Etude Kaspersky Lab : Impact Phishing sur les finances

Cybermenaces financières en 2013.
1ère partie : phishing
Kaspersky Lab

Kaspersky Lab
Cybermenaces financières en 2013
_Toc383623429
Introduction : argent et risques dans le contexte de l'utilisation de plusieurs périphériques 2
Méthodologie du rapport ....................................................................................................3
Principales conclusions ......................................................................................................4
Menaces de phishing .........................................................................................................4
Attaques et utilisateurs....................................................................................................5
Géographie des attaques................................................................................................6
Cibles .............................................................................................................................8
Attaques financières : une tendance inquiétante........................................................... 11
Gros plan sur les cibles exploitées par le phishing financier ......................................... 13
Analyse détaillée de la dynamique des attaques........................................................... 19
Phishing contre OS X : premiers signes d'une menace grandissante ........................... 20

Kaspersky Lab
Introduction : argent et risques dans le
contexte de l'utilisation de plusieurs
périphériques
Les cybercriminels qui recherchent les méthodes pour dérober l'argent des utilisateurs de
magasin en ligne, de porte-monnaie électroniques ou de système de transactions bancaires
par Internet ne datent pas d'hier. Ceci étant dit, le domaine d'activités de ces escrocs avait
été limité pendant longtemps, principalement en raison de la diffusion relativement faible des
modes de paiement électroniques.
Ces dernières années, l'argent électronique a occupé une place de plus en plus importante.
Le confort d'utilisation et la disponibilité globale des systèmes de paiement électroniques et
des services de transactions bancaires par Internet attirent de nombreux utilisateurs et les
régulateurs du secteur financier ainsi que les banques de nombreux pays envisagent
sérieusement le retrait pur et simple de l'argent en liquide dans les économies nationales au
profit d'argent dématérialisé. Les statistiques tirées d'un sondage international réalisé par
l'agence B2B International en coopération avec Kaspersky Lab en 2013 confirme la
croissance de la popularité des paiements numériques : 98 % des personnes interrogées ont
affirmé qu'elles utilisaient régulièrement les services de transactions bancaires par Internet,
les porte-monnaie électroniques et les magasins en ligne.
La tendance à l'utilisation de modes de paiement dématérialisés s'accompagne d'une
augmentation du nombre de périphériques capables de réaliser des transactions financières.
D'après les données de l'enquête citées ci-dessus, les ordinateurs de bureau et les
ordinateurs portables demeurent les principaux "périphériques" qui interviennent dans
l'utilisation de services financiers. 87 % des participants ont affirmé qu'ils réalisaient les
opérations financières électroniques au départ de leur ordinateur de bureau ou de leur
ordinateur portable. Toutefois, la part de périphériques nomades utilisés aux mêmes fins
n'est pas négligeable elle non plus : les tablettes ou les smartphones étaient les
périphériques privilégiés de 22 et 27 % respectivement des participants pour la réalisation
d'opérations financières.
Les individus malintentionnés ont bien entendu observé ces tendances. La hausse
croissante du nombre d'utilisateurs de tous les systèmes possibles de paiement électronique
attire les criminels et ceux-ci investissent de plus en plus de ressources dans le
développement d'escroqueries qui leur permettent d'accéder d'abord aux données
financières des victimes, puis à l'argent en lui-même. Bien que les attaques financières
figurent parmi les attaques les plus complexes et les plus chères à organiser, elles figurent
également parmi celles qui sont les plus rentables pour les cybercriminels car en cas de
réussite, ils ont accès directement à l'argent des victimes. Tout ce qui leur reste à faire alors
est de prendre l'argent et de le blanchir. L'auteur d'un programme malveillant ou l'opérateur
d'un réseau de zombies pour attaques DDoS ou diffusions de messages non sollicités doit,
quant à lui, trouver des acheteurs pour ses services.

Kaspersky Lab
Kaspersky Lab compte plus de 16 ans d'expérience dans le développement de solutions de
protection contre toutes les cyberattaques possibles et imaginables, y compris les attaques
financières. Il est impossible de développer de telles technologies sans une analyse
constante des nouveaux modèles de programmes malveillants, des astuces d'ingénierie
sociale et des autres outils largement employés par les criminels qui élaborent ces
escroqueries financières. Une des conclusions les plus évidentes que l'on peut tirer de ces
analyses, c'est la multitude des moyens qui interviennent dans les attaques malveillantes
financières, à la différence des nombreux autres types d'attaque : depuis les pages de
phishing qui imitent les pages de sites Internet d'institutions financières licites jusqu'à
l'exploitation de vulnérabilités dans des applications populaires ou la création sur commande
de programmes malveillants.
Vu la complexité des cyberattaques financières, l'analyse de leur influence sur le niveau de
sécurité des internautes requiert une démarche structurée. C'est la raison pour laquelle dans
le cadre de l'élaboration de ce rapport, les experts de Kaspersky Lab ont tenu compte non
seulement des menaces sous Windows, mais également des menaces pour Mac OS X et
Android ; de même, ils se sont intéressés aux programmes malveillants qui présentaient un
potentiel pour voler des données financières en plus des programmes malveillants
"spécialisés". Et ils ont étudié aussi bien la diffusion de chevaux de Troie dangereux que les
attaques de phishing qui peuvent être très efficaces dans l'obtention des précieuses données
financières. Kaspersky Lab est convaincue que cette méthode est la seule qui permette
d'atteindre l'objectif de ce rapport : dresser un état des lieux le plus complet possible des
cybermenaces qui planent sur les services financiers en ligne et tenter simultanément
d'évaluer l'ampleur du danger que celles-ci représentent.
Méthodologie du rapport
Le présent rapport repose sur des données obtenues auprès des participants au Kaspersky
Security Network, ce service international distribué dans le Cloud dont l'objectif est de réagir
efficacement aux données relatives aux menaces rencontrées par les utilisateurs des
produits de Kaspersky Lab. Kaspersky Security Network a été créé pour pouvoir fournir aux
utilisateurs des produits de la société toutes les informations relatives aux menaces les plus
récentes. Grâce à ce réseau, l'intervalle de temps entre la découverte d'une menace
inconnue jusque là et l'ajout des signatures pour cette menace dans les bases se mesure en
minutes. L'autre fonction de Kaspersky Security Network est le traitement des statistiques
anonymes sur les menaces qui touchent les ordinateurs des utilisateurs. Les utilisateurs
participent volontairement au Kaspersky Security Network. Les données obtenues auprès de
ces utilisateurs ont été exploitées dans la réalisation du présent rapport.
Dans le cadre de ce rapport, nous avons tenu compte des informations relatives au nombre
de déclenchements des modules des produits de Kaspersky Lab qui assurent la protection
contre le phishing (sous Microsoft Windows et Apple OS X), contre les applications
malveillantes (sous Windows) et contre les applications malveillantes pour appareils mobiles
(sous Google Android). De plus, les statistiques des utilisateurs attaqués ont également été
prises en compte pour les sous-systèmes de protection des produits de Kaspersky Lab qui le
permettaient. Le rapport fournit également une analyse de la géographie des attaques et de
leur intensité.

