Étude de cas d'eurograbber : Comment 36 millions ont été dérobés grâce à des logiciels malveillants Décembre 2012 Par Eran Kalige Responsable du centre de sécurité Versafe Darrell Burkey Directeur des produits IPS Check Point Software Technologies [Protégé] Pour distribution publique
Page2 Table des matières I. Sommaire 3 II. Vue d'ensemble d'une attaque Eurograbber 4 III. Étapes détaillées d'une attaque Eurograbber 5 a. L'infection 5 b. Le détournement d argent 9 IV. Comment se protéger d'une attaque Eurograbber 10 a. Comment Check Point et Versafe protègent contre Eurograbber 10 b. Comment les solutions Versafe protègent contre Eurograbber 12 c. Comment les clients peuvent-ils protéger leurs ordinateurs 13 V. Conclusion 14 VI. À propos de Check Point Software Technologies Ltd. 14 VII. À propos de Versafe 15 VIII. Annexe A : Statistiques 16 IX. Annexe B : Détails sur la zone de stockage et le centre de commande et de contrôle des agresseurs 17
Page3 I. Sommaire Cette étude de cas porte sur une attaque sophistiquée, multi-dimensionnelle et ciblée, qui a réussi à détourner plus de 36 millions d'euros provenant de plus de 30 000 comptes de clients de plusieurs banques à travers toute l'europe. Les attaques ont été lancées en Italie, et peu de temps après, des dizaines de milliers de clients infectés ont été détectés en Allemagne, en Espagne et aux Pays Bas. Les clients des services bancaires en ligne ne savaient absolument pas qu'ils étaient infectés par des chevaux de Troie, que leurs sessions bancaires en ligne étaient compromises et que des fonds avaient été dérobés de leurs comptes. Une fois découverte, cette vague d'attaques a été nommée «Eurograbber» par Versafe et Check Point Software Technologies. L'attaque Eurograbber emploie une nouvelle variante très efficace du cheval de Troie ZITMO («Zeus-In-The-Mobile»). À ce jour, les attaques n'ont été constatées que dans les pays de la zone euro, mais une variante pourrait très bien affecter des banques de pays situés hors de l'union Européenne Les banques victimes ont été informées, et nous travaillons activement avec les autorités pour mettre un terme à toutes les attaques actuelles et futures. L'attaque en plusieurs étapes a infecté les ordinateurs et les appareils mobiles des clients des services bancaires en ligne, et une fois que le cheval de Troie Eurograbber a été installé sur les deux, les sessions des clients ont pu être complètement surveillées et manipulées par les agresseurs. Le mécanisme d'authentification à deux facteurs utilisé par les banques pour assurer la sécurité des transactions bancaires en ligne a été contourné lors de l'attaque, et même utilisé par les agresseurs pour authentifier leurs propres transferts illicites. Le cheval de Troie utilisé pour attaquer les appareils mobiles a été développé à la fois pour Blackberry et Android afin de maximiser le nombre de cibles. Il a ainsi pu infecter aussi bien des particuliers que des entreprises clients des services bancaires, et détourner des sommes allant de 500 à 250 000 euros par compte. Cette étude de cas dissèque l'attaque et fournit une description étape par étape du déroulement de l'attaque, de l'infection initiale au transfert de fonds. L'étude de cas précise également comment les clients peuvent se protéger contre l'attaque Eurograbber, et fournit des détails spécifiques sur les solutions Check Point et Versafe permettant de se prémunir contre ce type d'attaque.
