Si la victime se trouve en suisse (le malware vérifie la géolocalisation IP) alors un proxy va intercepter toutes les connexions à ces banques :
.postfinance.ch, cs.directnet.com, akb.ch, ubs.com, tb.raiffeisendirect.ch, bkb.ch, lukb.ch, zkb.ch, onba.ch, gkb.ch, bekb.ch, zugerkb.ch, bcge.ch, raiffeisen.ch, credit-suisse.com, .clientis.ch, clientis.ch, bcvs.ch, .cic.ch, cic.ch, baloise.ch, ukb.ch, .ukb.ch, urkb.ch, .urkb.ch, eek.ch, szkb.ch, shkb.ch, glkb.ch, nkb.ch, owkb.ch, cash.ch, bcf.ch, ebanking.raiffeisen.ch, bcv.ch, juliusbaer.com, abs.ch, bcn.ch, blkb.ch, bcj.ch, zuercherlandbank.ch, valiant.ch, wir.ch, bankthalwil.ch, piguetgalland.ch, triba.ch, inlinea.ch, bernerlandbank.ch, bancasempione.ch, bsibank.com, corneronline.ch, vermoegenszentrum.ch, gobanking.ch, slbucheggberg.ch, slfrutigen.ch, hypobank.ch, regiobank.ch, rbm.ch, hbl.ch, ersparniskasse.ch, ekr.ch, sparkasse-dielsdorf.ch, eki.ch, bankgantrisch.ch, bbobank.ch, alpharheintalbank.ch, aekbank.ch, acrevis.ch, credinvest.ch, bancazarattini.ch, appkb.ch, arabbank.ch, apbank.ch, notenstein-laroche.ch, bankbiz.ch, bankleerau.ch, btv3banken.ch, dcbank.ch, bordier.com, banquethaler.com, bankzimmerberg.ch, bbva.ch, bankhaus-jungholz.ch, sparhafen.ch, banquecramer.ch, banqueduleman.ch, bcpconnect.com, bil.com, vontobel.com, pbgate.net, bnpparibas.com, ceanet.ch, ce-riviera.ch, cedc.ch, cmvsa.ch, ekaffoltern.ch, glarner-regionalbank.ch, cen.ch, cbhbank.com, coutts.com, cimbanque.net, cembra.ch, commerzbank.com, dominickco.ch, efginternational.com, exane.com, falconpb.com, gemeinschaftsbank.ch, frankfurter-bankgesellschaft.com, globalance-bank.com, ca-financements.ch, hsbcprivatebank.com, leihkasse-stammheim.ch, incorebank.ch, lienhardt.ch, mmwarburg.ch, maerki-baumann.ch, mirabaud.com, nordea.ch, pbihag.ch, rahnbodmer.ch, mybancaria.ch, reyl.com, saanenbank.ch, sebgroup.com, slguerbetal.ch, bankslm.ch, neuehelvetischebank.ch, slr.ch, slwynigen.ch, sparkasse.ch, umtb.ch, trafina.ch, ubp.com
Pour ensuite les rediriger sur un site identique à celui de sa banque, mais hébergé sur le darkweb et détenu par les hackeurs.
Une fois que l’utilisateur s’authentifie, toutes les informations (nom d’utilisateur, mot de passe, navigateur, configuration du système, etc.) sont envoyées aux hackeurs qui peuvent ensuite compromettre le compte bancaire.
Comment se protéger
Une bonne sécurité informatique doit couvrir une protection en profondeur afin de s’assurer que plusieurs niveaux de protection puissent bloquer l’attaque. Voici plusieurs points essentiels afin de pouvoir empêcher cette attaque de vous infecter :
Email
Nous recommandons d’utiliser un système de protection avancé pour votre email, avec une chambre à détonation pour les pièces jointes (VM d’ouverture), une whitelist pour les extensions, une validation stricte des en-têtes de l’email et un outil d’alerte pour les utilisateurs finaux en cas d’emails suspects.
La solution ZENMail par ZENData offre tous ces services et de nombreux d’autres
Anti-Malware
Nous recommandons d’utiliser un antivirus nouvelle génération qui peut bloquer des attaques encore inconnues basées sur de l’intelligence artificielle et analyse du comportement. Il est aussi important d’avoir un une plateforme de reporting & d’analyse afin d’avoir une visibilité sur les menaces et de pouvoir comprendre ce que les malwares tentent de faire.
La solution d’ Invincea représentée par ZENData répond à ces critères et est un des leader sur ce marché mondial.
Analyse des activités
Nous recommandons la mise en place d’un SIEM/SOC afin de pouvoir récupérer tous les événements passés sur une infrastructure (tel que l’installation de nouveaux certificats) et de pouvoir agir rapidement sur les incidents.
ZENData offre des services de SIEM & SOC avec une permanence d’analyse et des protocoles de réactions automatisés défini au cas par cas.
Formation des utilisateurs
Nous recommandons de former et d’éduquer les utilisateurs sur les risques, dangers et conséquences des cyber-attaques. Seulement avec une formation continue et adaptée, les utilisateurs pourront activement protéger votre société.
ZENData fournit des formations personnalisées en ligne, en salle de cours, sous format de stage et autour de petit déjeuner.
Finalement la NSA a sur son portail GitHub un outil open source pour vérifier les certificats d’origine.
ZENData reste à votre disposition pour contrôler et protéger votre infrastructure ainsi que de vous conseiller et former vos utilisateurs.
N’hésitez pas à nous contacter.
