bien simple : bien qu'Apple assure une promotion musclée de ces ordinateurs de bureau et portables Mac dans le monde entier, le nombre d'utilisateurs de ces périphériques n'est en rien comparable avec celui des utilisateurs d'ordinateurs sous Windows. Motivés par l'appât du plus grand revenu, les criminels accordent plus d'attention aux utilisateurs de Windows. Mais ceci n'est vrai que dans le contexte des programmes malveillants. Un individu malintentionné ne doit rien faire de spécial pour lancer une attaque de phishing contre un utilisateur de Mac car, s'il est vrai que les systèmes d'exploitation Windows et OS X possèdent des différences marquées qui empêchent la création d'un programme malveillant "universel" pour les deux plateformes, les utilisateurs de Windows et de Mac chargent les mêmes pages sur Internet et les menaces de phishing diffusées par ingénierie sociale sont toutes aussi nombreuses pour les utilisateurs de Mac que pour les utilisateurs de PC. Les résultats de l'étude de Kaspersky Lab ont confirmé ce fait. Toutefois, il convient de formuler une remarque importante : pour des raisons techniques, Kaspersky Lab n'a été en mesure de récolter des statistiques pertinentes chez les utilisateurs de Mac qu'à partir de novembre 2013. Toute les informations en rapport avec Mac reprises dans cette étude ont été récoltées entre novembre et décembre 2013. Et bien que la période couverte soit brève, les données obtenues permettent de se faire une idée de la situation sur le front des menaces contre les utilisateurs de la plateforme OS X et de mettre en évidence la différence par rapport à la situation "générale". En 2013, 7,8 % des déclenchements des technologies de protection de Kaspersky Lab se sont produit sur des solutions de la société pour la protection de Mac. Près de la moitié des attaques ont touché des utilisateurs aux Etats-Unis (47,55 %). 11,53 % des attaques ont été enregistrées en Allemagne et 5,47 %, en Grande-Bretagne. La Suède et l'Australie figurent également dans la liste des pays les plus attaqués.
  22. 22. Kaspersky Lab Cybermenaces financières en 2013 Pays les plus souvent attaqués : utilisateurs de Mac Les différences dans les répartitions des attaques par pays s'expliquent par la pénétration plus importante des ordinateurs d'Apple dans ces pays en question. Les Etats-Unis et les pays d'Europe ont toujours été les principaux marchés pour les produits d'Apple.
  23. 23. Kaspersky Lab Cybermenaces financières en 2013 Au cours de la période étudiée, près de 38,92 % de l'ensemble des déclenchements de l'anti-phishing Internet de Kaspersky Lab sur des Mac ont été provoqués par des pages de phishing "financier", soit près de 7;5 % de plus que la part "financière" dans le volume global d'attaques. La majorité des incidents, soit 29,86 %, impliquait l'accès des utilisateurs à de faux sites de banques tandis que les magasins en ligne et les sites de ventes aux enchères étaient impliqués dans 6;6 % des déclenchements. Les systèmes de paiement représentaient quant à eux 2,46 %. Phishing financier : Mac Les chiffres montrent que les propriétaires de Mac sont confrontés aux attaques de phishing aussi souvent que les utilisateurs de Windows et ils courent même plus de risque de devenir victime d'une attaque financière.
  24. 24. Kaspersky Lab Cybermenaces financières en 2013 C'est donc ainsi que les experts de Kaspersky Lab ont vu l'année 2013 du point de vue du phishing financier. Et bien que le phishing soit une menace assez répandue, il ne représente qu'une partie relativement modeste de l'écosystème global des cybermenaces financières lorsqu'on évoque la cybercriminalité financière. Dans ce domaine, le rôle principal revient aux programmes malveillants financiers capables d'obtenir, à l'insu de l'utilisateur, les informations d'accès aux comptes en ligne des victimes et de voler l'argent. La deuxième partie du rapport de Kaspersky Lab leur est consacrée.