Kaspersky Lab
L'étude porte sur l'ensemble de l'année 2013 et les comparaisons ont été réalisées par
rapport aux données récoltées en 2012. Les cibles employées dans les campagnes de
phishing, le nombre de tentatives bloquées de chargement de pages factices de systèmes
de paiement, de service de transactions bancaires par Internet, de magasins en ligne ou
autres organisations à caractère financière font l'objet de l'étude. De plus, les experts de
Kaspersky Lab ont choisi quelques dizaines d'exemplaires de programmes malveillants
spécialement développés pour voler des données financières et ils ont analysé leur
propagation sur l'ensemble de la période étudiée.
Vu que l'année 2013 aura été marquée par la popularité de la cryptodevise Bitcoin, les
experts de Kaspersky Lab ont traité à part les menaces liées à la génération et au vol de
cette devise et ont suivi leur évolution.
Principales conclusions
D'après les données envoyées par les sous-systèmes de protection des produits de
Kaspersky Lab, le nombre d'attaques à caractère financier, qu'il s'agisse de phishing ou
d'attaques à l'aide d'un programme malveillant, ont considérablement augmenté en 2013.
Voici les chiffres obtenus pour la période couverte par notre étude :
 Le secteur financier aura été impliqué dans 31,45 % des attaques de phishing en
2013.
 22,2 % de l'ensemble des attaques impliquaient de faux sites de banque ; par rapport
à 2012, la part du phishing bancaire a doublé.
 59,5 % des attaques de phishing bancaire exploitaient le nom de seulement 25
banques internationales. Les autres attaques visaient plus de 1 000 autres banques.
 38,92 % de l'ensemble des déclenchements des technologies de protection de
Kaspersky Lab sur des Mac ont été provoqués par des pages de phishing "financier".
Plus loin dans ce rapport, nous aborderons en détail la dynamique des attaques ainsi que la
liste des cibles et sa répartition géographique.
Menaces de phishing
Le phishing ou la création de copies factices de sites dans le but d'obtenir les données
confidentielles des utilisateurs est une menace bien répandue. Cela tient pour beaucoup au
fait que la mise en œuvre de la campagne de phishing la plus élémentaire ne requiert pas de
connaissances spéciales en programmation de la part du cybercriminel. Il lui suffit de
connaître les bases de la création de pages Web. L'objectif principal du phishing est de
convaincre la victime qu'elle se trouve bien sur le site d'origine et non pas sur un site factice.
Ces tentatives sont souvent couronnées de succès et c'est la raison pour laquelle les
campagnes de phishing sont souvent utilisées aussi bien en tant qu'outil principal pour
obtenir des informations importantes sur les utilisateurs, qu'en tant que partie d'une attaque
complexe afin d'attirer la victime sur un site d'où un programme malveillant sera téléchargé.

Kaspersky Lab
Dans le cadre de cette étude, nous avons pu confirmer que les pages de phishing sont très
souvent utilisées dans le cadre de cyberattaques qui visent à voler les données financières
des utilisateurs. Mais avant de passer à l'analyse détaillée de ces attaques, il convient de
dresser le tableau général des menaces de phishing en 2013.
Attaques et utilisateurs
Les solutions de protection de Kaspersky Lab disposent de quatre sous-système de
protection contre les attaques de phishing. Les bases anti-phising, à l'instar des bases des
signatures des programmes malveillants, sont enregistrées sur les périphériques des
utilisateurs et contiennent la liste des liens de phishing les plus répandus et les plus récents
au moment de la publication de ces bases. Le deuxième sous-système est une base anti-
phishing dans le Cloud consultée par les solutions de protection de Kaspersky Lab lorsque
l'utilisateur rencontre un lien suspect dont les informations ne figurent pas encore dans la
base anti-phishing locale. Cette base est actualisée plus vite que les bases locales et permet
d'identifier les attaques de phishing les plus récentes.
De plus, les produits de Kaspersky Lab intègrent deux systèmes automatiques de détection
des liens et des pages de phishing : un système pour la messagerie et l'autre pour Internet.
Le système de messagerie analyse les liens dans les messages électroniques de l'utilisateur
si celui-ci utilise un des clients de messagerie répandus (Microsoft Outlook, etc.). Le système
de détection automatique pour Internet analyse tout ce qui s'affiche dans le navigateur de
l'utilisateur sur la base d'une sélection de règles heuristiques et il est en mesure d'identifier
les toutes nouvelles pages de phishing qui ne figurent dans aucune des bases.
Pour le présent rapport, Kaspersky Lab a utilisé les données fournies uniquement par le
système de détection Internet car, en général, il se déclenche uniquement si les informations
relatives à la nouvelle page de phishing ne figurent pas dans les bases de Kaspersky Lab et
qui plus est, il est capable de déterminer la cible exploitée dans l'attaque de phishing, à la
différence des bases locales et dans le Cloud. De plus, alors que les bases anti-phishing
sont en mesure de déceler une attaque de phishing par la simple présence de liens dans le
message ou dans les résultats de recherche de Google, le système automatique de
détection Internet se déclenche lorsque l'utilisateur clique sur le lien, autrement dit lorsque la
personne est déjà partiellement tombée dans le piège préparé par les individus
malintentionnés.

Kaspersky Lab
Part des détections par l'anti-phishing Internet sur l'ensemble des détections en 2013
D'après les données de Kaspersky Lab, près de 39,6 millions d'utilisateurs ont été
confrontés à du phishing en 2013. Par rapport à 2012, il s'agit d'une légère augmentation de
2,32 %.
Plus de 600 millions de notifications de confrontation à des liens ou des pages de phishing
ont été émises par l'ensemble des sous-systèmes de protection contre le phishing de
Kaspersky Lab. Ce chiffre est comparable à celui de 2012. Le nombre d'attaques bloquées
par l'anti-phishing Internet heuristique a considérablement augmenté au cours de cette
même période : il progresse en effet de 22,2 % et passe de 270 millions en 2012 à environ
330 millions en 2013. Ceci s'explique en partie par l'amélioration continue du système de
détection heuristique.
Géographie des attaques
En 2013, la majorité des attaques de phishing bloquées par Kaspersky Lab a touché les
Etats-Unis : les utilisateurs de ce pays ont été victimes de 30,8 % de l'ensemble des
attaques. Viennent ensuite la Russie (11,2 %) et l'Allemagne (9,32 %).

Kaspersky Lab
Pays les plus souvent attaqués en 2013
Les données fournies ici et après proviennent de Kaspersky Security Network
Par rapport à 2012, le classement des pays le plus souvent attaqués a subi des
modifications considérables. Par exemple, la part d'attaques contre les utilisateurs en Russie
a reculé de 9,19 points de pour cent tandis que la part d'attaques contre les utilisateurs aux

Kaspersky Lab
Etats-Unis a quant à elle considérablement augmenté, passant de 17,56 % en 2012 à
30,8 % en 2013. La part d'attaques contre les utilisateurs en Allemagne a également
augmenté de 3,49 points de pour cent et est passée de 5,83 à 9,32 %.
Il existe plusieurs explications pour cette répartition géographique des attaques. Nous avions
déjà observé ce phénomène de réduction du nombre d'attaques dans certains pays et de
son augmentation dans d'autres dans des rapports antérieurs. Le renforcement de la lutte
contre la cybercriminalité, les procédures plus complexes d'enregistrement de noms de
domaine, etc. peuvent entraîner une réduction du nombre d'attaques. L'augmentation peut
quant à elle être provoquée par une croissance "naturelle" du nombre d'internautes et de
ressources Internet distinctes : réseaux sociaux, magasins en ligne, etc. Plus la fréquence
de consultation de pages Web dans un pays donné augmente, plus le risque d'exposition à
des pages de phishing augmente également.
Cibles
Comme l'illustre le diagramme ci-dessous, la majorité des attaques en 2013 a exploité les
réseaux sociaux :près de 35,4 %. Les cibles exploitées par le phishing financier tels que les
copies de site de banques, de systèmes de paiement ou de magasins en ligne sont
intervenues dans près de 31,45 % des attaques. Les systèmes de messagerie occupent la
3e place avec 23,3 %.

Kaspersky Lab
Cibles exploitées par le phishing en 2013
On constate avec intérêt que la répartition des cibles en fonction du type a fortement changé
par rapport à 2012. La part d'attaques impliquant des pages factices de réseaux sociaux a
augmenté de 6,79 points de pour cent pour atteindre 35,39 %. La part d'attaques financières
quant à elle a augmenté de 8,5 points de pour cent pour atteindre 31,45 %. De son côté, la

Kaspersky Lab
part d'attaques impliquant des sites factices de services de messagerie s'est contractée de
10,5 points de pour cent pour atteindre 23,3 %. Les jeux en ligne sont passés de 3,14 % en
2012 à 2,33 % en 2013.
Cibles exploitées par le phishing en 2012 et 2013
La tendance la plus remarquable observée entre 2012 et 2013, c'est l'augmentation de la
part d'attaques financières, ce qui nous amène à réaliser une analyse plus détaillée de la
dynamique de ces attaques.

