Le farming utilisé pour vider les comptes bancaires

Le farming (ou action répétitive d’opérations informatiques) était jusqu’ici l’apanage des jeux en ligne (ou des personnes sont payées pour faire des quêtes subsidiaires afin demonter l’expérience d’un personnage ou récolter des pièces d’or) ou des monnaies virtuelles (avec des fermes d’ordinateurs tournant en permanence pour « miner » de nouvelles devises). C’est désormais une technique utilisée par les cybercriminels pour vider massivement des comptes bancaires. Shachar Grizman, chercheur en sécurité mobile chez IBM, a en effet découvert une nouvelle technique où sont utilisées des « fermes d’émulateurs de smartphone » [1] pour simuler des milliers d’appareils réels de clients en même temps et réaliser des opérations frauduleuses depuis leurs applications bancaires. Ce qui leur permet de siphonner des millions d’euros ou de dollars en quelques jours, auprès de banques américaines et européennes. Pour réaliser ces opérations, les pirates utilisent les mots de passe de victimes, obtenus probablement par phishing. Et pour éviter d’être détectés par les systèmes antifraude des établissements bancaires, ils utilisent les mêmes identifiants matériels que leurs victimes (IMEI, marque d’appareil, système d’exploitation, bootloader…). Ils vont même jusqu’à simuler leur localisation grâce à des VPN et des techniques d’usurpation GPS. Ils sont également capables d’intercepter les éventuels seconds facteurs d’authentification envoyés par SMS. Toutefois, IBM n’explique pas comment ces interceptions sont techniquement réalisées, ni comment les appareils des clients sont ainsi « clonés » à la perfection. Selon IBM, cette plateforme est d’ores et déjà proposée dans les forums underground sous la forme d’un service prêt à l’emploi, ce qui permet d’élargir encore plus le spectre d’attaques.