  25. 25. Kaspersky Lab Cybermenaces financières en 2013 Cybermenaces financières en 2013. 2e partie : programmes malveillants
  26. 26. Kaspersky Lab Cybermenaces financières en 2013 Cybermenaces financières en 2013. 2e partie : programmes malveillants Principales conclusions .................................................................................................... 26 Programmes malveillants financiers ................................................................................. 26 Frontières des menaces : géographie des attaques et des utilisateurs attaqués........... 28 Connaître son ennemi : espèces de programmes malveillants financiers ..................... 33 Attaques de programmes malveillants bancaires.......................................................... 35 Bitcoin : argent de Monopoly ?...................................................................................... 39 Menaces bancaires pour les appareils nomades.............................................................. 44 Conclusion : protégez votre porte-monnaie numérique .................................................... 50 Pour les entreprises...................................................................................................... 50 Pour les particuliers et les utilisateurs de services de transactions bancaires par Internet ..................................................................................................................................... 50 Pour les détenteurs de cryptodevises ........................................................................... 51
  27. 27. Kaspersky Lab Cybermenaces financières en 2013 Principales conclusions D'après les données envoyées par les sous-systèmes de protection des produits de Kaspersky Lab, le nombre d'attaques à caractère financier, qu'il s'agisse de phishing ou d'attaques à l'aide d'un programme malveillant, ont considérablement augmenté en 2013. Voici les chiffres obtenus pour la période couverte par notre étude : Programmes malveillants pour PC  Le nombre de cyberattaques impliquant des programmes malveillants conçus pour voler des données financières a augmenté de 27,6 % en 2013 et a atteint le nombre de 28,4 millions. 3,8 millions d'individus ont été attaqués, soit une hausse de 18,6 % en un an.  La part d'utilisateurs confrontés à des attaques financières impliquant un programme malveillant a représenté en 2013 6,2 % de l'ensemble des utilisateurs attaqués. Par rapport à 2012, cet indice a augmenté de 1,3 point de pour cent.  Parmi les programmes malveillants à caractère financier, ce sont surtout les outils en rapport avec les Bitcoins qui se sont le plus développés. Toutefois, ce sont les programmes malveillants développés pour voler de l'argent sur les comptes en banque, comme le programme ZeuS par exemple, qui jouent toujours le rôle le plus important. Programmes malveillants pour appareils nomades  Le nombre de programmes malveillants sous Android destinés à voler les données financières repris dans les collections de Kaspersky Lab a été multiplié par 5 au cours du 2e semestre 2013. Il est en effet passé de 265 exemplaires en juin à 1 321 en décembre.  En 2013, les experts de Kaspersky Lab ont détecté pour la première fois des chevaux de Troie pour Android capables de voler de l'argent sur les comptes des utilisateurs attaqués. Programmes malveillants financiers Les programmes développés pour le vol d'argent électronique et d'informations financières figurent parmi les plus complexes. Ils permettent aux cybercriminels de convertir rapidement leurs efforts en argent et c'est la raison pour laquelle les individus malintentionnés investissent tous leurs moyens et leurs efforts dans la création de chevaux de Troie et de portes dérobées à orientation financière. D'après les observations des experts de Kaspersky Lab, les auteurs de programmes malveillants sont prêts à payer des dizaines de milliers de dollars pour obtenir les informations relatives aux nouvelles vulnérabilités dans le simple but de contourner les solutions de protection et de devancer les autres cybercriminels.
  28. 28. Kaspersky Lab Cybermenaces financières en 2013 En 2013, les solutions de Kaspersky Lab ont repoussé 28,4 millions d'attaques organisées à l'aide de programmes malveillants financiers, soit une augmentation de 27,6 % par rapport à l'année antérieure. Le nombre d'utilisateurs victimes de ces attaques a également augmenté de 18,6 % pour atteindre 3,8 millions de personnes. Cette étude tient compte des données relatives aux attaques organisées à l'aide de chevaux de Troie bancaires, d'enregistreurs de frappes, de programmes de vol de porte-monnaie électroniques de Bitcoin et de téléchargement de programmes de minage de cette devise virtuelle. La part des programmes de vol et d'escroquerie dans l'ensemble des attaques est relativement faible. Ils n'ont été impliqués que dans 0,44 % des attaques en 2013, soit une progression de 0,12 point de pour cent par rapport à l'année antérieure. Au niveau des utilisateurs, la part des cybermenaces financières est plus importante : parmi les personnes exposées à des attaques de programmes malveillants de tout type l'année dernière, 6,2 % ont été confronté à une forme ou l'autre de programmes financiers dangereux. Par rapport à 2012, cet indice a augmenté de 1,3 point de pour cent. Utilisateurs attaqués en 2013 En 2013, les programmes malveillants à caractère financier ont touché 6,2 % de l'ensemble des victimes de programmes malveillants. Il existe un faible rapport entre le nombre d'attaques et la quantité d'utilisateurs attaqués. Au cours de la période 2012-2013, le nombre mensuel d'attaques a changé d'une dizaine de pour cent. Au printemps 2012, ce nombre a enregistré une chute importante et n'a retrouvé
  29. 29. Kaspersky Lab Cybermenaces financières en 2013 son niveau antérieur qu'à l'automne 2012. Toutefois, le nombre d'utilisateurs attaqués n'a pas connu de variations aussi marquées et il a affiché chaque mois une dynamique positive. Programmes malveillants financiers : attaques et utilisateurs attaqués en 2012-2013 Le nombre d'utilisateurs attaqués par des programmes malveillants financiers a augmenté au cours de l'année 2013. La réduction du nombre d'attaques au printemps 2012 peut s'expliquer par l'arrêt de l'activité de quelques groupes de cybercriminels. De son côté, l'explosion des attaques au deuxième semestre 2013 peut s'expliquer par plusieurs facteurs : les individus malintentionnés ont découvert de nouvelles vulnérabilités dangereuses dans l'application Oracle Java, ce qui a permis d'augmenter le nombre d'attaques. De même, la hausse du cours du bitcoin vers la fin de l'année a activé les programmes qui volent le contenu des porte-monnaie électroniques de cette cryptodevise. Frontières des menaces : géographie des attaques et des utilisateurs attaqués Parmi les pays les plus exposés aux attaques de programmes malveillants financiers en 2012-2013, la Russie arrive en première position avec 37 % des attaques. Aucun autre pays ne dépasse pas la barre des dix pour cent au cours de la période étudiée.
