Une campagne de fraudes sur les paiements par Boletos au Brésil entraîne des millions de dollars de pertes

MISE A JOUR – Des pirates s’en prennent au système de paiement brésilien Boleto, le deuxième mode de paiement le plus populaire du pays, et ils ont réalisé des centaines de milliers de transactions frauduleuses, même si les avis des chercheurs diffèrent sur la quantité d’argent volée.

Dénommés officiellement Boleto Bancario, les Boletos sont des documents financiers émis par les banques et qui peuvent être utilisés pour payer des services comme l’eau et l’électricité et dans des magasins. Les Boletos peuvent être soient imprimés et envoyés aux clients par courrier, soit générés et envoyés sous forme de virement électronique. Ils présentent tous un code-barre, un champ d’identification ou une représentation numérique du code-barre et un numéro d’identification.

Des chercheurs de RSA Security ont signalé hier la découverte d’une campagne malveillante de grande envergure et efficace qui dure depuis plus de deux ans et qui a perfectionné la fraude sur les Boletos, limitée jusqu’à présent à la création de faux documents de paiement hors ligne.

Les attaques du programme malveillant Boleto sont du type "homme dans le navigateur Internet" et elles exploitent des vulnérabilités dans Chrome, Firefox et Internet Explorer sous Windows. Ce programme malveillant renvoie les paiements par Boleto vers le compte en banque intermédiaire de l’attaquant.

"Vu qu’il s’agit d’un programme malveillant de type ‘homme dans le navigateur Internet’, l’ensemble des activités malveillantes est invisible pour la victime et l’application Web" explique RSA dans son rapport et ajoute qu’il existe 19 versions du programme malveillant.

RSA a déclaré qu’elle avait détecté 495 753 transactions Boleto frauduleuses depuis 2012 pour un montant total de 3,75 milliards de dollars américains. Toutefois, l’association des banques brésiliennes (FEBRABAN) estimait en 2012 que les pertes imputables à la fraude financière s’élevaient à 700 millions de dollars américaines, soit bien inférieures aux estimations de RSA.

"Le programme malveillant Boleto constitue une fraude d’envergure et représente une menace de cybercriminalité sérieuse pour les banques, les magasins et les clients des banques au Brésil" déclare RSA. "Bien que la structure de la fraude impliquant les Boletos soit plus modeste que certaines activités cybercriminelles internationales, elle n’en demeure pas moins très rentables pour ses créateurs".

Lors d’une transaction Boleto en ligne légitime, un magasin en ligne, par exemple, génère le Boleto et l’envoi au client. Le client peut alors choisir où il va l’utiliser une fois qu’il est affiché dans le navigateur. Si l’opération se passe sur un ordinateur infecté, les données du Boleto sont volées avec toutes les données du navigateur et envoyées au serveur de l’attaquant. L’attaquant modifie ensuite les données du Boleto afin d’envoyer les paiements vers son compte en banque intermédiaire et non pas à la banque.

Comme l’explique Fabio Assolini, chercheur principal en sécurité chez Kaspersky Lab : "Le programme malveillant utilise des techniques tirées d’autres chevaux de Troie célèbres comme SpyEye, l’injection de code HTML, MitB, etc. Mais ce n’est pas tout : Les attaques les plus récentes reposent sur des extensions malveillantes pour Firefox et Chrome (proposées dans le magasin officiel) et de faux sites Internet qui permettent d’émettre à nouveau un Boleto expiré ou de le recalculer."

RSA a déclaré que les clients peuvent difficilement détecter ce type de fraude car les champs d’identification ne sont pas associés à un bénéficiaire et les clients valident rarement ce type d’informations. Les banques quant à elles ne détectent pas la fraude directement car les transactions proviennent des ordinateurs des clients et les clients paient souvent à l’aide de Boletos.

RSA a annoncé que les identifiants des boletos frauduleux et les caractéristiques des attaques avaient été remis au FBI et à la police fédérale brésilienne.

"Alors que le programme malveillant Boleto et la manière dont il modifie les transactions Boleto sont difficiles à détecter, il semblerait que le problème touche uniquement les boletos générés ou payés en ligne via un ordinateur Windows infectés dotés d’un des trois navigateurs populaires" a déclaré RSA. "Les travaux de RSA n’ont pas mis en évidence des transactions frauduleuses impliquant les applications mobiles pour Boleto ou les porte-monnaie électroniques à débit direct autorisé".

Cet article a été actualisé le 4 juillet pour préciser que les chercheurs n’étaient pas d’accord sur les montants qui avaient été volés.

http://threatpost.com/brazilian-payment-fraud-campaign-steals-billions/106997

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *