Défis engendrés par la criminalité informatique pour le secteur financier Patrick Wynant et Nicole Dhaemer, Febelfin CRIDS B-CCENTRE - 21 juin 2013 Cybercriminalité Focus sur la collaboration entre la justice et les acteurs privés
ORDRE DU JOUR I. Statistiques II. La fraude évolue III. La sécurité, c'est l'affaire de tous IV. Sensibilisation multi-canaux V. Approche globale VI. Modus Operandi VII. Prévention Action Réaction VIII.Freins IX. Challenge X. Conclusions
La banque par internet de plus en plus populaire Nombre d abonnements (en mio) Nombre de sessions enregistrées (en mio) 9,0 8,0 7,0 6,0 5,0 4,0 3,0 2,0 1,0 0,0 1,8 2,4 3,0 3,8 4,6 5,7 6,6 7,4 8,1 2003 2004 2005 2006 2007 2008 2009 2010 2011 500 450 400 350 300 250 200 150 100 50 0 108 179 221 309 383 401 425 432 460 2003 2004 2005 2006 2007 2008 2009 2010 2011 La banque par internet, un moyen sûr, simple et rapide de réaliser ses opérations bancaires
Moins de 4 cas de fraude par million de sessions Nombre de fraudes 1200 1000 1003 800 600 473 400 200 0 3.000.000 21 48 37 3 1 2006 2007 2008 2009 2010 2011 2012 Q1 2013 Perte due à la fraude (en euro) 94 2.995.545 2.500.000 2.000.000 1.500.000 1.000.000 500.000 0 549.528 119.740 172.071 8.023 0 175.332 1.270.000 2006 2007 2008 2009 2010 2011 2012 Q1 2013 Brute Nette (après déduction des fonds récupérés)
La banque par internet Fraude - Comparaison Année Belgique (millions EUR) Pays-Bas (millions EUR) Royaume-Uni (millions GBP) 2007 0,5 (pas disponible) 23 2008 0,2 (pas disponible) 53 2009 0,008 1,9 60 2010 0 10 47 2011 0,2 35 35 2012 3 35 40
Deux techniques de fraude
Fraude via malware Malware = appellation générique qui désigne les logiciels malveillants qui ont un impact sur l utilisation normale des processus informatiques et qui, au cours d'une session de banque par internet, peuvent par exemple : faire apparaître un pop-up; (cf. communiqués de presse de Febelfin été 2011) faire apparaître une page factice. Bien protéger son ordinateur, par ex. via un scanner anti-virus à jour Ne pas donner suite aux scénarios "anormaux" En cas de doute, mettre un terme à l'opération et prendre contact avec la banque
Phishing (hameçonnage) 1.Courriel de la banque signalant que celle-ci installe de nouveaux logiciels de sécurisation et demandant de cliquer sur un lien 2.Faux site internet de la banque avec invitation à compléter les données suivantes : numéro de carte, date de naissance, code postal et numéro de téléphone 3.Contact téléphonique pris par les fraudeurs avec le client afin de lui faire effectuer des manipulations avec la carte et le lecteur de carte La banque n envoie jamais de courriel, ni ne téléphone pour obtenir des données personnelles et/ou le response code!