Kaspersky Lab
Attaques financières : une tendance inquiétante
En 2012, sur 22,95 % des attaques de phishing visant tous les services financiers
imaginables, 11,92 % impliquaient des faux sites de banques et de services de transactions
bancaires par Internet ;5,66 %, des magasins en ligne et 5,37 %, des sites de systèmes de
paiement.
Phishing financier en 2012
En 2013 par contre, il y a eu de grands chamboulements dans la répartition des attaques au
sein de la catégorie Finances en ligne. La part d'attaques de phishing impliquant des
banques a presque doublé pour atteindre 22,2 % ; la part des magasins en ligne a
légèrement augmenté et est passée de 5,66 à 6,51 % tandis que la part des systèmes de
paiement a reculé de 2,63 points de pour cent. Une seule conclusion s'impose : les individus
malintentionnés prêtent de plus en plus attention aux services bancaires en ligne. Il s'agit
d'une des tendances les plus marquées dans le domaine des menaces de type phishing.

Kaspersky Lab
Cibles exploitées par le phishing financier en 2013
La tendance se marque encore plus clairement si l'on examine le phishing financier à l'écart
des autres catégories. Les fausses pages de banques ont provoqué en 2013 70,59 % de
l'ensemble des déclenchements de l'anti-phishing Internet de Kaspersky Lab dans la
catégorie Finances en ligne alors qu'un an auparavant, la part du phishing bancaire dans
l'ensemble des menaces de phishing atteignait 51,95 %.
La part des attaques contre les magasins en ligne a reculé de 24,66 % en 2012 à 20,71 %
en 2013. La part des attaques contre les systèmes de paiement a chuté de 23,39 % à 8,7 %.

Kaspersky Lab
Phishing financier uniquement, en 2012 Phishing financier uniquement,
en 2013
Gros plan sur les cibles exploitées par le phishing financier
Banques
Bien que les bases anti-phishing de Kaspersky Lab contiennent plus de 1 000 noms de
banques qui ont été utilisées par des criminels dans le cadre d'attaques ou qui pourraient
l'être à l'avenir en raison de leur popularité, la majorité des attaques de phishing organisées
à l'aide de fausses pages de banque n'a utilisé que 25 organisations actives dans le secteur
bancaire.
Ces 25 banques ont été exploitées dans près de 59,5 % de l'ensemble des attaques
bancaires. Toutefois, il faut signaler que la majorité des noms repris dans cette liste
appartient à de grandes banques internationales présentes dans des dizaines de pays à
travers le monde. La diffusion et la reconnaissance d'une marque sont deux des principaux
éléments utilisés par les individus malintentionnés qui élaborent les attaques de phishing. En
effet, plus une marque est populaire, plus les criminels peuvent attirer facilement les victimes
sur un faux site aux couleurs de cette marque.

Kaspersky Lab
Attaques contre les banques en 2013
Systèmes de paiement
A l'instar des attaques contre les banques, la reconnaissance de la marque joue également
un rôle important dans la diffusion des attaques organisées en exploitant des systèmes de
paiement. Près de 90 % des attaques de phishing impliquant ces derniers visaient une des
cinq marques internationales suivantes : PayPal, American Express, MasterCard
International, Visa ou Western Union.

Kaspersky Lab
Attaques contre les systèmes de paiement en 2013

Kaspersky Lab
Paypal, qui demeure le système de paiement préféré sur Internet, jouit d'une popularité
stable auprès des individus malintentionnés. Cette marque est intervenue dans 44,12 % des
attaques.
Exemple d'attaque de phishing qui imite le site de PayPal
La part d'attaques détournant American Express est considérable : 26,26 %. Les pages des
systèmes de paiement MasterCard International et Visa Inc. sont plus rarement falsifiées par
les individus malintentionnés. Elles n'interviennent respectivement que dans 11,63 et 6,36 %
des attaques.

Kaspersky Lab
Exemple d'attaque de phishing qui imite le site du système de paiement Visa
Magasins en ligne
Dans la catégorie « Magasins en ligne », les leaders au niveau du nombre d'attaques sont
depuis plusieurs années déjà les pages et les liens de phishing qui évoquent le magasin en
ligne Amazon.com (61,11 %).
Exemple de fausse page du site d'Amazon visant des utilisateurs en Allemagne.
Vu sa position dominante en tant que magasin en ligne proposant une très large sélection
d'articles, Amazon est un nom connu de nombreux utilisateurs et c'est la raison pour laquelle
les individus malintentionnés qui créent de fausses pages aiment s'en inspirer.
Les attaques qui exploitent la renommée d'Apple atteignent un niveau non négligeable
(12,89 %). En général, les individus malintentionnés tentent d'imiter un magasin en ligne de
produits Apple, ainsi que l'App Store et iTunes Store.

Kaspersky Lab
Attaques contre les magasins en ligne en 2013
Parmi les cibles traditionnelles exploitées dans les attaques, nous retrouvons également le
site de ventes aux enchères eBay (12 %). Le magasin en ligne chinois Alibaba (4,34 %) est
utilisé de plus en plus souvent dans des attaques. En 2013, il a été rejoint par Taobao
(1,26 %), autre magasin en ligne chinois. Près de 3 % de l'ensemble des attaques exploitant
des magasins en ligne reposaient sur MercadoLibre.com, un site de ventes aux enchères
d'Amérique latine. Ce diagramme illustre le caractère international du phishing financier.
Comme on peut le voir, les victimes de ces attaques peuvent être anglophones, mais elles
peuvent également être de langue maternelle chinoise, espagnole, portugaise, etc.

Kaspersky Lab
Analyse détaillée de la dynamique des attaques
L'activité professionnelle et le marketing des entreprises dont le nom est utilisé par des
individus malintentionnés dans les attaques de phishing exercent également une influence
sur le nombre d'attaques.
Cette tendance est visible dans l'exemple du diagramme des attaques qui ont exploité le
nom d'Apple et ses produits.
Attaques exploitant la marque Apple au 2e semestre 2013
Presque tout au long de l'année, la dynamique des déclenchements des technologies de
protection de Kaspersky Lab contre les menaces qui exploitaient la marque de commerce
Apple s'est caractérisée par des pics et des creux allant de 1 000 à 2 500 déclenchements
par jour. Toutefois, comme le montre le diagramme ci-dessus, l'historique des attaques
présentent deux pics remarquables qui correspondaient exactement à l'annonce de la sortie
de l'iPhone 5s et 5c (10 septembre 2013) et à l'annonce de la sortie de l'iPad Air et de l'iPad
Mini avec écran retina (22 octobre 2013).
La logique dans ce cas est claire : les produits d'Apple sont toujours un sujet intéressant
pour les actualités et les forums sur Internet. C'est encore plus vrai à la veille de l'annonce
de nouveaux produits. L'utilisation de mots clés "très recherchés" est une méthode
traditionnelle utilisée par les individus malintentionnés pour attirer un public vers de faux
sites et le diagramme montre que cette technique fonctionne vraiment.
Apple n'est pas l'unique cible exploitée par les auteurs d'attaques de phishing. Le nombre
d'attaques impliquant son nom varie en fonction de l'activité marketing de la société. Outre
les catastrophes naturelles et les grands événements internationaux dont la présentation
dans les médias et les forums peuvent entraîner ce qu'on appelle le courrier indésirable et le
phishing thématique, les campagnes marketing de grande ampleur d'une banque, d'un

