Fraude : 500.000 euros volés à 190 clients web d'une banque européenne selon un éditeur d'antivirus

Le fournisseur de solutions de cyber-sécurité Kaspersky a publié hier un communiqué dans lequel il affirme détenir les preuves de l’existence d’une attaque informatique contre une « grande banque européenne ». Cette attaque a touché selon l’éditeur « plus de 190 victimes », principalement en Turquie et en Italie, en janvier dernier, pour des sommes allant de 1.700 à 39.000 euros par usager bancaire.

« The Luuuk », voici le nom donné à une « campagne malveillante » qui a visé les clients d’une « grande banque européenne » pendant plus d’une semaine en janvier 2014. Si l’identité de la banque en question n’a pas été dévoilée par Kaspersky, l’éditeur de solutions antivirus qui a communiqué sur cette opération hier, les 190 victimes estimées résident pour « la plupart » en Italie et en Turquie.

La méthode ? De prime abord, il s’agit d’un classique cheval de Troie, technique permettant de contourner le système de sécurité d’un ordinateur pour en récupérer des données voire en prendre le contrôle. Ainsi, les experts de Kaspersky pensent « que d’importantes données financières ont été interceptées automatiquement et que des transactions frauduleuses ont été exécutées dès que les victimes se sont connectées à leurs comptes bancaires en ligne ». Suite à quoi l’argent dérobé a été transféré vers des comptes spécialement créés pour l’opération, puis retirés à des distributeurs de billets.

Le mode opératoire de « The Luuuk » apparaît ensuite « assez inhabituel » selon l’éditeur. Trois groupes de malfaiteurs se sont partagés les transferts et retraits : l’un chargé de sommes de 40.000 à 50.000 euros, un autre de montants de 15.000 à 20.000 euros et un dernier de sommes moindres, de 2.000 euros maximum. « Nous savons que les membres de ces réseaux dupent souvent leurs complices et disparaissent avec l’argent retiré », précise Vicente Diaz, chercheur en sécurité au Kaspersky Lab. « Les instigateurs de The Luuuk peuvent donc se couvrir contre ce risque en constituant différents groupes plus ou moins fiables et en leur confiant des sommes plus ou moins élevées. »

Les traces de la fraude effacées en deux jours

Les sommes volées sur les comptes bancaires des 190 personnes concernées vont ainsi de 1.700 à 39.000 euros, pour plus de 500.000 euros au total. Détectée le 20 janvier, la fraude était en cours depuis plus d’une semaine. Vincent Diaz affirme que sa société a alors contacté la banque concernée et les pouvoirs publics. Deux jours plus tard, « toute trace qui aurait permis de remonter » jusqu’aux malfaiteurs avait été effacée.

Le serveur de commande et de contrôle ayant permis de mettre en place ce cheval de Troie a été fermé peu après l’enquête mais « le niveau de complexité de cette opération » fait dire à l’éditeur que les auteurs de cette attaque risquent de « continuer à rechercher de nouvelles victimes ».