  30. 30. Kaspersky Lab Cybermenaces financières en 2013 Pays les plus souvent attaqués en 2012-2013 Le Top 10 des pays concentrent environ 70 % de l'ensemble des attaques financières sur deux ans. La Russie domine également le classement de la croissance des attaques en un an. Toutefois, le nombre d'utilisateurs attaqués dans le pays au cours de l'année 2013 a quelque peu diminué, alors qu'on observe une hausse dans la majorité des autres pays du Top 10.
  31. 31. Kaspersky Lab Cybermenaces financières en 2013 Géographie des attaques menées à l'aide de programmes malveillants financiers Géographie des utilisateurs attaqués à l'aide de programmes malveillants financiers Le nombre d'utilisateurs attaqués à l'aide de programmes malveillants financiers au cours de l'année a augmenté dans 8 pays du Top 10 des pays les plus souvent attaqués
  32. 32. Kaspersky Lab Cybermenaces financières en 2013 Les utilisateurs en Russie courraient le plus grand risque de devenir les victimes d'attaques financières. En 2013, chaque utilisateur cible des cybercriminels financiers aura été attaqué en moyenne 14,5 fois. Parmi les habitants des Etats-Unis, cet indice dépassait à peine 8. Pays Nombre d'attaques organisées à l'aide de programmes malveillants financiers Dynamique sur un an Nombre d'attaques en moyenne par utilisateur Fédération de Russie 11 474 000+ 55,28 % 14,47 Turquie 899 000+ 156,41 % 9,22 États-Unis 1 529 000+ -22,76 % 8,08 Viet Nam 1 473 000+ 65,08 % 6,43 Kazakhstan 517 000+ -26,88 % 6,15 Italie 593 000+ -32,05 % 5,61 Inde 1 600 000+ 65,03 % 4,47 Ukraine 401 000+ -7,54 % 4,07 Allemagne 747 000+ -0,73 % 3,9 Brésil 553 000+ -21,02 % 3,87 Moyenne des attaques subies par chaque habitant du pays devenu la cible de programmes malveillants financiers en 2013 Parmi les pays qui mènent le classement des cyberattaques sous la forme de menaces financières, on retrouvait surtout la Turquie et le Brésil. La part des utilisateurs exposés à des attaques financières dans ces pays représentait respectivement 12 et 10,5 % du total des utilisateurs confrontés à des programmes malveillants en 2013. En Russie, cet indice a légèrement dépassé les 6 %, tandis qu'aux Etats-Unis seule une personne attaquée sur 30 était confrontée à une forme ou l'autre de cybermenace financière.
  33. 33. Kaspersky Lab Cybermenaces financières en 2013 Pays Utilisateurs attaqués par des programmes malveillants financiers Dynamique sur un an % des utilisateurs attaqués par n'importe quel type de programme malveillant Turquie 97 000+ 37,05% 12,01% Brésil 143 000+ 29,28% 10,48% Kazakhstan 84 000+ 5,11% 8,46% Italie 105 000+ 20,49% 8,39% Viet Nam 229 000+ 31,77% 7,4% Inde 358 000+ 59,1% 6,79% Fédération de Russie 792 000+ -4,99% 6,16% Ukraine 98 000+ 22,73% 6,08% Allemagne 191 000+ 43,22% 5,52% États-Unis 189 000+ 22,30% 3,1% Utilisateurs attaqués par des programmes malveillants financiers en 2013 et leur part parmi les habitants des pays confrontés à des programmes malveillants quelconque Si l'on place ces données sur une carte du monde, on voit que la part des attaques financière est relativement faible en Chine, aux Etats-Unis, au Canada et dans de nombreux pays européens. Les pays leaders selon cet indice sont répartis à travers le monde et on notera la présence de la Mongolie, du Cameroun, de la Turquie et du Pérou.
  34. 34. Kaspersky Lab Cybermenaces financières en 2013 Pourcentage des utilisateurs confrontés à des programmes malveillants financiers par rapport au total des utilisateurs attaqués par des programmes malveillants 2013 Connaître son ennemi : espèces de programmes malveillants financiers Pour comprendre quels étaient les programmes malveillants ciblant les actifs financiers des utilisateurs qui ont défini le paysage des menaces l'année dernière, les experts de Kaspersky Lab ont réparti les instruments des cybercriminels en différentes catégories. Dans le cadre de cette étude, plus de trente exemplaires de programmes malveillants parmi les plus connus utilisés dans le cadre d'attaques financières ont été sélectionnés. Cette sélection a ensuite été scindée en quatre groupes sur la base des fonctions des programmes et de leur cibles : banker, enregistreurs de frappes, outils pour le vol du contenu de porte-monnaie de bitcoins et installateur de programmes de minage de bitcoins. Le groupe banker est le plus nombreux. Il reprend les chevaux de Troie et les portes dérobées pour le vol d'argent depuis des comptes ou pour le vol des informations permettant de réaliser ces vols. Parmi les programmes malveillants de ce groupe, il y a Zbot, Carberp et SpyEye.