Page4 II. Vue d'ensemble d'une attaque Eurograbber Les institutions financières ont récemment pris des mesures pour renforcer la sécurité des transactions en ligne. Auparavant, les clients des banques avaient seulement besoin de leur numéro de compte bancaire et de leur mot de passe pour accéder à leur compte en ligne. De toute évidence, cette authentification à un facteur est relativement facile à contourner, puisque les clients choisissent souvent des mots de passe simples et les égarent facilement, ce qui rend leur compte facilement accessible. Pour améliorer cette situation, les banques ont ajouté un second mécanisme d'authentification qui valide l'identité de l'utilisateur et l'intégrité de la transaction en ligne. Plus précisément, lorsqu un client d'une banque effectue une transaction bancaire en ligne, la banque envoie un code d'authentification de transaction (TAN) par SMS à son appareil mobile. Le client confirme et termine la transaction bancaire en entrant le TAN reçu dans l'écran de sa session bancaire en ligne. Comme nous le verrons, Eurograbber est précisément personnalisé pour contourner cette même authentification à deux facteurs. Les problèmes des clients commencent lorsqu'ils cliquent sur un «mauvais lien» qui télécharge un cheval de Troie personnalisé sur leur ordinateur. Cela peut se produire soit en naviguant sur Internet ou, plus vraisemblablement, en répondant à un message de phishing incitant les clients à cliquer sur des liens malveillants. Il s'agit de la première étape de l'attaque et lorsque les clients se connectent à leur compte bancaire, le cheval de Troie maintenant installé (des variantes personnalisées des chevaux de Troie Zeus, SpyEye et CarBerp) reconnaît la connexion et déclenche la phase suivante de l'attaque. C'est durant cette étape qu'eurograbber contourne l'authentification à deux facteurs de la banque. C'est un très bon exemple d'attaque sophistiquée et ciblée. Dès que les clients se connectent à leur compte bancaire en ligne après infection de leur ordinateur, Eurograbber injecte des instructions dans leur session leur demandant de saisir leur numéro de téléphone mobile. Ils sont alors invités à effectuer une «mise à niveau du logiciel de sécurité bancaire», en suivant les instructions envoyées à leur téléphone mobile via SMS. Le message SMS des agresseurs demande aux clients de cliquer sur un lien pour effectuer une «mise à jour de sécurité» sur leur téléphone mobile, mais, en cliquant sur le lien, c'est en fait une variante du cheval de Troie ZITMO qui est téléchargée. Cette variante est spécifiquement conçue pour intercepter les SMS envoyés par les banques contenant le code d'autorisation de transaction (TAN), qui est un élément clé du mécanisme d'autorisation à deux facteurs de la banque. Le cheval de Troie Eurograbber situé sur l'appareil mobile des clients intercepte les SMS et utilise le TAN pour autoriser silencieusement ses propres transactions et dérober l'argent des comptes des clients. L'attaque Eurograbber est entièrement silencieuse. Une fois la fausse «mise à niveau» terminée, les clients sont surveillés et contrôlés par les agresseurs. Les sessions ne dévoilent rien de l'activité illicite. Afin de faciliter une telle attaque complexe en plusieurs étapes, un serveur de commande et de contrôle a dû été créé. Cette infrastructure recevait, stockait et gérait les informations envoyées par les chevaux de Troie pour orchestrer les attaques. Les informations recueillies étaient stockées dans une base de données SQL pour une utilisation ultérieure pendant les attaques. Afin de ne pas être détectés, les agresseurs ont utilisé différents noms de domaine et serveurs, dont certains étaient des serveurs proxy pour compliquer les recherches. En cas de détection, les agresseurs pouvaient facilement et rapidement remplacer leur infrastructure pour assurer ainsi l'intégrité de leur infrastructure d'attaque, la continuité de leur activité et les flux d'argent illicite.
Page5 III. Étapes détaillées d'une attaque Eurograbber Figure 1 : Anatomie d'une attaque Cette section fournit une analyse détaillée, étape par étape, de l'attaque Eurograbber, avec des captures d'écran illustrant l'attaque. Les textes utilisés dans le cadre de l'attaque en langue étrangère sont traduits en français pour le présent document. A. L'infection Cette section décrit comment les agresseurs ont infecté les ordinateurs et les appareils mobiles des clients des banques. Étape 1 : L'ordinateur de bureau ou l'ordinateur portable d'un client est infecté à son insu par le cheval de Troie Zeus personnalisé lorsqu'il clique sur un lien malveillant dans un email de phishing ou de spam, ou pendant qu'il navigue sur le web. En cliquant sur ce lien, le cheval de Troie est silencieusement téléchargé sur l'ordinateur du client. Une fois installé, le cheval de Troie attend alors que le client se connecte à son compte bancaire en ligne. Étape 2 : Lorsque le client se connecte à son compte bancaire, le cheval de Troie Eurograbber intercepte sa session bancaire et y injecte du code javascript. Ce code malveillant informe le cleint qu'une «mise à niveau de la sécurité» est nécessaire et lui fournit les instructions correspondantes.