Kaspersky Lab
magasin en ligne ou de toute autre organisation financière ou commerciale peut être source
de phishing.
La conclusion que doivent tirer les banques, les systèmes de paiement et autres
organisations financières qui organisent souvent des campagnes marketing sur Internet est
simple : la campagne de publicité visant à décrocher de nouveaux clients doit
s'accompagner d'une campagne d'informations des clients sur les cybermenaces
potentielles.
Phishing contre OS X : premiers signes d'une menace grandissante
Le nombre d'attaques malveillantes contre les utilisateurs d'ordinateurs tournant sous OS X
a toujours été plusieurs fois inférieur à celui des attaques menées contre les utilisateurs
Windows. La raison en est bien simple : bien qu'Apple assure une promotion musclée de ces
ordinateurs de bureau et portables Mac dans le monde entier, le nombre d'utilisateurs de ces
périphériques n'est en rien comparable avec celui des utilisateurs d'ordinateurs sous
Windows. Motivés par l'appât du plus grand revenu, les criminels accordent plus d'attention
aux utilisateurs de Windows. Mais ceci n'est vrai que dans le contexte des programmes
malveillants. Un individu malintentionné ne doit rien faire de spécial pour lancer une attaque
de phishing contre un utilisateur de Mac car, s'il est vrai que les systèmes d'exploitation
Windows et OS X possèdent des différences marquées qui empêchent la création d'un
programme malveillant "universel" pour les deux plateformes, les utilisateurs de Windows et
de Mac chargent les mêmes pages sur Internet et les menaces de phishing diffusées par
ingénierie sociale sont toutes aussi nombreuses pour les utilisateurs de Mac que pour les
utilisateurs de PC. Les résultats de l'étude de Kaspersky Lab ont confirmé ce fait.
Toutefois, il convient de formuler une remarque importante : pour des raisons techniques,
Kaspersky Lab n'a été en mesure de récolter des statistiques pertinentes chez les
utilisateurs de Mac qu'à partir de novembre 2013. Toute les informations en rapport avec
Mac reprises dans cette étude ont été récoltées entre novembre et décembre 2013. Et bien
que la période couverte soit brève, les données obtenues permettent de se faire une idée de
la situation sur le front des menaces contre les utilisateurs de la plateforme OS X et de
mettre en évidence la différence par rapport à la situation "générale".
En 2013, 7,8 % des déclenchements des technologies de protection de Kaspersky Lab se
sont produit sur des solutions de la société pour la protection de Mac. Près de la moitié des
attaques ont touché des utilisateurs aux Etats-Unis (47,55 %). 11,53 % des attaques ont été
enregistrées en Allemagne et 5,47 %, en Grande-Bretagne. La Suède et l'Australie figurent
également dans la liste des pays les plus attaqués.

Kaspersky Lab
Pays les plus souvent attaqués : utilisateurs de Mac
Les différences dans les répartitions des attaques par pays s'expliquent par la pénétration
plus importante des ordinateurs d'Apple dans ces pays en question. Les Etats-Unis et les
pays d'Europe ont toujours été les principaux marchés pour les produits d'Apple.

Kaspersky Lab
Au cours de la période étudiée, près de 38,92 % de l'ensemble des déclenchements de
l'anti-phishing Internet de Kaspersky Lab sur des Mac ont été provoqués par des pages de
phishing "financier", soit près de 7;5 % de plus que la part "financière" dans le volume global
d'attaques. La majorité des incidents, soit 29,86 %, impliquait l'accès des utilisateurs à de
faux sites de banques tandis que les magasins en ligne et les sites de ventes aux enchères
étaient impliqués dans 6;6 % des déclenchements. Les systèmes de paiement
représentaient quant à eux 2,46 %.
Phishing financier : Mac
Les chiffres montrent que les propriétaires de Mac sont confrontés aux attaques de phishing
aussi souvent que les utilisateurs de Windows et ils courent même plus de risque de devenir
victime d'une attaque financière.

Kaspersky Lab
C'est donc ainsi que les experts de Kaspersky Lab ont vu l'année 2013 du point de vue du
phishing financier. Et bien que le phishing soit une menace assez répandue, il ne représente
qu'une partie relativement modeste de l'écosystème global des cybermenaces financières
lorsqu'on évoque la cybercriminalité financière. Dans ce domaine, le rôle principal revient
aux programmes malveillants financiers capables d'obtenir, à l'insu de l'utilisateur, les
informations d'accès aux comptes en ligne des victimes et de voler l'argent. La deuxième
partie du rapport de Kaspersky Lab leur est consacrée.

Kaspersky Lab
Cybermenaces financières en 2013.
2e partie : programmes malveillants

Kaspersky Lab
Cybermenaces financières en 2013. 2e partie : programmes malveillants
Principales conclusions .................................................................................................... 26
Programmes malveillants financiers ................................................................................. 26
Frontières des menaces : géographie des attaques et des utilisateurs attaqués........... 28
Connaître son ennemi : espèces de programmes malveillants financiers ..................... 33
Attaques de programmes malveillants bancaires.......................................................... 35
Bitcoin : argent de Monopoly ?...................................................................................... 39
Menaces bancaires pour les appareils nomades.............................................................. 44
Conclusion : protégez votre porte-monnaie numérique .................................................... 50
Pour les entreprises...................................................................................................... 50
Pour les particuliers et les utilisateurs de services de transactions bancaires par Internet
..................................................................................................................................... 50
Pour les détenteurs de cryptodevises ........................................................................... 51

Kaspersky Lab
Principales conclusions
D'après les données envoyées par les sous-systèmes de protection des produits de
Kaspersky Lab, le nombre d'attaques à caractère financier, qu'il s'agisse de phishing ou
d'attaques à l'aide d'un programme malveillant, ont considérablement augmenté en 2013.
Voici les chiffres obtenus pour la période couverte par notre étude :
Programmes malveillants pour PC
 Le nombre de cyberattaques impliquant des programmes malveillants conçus pour
voler des données financières a augmenté de 27,6 % en 2013 et a atteint le nombre
de 28,4 millions. 3,8 millions d'individus ont été attaqués, soit une hausse de 18,6 %
en un an.
 La part d'utilisateurs confrontés à des attaques financières impliquant un programme
malveillant a représenté en 2013 6,2 % de l'ensemble des utilisateurs attaqués. Par
rapport à 2012, cet indice a augmenté de 1,3 point de pour cent.
 Parmi les programmes malveillants à caractère financier, ce sont surtout les outils en
rapport avec les Bitcoins qui se sont le plus développés. Toutefois, ce sont les
programmes malveillants développés pour voler de l'argent sur les comptes en
banque, comme le programme ZeuS par exemple, qui jouent toujours le rôle le plus
important.
Programmes malveillants pour appareils nomades
 Le nombre de programmes malveillants sous Android destinés à voler les données
financières repris dans les collections de Kaspersky Lab a été multiplié par 5 au
cours du 2e semestre 2013. Il est en effet passé de 265 exemplaires en juin à 1 321
en décembre.
 En 2013, les experts de Kaspersky Lab ont détecté pour la première fois des chevaux
de Troie pour Android capables de voler de l'argent sur les comptes des utilisateurs
attaqués.
Programmes malveillants financiers
Les programmes développés pour le vol d'argent électronique et d'informations financières
figurent parmi les plus complexes. Ils permettent aux cybercriminels de convertir rapidement
leurs efforts en argent et c'est la raison pour laquelle les individus malintentionnés
investissent tous leurs moyens et leurs efforts dans la création de chevaux de Troie et de
portes dérobées à orientation financière. D'après les observations des experts de Kaspersky
Lab, les auteurs de programmes malveillants sont prêts à payer des dizaines de milliers de
dollars pour obtenir les informations relatives aux nouvelles vulnérabilités dans le simple but
de contourner les solutions de protection et de devancer les autres cybercriminels.

Kaspersky Lab
En 2013, les solutions de Kaspersky Lab ont repoussé 28,4 millions d'attaques organisées à
l'aide de programmes malveillants financiers, soit une augmentation de 27,6 % par rapport à
l'année antérieure. Le nombre d'utilisateurs victimes de ces attaques a également augmenté
de 18,6 % pour atteindre 3,8 millions de personnes. Cette étude tient compte des données
relatives aux attaques organisées à l'aide de chevaux de Troie bancaires, d'enregistreurs de
frappes, de programmes de vol de porte-monnaie électroniques de Bitcoin et de
téléchargement de programmes de minage de cette devise virtuelle.
La part des programmes de vol et d'escroquerie dans l'ensemble des attaques est
relativement faible. Ils n'ont été impliqués que dans 0,44 % des attaques en 2013, soit une
progression de 0,12 point de pour cent par rapport à l'année antérieure. Au niveau des
utilisateurs, la part des cybermenaces financières est plus importante : parmi les personnes
exposées à des attaques de programmes malveillants de tout type l'année dernière, 6,2 %
ont été confronté à une forme ou l'autre de programmes financiers dangereux. Par rapport à
2012, cet indice a augmenté de 1,3 point de pour cent.
Utilisateurs attaqués en 2013
En 2013, les programmes malveillants à caractère financier ont touché 6,2 % de l'ensemble des victimes de programmes
malveillants.
Il existe un faible rapport entre le nombre d'attaques et la quantité d'utilisateurs attaqués. Au
cours de la période 2012-2013, le nombre mensuel d'attaques a changé d'une dizaine de
pour cent. Au printemps 2012, ce nombre a enregistré une chute importante et n'a retrouvé