  35. 35. Kaspersky Lab Cybermenaces financières en 2013 Attaques à l'aide de programmes malveillants en 2013 Les représentants de la deuxième catégorie (enregistreurs de frappes) visent à voler les informations confidentielles, notamment les informations à caractère financier. Souvent, les chevaux de Troie bancaires offrent des fonctions similaires et la popularité des enregistreurs de frappe en tant qu'outil indépendant diminue. KeyLogger et Ardamax figurent parmi les programmes les plus populaires de cette catégorie. Les deux types restant de programmes malveillants sont en rapport avec la cryptodevise bitcoin, devenue ces derniers temps une proie de choix pour les escrocs financiers. Il peut s'agir de programmes qui volent le contenu des porte-monnaie de bitcoins ou de programmes qui installent des programmes de minage de bitcoins sur les ordinateurs infectés à l'insu de leur propriétaire. Le premier type reprend les programmes malveillants qui volent le fichier porte-monnaie contenant les informations relatives aux bitcoins qui appartiennent à l'utilisateur. Le deuxième type est un peu plus compliqué à classer : l'installation de programmes de minage de bitcoins peut être réalisée par presque n'importe quel type de programme malveillant
  36. 36. Kaspersky Lab Cybermenaces financières en 2013 capable de télécharger sur l'ordinateur de nouveaux programmes à l'insu de l'utilisateur. C'est la raison pour laquelle cette étude s'est intéressée uniquement aux exemplaires de programmes malveillants qui ont été remarqués à plusieurs reprises dans le téléchargement et l'exécution masquée d'outils de minage de bitcoins. Il faut reconnaître que cette séparation n'est pas vraiment précise. Par exemple, le même enregistreur de frappe peut être utilisé pour obtenir des informations financières et pour voler les données d'accès à des comptes de jeux en ligne. Mais en général, les programmes malveillants ont toujours une "spécialisation" qui détermine la nature de l'infraction commise, ce qui permet de les associer à un type en particulier de cybercrime, de nature financière dans ce cas ci. Attaques de programmes malveillants bancaires Parmi les menaces financières de 2013, les programmes de la catégorie banker ont joué un rôle de premier plan. Il s'agit de ces programmes malveillants développés pour voler l'argent sur les comptes des utilisateurs. Ils ont été impliqués dans 19 millions de cyberattaques en un an, ce qui représente deux tiers de l'ensemble des attaques financières organisées à l'aide de programmes malveillants.
  37. 37. Kaspersky Lab Cybermenaces financières en 2013 A la fin de l'année 2013, la part globale des utilisateurs attaqués chaque mois par des programmes de vol de bitcoins et de téléchargement de programmes de minage de bitcoins a presque atteint celle des programmes malveillants de type banker. Le programme malveillant de type banker le plus actif tant au niveau du nombre d'attaques qu'au niveau du nombre d'utilisateurs attaqués aura été le cheval de Troie Zbot (Zeus). Le nombre d'attaques imputables à ses modifications a plus que doublé en un an et le nombre d'utilisateurs qu'il a attaqué au cours de l'année dernière a dépassé les indices des autres programmes malveillants de type banker du Top 10 mis ensemble. Zbot, 2012-2013 En 2011, le code source de Zbot a été rendu public et il a été utilisé, et l'est encore, pour créer de nouvelles versions du programme malveillant, ce qui exerce un impact sur les statistiques des attaques. C'est également sur la base de Zbot que la plateforme Citadel a été développée. Il s'agit d'une des tentatives d'adaptation des principes des applications commerciales au milieu de la création de programmes malveillants. Les utilisateurs de Citadel pouvaient non seulement acheter le cheval de Troie, mais également l'assistance technique et les mises à jour qui permettaient de dissimuler le programme aux yeux des solutions antivirus. Les ressources Internet de Citadel abritaient également les échanges entre les pirates qui pouvaient donner des indices sur l'introduction de nouvelles fonctions. Au début du mois de juin 2013, la société Microsoft a annoncé avec le FBI que plusieurs réseaux de zombies importants de Citadel avaient été mis hors service, ce qui fut une
  38. 38. Kaspersky Lab Cybermenaces financières en 2013 victoire importante dans la lutte contre la cybercriminalité. Toutefois, les statistiques de Kaspersky Lab montrent que cet événement n'a pas vraiment eu d'impact sur la diffusion des programmes malveillants développés pour voler des données financières. La chute marquée dans le niveau d'attaques du cheval de Troie Qhost peut s'expliquer par l'arrestation de ses auteurs. Ils avaient volé près de 400 000 dollars sur les comptes de clients d'une grande banque russe en 2011. Les auteurs du programme malveillant furent jugés en 2012, mais cela n'a pas gêné la poursuite de la diffusion de la menace. La simplicité relative de la configuration et de l'utilisation de ce programme malveillant attire de nouveaux individus malintentionnés. Qhost, 2012-2013 La part d'attaques imputables au cheval de Troie Carberp a chuté au cours du premier semestre de l'année 2013 suite à l'arrestation au printemps des utilisateurs du cheval de Troie parmi lesquels se trouvaient également les créateurs présumés. Toutefois, Carberp a repris sa croissance en été, ce qui a permis à ce programme malveillant de terminer l'année 2013 au même niveau que l'année 2012. Ceci s'explique par la publication du code source du programme malveillant dans le domaine public qui a entraîné la création de nouvelles versions du cheval de Troie. Ceci étant dit, le nombre d'utilisateurs attaqués par des modifications de ce programme malveillant a chuté au cours de l'année.