Page6 La victime est invitée à préciser son type d'appareil mobile et de système d'exploitation La victime est invitée à saisir son numéro de téléphone mobile Les paramètres injectés dans la pages web sont visibles dans le code ci-dessous : Type de téléphone mobile et système d'exploitation Étape 3 : Le cheval de Troie Eurograbber place alors les données recueillies dans la zone de stockage pour une utilisation ultérieure dans le cadre d'attaques : Étape 4 : La réception de ces données déclenche le processus d'envoi d'un message par SMS à l'appareil mobile du client. Le message invite le client à effectuer une mise à niveau de la sécurité en cliquant sur le lien joint, ce qui télécharge un fichier sur l'appareil mobile du client avec la version appropriée du cheval de Troie Eurograbber. Le code ci-dessous montre le lien sur lequel l utilisateur est invité à cliquer, son numéro de portable et la langue de l'application.
Page7 Localisation géographique du système d'envoi de SMS Numéro de téléphone du client Langue de l'application Le message SMS ci-dessous est envoyé en italien sur son mobile, l'enjoignant à cliquer sur le lien pour mettre à niveau le logiciel de sécurité de la banque en ligne. En cliquant sur ce lien, le cheval de Troie Eurograbber s'installe sur son portable. Usagers équipés d'android Usagers équipés de Blackberry Traduction : «Pour installer le logiciel de chiffrement gratuit sur mobile, veuillez utiliser ce lien» Étape 5 : En parallèle du message SMS envoyé, le message suivant apparaît sur son ordinateur de bureau, lui demandant de suivre les instructions contenues dans le message SMS afin de mettre à niveau le logiciel système et améliorer la sécurité. Une fois l'installation terminée, le client est invité à saisir un code de vérification d'installation dans la boîte de dialogue ci-dessous pour confirmer que le processus de mise à niveau s'est bien déroulé. Ce mécanisme est une preuve supplémentaire de la sophistication de l'attaque Eurograbber. Il indique aux agresseurs que l utilisateur est désormais sous contrôle de l'attaque Eurograbber. Le texte ci-dessous est traduit de l'italien :
Page8 Étape 6 : Une fois l'installation terminée, le texte suivant apparaît dans la langue du client confirmant la réussite de l'installation, et précise le code de vérification qu il doit saisir sur son ordinateur. Code de vérification Le message change en fonction de la langue de l'usager Étape 7 : Eurograbber termine le processus en affichant des messages sur son ordinateur, l'informant de la réussite de l'installation de la mise à niveau de la «sécurité», et qu'il peut poursuivre ses activités bancaires en ligne. Ci-dessous les extraits de code associés. «Votre téléphone mobile ne dispose pas de la protection supplémentaire nécessaire» Message d'erreur «L'application est correctement installée. Vous pouvez maintenant utiliser le site comme d'habitude.»
Page9 À ce stade, les agresseurs ont infecté à la fois l'ordinateur de bureau et le mobile, et sont en mesure de détourner toutes ses futures transactions bancaires en ligne. B. Le détournement d'argent Figure 2 : Cheminement de l'argent Une fois les chevaux de Troie Eurograbber installés sur l'ordinateur et le téléphone mobile, ils restent en sommeil jusqu'à ce que le client accède à son compte bancaire en ligne. Étape 1 : Un client d'une banque se connecte à son compte bancaire en ligne. Étape 2 : Immédiatement après la connexion, les cybercriminels activent le cheval de Troie Eurograbber pour effectuer un transfert d'argent d'un pourcentage prédéfini vers le compte d'une «mule» appartenant aux agresseurs.
