Les Freebox cibles du malware Carberp

Le cheval de Troie Carberp s’attaquent aux Freebox pour voler les données bancaires des abonnés, nous alerte la société Trusteer.

Dans le monde virtuel, le succès ne va pas sans contrepartie, notamment en matière de sécurité. La société de sécurité Trusteer nous apprend qu’un malware cible actuellement les plus de 4,2 millions de Freebox installées. Plus connu pour ses exploits dans le monde de la finance et digne successeur de Zeux et SpyEye, Carberp est un cheval de Troie qui cherche à tromper la vigilance de l’abonné pour lui voler ses données bancaires.

Carberp s’appuie sur une attaque du type Man in the Browser. Selon Trusteer, quand l’abonné consulte son compte Free en ligne, il est dirigé vers une page similaire à celle de la console du fournisseur d’accès. Un message d’erreur indique alors un soi-disant problème de prélèvement mensuel et incite l’utilisateur à mettre à jour ses coordonnées bancaires, comme on peut le voir sur la capture ci-dessous.

Le faux formulaire invite alors l’utilisateur à entrer ses données bancaires : numéro de carte, date d’expiration, cryptogramme, etc., et même adresse de la banque. Bref, toutes les informations nécessaires à une utilisation frauduleuse ultérieure des plus discrète aux yeux de l’établissement bancaire et du détenteur du compte si celui-ci ne le surveille pas de près (surtout si ce sont des petits prélèvements qui sont effectués).

Trusteer ne précise pas comment Carberp « s’invite » sur la Freebox (à priori en exploitant une faille du navigateur depuis un courriel de phishing ou une page web développée à cet effet). Le prestataire en sécurité ignore également le nombre de victimes chez Free mais nous précise que « la taille du botnet est comprise entre 1000 à 1 000 000 [de machines], donc n’importe quel nombre entre les deux est une estimation raisonnable ». Quant aux autres boxes des opérateurs, « nous avons vu les attaques contre les autres fournisseurs de services mobiles mais je ne me souviens pas avoir vu l’encontre des fournisseurs de large bande », précise à Silicon.fr Amit Klein, directeur technique chez Trusteer.

Cette nouvelle tentative d’attaque montre l’importance du « marché » que les particuliers représentent aux yeux des cybercriminels (d’autant que, échaudés, les établissements financiers ont généralement renforcé leurs défenses, compliquant d’autant la pénétration de leur SI).

Même les utilisateurs les plus soucieux tombent dans le piège

« En attaquant les fournisseurs de services, plutôt que les banques elles-mêmes, les fraudeurs misent sur la confiance établie entre la victime et la marque, souligne Tanya Shafir, chercheuse chez Trusteer. Nous sommes pour la plupart d’entre nous extrêmement dépendants des fournisseurs d’accès à internet, que ce soit personnellement ou professionnellement. Face à l’importance que prend Internet dans nos activités quotidiennes, il n’est pas étonnant que même les utilisateurs les plus soucieux de leur sécurité deviennent victimes de ce type d’escroquerie. »

Conclusion, redoublons de vigilance face aux demandes d’informations bancaires en ligne et assurons-nous que notre navigateur dispose des dernières mises à jour de sécurité. En cas de doute, changez-en.

(Article mis à jour à 12h45)

Lire aussi : De Sasser à WannaCry, ces menaces qui ont marqué les RSSI