  39. 39. Kaspersky Lab Cybermenaces financières en 2013 Carberp, 2012-2013 La tendance globale est évidente : après l'accalmie relative du deuxième semestre 2012, les escrocs à l'origine d'attaques impliquant des programmes malveillants financiers, se sont activés en 2013. Il suffit de voir l'augmentation du nombre d'attaques et d'utilisateurs attaqués.
  40. 40. Kaspersky Lab Cybermenaces financières en 2013 Nombre d'attaques impliquant des programmes malveillants de type bancaire, 2012-2013 * Trojan-Banker est un enregistrement universel dans les bases de données de Kaspersky Lab qui utilise des règles heuristiques pour détecter les programmes malveillants financiers Bitcoin : argent de Monopoly ? Le bitcoin est une cryptodevise qui n'est réglementée par aucun Etat et qui repose uniquement sur les personnes qui l'utilisent. Le lancement du réseau distribué qui permet le fonctionnement de Bitcoin remonte à 2009. Au début, cette devise était utilisée par des personnes proches du secteur des technologies de l'information, mais peu a peu sa popularité s'est agrandie. La popularisation de la devise a permis de l'utiliser comme mode de paiement sur certains sites importants spécialisés dans la vente d'articles illégaux. Ses sites étaient attirés par l'anonymat offert par les bitcoins. Version d'une présentation d'un porte-monnaie de bitcoins sur papier
  41. 41. Kaspersky Lab Cybermenaces financières en 2013 En théorie, toute personne qui le souhaite peut obtenir des bitcoins en utilisant la puissance de calcul de son ordinateur : c'est ce qu'on appelle le minage. Ce minage consiste à résoudre une série de tâches cryptographiques qui garantit le fonctionnement du réseau Bitcoin. Bon nombre des "fortunes" en bitcoins ont été amassées alors que la devise en était à ses débuts, quand elle n'était pas encore acceptée comme mode de paiement en liquide. Toutefois, au fur et à mesure que la cryptodevise a gagné en popularité, il est devenu de plus en plus difficile d'obtenir des bitcoins grâce à la puissance de l'ordinateur. Il s'agit là d'une des particularités du système au même titre que le volume fini des moyens financiers mis en circulation. A l'heure actuelle, la complexité des calculs est telle que le minage de bitcoins sur les ordinateurs traditionnels n'est plus rentables : le revenu potentiel couvre à peine les frais d'électricité. Au début de l'année 2013, le cours du bitcoin était fixé à 13,6 dollars et au mois de décembre, il atteignait son niveau historique à plus de 1 200 dollars Tout au long de l'année, le cours du bitcoin a connu une folle croissance et a dépassé 1 200 dollars à la fin du mois de décembre. Le cours a ensuite commencé à chuter, notamment en raison de la méfiance des banques centrales de plusieurs pays par rapport à cette devise. Ainsi, l'interdiction imposée par la Banque populaire de Chine sur les bourses de bitcoins a fait perdre à cette devise près d'un tiers de sa valeur. Parallèlement à cela, d'autres pays ont une attitude positive par rapport aux bitcoins. Ainsi, le ministère des Finances d'Allemagne a reconnu officiellement la cryptodevise comme mode de paiement tandis qu'il existe au Canada et aux Etats-Unis des distributeurs automatiques de billets qui permettent d'échanger des bitcoins.
  42. 42. Kaspersky Lab Cybermenaces financières en 2013 Bref, de phénomène "local" soutenu par quelques enthousiastes, le bitcoin est devenu en quelques années si pas une unité monétaire à part entière, du moins un bien virtuel qui a une valeur réelle et qui a connu une hausse marquée. Il va de soi que les individus malintentionnés ne pouvaient pas ne pas prêter attention à ce phénomène. A partir du moment où le bitcoin a commencé à être échangé sur des bourses Internet pour de l'argent réel et que de plus en plus de vendeurs ont commencé à accepter cette devise comme mode de paiement, les cybercriminels s'y sont de plus en plus intéressés. Les bitcoins sont conservés sur l'ordinateur dans un fichier porte-monnaie spécial (wallet.dat ou autre en fonction de l'application utilisée). Si ce fichier n'est pas crypté et qu'un individu malintentionné parvient à le voler, rien ne l'empêche de transférer le contenu du compte vers son propre porte-monnaie. Le réseau Bitcoin permet à n'importe lequel de ses participants de consulter l'historique des opérations réalisées par n'importe quel utilisateur. Autrement dit, il est possible d'identifier le porte-monnaie électronique dans lequel l'argent volé a été versé. Mais vu que le Bitcoin n'est réglementé par personne, il est inutile de penser à déposer une plainte pour vol. Outre le vol de Bitcoins, les cybercriminels peuvent utiliser les ordinateurs de leurs victimes pour le minage, à l'instar de ce qui se passe dans le cadre des diffusions de courrier indésirable ou d'autres activités malveillantes. Il existe également des programmes de chantage qui exigent un paiement en bitcoins pour décrypter les données de la victime. Le diagramme suivant illustre la dynamique des attaques impliquant des outils malveillants de vol de porte-monnaie de bitcoins ou des programmes malveillants à plusieurs fonctions spécialisés dans l'installation d'outils de minage. Il y a également déjà eu des cas de détection sur un ordinateur d'applications de minage de bitcoins : elles peuvent être installées par l'utilisateur ou à l'insu de ce dernier. Les solutions de Kaspersky Lab placent les applications de minage dans la catégorie RiskTool. Cela signifie que l'application en question contient une fonction qui présente un danger potentiel et l'utilisateur est prévenu.
  43. 43. Kaspersky Lab Cybermenaces financières en 2013 Comme on peut le voir sur le graphique, le nombre de déclenchements des produits de Kaspersky Lab provoqués par des programmes de vol de bitcoins et des applications de minage de bitcoins a commencé à augmenter au deuxième semestre 2012. La dynamique est devenue encore plus intéressante en 2013. Par exemple, un des pics de déclenchements des produits de Kaspersky Lab provoqué par des programmes malveillants liés aux bitcoins a été enregistré au mois d'avril. A cette époque, le cours du Bitcoin était supérieur à 230 dollars. Il est évident que la hausse du cours aurait pu inciter les individus malintentionnés à s'activer dans la diffusion de programmes malveillants conçus pour le vol et le minage de bitcoins. Mais en avril, le cours de la devise s'est effondré jusqu'à 83 dollars. Il s'est ensuite repris pour atteindre 149 dollars à la fin du mois d'avril et il s'est stabilisé en mai. De mai à août, le cours du Bitcoin s'est maintenu dans la fourchette des 90 à 100 dollars et en août, il est reparti à la hausse. L'activité des programmes malveillants a suivi de loin cette évolution, mais il n'est pas exclu que ce soit précisément la stabilisation du cours du bitcoin qui a entraîné un nouveau pic d'attaques en août. Une autre hausse marquée du nombre d'attaques aura été enregistrée en décembre. Au cours de ce mois, le cours du Bitcoin s'est d'abord effondré, passant de 1 000 à 584 dollars, puis il a connu une hausse sensible pour atteindre 804 dollars à la fin du mois.
  44. 44. Kaspersky Lab Cybermenaces financières en 2013 Le nombre de déclenchements des produits de Kaspersky Lab provoqués par des applications de minage de Bitcoin a également connu une augmentation stable depuis avril. Cette hausse s'est maintenue jusqu'au mois d'octobre et à partir de novembre, ce nombre de déclenchements a chuté. Sur l'ensemble de l'année 2013, le nombre de déclenchements des produits de Kaspersky Lab et le nombre d'utilisateurs confrontés à des programmes malveillants ou à des programmes malveillants potentiels liés aux bitcoins a augmenté plusieurs fois par rapport à 2012. Il est intéressant de constater qu'à partir d'octobre 2013, le nombre de déclenchements provoqués par des programmes malveillants qui installent des applications de minage de bitcoins a commencé à chuter tandis que le nombre de déclenchements provoqués par des programmes qui volaient les porte-monnaie a quant à lui augmenté. Ceci est peut-être du à une des caractéristiques de la devise citées ci-dessus : plus le nombre de "pièces" créées dans le système augmente, plus il devient difficile d'en créer. Cela a peut- être poussé les individus malintentionnés à concentrer leurs recherches sur le vol de porte- monnaie contenant déjà des bitcoins.
  45. 45. Kaspersky Lab Cybermenaces financières en 2013 Les programmes malveillants développés pour voler des informations financières figurent parmi les programmes malveillants les plus terribles. L'ampleur du danger augmente, notamment, à cause du volume imposant de victimes potentielles d'attaques organisées à l'aide de tels programmes : en réalité, presque tout détenteur d'une carte de crédit qui accède à Internet depuis un ordinateur à la protection médiocre peut devenir la victime des individus malintentionnés. Toutefois, les ordinateurs de bureau et les ordinateurs portables ne sont pas les seuls périphériques utilisés dans le cadre de la réalisation de transactions financières. Presque tout le monde possède un smartphone ou une tablette. Et pour les individus malintentionnés, ces périphériques constituent une voie d'accès supplémentaire aux services financiers des utilisateurs. Menaces bancaires pour les appareils nomades Les appareils nomades sont réstés pendant longtemps un territoire inexploré par les cybercriminels. Cela s'expliquait avant tout par le nombre réduit de fonctions des appareils nomades de première génération et par la complexité de la création d'applications pour ceux-ci. Mais l'émergence des smartphones et des tablettes, riches en fonction, dotés d'une connexion à Internet et pour lesquels des applications peuvent être mises au point à l'aide d'outils de développement accessibles au public, a complètement changé la situation. Cela fait quelques années que les experts de Kaspersky Lab enregistrent chaque année une augmentation du nombre de programmes malveillants visant les appareils nomades. Et principalement les appareils tournant sous Android. En 2013, Android est devenu la cible principale des attaques malveillantes. 98,1 % de l'ensemble des programmes malveillants pour appareils nomades détectés en 2013 étaient destinés à cette plateforme, ce qui témoigne à la fois de la popularité de ce système d'exploitation et de la vulnérabilité de son architecture.