Kaspersky Lab
son niveau antérieur qu'à l'automne 2012. Toutefois, le nombre d'utilisateurs attaqués n'a
pas connu de variations aussi marquées et il a affiché chaque mois une dynamique positive.
Programmes malveillants financiers : attaques et utilisateurs attaqués en 2012-2013
Le nombre d'utilisateurs attaqués par des programmes malveillants financiers a augmenté au cours de l'année 2013.
La réduction du nombre d'attaques au printemps 2012 peut s'expliquer par l'arrêt de l'activité
de quelques groupes de cybercriminels. De son côté, l'explosion des attaques au deuxième
semestre 2013 peut s'expliquer par plusieurs facteurs : les individus malintentionnés ont
découvert de nouvelles vulnérabilités dangereuses dans l'application Oracle Java, ce qui a
permis d'augmenter le nombre d'attaques. De même, la hausse du cours du bitcoin vers la
fin de l'année a activé les programmes qui volent le contenu des porte-monnaie
électroniques de cette cryptodevise.
Frontières des menaces : géographie des attaques et des utilisateurs attaqués
Parmi les pays les plus exposés aux attaques de programmes malveillants financiers en
2012-2013, la Russie arrive en première position avec 37 % des attaques. Aucun autre pays
ne dépasse pas la barre des dix pour cent au cours de la période étudiée.

Kaspersky Lab
Pays les plus souvent attaqués en 2012-2013
Le Top 10 des pays concentrent environ 70 % de l'ensemble des attaques financières sur deux ans.
La Russie domine également le classement de la croissance des attaques en un an.
Toutefois, le nombre d'utilisateurs attaqués dans le pays au cours de l'année 2013 a quelque
peu diminué, alors qu'on observe une hausse dans la majorité des autres pays du Top 10.

Kaspersky Lab
Géographie des attaques menées à l'aide de programmes malveillants financiers
Géographie des utilisateurs attaqués à l'aide de programmes malveillants financiers
Le nombre d'utilisateurs attaqués à l'aide de programmes malveillants financiers au cours de l'année a augmenté dans 8 pays
du Top 10 des pays les plus souvent attaqués

Kaspersky Lab
Les utilisateurs en Russie courraient le plus grand risque de devenir les victimes d'attaques
financières. En 2013, chaque utilisateur cible des cybercriminels financiers aura été attaqué
en moyenne 14,5 fois. Parmi les habitants des Etats-Unis, cet indice dépassait à peine 8.
Pays
Nombre
d'attaques
organisées à
l'aide de
programmes
malveillants
financiers
Dynamique
sur un an
Nombre
d'attaques
en moyenne
par
utilisateur
Fédération de
Russie
11 474 000+ 55,28 % 14,47
Turquie 899 000+ 156,41 % 9,22
États-Unis 1 529 000+ -22,76 % 8,08
Viet Nam 1 473 000+ 65,08 % 6,43
Kazakhstan 517 000+ -26,88 % 6,15
Italie 593 000+ -32,05 % 5,61
Inde 1 600 000+ 65,03 % 4,47
Ukraine 401 000+ -7,54 % 4,07
Allemagne 747 000+ -0,73 % 3,9
Brésil 553 000+ -21,02 % 3,87
Moyenne des attaques subies par chaque habitant du pays devenu la cible de programmes malveillants financiers en 2013
Parmi les pays qui mènent le classement des cyberattaques sous la forme de menaces
financières, on retrouvait surtout la Turquie et le Brésil. La part des utilisateurs exposés à
des attaques financières dans ces pays représentait respectivement 12 et 10,5 % du total
des utilisateurs confrontés à des programmes malveillants en 2013. En Russie, cet indice a
légèrement dépassé les 6 %, tandis qu'aux Etats-Unis seule une personne attaquée sur 30
était confrontée à une forme ou l'autre de cybermenace financière.

Kaspersky Lab
Pays
Utilisateurs
attaqués par
des
programmes
malveillants
financiers
Dynamique
sur un an
% des utilisateurs
attaqués par n'importe
quel type de
programme malveillant
Turquie 97 000+ 37,05% 12,01%
Brésil 143 000+ 29,28% 10,48%
Kazakhstan 84 000+ 5,11% 8,46%
Italie 105 000+ 20,49% 8,39%
Viet Nam 229 000+ 31,77% 7,4%
Inde 358 000+ 59,1% 6,79%
Fédération de Russie 792 000+ -4,99% 6,16%
Ukraine 98 000+ 22,73% 6,08%
Allemagne 191 000+ 43,22% 5,52%
États-Unis 189 000+ 22,30% 3,1%
Utilisateurs attaqués par des programmes malveillants financiers en 2013 et leur part parmi les habitants des pays confrontés à
des programmes malveillants quelconque
Si l'on place ces données sur une carte du monde, on voit que la part des attaques
financière est relativement faible en Chine, aux Etats-Unis, au Canada et dans de nombreux
pays européens. Les pays leaders selon cet indice sont répartis à travers le monde et on
notera la présence de la Mongolie, du Cameroun, de la Turquie et du Pérou.

Kaspersky Lab
Pourcentage des utilisateurs confrontés à des programmes malveillants financiers par
rapport au total des utilisateurs attaqués par des programmes malveillants 2013
Connaître son ennemi : espèces de programmes malveillants financiers
Pour comprendre quels étaient les programmes malveillants ciblant les actifs financiers des
utilisateurs qui ont défini le paysage des menaces l'année dernière, les experts de Kaspersky
Lab ont réparti les instruments des cybercriminels en différentes catégories. Dans le cadre
de cette étude, plus de trente exemplaires de programmes malveillants parmi les plus
connus utilisés dans le cadre d'attaques financières ont été sélectionnés. Cette sélection a
ensuite été scindée en quatre groupes sur la base des fonctions des programmes et de leur
cibles : banker, enregistreurs de frappes, outils pour le vol du contenu de porte-monnaie de
bitcoins et installateur de programmes de minage de bitcoins.
Le groupe banker est le plus nombreux. Il reprend les chevaux de Troie et les portes
dérobées pour le vol d'argent depuis des comptes ou pour le vol des informations permettant
de réaliser ces vols. Parmi les programmes malveillants de ce groupe, il y a Zbot, Carberp et
SpyEye.

Kaspersky Lab
Attaques à l'aide de programmes malveillants en 2013
Les représentants de la deuxième catégorie (enregistreurs de frappes) visent à voler les
informations confidentielles, notamment les informations à caractère financier. Souvent, les
chevaux de Troie bancaires offrent des fonctions similaires et la popularité des enregistreurs
de frappe en tant qu'outil indépendant diminue. KeyLogger et Ardamax figurent parmi les
programmes les plus populaires de cette catégorie.
Les deux types restant de programmes malveillants sont en rapport avec la cryptodevise
bitcoin, devenue ces derniers temps une proie de choix pour les escrocs financiers. Il peut
s'agir de programmes qui volent le contenu des porte-monnaie de bitcoins ou de
programmes qui installent des programmes de minage de bitcoins sur les ordinateurs
infectés à l'insu de leur propriétaire.
Le premier type reprend les programmes malveillants qui volent le fichier porte-monnaie
contenant les informations relatives aux bitcoins qui appartiennent à l'utilisateur. Le
deuxième type est un peu plus compliqué à classer : l'installation de programmes de minage
de bitcoins peut être réalisée par presque n'importe quel type de programme malveillant

Kaspersky Lab
capable de télécharger sur l'ordinateur de nouveaux programmes à l'insu de l'utilisateur.
C'est la raison pour laquelle cette étude s'est intéressée uniquement aux exemplaires de
programmes malveillants qui ont été remarqués à plusieurs reprises dans le téléchargement
et l'exécution masquée d'outils de minage de bitcoins.
Il faut reconnaître que cette séparation n'est pas vraiment précise. Par exemple, le même
enregistreur de frappe peut être utilisé pour obtenir des informations financières et pour voler
les données d'accès à des comptes de jeux en ligne. Mais en général, les programmes
malveillants ont toujours une "spécialisation" qui détermine la nature de l'infraction commise,
ce qui permet de les associer à un type en particulier de cybercrime, de nature financière
dans ce cas ci.
Attaques de programmes malveillants bancaires
Parmi les menaces financières de 2013, les programmes de la catégorie banker ont joué un
rôle de premier plan. Il s'agit de ces programmes malveillants développés pour voler l'argent
sur les comptes des utilisateurs. Ils ont été impliqués dans 19 millions de cyberattaques en
un an, ce qui représente deux tiers de l'ensemble des attaques financières organisées à
l'aide de programmes malveillants.

