Les « boletos » brésiliens pris pour cible
Des chercheurs en sécurité ont mis au jour une opération cybercriminelle susceptible d’avoir porté atteinte à un grand nombre de micro-transactions brésiliennes, pour un montant cumulé avoisinant les 3,75 milliards de dollars.
Bien que le montant exact des pertes liées à cette opération soit inconnu, son ampleur pourrait être sans précédent. Selon EMC, division sécurité d’RSA, les fraudeurs se seraient concentrés sur une forme locale de « virements bancaires », les Boletos Bancários. Le terme « bolware » a été retenu pour référer aux programmes impliqués dans ces attaques et visant à détourner des transactions légitimes pour les rediriger vers des comptes de mules.
Ces bolware auraient été identifiés dès 2012, mais leur origine n’avait jusqu’à présent pas pu être tracée. Au cours des trois derniers mois, 19 variantes ont été étudiées. Selon de premières estimations d’EMC, plus de 192 000 victimes auraient été affectées, une trentaine de banques et plus de 495 000 boletos ciblés, pour un montant total de 3,75 milliards de dollars. Une enquête est en cours.
Dans ce cas, des postes Windows auraient été pris pour cibles : le malware se serait propagé via phishing et, une fois installé, aurait accédé aux navigateurs les plus répandus (IE, Firefox et Chrome), contourné les plug-in de sécurité proposés par les banques et modifié les boletos une fois complétés par les utilisateurs légitimes. Dans la foulée, les données de ces victimes auraient aussi été dérobées.
Notre Analyse : Une nouvelle menace qui fait recette
Ces nouvelles données jettent une ombre dont l’ampleur semble avoir longtemps été sous-estimée sur le tableau bancaire brésilien. La FEBRABAN (fédération bancaire brésilienne) conseille aux clients d’opter pour les paiements électroniques pour se prémunir contre ce « nouveau » type de fraude.
Selon la banque centrale brésilienne, plus de six milliards de boletos ont été émis en 2013. La FEBRABAN, estime que 95 % des pertes des banques locales seraient liées à la fraude ; en 2012, la fraude en ligne leur aurait coûté 1,4 milliard de dollars.