  46. 46. Kaspersky Lab Cybermenaces financières en 2013 Programmes malveillants pour appareils nomades en 2013 Et la majorité des programmes malveillants pour appareils nomades vise à voler l'argent des utilisateurs. C'est le cas des chevaux de Troie SMS, de nombreuses portes dérobées et d'une partie des programmes malveillants de la catégorie Cheval de Troie. Une des tendances les plus dangereuses observées en 2013 dans le domaine des programmes malveillants pour appareils nomades fut l'augmentation du nombre de programmes développés pour voler les informations d'authentification des systèmes de transactions bancaires en ligne et pour voler l'argent.
  47. 47. Kaspersky Lab Cybermenaces financières en 2013 Nombre d'échantillons de programmes malveillants bancaires pour appareils nomades dans la collection de Kaspersky Lab en 2013 Le nombre de ces programmes malveillants a connu une croissance active à partir de juin et en décembre, on comptait plus de 1 300 exemplaires uniques. Au cours de la même période, le nombre d'attaques bloquées par les produits de Kaspersky Lab a commencé à augmenter également.
  48. 48. Kaspersky Lab Cybermenaces financières en 2013 Attaques organisées à l'aide de programmes malveillants bancaires pour appareils nomades au 2e semestre 2013 Les programmes malveillants pour appareils nomades qui visent les utilisateurs de système de transactions bancaires par Internet ne sont pas une nouveauté. Par exemple, ZitMo (le "frère" nomade du célèbre cheval de Troie bancaire Win 32 ZeuS) est connu depuis 2010, mais il n'était pas impliqué dans des attaques massives, notamment à cause de sa fonction spécifique : ZitMo pouvait fonctionner uniquement avec la version pour ordinateurs de bureau ZeuS. Le compère volait le nom d'utilisateur et le mot de passe d'accès au compte en ligne de la victime tandis que ZitMo interceptait les mots de passe à usage unique de confirmation des transactions dans le système de transactions bancaires par Internet et les transmettait aux individus malintentionnés qui utilisaient les données obtenues pour voler l'argent. Ce type d'escroquerie a été observé en 2013. A ce moment, les "petits frères" pour les appareils mobiles étaient devenus de véritables concurrents pour ZeuS : SpyEye (SpitMo) et Carberp (CitMo). Toutefois, ils n'ont pas été impliqués dans un nombre d'attaques significatif. Cela s'explique peut-être par l'existence sur le marché noir des cybermenaces de chevaux de Troie plus autonomes capables de fonctionner sans le partenaire pour ordinateurs de bureau. Svpeng est un exemple de ce genre de programme malveillant. Il a été découvert par les experts de Kaspersky Lab en juillet 2013. Ce cheval de Troie exploite les particularité de certains systèmes russes de transactions bancaires par appareil nomade qui lui permettent de voler l'argent sur le compte des victimes.
  49. 49. Kaspersky Lab Cybermenaces financières en 2013 En Russie, certaines grandes banques permettent à leurs clients d'alimenter leur compte de téléphonie mobile via transfert depuis leur carte bancaire. Pour ce faire, le client doit simplement envoyer depuis son smartphone un SMS contenant un texte spécial à un numéro dédié de la banque. Svpeng envoie des SMS aux services SMS de deux de ces banques. Le propriétaire de Svpeng peut ainsi voir si des cartes de ces banques sont associées au numéro du smartphone infecté et si c'est le cas, il pourra obtenir le solde du compte. Ensuite, l'individu malintentionné peut envoyer à Svpeng une commande de virement depuis le compte en banque vers le compte de téléphonie mobile de la victime. Interface de fausse autorisation de Svpeng Ensuite, il existe différentes méthodes pour transférer l'argent depuis le compte de téléphonie mobile comme le transfert vers un porte-monnaie électronique via l'espace personnel dans le système de l'opérateur de téléphonie mobile ou plus simplement en envoyant des messages à un numéro surtaxé. Svpeng possède également des fonctions de vol des informations d'authentification sur des systèmes de transactions bancaires par Internet. Voici deux autres exemples de chevaux de Troie de type banker dangereux détectés par les experts de Kaspersky Lab : Perkele et Wroba. Le premier ressemble à ZitMo. Sa principale fonction consiste à intercepter les mots de passe uniques de confirmation des transactions. Le deuxième, quant à lui, recherche sur l'appareil mobile les applications pour réaliser des transactions bancaires en ligne, les supprime et télécharge de fausses copies qui récoltent les informations d'identification et les envoient aux individus malintentionnés. La majorité des attaques réalisées à l'aide de chevaux de Troie de type banker en 2013 ont été enregistrées en Russie et dans les pays voisins par Kaspersky Lab. Toutefois, par exemple, Perkele a attaqué des clients non seulement de banques russes, mais également de banques européennes tandis que Wroba visait des utilisateurs en Corée du Sud.
  50. 50. Kaspersky Lab Cybermenaces financières en 2013 Répartition géographique des attaques menées à l'aide de programmes malveillants bancaires pour Android en 2013 En chiffres absolus, l'ampleur des attaques menées à l'aide de programmes malveillants financiers contre les utilisateurs d'appareils mobiles et décelées par les solutions de Kaspersky Lab est relativement faible pour l'instant, mais cela fait plus de 18 mois que l'on observe une tendance évidente à la hausse. Cela signifie que les utilisateurs d'appareils mobiles, principalement sous Android, doivent prêter très attention à la sécurité de leurs données financières. Les utilisateurs d'appareils tournant sous iOS doivent également rester vigilants. Bien qu'il n'existe pas encore de raz-de-marée de programmes destinés à voler les données confidentielles d'utilisateurs d'iPhone et d'iPad, des erreurs permettant de créer de tels programmes sont fréquemment détectées dans le système d'exploitation de ces périphériques. Un des exemples les plus récents ошибка,remonte à la fin du mois de février 2014 lorsque des chercheurs ont identifié une faille qui permettait d'identifier les caractères saisis par l'utilisateur à l'aide du clavier virtuel du périphérique. Grâce à cette vulnérabilité, un individu malintentionné pourrait voler, entre autres, le nom d'utilisateur et le mot de passe d'accès au système de transactions bancaires par Internet.
  51. 51. Kaspersky Lab Cybermenaces financières en 2013 Conclusion : protégez votre porte-monnaie numérique L'étude a clairement démontré que l'argent électronique des utilisateurs est exposé constamment à des menaces. Que l'utilisateur gère son compte en banque en ligne ou qu'il réalise des achats dans des magasins en ligne, les individus malintentionnés le suivent partout. Tous les types de menaces financières ont affiché une hausse sensible en 2013. La part des attaques de phishing impliquant des noms de banques a doublé tandis que le nombre d'attaques financières organisées à l'aide de programmes malveillants a augmenté d'un tiers. Le secteur des programmes malveillants financier n'a pas été marqué par l'apparition de "nouveautés" qui pourraient concurrencer Zbot et Qhost. Ces chevaux de Troie et d'autres biens connus ont été responsables de la majorité des attaques l'année dernière. Toutefois, les individus malintentionnés ont une fois de plus démontré la rapidité à laquelle ils réagissent au changement de conjoncture. La hausse accélérée du nombre d'attaques de vol de bitcoins qui avait débuté à la fin de l'année 2012 s'est poursuivie en 2013. Les experts de Kaspersky Lab ont formulé les recommandations suivantes pour renforcer la protection contre les menaces financières. Pour les entreprises  C'est aux entreprises qu'il incombe avant tout de garantir la sécurité des utilisateurs. Les sociétés financières doivent présenter à leurs clients les menaces posées par les cyberescrocs et fournir des conseils sur la manière d'éviter des pertes.  Les banques et les systèmes de paiement doivent offrir à leurs clients des systèmes de protection avancés contre les individus malintentionnés. La plateforme Kaspersky Fraud Prevention est un exemple de solution qui offre une protection à plusieurs niveaux contre les escrocs. Pour les particuliers et les utilisateurs de services de transactions bancaires par Internet  Les auteurs de programmes malveillants comptent souvent sur les vulnérabilités dans les applications les plus utilisées. C'est pourquoi il convient d'utiliser uniquement les versions les plus récentes des applications et d'installer les mises à jour des systèmes d'exploitation dès qu'elles sont disponibles.  Les règles universelles pour une utilisation sûr d'Internet contribuent également à la réduction du risque posé par les attaques financières. Les utilisateurs doivent choisir des mots de passe complexes, uniques pour chaque service. Ils doivent faire preuve de prudence au moment d'utiliser des réseaux Wi-Fi publics et éviter d'enregistrer des informations confidentielles dans le navigateur, etc.  Il est indispensable d'utiliser des logiciels fiables de protection contre les programmes malveillants dont l'efficacité a été confirmée par des tests indépendants. De plus, certaines solutions de protection comme Kaspersky Internet Security intègrent des
  52. 52. Kaspersky Lab Cybermenaces financières en 2013 outils qui permettent d'utiliser les services de transactions bancaires par Internet en toute sécurité.  Si vous accédez à votre service de transactions bancaires par Internet ou à un système de paiement depuis votre smartphone ou votre tablette ou si vous utilisez ces périphériques pour réaliser des achats en ligne, pensez à adopter une solution de protection fiable telle que Kaspersky Internet Security for Android qui offre des outils avancés de protection contre les programmes malveillants et le phishing et possède des fonctions utiles en cas de perte ou de vol de votre appareil. Pour les détenteurs de cryptodevises Dans la mesure où la devise bitcoin et autres phénomènes semblables comme Litecoin, Dogecoin et beaucoup d'autres sont encore jeunes, bon nombre d'utilisateurs ignorent les finesses de l'utilisation de ces systèmes et pour cette raison, les experts de Kaspersky Lab ont rédigé des conseils sur l'utilisation en toute sécurité des cryptodevises.  Evitez de conserver vos économies dans des services en ligne et préférez l'utilisation d'application spéciales qui remplissent le rôle de porte-monnaie.  Répartissez vos économies entre plusieurs porte-monnaie. Cela réduira le risque de toute perdre en cas d'attaque contre un de ces porte-monnaie.  Placez les porte-monnaie pour le stockage à long terme des cryptodevises sur des supports chiffrés. En guise d'alternative, sachez qu'il existe des porte-monnaie imprimés sur papier.

×