Page10 Étape 3 : Dès la réception de la demande de transaction bancaire illicite, la banque envoie un code d'autorisation de transaction (TAN) par SMS sur le portable du client. Étape 4 : Le cheval de Troie mobile Eurograbber intercepte le message SMS contenant le TAN, masque le message, et le transmet à l'un des numéros de téléphone relais des agresseurs. Le SMS transite alors du téléphone relais à la zone de stockage du centre de commande et de contrôle, pour le stocker dans la base de données avec les autres données du client. Pour compliquer la traçabilité, le message SMS n'est pas directement transmis à la zone de stockage. Étape 5 : Le TAN est alors récupéré par le cheval de Troie de l'ordinateur qui l'envoie à son tour à la banque pour transférer de l'argent du compte client vers le compte d'une «mule» appartenant aux agresseurs. L'écran ne montre aucune trace de cette activité, qui se déroule silencieusement. À ce stade, de l'argent est retiré des comptes bancaires des clients à leur insu. Les cybercriminels récupèrent l'argent sur les comptes des mules. Ce processus se déroule chaque fois qu'un client se connecte à son compte bancaire. IV. Comment se protéger d'une attaque Eurograbber L'attaque Eurograbber cible les clients des services de banque en ligne et non les banques elles-mêmes. Pour mieux se protéger contre les attaques de type Eurograbber, les clients des services de banque en ligne doivent s'assurer qu'ils disposent de la protection la plus à jour dans deux domaines - le réseau qui leur fournit un accès Internet à leur banque et l'ordinateur qu'ils utilisent pour effectuer leurs opérations bancaires en ligne. Cette section explique comment les solutions Check Point et Versafe protègent les clients des services de banque en ligne contre Eurograbber, et enfin, comment les clients des services de banque en ligne peuvent mieux protéger leur ordinateur contre les attaques de type Eurograbber. A. Comment Check Point et Versafe protègent contre Eurograbber Une attaque Eurograbber peut être détectée et bloquée à différents points lors de son déroulement. Une approche de «sécurité en profondeur» fournit la protection la plus complète contre les attaques multi-étapes telles qu'eurograbber. Cette section montre comment les solutions Check Point peuvent fournir une sécurité en profondeur pour détecter et bloquer les attaques Eurograbber, de leur phase de pré-infection à leur phase de post-infection. 1. Phase de pré-infection Les applications malveillantes des agresseurs ont été postées sur différents sites web. Lorsque les clients accèdent à ces liens, le cheval de Troie Zeus personnalisé est silencieusement téléchargé sur leur ordinateur. http://blackberryapp.eu/********d.jad
Page11 https://tocco.mobi/***********/zertifikat.apk https://tocco.mobi/***********/zertifikat.jad https://tocco.mobi/***********/ http://androidversionf*******/sicurezza.apk http://blackberryapp********ificato.jad Blade Check Point Anti-Virus -- La blade Check Point Anti-Virus détecte les URL malveillantes et bloque les requêtes au niveau du réseau pour empêcher le logiciel malveillant d'infecter les ordinateurs des clients. Lorsque les clients tentent d'accéder à d'autres sites infectés, la blade Check Point Anti-Virus calcule la somme de contrôle MD5 de la réponse, reconnaît qu'elle est malveillante et bloque le téléchargement de l'application malveillante. Blade Check Point IPS -- La blade Check Point IPS utilise plusieurs signatures pour détecter le cheval de Troie Zeus lorsqu'il transite sur le réseau, et le bloque avant qu'il ne puisse être téléchargé et installé sur les ordinateurs des clients. Check Point Endpoint Security - Les fonctionnalités de sécurisation de postes Check Point Endpoint peuvent détecter, signaler et bloquer les variantes du cheval de Troie Zeus avant qu'il ne puisse être téléchargé et installé sur les ordinateurs des clients. Produits Check Point ZoneAlarm -- Les produits Check Point ZoneAlarm protègent les ordinateurs personnels des clients. Tous les produits ZoneAlarm qui intègrent un logiciel antivirus, tels que ZoneAlarm Free Antivirus + Firewall, peuvent détecter les variantes du cheval de Troie Zeus avant qu'il n'infecte les ordinateurs des clients. Plus précisément, ils détectent et bloquent le cheval de Troie Zeus/Eurograbber et avertissent les clients avant qu'il ne puisse être téléchargé et installé sur leur ordinateur. 