14.3.2013, Réd.
La signature par SMS est de plus en plus répandue sur les systèmes e-banking. Gare, car des programmes malveillants sont en circulation, préviennent les banques suisses et le MELANI.
La Centrale d’enregistrement et d’analyse pour la sûreté de l’information MELANI met en garde: une nouvelle vague d’attaques vise les sessions d’e-banking avec codes envoyés par SMS.
L’attaque se fait en deux temps: elle consiste tout d’abord à installer un logiciel malveillant sur l’ordinateur de l’utilisateur. Lorsque ce dernier s’identifie sur son compte e-banking, une fenêtre s’ouvre et lui intime d’installer un nouveau certificat de sécurité. Pour ce faire, on lui demande d’entrer son numéro de téléphone portable ainsi que la marque et le modèle de l’appareil.
S’il obtempère, l’utilisateur reçoit un SMS lui demandant d’installer le nouveau certificat sur son téléphone portable.
Seulement, en lieu et place du certificat, c’est un « maliciel » qui est installé, permettant aux criminels d’intercepter les SMS utilisés pour la signature des transactions et d’effectuer des transactions frauduleuses.
Si vous être confronté à une demande d’installation de certificat, ou à une autre demande du même tonneau lors d’une session e-banking, le MELANI recommander de réagir de la manière suivante :
- Interrompre immédiatement la session
- Se déconnecter (en cliquant sur log out/déconnexion)
- Prendre immédiatement contact avec sa banque
Le MELANI rappelle que les banques suisses ne demandent jamais à leurs clients d’installer de nouveaux éléments de sécurité par l’entremise d’un SMS ou d’une fenêtre pop-up apparaissant à l’écran.