Les procédures TAN garantissent le plus haut niveau de sécurité possible dans le domaine de la banque en ligne, mais jamais sûre à 100 %, contrairement à ce que certains fournisseurs aiment prétendre. La vérité qui donne à réfléchir est la suivante : à l’exception du HBCI, qui n’est pas à proprement parler une procédure TAN, chaque procédure OTP a été piratée à un moment donné. Bien que les failles de sécurité inhérentes à la procédure aient joué un rôle important dans chaque cas de fraude, une vulnérabilité complètement différente était généralement le facteur décisif : le client. Isolé de l’infrastructure de sécurité interne de la banque, souvent peu familier avec les problèmes informatiques et agissant parfois de façon impulsive, il est le maillon faible de la chaîne pour de nombreux criminels.
C’est aussi la raison pour laquelle les cyber-attaques sur un compte bancaire visent toujours son propriétaire en premier. C’est pourquoi il appartient au client d’aborder la question de la sécurité des comptes et de prendre conscience de l’importance d’un traitement sécurisé des procédures bancaires en ligne et des TAN. Dans ce contexte, il peut être utile de connaître et de comprendre le processus typique d’une attaque. Il existe maintenant une grande variété de scénarios d’attaque possibles, et les criminels trouvent chaque jour de nouvelles façons de gagner de l’argent qui ne leur appartient pas. Ainsi, toutes les astuces des cybercriminels ne peuvent pas être présentées ici de manière exhaustive, mais nous voudrions au moins vous donner quelques exemples de procédures typiques de nombreux cybercriminels. Les explications suivantes se réfèrent à la procédure mTAN.
Afin de pouvoir utiliser le facteur humain pour infiltrer un système de sécurité informatique, les pirates expérimentés utilisent une sélection d’outils numériques et techniques ainsi qu’une méthode de social engineering. Ils essaient d’amener leur victime à se comporter de manière incorrecte dans une situation critique pour la sécurité. Par exemple, un pirate informatique pourrait se faire passer pour un employé d’une entreprise de soutien informatique externe à qui on a demandé de résoudre des problèmes avec un logiciel de comptabilité et de banque en ligne. Dans ce contexte, il tente alors d’obtenir l’accès ou les coordonnées bancaires de la personne à qui il s’adresse.
Souvent, la première étape d’une cyber-attaque consiste à introduire clandestinement un cheval de Troie. C’est le cas, par exemple, lorsque la victime est amenée à cliquer sur un lien infecté dans un email digne de confiance. Plus le courriel et son adresse sont réputés, plus ce type d’hameçonnage a de chances de réussir. Les objets tels que « rappel », « suspension de compte » ou « contrôle de sécurité » ont pour but de mettre l’accent sur la victime potentielle et de l’encourager à prendre des mesures irréfléchies.
- Quel que soit le mode d’installation d’un cheval de Troie, une fois qu’il est sur l’appareil avec lequel vous effectuez vos opérations bancaires en ligne, il peut consulter les données d’accès correspondantes. Le pirate a ensuite franchi le premier obstacle.
- Ensuite, l’attaquant n’a plus qu’à surmonter la procédure TAN ; pour ce faire, il dispose de plusieurs options différentes, dont seulement trois sont présentées ici :
- Le vol de l’appareil mobile est probablement la méthode la plus courante, mais c’est aussi le moyen le plus rapide pour la personne impactée de le remarquer.
- Une autre stratégie consiste à utiliser les données d’accès saisies pour transférer le numéro de téléphone mobile du titulaire du compte sur une deuxième carte SIM ou pour demander une carte SIM supplémentaire. L’attaquant le configure ensuite de telle sorte que les SMS (et donc aussi les numéros de transaction) ne soient envoyés qu’à sa propre carte SIM, tandis que toutes les autres fonctions (par exemple, le téléphone) restent à la disposition de la victime. La victime ne s’aperçoit qu’après un certain délai que quelque chose ne va pas.
- Cependant, l’attaque de l’homme du milieu ou de l’homme dans le navigateur est particulièrement trompeuse parce qu’elle est presque invisible : le cheval de Troie s’insère dans le navigateur de la victime et imite la représentation visuelle d’une plateforme bancaire en ligne. De cette façon, le cheval de Troie modifie des éléments existants ou en ajoute de nouveaux. La victime imprudente saisit ses informations de transfert, y compris le TAN correspondant, comme d’habitude et soumet les deux. En arrière-plan, cependant, l’attaquant a déjà exploité les données et dirige les transferts vers son propre compte bancaire. Selon l’habileté avec laquelle il procède, cela peut prendre des semaines, voire des mois, avant que les dommages ne soient découverts.
La façon dont un criminel s’approche de votre TAN ne vous préoccupe pas vraiment en tant que consommateur. Au lieu de cela, vous devriez vous concentrer sur la protection contre les premières étapes d’une cyberattaque (ingénierie sociale et la contrebande de chevaux de Troie). Par exemple, vous devez prêter attention aux indices de phishing ou vous n’avez pas à transmettre sans plus attendre des données sensibles à des étrangers, même si ceux-ci agissent en tant que fournisseurs de services fiables (support informatique, fournisseurs de services comptables, etc.).