Les entreprises qui ont des comptes dans les banques européennes devraient s'inquiéter de leur sécurité. L'été dernier a éclaté un nouveau schéma de fraude électronique, High Roller, qui a pillé des millions de comptes bancaires.
Le SEPA (Single Euro Payments Area) ou L'Espace unique de paiement en euros permet d'avoir des transactions trans-frontalières plus rapides et simplifiées entre banques européennes. L'affaire High Roller concernait des fraudeurs qui créaient des transferts de crédit SEPA via un système de transfert automatisé qui envoyait une demande de retrait au compte de la victime et créditait un compte mule. Deux banques allemandes ont été touchées.
En utilisant des "webinjects" frauduleux en charge JavaScript, les fraudeurs ont visé seulement une douzaine de clients en-ligne qui utilisaient le SEPA en option. Cette cible réduite rendait les attaques plus difficiles à détecter. Les fraudeurs ont tenté de transférer 61 000 € sur des comptes mule de l'une des banques ciblées. Certains comptes étaient créditeurs de plus de 50 000 €.
Selon le rapport de menaces McAfee (Q3 2012), les cybercriminels ont établi des attaques via un système de transfert automatisé. Les webinjects utilisés cachaient des transactions frauduleuses côté client tout en les pilotant côté serveur. Plus embêtant encore, cette attaque peut aussi passer outre l'authentification envoyée par SMS pour infecter de nouveaux appareils. Cela permet au serveur distant de s'authentifier sur une banque en-ligne et d'effectuer des transactions, comme précédemment avec les attaques High Roller. C'est une technique de fraude puissante qui devrait séduire de plus en plus de fraudeurs. Cette attaque collectera des informations telles que le numéro de téléphone et l'email et permettra au serveur de créer une session parallèle.
La victime ne verra pas la disparition de ses fonds de même qu'elle ne trouvera pas trace d'une transaction
Ces attaques autour du SEPA ne sont pas une surprise, car les criminels ont tendance à cibler toute méthode de paiement qui libère rapidement les fonds. Cela a été longtemps le cas des virements et récemment des règlements rapides au Royaume Uni. Les entreprises et les banques européennes doivent harmoniser leurs mesures de protection concernant les paiements SEPA comme elles l'ont fait pour les virements et les autres méthodes de règlement. Les bonnes pratiques sont toutes les mêmes lorsqu'il s'agit de se protéger contre les malware, permettre de revoir/approuver les grosses sommes ou de nouveaux bénéficiaires et surveiller les transactions pour identifier des paiements à hauts risques.
Ce nouveau risque pourrait entrainer les entreprises américaines qui possèdent des comptes dans des banques européennes à être tentées de solder leurs comptes. Cependant, il n'y a aucune raison pour que ces tentatives de fraudes autour du système SEPA change fondamentalement la façon de travailler des entreprises non européennes. Le SEPA possède de nombreux avantages qui l'emportent sur les risques de fraude. Cela étant dit, toutes les entreprises doivent évaluer la façon d'utiliser et de protéger toute nouvelle méthode de paiement pour atténuer les risques de fraude.