2. Phase post-infection Dans les cas où les ordinateurs des clients sont déjà infectés, le cheval de Troie Zeus/Eurograbber tente de se connecter à son centre de commande et de contrôle pour continuer l'infection et transférer de l'argent depuis les comptes des clients. Blade Check Point Anti-Bot -- La blade Check Point Anti-Bot peut détecter les communications des bots et les bloquer en fonction de leur signature de communication. Dans ce cas, la blade Anti-Bot détecte et bloque les requêtes DNS vers les domaines ci-dessous lorsque que les bots tentent de résoudre leur adresse IP. La blade Anti-Bot détecte et bloque également le trafic vers les centres de commande et de contrôle en fonction de leur signature réseau. Domaines de stockage Eurograbber : https://fin*****ke.com http://itech*****er.com
Page12 https://to*****l.com https://sec*****.com Signatures réseau : Dow*****/zertifikat. script/*****hp/r*****e_zeus Check Point Threat Cloud -- Check Point Threat Cloud alimente en temps réel les blades des passerelles de sécurité en données et en signatures leur permettant d'identifier et de bloquer les attaques, et détecter les logiciels malveillants et les communications des bots, qui sont des éléments clés des attaques Eurograbber. Avec l'apparition de nouvelles variantes de Zeus et autres programmes malveillants, Threat Cloud maintient les passerelles Check Point à jour grâce aux tous derniers correctifs de sécurité pour assurer la protection la plus récente. Eurograbber est une attaque sophistiquée et très bien conçue, avec de multiples étapes pour les processus d'infection et d'attaque. Une stratégie de sécurité en profondeur est la meilleure approche pour détecter et bloquer ce type d'attaque. Un déploiement multi-couches de solutions Check Point sur les réseaux et les ordinateurs des clients permet une protection complète contre les attaques de type Eurograbber. B. Comment les solutions Versafe protègent contre Eurograbber Les technologies Versafe détectent et stoppent les fonctionnalités d'eurograbber en temps réel. Grâce à ses composants installés sur les sites web des banques, Versafe protège les clients qui se connectent aux sites, de manière transparente. Aucune intervention de la part des clients n'est requise, aucun téléchargement, pas de clic, pratiquement aucune action. Avec les solutions Versafe installées sur les sites web, les institutions financières peuvent protéger instantanément leurs clients contre Eurograbber, les chevaux de Troie et autres logiciels malveillants. Versafe protège tous les clients sur tous les navigateurs et tous les périphériques, y compris les PC, smartphones, tablettes, etc. Grande banque européenne : «Versafe a détecté et bloqué des transactions frauduleuses d'un montant total de 500 000 euros en deux jours. Il s'agissait des deux premiers jours après l'installation des composants Versafe. Retour sur investissement immédiat sur le pilote. C'est du jamais vu dans le domaine de la sécurité...» Versafe vhtml --- Le composant Versafe vhtml détecte les injections et les modifications dans les pages web que les clients voient en temps réel. Lorsque ces changements se produisent, vhtml est capable de signaler automatiquement le client infecté et fournir des détails à l'institution financière. Grâce à ces données, l'institution financière peut surveiller et bloquer les transactions ou le compte de la victime, pendant que Versafe s'occupe de bloquer la zone de stockage des agresseurs. Versafe vcrypt