Kaspersky Lab
A la fin de l'année 2013, la part globale des utilisateurs attaqués chaque mois par des programmes de
vol de bitcoins et de téléchargement de programmes de minage de bitcoins a presque atteint celle des
programmes malveillants de type banker.
Le programme malveillant de type banker le plus actif tant au niveau du nombre d'attaques
qu'au niveau du nombre d'utilisateurs attaqués aura été le cheval de Troie Zbot (Zeus). Le
nombre d'attaques imputables à ses modifications a plus que doublé en un an et le nombre
d'utilisateurs qu'il a attaqué au cours de l'année dernière a dépassé les indices des autres
programmes malveillants de type banker du Top 10 mis ensemble.
Zbot, 2012-2013
En 2011, le code source de Zbot a été rendu public et il a été utilisé, et l'est encore, pour
créer de nouvelles versions du programme malveillant, ce qui exerce un impact sur les
statistiques des attaques. C'est également sur la base de Zbot que la plateforme Citadel a
été développée. Il s'agit d'une des tentatives d'adaptation des principes des applications
commerciales au milieu de la création de programmes malveillants. Les utilisateurs de
Citadel pouvaient non seulement acheter le cheval de Troie, mais également l'assistance
technique et les mises à jour qui permettaient de dissimuler le programme aux yeux des
solutions antivirus. Les ressources Internet de Citadel abritaient également les échanges
entre les pirates qui pouvaient donner des indices sur l'introduction de nouvelles fonctions.
Au début du mois de juin 2013, la société Microsoft a annoncé avec le FBI que plusieurs
réseaux de zombies importants de Citadel avaient été mis hors service, ce qui fut une

Kaspersky Lab
victoire importante dans la lutte contre la cybercriminalité. Toutefois, les statistiques de
Kaspersky Lab montrent que cet événement n'a pas vraiment eu d'impact sur la diffusion des
programmes malveillants développés pour voler des données financières.
La chute marquée dans le niveau d'attaques du cheval de Troie Qhost peut s'expliquer par
l'arrestation de ses auteurs. Ils avaient volé près de 400 000 dollars sur les comptes de
clients d'une grande banque russe en 2011. Les auteurs du programme malveillant furent
jugés en 2012, mais cela n'a pas gêné la poursuite de la diffusion de la menace. La
simplicité relative de la configuration et de l'utilisation de ce programme malveillant attire de
nouveaux individus malintentionnés.
Qhost, 2012-2013
La part d'attaques imputables au cheval de Troie Carberp a chuté au cours du premier
semestre de l'année 2013 suite à l'arrestation au printemps des utilisateurs du cheval de
Troie parmi lesquels se trouvaient également les créateurs présumés. Toutefois, Carberp a
repris sa croissance en été, ce qui a permis à ce programme malveillant de terminer l'année
2013 au même niveau que l'année 2012. Ceci s'explique par la publication du code source
du programme malveillant dans le domaine public qui a entraîné la création de nouvelles
versions du cheval de Troie. Ceci étant dit, le nombre d'utilisateurs attaqués par des
modifications de ce programme malveillant a chuté au cours de l'année.

Kaspersky Lab
Carberp, 2012-2013
La tendance globale est évidente : après l'accalmie relative du deuxième semestre 2012, les
escrocs à l'origine d'attaques impliquant des programmes malveillants financiers, se sont
activés en 2013. Il suffit de voir l'augmentation du nombre d'attaques et d'utilisateurs
attaqués.

Kaspersky Lab
Nombre d'attaques impliquant des programmes malveillants de type bancaire,
2012-2013
* Trojan-Banker est un enregistrement universel dans les bases de données de Kaspersky Lab qui utilise des règles
heuristiques pour détecter les programmes malveillants financiers
Bitcoin : argent de Monopoly ?
Le bitcoin est une cryptodevise qui n'est réglementée par aucun Etat et qui repose
uniquement sur les personnes qui l'utilisent. Le lancement du réseau distribué qui permet le
fonctionnement de Bitcoin remonte à 2009. Au début, cette devise était utilisée par des
personnes proches du secteur des technologies de l'information, mais peu a peu sa
popularité s'est agrandie. La popularisation de la devise a permis de l'utiliser comme mode
de paiement sur certains sites importants spécialisés dans la vente d'articles illégaux. Ses
sites étaient attirés par l'anonymat offert par les bitcoins.
Version d'une présentation d'un porte-monnaie de bitcoins sur papier

Kaspersky Lab
En théorie, toute personne qui le souhaite peut obtenir des bitcoins en utilisant la puissance
de calcul de son ordinateur : c'est ce qu'on appelle le minage. Ce minage consiste à
résoudre une série de tâches cryptographiques qui garantit le fonctionnement du réseau
Bitcoin.
Bon nombre des "fortunes" en bitcoins ont été amassées alors que la devise en était à ses
débuts, quand elle n'était pas encore acceptée comme mode de paiement en liquide.
Toutefois, au fur et à mesure que la cryptodevise a gagné en popularité, il est devenu de
plus en plus difficile d'obtenir des bitcoins grâce à la puissance de l'ordinateur. Il s'agit là
d'une des particularités du système au même titre que le volume fini des moyens financiers
mis en circulation. A l'heure actuelle, la complexité des calculs est telle que le minage de
bitcoins sur les ordinateurs traditionnels n'est plus rentables : le revenu potentiel couvre à
peine les frais d'électricité.
Au début de l'année 2013, le cours du bitcoin était fixé à 13,6 dollars et au mois de décembre, il atteignait son niveau historique
à plus de 1 200 dollars
Tout au long de l'année, le cours du bitcoin a connu une folle croissance et a dépassé 1 200
dollars à la fin du mois de décembre. Le cours a ensuite commencé à chuter, notamment en
raison de la méfiance des banques centrales de plusieurs pays par rapport à cette devise.
Ainsi, l'interdiction imposée par la Banque populaire de Chine sur les bourses de bitcoins a
fait perdre à cette devise près d'un tiers de sa valeur. Parallèlement à cela, d'autres pays ont
une attitude positive par rapport aux bitcoins. Ainsi, le ministère des Finances d'Allemagne a
reconnu officiellement la cryptodevise comme mode de paiement tandis qu'il existe au
Canada et aux Etats-Unis des distributeurs automatiques de billets qui permettent
d'échanger des bitcoins.

Kaspersky Lab
Bref, de phénomène "local" soutenu par quelques enthousiastes, le bitcoin est devenu en
quelques années si pas une unité monétaire à part entière, du moins un bien virtuel qui a
une valeur réelle et qui a connu une hausse marquée. Il va de soi que les individus
malintentionnés ne pouvaient pas ne pas prêter attention à ce phénomène. A partir du
moment où le bitcoin a commencé à être échangé sur des bourses Internet pour de l'argent
réel et que de plus en plus de vendeurs ont commencé à accepter cette devise comme
mode de paiement, les cybercriminels s'y sont de plus en plus intéressés.
Les bitcoins sont conservés sur l'ordinateur dans un fichier porte-monnaie spécial (wallet.dat
ou autre en fonction de l'application utilisée). Si ce fichier n'est pas crypté et qu'un individu
malintentionné parvient à le voler, rien ne l'empêche de transférer le contenu du compte vers
son propre porte-monnaie. Le réseau Bitcoin permet à n'importe lequel de ses participants
de consulter l'historique des opérations réalisées par n'importe quel utilisateur. Autrement dit,
il est possible d'identifier le porte-monnaie électronique dans lequel l'argent volé a été versé.
Mais vu que le Bitcoin n'est réglementé par personne, il est inutile de penser à déposer une
plainte pour vol.
Outre le vol de Bitcoins, les cybercriminels peuvent utiliser les ordinateurs de leurs victimes
pour le minage, à l'instar de ce qui se passe dans le cadre des diffusions de courrier
indésirable ou d'autres activités malveillantes. Il existe également des programmes de
chantage qui exigent un paiement en bitcoins pour décrypter les données de la victime.
Le diagramme suivant illustre la dynamique des attaques impliquant des outils malveillants
de vol de porte-monnaie de bitcoins ou des programmes malveillants à plusieurs fonctions
spécialisés dans l'installation d'outils de minage. Il y a également déjà eu des cas de
détection sur un ordinateur d'applications de minage de bitcoins : elles peuvent être
installées par l'utilisateur ou à l'insu de ce dernier. Les solutions de Kaspersky Lab placent
les applications de minage dans la catégorie RiskTool. Cela signifie que l'application en
question contient une fonction qui présente un danger potentiel et l'utilisateur est prévenu.