6 Belges sur 10 ne s'inquiètent guère de la protection de leur ordinateur C est ce qui ressort du Unisys Security Index, une enquête semestrielle réalisée au niveau international et portant sur divers aspects de sécurité, dont l e-security. Source : Unisys Security Index
Sécuriser les opérations en ligne? Pour plus de 6 Belges sur 10, c'est l'affaire des banques ou des pouvoirs publics 67% des Belges estiment que la protection de leurs données personnelles et la sécurité de leurs opérations en ligne est l affaire de leur banque ou des pouvoirs publics (Unisys Security Index). Source : Unisys Security Index
"La sécurité, c'est l'affaire de tous" Et de la banque Et du client
Sécurité, l'affaire de la banque Les banques belges prennent en permanence des mesures pour assurer aux opérations bancaires en ligne une sécurité optimale : Site internet sécurisé L'adresse commence par https Cadenas fermé en bas Accès personnel aux données bancaires Clé unique "two factor authentification" (something you have & something you know) Signature électronique Informations codées Les informations échangées entre l ordinateur du client et celui de la banque sont transmises sous forme codée. Interruption automatique de la session de banque par internet après quelques minutes d'inactivité Monitoring et updating continus des systèmes
Sécurité, l'affaire du client Quelques conseils de sécurité Bien protéger son ordinateur Sécurisez convenablement votre ordinateur (e.a. via un scanner antivirus à jour) Ne jamais communiquer son response code Ne donnez jamais suite à des appels téléphoniques ou des courriels de personnes vous demandant votre response code
Diffuser et répéter le message par différents canaux de communication
Vidéo sur YouTube Dave Septembre 2012 Bruxelles Gens dans la rue Emission télé Voyant
Vidéo sur YouTube Dave Septembre 2012
Ingénierie Sociale & Phishing Victime 1 st step 2 nd step Current Acc. Transfer from saving account(s) to current account Transfer(s) from victim account to BNPPF Mule Acc. Prepaid cards Online POS BE Banks Transfer(s) to mule account(s) Withdrawal on ATM with Bankcontact Payments on POS with Bankcontact Withdrawal on branches with ID Mule bis Self POS Branches Saving Acc. Non BE Banks Transfers on others BE banks BE Banks Transfers on non BE banks. Non BE Banks
Prévention Action - Réaction Sécurisation Accès Transactions Wysiwys (what you see is what you sign) M1 I (introduire/accéder) M2 S (sign) Lecteur de Carte - Digipass
Prévention Action - Réaction Sensibilisation des clients Campagne Banners - bannières Ecran obligatoire Message Self
Prévention Action - Réaction Sensibilisation des collaborateurs Know your Customer (KYC) règles Risques Procédures E learning
Prévention Action - Réaction Outil de détection de la fraude Démarche individuelle en Belgique Traitement des sites Web (urls) et disque durs Blocage des sites Traçage ( Forensic analysis) des disques durs Communication vers le client Intervention sur les comptes Mise en «read only» des ordinateurs «hackés» Blocage des comptes mules
Prévention Action - Réaction Démarches judiciaires Dépôt de plainte banque partie civile Dépôt de plaintes par nos clients victimes Démarches policières (FCCU) Transmission au cas par cas et au fil de l eau des: Adresses IP Disques durs (à la demande) Comptes mules Films Vidéos des selfs
Freins Moyens de paiement Loi Belge sur les Services de Paiement (PSD) STP (Straight Through Processing) récupération rendue plus difficile, voire impossible. Manque d homogénéité dans les moyens de paiement européens / internationaux Data privacy Pas de base de données centralisée des mules Ex NL Externe Verwijzings Applicatie (EVA) permet l échange d informations sur les fraudeurs Comptes «mule» Difficulté de stopper la relation client (4 mois de délais)
Freins Plaintes déposées par les victimes auprès des zones de police Approche varie suivant les zones Elaboration par certaines unités de PV très spécifiques avec demande des enregistrements vidéos En cas de tentative, aucun PV n est établi Répression des fraudeurs / des mules Pas d action répressive visible Quels sont les risques possibles pour ces fraudeurs? Ex: NL: action de condamnation immédiate et diffusion dans la presse Valeur des preuves digitales
Challenges Demande du client de nouveaux canaux de paiement client multi channel Vitesse de développement des nouveaux canaux bancaires plus rapide que le cadre légal belge, et que le cadre européen / international (inexistant) Conséquence, développement de nouveaux moyens de sécurisation, de solutions d authentification et de signature qui fonctionnent cross-channel (un seul moyen pour plusieurs canaux, mais aussi démarrer une transaction dans un canal et la signer dans un autre)
Agissons, réagissons ensemble!!!!! Entre banques et avec tous les autres acteurs
www.febelfin.be