Page13 --- Le composant Versafe vcrypt chiffre les données confidentielles envoyées par les clients aux serveurs des institutions financières, au niveau de l'application, soit de bout en bout des communications, pas seulement au niveau du réseau (niveau SSL). Lorsqu'il est implémenté sur les sites web des institutions financières, vcrypt stoppe les vols de données d'identification, bloquant ainsi les fonctionnalités d'eurograbber. Versafe vtoken --- Le composant Versafe vtoken est capable de détecter des actions automatiques sur les comptes des clients. Grâce à ses fonctionnalités, vtoken permet la détection en ligne de toute opération automatique sensée être effectuée manuellement. Les institutions financières peuvent bloquer les transactions en temps réel et éviter les pertes financières provoquées par Eurograbber. C. Comment les clients peuvent-ils protéger leurs ordinateurs Les clients des banques en ligne peuvent prendre deux mesures pour mieux protéger leurs ordinateurs contre les attaques de type Eurograbber. 1. Mises à jour régulières Les agresseurs tentent continuellement d'exploiter les failles de sécurité connues. Une mesure préventive essentielle consiste donc à mettre régulièrement à jour tous les ordinateurs utilisés pour effectuer des opérations bancaires en ligne. Cela garantit que les signatures de sécurité et les correctifs les plus récents des éditeurs sont appliqués pour assurer la protection la plus à jour possible. Voici les principaux éléments qui devraient être mis à jour régulièrement. Système d'exploitation Logiciel antivirus Java Adobe Flash Adobe Reader Navigateur Internet Tous les autres outils ou programmes utilisés pour télécharger des fichiers ou surfer sur le web Une des méthodes d'infection les plus courantes est le «téléchargement par navigation» par laquelle du code malveillant est silencieusement téléchargé sur l'ordinateur d'un internaute pendant qu'il surfe sur Internet. Il est très probable que certaines des victimes d'eurograbber ont d'abord été infectées par cette méthode. Maintenir les logiciels et les solutions de sécurité à jour sur votre ordinateur apporte la meilleure protection contre les techniques d'infection actuelles telles que les téléchargements par navigation. De plus, des analyses antivirus régulières peuvent alerter les clients des infections existantes afin qu'ils prennent des mesures correctives pour supprimer les logiciels malveillants. 2. Ne jamais répondre à des emails non sollicités L'ingénierie sociale est un élément essentiel d'une attaque. Les emails invitant les clients à «cliquer sur le lien pour améliorer la sécurité des services bancaires en ligne» est la clé qui ouvre la boîte de
Page14 Pandore et initie l'attaque. Les clients qui reconnaissent ces emails non sollicités, appelés emails de «phishing», et ne cliquent pas sur le lien qu'ils contiennent, ne seront pas infectés et l'attaque Eurograbber ne se produira pas. Il est très important de ne jamais répondre à des emails non sollicités de votre institution financière. Si le message vous inquiète, contactez directement votre établissement. Utilisez un autre point de contact que le numéro de téléphone fourni dans l'email. Informez votre établissement de l'email et suivez ses conseils. En tant que client, suivre les meilleures pratiques, c'est-à-dire maintenir le système d'exploitation, les applications et les solutions de sécurité à jour sur votre ordinateur, faire preuve de prudence avec les emails non sollicités et la navigation sur Internet, offre une excellente protection contre les infections. V. Conclusion Eurograbber est un très bon exemple d'attaque ciblée, sophistiquée et silencieuse. La menace des attaques sur mesure et ciblées telles qu'eurograbber est réelle et ne va pas disparaître. La communauté des cybercriminels est active et motivée pour créer des attaques toujours plus sophistiquées car les gains potentiels sont importants. Les entreprises et les particuliers doivent faire très attention et veiller à ce que leurs activités importantes en ligne, telles que les transactions bancaires, s'effectuent dans les environnements les plus sécurisés. Les clients doivent également rigoureusement s'assurer que l'ensemble de leurs ordinateurs de bureau, leurs ordinateurs portables et leurs tablettes, disposent de toutes les couches de sécurité possibles, et que leurs logiciels de sécurité sont à jour pour garantir la meilleure protection possible. Ils doivent s'assurer que leurs ordinateurs sont à jour et qu'ils effectuent leurs transactions bancaires en ligne dans les environnements les plus sécurisés. Un ordinateur disposant d'un système d'exploitation, d'applications et d'une protection à jour, combiné à un réseau protégé par plusieurs couches de sécurité, est la meilleure protection contre les attaques de type Eurograbber.