Kaspersky Lab
Comme on peut le voir sur le graphique, le nombre de déclenchements des produits de
Kaspersky Lab provoqués par des programmes de vol de bitcoins et des applications de
minage de bitcoins a commencé à augmenter au deuxième semestre 2012. La dynamique
est devenue encore plus intéressante en 2013. Par exemple, un des pics de
déclenchements des produits de Kaspersky Lab provoqué par des programmes malveillants
liés aux bitcoins a été enregistré au mois d'avril. A cette époque, le cours du Bitcoin était
supérieur à 230 dollars. Il est évident que la hausse du cours aurait pu inciter les individus
malintentionnés à s'activer dans la diffusion de programmes malveillants conçus pour le vol
et le minage de bitcoins.
Mais en avril, le cours de la devise s'est effondré jusqu'à 83 dollars. Il s'est ensuite repris
pour atteindre 149 dollars à la fin du mois d'avril et il s'est stabilisé en mai. De mai à août, le
cours du Bitcoin s'est maintenu dans la fourchette des 90 à 100 dollars et en août, il est
reparti à la hausse. L'activité des programmes malveillants a suivi de loin cette évolution,
mais il n'est pas exclu que ce soit précisément la stabilisation du cours du bitcoin qui a
entraîné un nouveau pic d'attaques en août. Une autre hausse marquée du nombre
d'attaques aura été enregistrée en décembre. Au cours de ce mois, le cours du Bitcoin s'est
d'abord effondré, passant de 1 000 à 584 dollars, puis il a connu une hausse sensible pour
atteindre 804 dollars à la fin du mois.

Kaspersky Lab
Le nombre de déclenchements des produits de Kaspersky Lab provoqués par des
applications de minage de Bitcoin a également connu une augmentation stable depuis avril.
Cette hausse s'est maintenue jusqu'au mois d'octobre et à partir de novembre, ce nombre de
déclenchements a chuté.
Sur l'ensemble de l'année 2013, le nombre de déclenchements des produits de Kaspersky
Lab et le nombre d'utilisateurs confrontés à des programmes malveillants ou à des
programmes malveillants potentiels liés aux bitcoins a augmenté plusieurs fois par rapport à
2012. Il est intéressant de constater qu'à partir d'octobre 2013, le nombre de
déclenchements provoqués par des programmes malveillants qui installent des applications
de minage de bitcoins a commencé à chuter tandis que le nombre de déclenchements
provoqués par des programmes qui volaient les porte-monnaie a quant à lui augmenté. Ceci
est peut-être du à une des caractéristiques de la devise citées ci-dessus : plus le nombre de
"pièces" créées dans le système augmente, plus il devient difficile d'en créer. Cela a peut-
être poussé les individus malintentionnés à concentrer leurs recherches sur le vol de porte-
monnaie contenant déjà des bitcoins.

Kaspersky Lab
Les programmes malveillants développés pour voler des informations financières figurent
parmi les programmes malveillants les plus terribles. L'ampleur du danger augmente,
notamment, à cause du volume imposant de victimes potentielles d'attaques organisées à
l'aide de tels programmes : en réalité, presque tout détenteur d'une carte de crédit qui
accède à Internet depuis un ordinateur à la protection médiocre peut devenir la victime des
individus malintentionnés. Toutefois, les ordinateurs de bureau et les ordinateurs portables
ne sont pas les seuls périphériques utilisés dans le cadre de la réalisation de transactions
financières. Presque tout le monde possède un smartphone ou une tablette. Et pour les
individus malintentionnés, ces périphériques constituent une voie d'accès supplémentaire
aux services financiers des utilisateurs.
Menaces bancaires pour les appareils
nomades
Les appareils nomades sont réstés pendant longtemps un territoire inexploré par les
cybercriminels. Cela s'expliquait avant tout par le nombre réduit de fonctions des appareils
nomades de première génération et par la complexité de la création d'applications pour
ceux-ci. Mais l'émergence des smartphones et des tablettes, riches en fonction, dotés d'une
connexion à Internet et pour lesquels des applications peuvent être mises au point à l'aide
d'outils de développement accessibles au public, a complètement changé la situation. Cela
fait quelques années que les experts de Kaspersky Lab enregistrent chaque année une
augmentation du nombre de programmes malveillants visant les appareils nomades. Et
principalement les appareils tournant sous Android.
En 2013, Android est devenu la cible principale des attaques malveillantes. 98,1 % de
l'ensemble des programmes malveillants pour appareils nomades détectés en 2013 étaient
destinés à cette plateforme, ce qui témoigne à la fois de la popularité de ce système
d'exploitation et de la vulnérabilité de son architecture.

Kaspersky Lab
Programmes malveillants pour appareils nomades en 2013
Et la majorité des programmes malveillants pour appareils nomades vise à voler l'argent des
utilisateurs. C'est le cas des chevaux de Troie SMS, de nombreuses portes dérobées et
d'une partie des programmes malveillants de la catégorie Cheval de Troie. Une des
tendances les plus dangereuses observées en 2013 dans le domaine des programmes
malveillants pour appareils nomades fut l'augmentation du nombre de programmes
développés pour voler les informations d'authentification des systèmes de transactions
bancaires en ligne et pour voler l'argent.

Kaspersky Lab
Nombre d'échantillons de programmes malveillants bancaires pour appareils
nomades dans la collection de Kaspersky Lab en 2013
Le nombre de ces programmes malveillants a connu une croissance active à partir de juin et
en décembre, on comptait plus de 1 300 exemplaires uniques. Au cours de la même période,
le nombre d'attaques bloquées par les produits de Kaspersky Lab a commencé à augmenter
également.

Kaspersky Lab
Attaques organisées à l'aide de programmes malveillants bancaires pour appareils
nomades au 2e semestre 2013
Les programmes malveillants pour appareils nomades qui visent les utilisateurs de système
de transactions bancaires par Internet ne sont pas une nouveauté. Par exemple, ZitMo (le
"frère" nomade du célèbre cheval de Troie bancaire Win 32 ZeuS) est connu depuis 2010,
mais il n'était pas impliqué dans des attaques massives, notamment à cause de sa fonction
spécifique : ZitMo pouvait fonctionner uniquement avec la version pour ordinateurs de
bureau ZeuS. Le compère volait le nom d'utilisateur et le mot de passe d'accès au compte
en ligne de la victime tandis que ZitMo interceptait les mots de passe à usage unique de
confirmation des transactions dans le système de transactions bancaires par Internet et les
transmettait aux individus malintentionnés qui utilisaient les données obtenues pour voler
l'argent.
Ce type d'escroquerie a été observé en 2013. A ce moment, les "petits frères" pour les
appareils mobiles étaient devenus de véritables concurrents pour ZeuS : SpyEye (SpitMo) et
Carberp (CitMo). Toutefois, ils n'ont pas été impliqués dans un nombre d'attaques significatif.
Cela s'explique peut-être par l'existence sur le marché noir des cybermenaces de chevaux
de Troie plus autonomes capables de fonctionner sans le partenaire pour ordinateurs de
bureau.
Svpeng est un exemple de ce genre de programme malveillant. Il a été découvert par les
experts de Kaspersky Lab en juillet 2013. Ce cheval de Troie exploite les particularité de
certains systèmes russes de transactions bancaires par appareil nomade qui lui permettent
de voler l'argent sur le compte des victimes.