Page15 VI. À propos de Check Point Software Technologies Ltd. Check Point Software Technologies Ltd. (www.checkpoint.com), le leader mondial de la sécurité sur Internet, assure aux clients un niveau optimal de protection contre tous les types de menaces, simplifie l'installation et la maintenance des dispositifs de sécurité, et réduit leur coût total de possession. Précurseur de la technologie Firewall-1 et du standard de la sécurité des réseaux Stateful Inspection, Check Point est toujours à la pointe de la technologie. Check Point continue d'innover, notamment via l'architecture Software Blades, et propose aujourd'hui des solutions à la fois fiables, flexibles et simples d'utilisation, pouvant être totalement personnalisées pour répondre aux besoins spécifiques de chaque entreprise. Check Point est le seul éditeur qui transforme la sécurité en un véritable processus métier. Check Point 3D Security combine le facteur humain, la politique de sécurité et sa mise en application, pour une protection renforcée des données, et aide les entreprises à implémenter des plans de sécurité qui s'alignent avec leurs besoins. Check Point compte parmi ses clients toutes les sociétés figurant dans les listes Fortune 100 et Global 100, ainsi que des dizaines de milliers d'entreprises de toute taille. Maintes fois primées, les solutions ZoneAlarm de Check Point protègent les PC de millions de particuliers contre les pirates, les logiciels espions et les vols de données. CHECK POINT 5 Ha Solelim Street, Tel Aviv 67897, Israël Tél. : +972 3 753 4555 Fax : +972 3 624 1100 Email : info@checkpoint.com www.checkpoint.com VII. À propos de Versafe Versafe (www.versafe-login.com/) empêche les vols d'identité en ligne et les pertes financières en stoppant les attaques de phishing, de chevaux de Troie et de pharming. Versafe prend également des mesures pour déjouer la fraude en ligne et fermer les sites hébergeant des éléments enfreignant les droits de propriété intellectuelle. Versafe propose des produits et des services qui complètent les technologies anti-fraude existantes, améliorent le niveau de protection des utilisateurs contre les activités malveillantes citées ci-dessus, et fournissent de robustes mécanismes de défense. Les produits Versafe sont proposés sous forme de logiciels ou des services adaptés aux besoins de chaque client. Versafe donne aux institutions financières qui opèrent en ligne la possibilité de contrôler les zones qui étaient auparavant inaccessibles et indéfendables, et neutraliser les menaces locales situées sur les appareils de leurs clients, sans nécessiter l'installation de logiciels sur leurs appareils. La solution transparente n'altère pas l'expérience utilisateur, et peut être facilement implémentée sur les sites web des banques. Cette solution unique en son genre a prouvé son efficacité exceptionnelle à maintes reprises auprès de nombreuses institutions financières dans le monde entier, en les aidant à préserver leur image de marque et d'éviter des dommages économiques considérables. Versafe propose également des services professionnels et des études de pointe dans le domaine de la cybercriminalité, notamment au sujet des logiciels malveillants, des chevaux de Troie, des virus et des éléments enfreignant les droits de propriété intellectuelle, comme on peut le voir dans le présent rapport. VERSAFE Ltd Secure Login 11 Moshe Levi St. (UMI Building) Rishon Le Zion Israël Tél. : +972-3-9622655 Fax : +972-3-9511433 Email : info@versafe-login.com www.versafe-login.com
Page16 Annexe A : Statistiques Banques affectées par pays Italie, 16, 50% Allemagne, 6, 19% Espagne, 7, 22% Pays Bas, 3, 9% Italie, 11893, 39% Usagers affectés par pays Allemagne, 6130, 20% Espagne, 11352, 38% Pays Bas, 940, 3% Italie, 16,384,612 Allemagne, 12,862,109 Argent détourné par pays (en ) Espagne, 5,872,635 Pays Bas, 1,172,889
Page17 Annexe B : Détails sur la zone de stockage et le centre de commande et de contrôle des agresseurs Toutes les informations concernant les transactions, les données d'identification et les clients infectés sont gérées par les agresseurs via cette zone de stockage. Zones de stockage connues : https://fina****ke.com https://itec*****ter.com La zone de stockage et par extension l'infrastructure de stockage des agresseurs contient toutes les informations relatives à chaque client infecté, y compris leurs numéros de compte, données d'identification et mots de passe uniques pour chaque transaction. La capture d'écran ci-dessous illustre la zone de stockage des agresseurs indiquant les banques concernées, les appareils mobiles associés et les horaires des attaques.
Page18 Cela facilite l'accès à l'information pour déterminer les transactions effectuées. Les informations capturées par le cheval de Troie se trouvent dans la zone de stockage Nom d'utilisateur Mot de passe Numéro de téléphone mobile Type de système d'exploitation Adresse IP de la victime Date et heure de la connexion État de l'installation de ZITMO