Kaspersky Lab
En Russie, certaines grandes banques permettent à leurs clients d'alimenter leur compte de
téléphonie mobile via transfert depuis leur carte bancaire. Pour ce faire, le client doit
simplement envoyer depuis son smartphone un SMS contenant un texte spécial à un
numéro dédié de la banque. Svpeng envoie des SMS aux services SMS de deux de ces
banques. Le propriétaire de Svpeng peut ainsi voir si des cartes de ces banques sont
associées au numéro du smartphone infecté et si c'est le cas, il pourra obtenir le solde du
compte. Ensuite, l'individu malintentionné peut envoyer à Svpeng une commande de
virement depuis le compte en banque vers le compte de téléphonie mobile de la victime.
Interface de fausse autorisation de Svpeng
Ensuite, il existe différentes méthodes pour transférer l'argent depuis le compte de
téléphonie mobile comme le transfert vers un porte-monnaie électronique via l'espace
personnel dans le système de l'opérateur de téléphonie mobile ou plus simplement en
envoyant des messages à un numéro surtaxé. Svpeng possède également des fonctions de
vol des informations d'authentification sur des systèmes de transactions bancaires par
Internet.
Voici deux autres exemples de chevaux de Troie de type banker dangereux détectés par les
experts de Kaspersky Lab : Perkele et Wroba. Le premier ressemble à ZitMo. Sa principale
fonction consiste à intercepter les mots de passe uniques de confirmation des transactions.
Le deuxième, quant à lui, recherche sur l'appareil mobile les applications pour réaliser des
transactions bancaires en ligne, les supprime et télécharge de fausses copies qui récoltent
les informations d'identification et les envoient aux individus malintentionnés.
La majorité des attaques réalisées à l'aide de chevaux de Troie de type banker en 2013 ont
été enregistrées en Russie et dans les pays voisins par Kaspersky Lab. Toutefois, par
exemple, Perkele a attaqué des clients non seulement de banques russes, mais également
de banques européennes tandis que Wroba visait des utilisateurs en Corée du Sud.

Kaspersky Lab
Répartition géographique des attaques menées à l'aide de programmes malveillants bancaires pour Android en 2013
En chiffres absolus, l'ampleur des attaques menées à l'aide de programmes malveillants
financiers contre les utilisateurs d'appareils mobiles et décelées par les solutions de
Kaspersky Lab est relativement faible pour l'instant, mais cela fait plus de 18 mois que l'on
observe une tendance évidente à la hausse. Cela signifie que les utilisateurs d'appareils
mobiles, principalement sous Android, doivent prêter très attention à la sécurité de leurs
données financières.
Les utilisateurs d'appareils tournant sous iOS doivent également rester vigilants. Bien qu'il
n'existe pas encore de raz-de-marée de programmes destinés à voler les données
confidentielles d'utilisateurs d'iPhone et d'iPad, des erreurs permettant de créer de tels
programmes sont fréquemment détectées dans le système d'exploitation de ces
périphériques. Un des exemples les plus récents ошибка,remonte à la fin du mois de février
2014 lorsque des chercheurs ont identifié une faille qui permettait d'identifier les caractères
saisis par l'utilisateur à l'aide du clavier virtuel du périphérique. Grâce à cette vulnérabilité, un
individu malintentionné pourrait voler, entre autres, le nom d'utilisateur et le mot de passe
d'accès au système de transactions bancaires par Internet.

Kaspersky Lab
Conclusion : protégez votre porte-monnaie
numérique
L'étude a clairement démontré que l'argent électronique des utilisateurs est exposé
constamment à des menaces. Que l'utilisateur gère son compte en banque en ligne ou qu'il
réalise des achats dans des magasins en ligne, les individus malintentionnés le suivent
partout.
Tous les types de menaces financières ont affiché une hausse sensible en 2013. La part des
attaques de phishing impliquant des noms de banques a doublé tandis que le nombre
d'attaques financières organisées à l'aide de programmes malveillants a augmenté d'un tiers.
Le secteur des programmes malveillants financier n'a pas été marqué par l'apparition de
"nouveautés" qui pourraient concurrencer Zbot et Qhost. Ces chevaux de Troie et d'autres
biens connus ont été responsables de la majorité des attaques l'année dernière. Toutefois,
les individus malintentionnés ont une fois de plus démontré la rapidité à laquelle ils
réagissent au changement de conjoncture. La hausse accélérée du nombre d'attaques de
vol de bitcoins qui avait débuté à la fin de l'année 2012 s'est poursuivie en 2013.
Les experts de Kaspersky Lab ont formulé les recommandations suivantes pour renforcer la
protection contre les menaces financières.
Pour les entreprises
 C'est aux entreprises qu'il incombe avant tout de garantir la sécurité des utilisateurs.
Les sociétés financières doivent présenter à leurs clients les menaces posées par les
cyberescrocs et fournir des conseils sur la manière d'éviter des pertes.
 Les banques et les systèmes de paiement doivent offrir à leurs clients des systèmes
de protection avancés contre les individus malintentionnés. La plateforme Kaspersky
Fraud Prevention est un exemple de solution qui offre une protection à plusieurs
niveaux contre les escrocs.
Pour les particuliers et les utilisateurs de services de transactions bancaires par
Internet
 Les auteurs de programmes malveillants comptent souvent sur les vulnérabilités
dans les applications les plus utilisées. C'est pourquoi il convient d'utiliser uniquement
les versions les plus récentes des applications et d'installer les mises à jour des
systèmes d'exploitation dès qu'elles sont disponibles.
 Les règles universelles pour une utilisation sûr d'Internet contribuent également à la
réduction du risque posé par les attaques financières. Les utilisateurs doivent choisir
des mots de passe complexes, uniques pour chaque service. Ils doivent faire preuve
de prudence au moment d'utiliser des réseaux Wi-Fi publics et éviter d'enregistrer
des informations confidentielles dans le navigateur, etc.
 Il est indispensable d'utiliser des logiciels fiables de protection contre les programmes
malveillants dont l'efficacité a été confirmée par des tests indépendants. De plus,
certaines solutions de protection comme Kaspersky Internet Security intègrent des

Kaspersky Lab
outils qui permettent d'utiliser les services de transactions bancaires par Internet en
toute sécurité.
 Si vous accédez à votre service de transactions bancaires par Internet ou à un
système de paiement depuis votre smartphone ou votre tablette ou si vous utilisez
ces périphériques pour réaliser des achats en ligne, pensez à adopter une solution
de protection fiable telle que Kaspersky Internet Security for Android qui offre des
outils avancés de protection contre les programmes malveillants et le phishing et
possède des fonctions utiles en cas de perte ou de vol de votre appareil.
Pour les détenteurs de cryptodevises
Dans la mesure où la devise bitcoin et autres phénomènes semblables comme Litecoin,
Dogecoin et beaucoup d'autres sont encore jeunes, bon nombre d'utilisateurs ignorent les
finesses de l'utilisation de ces systèmes et pour cette raison, les experts de Kaspersky Lab
ont rédigé des conseils sur l'utilisation en toute sécurité des cryptodevises.
 Evitez de conserver vos économies dans des services en ligne et préférez l'utilisation
d'application spéciales qui remplissent le rôle de porte-monnaie.
 Répartissez vos économies entre plusieurs porte-monnaie. Cela réduira le risque de
toute perdre en cas d'attaque contre un de ces porte-monnaie.
 Placez les porte-monnaie pour le stockage à long terme des cryptodevises sur des
supports chiffrés. En guise d'alternative, sachez qu'il existe des porte-monnaie
imprimés sur papier.

Etude Kaspersky Lab : Impact Phishing sur les finances

Recommandé

Recommandé

Contenu connexe

En vedette

En vedette (19)

Similaire à Etude Kaspersky Lab : Impact Phishing sur les finances

Similaire à Etude Kaspersky Lab : Impact Phishing sur les finances (20)

Etude Kaspersky Lab : Impact Phishing sur les finances