N26
Les consommateurs utilisent de plus en plus des applications bancaires mobiles comme principal moyen de gérer leurs finances, de transférer des fonds, de déposer des chèques et de payer leurs factures. En fait, 89% de répondants à l’enquête Mobile Business Competitive Edge Study de Business Insider Intelligence ont déclaré utiliser des services bancaires mobiles. Malheureusement, cette tendance n’est pas passée inaperçue auprès des cybercriminels qui commencent à l’exploiter comme nouveau vecteur d’attaque.
Avec l’adoption de l’authentification multifacteur par de nombreuses applications mobiles, y compris celles utilisées pour les services bancaires, les consommateurs sont de plus en plus habitués aux messages SMS transmis par des banques. Les utilisateurs mobiles étant typiquement en mouvement et moins susceptibles de contrôler l’authenticité d’un SMS, ce type de message est devenu un nouveau vecteur d’attaque attrayant pour les acteurs malveillants. De fait, l’outil Phishing AI a récemment découvert une campagne de phishing ciblant les clients via SMS pour les attirer vers de faux sites web de banques canadiennes et américaines renommées.
La campagne de phishing, principalement diffusée par SMS, imite les pages d’accès des banques dans le but de capturer les identifiants bancaires de l’utilisateur et d’autres informations de connexion. Parmi les banques touchées par cette campagne de phishing figurent Scotiabank, CIBC, RBC, UNI, HSBC, Tangerine, TD, Meridian, BNC et Chase, qui ont toutes été notifiées avant la publication de cette alerte.
Les informations collectées par Lookout indiquent que cette campagne de phishing cible uniquement les utilisateurs de mobiles. Les pages web sont conçues pour paraître légitimes sur mobile, avec des pages de connexion imitant la mise en page et le format des applications bancaires mobiles, ainsi que des liens tels que “Mobile Banking Security and Privacy” ou “Activate Mobile Banking”. De plus, la découverte d’un outil d’envoi automatique de SMS lié au kit de phishing montre que l’attaquant peut créer un message unique, puis l’envoyer facilement à autant de numéros de téléphone qu’il le souhaite, ce qui confirme une fois de plus une stratégie d’attaque ‘mobile-first’.
De nombreuses pages de cette campagne semblent légitimes grâce à des actions telles que guider la victime au travers d’une série de questions de sécurité, lui demander de confirmer son identité avec la date d’expiration d’une carte ou de revérifier le numéro de compte.
Lookout a identifié plus de 200 pages de phishing faisant partie de cette campagne et a informé toutes les banques concernées. À ce jour, la campagne est désormais hors ligne. Lorsque l’attaque a été découverte, le moteur de l’outil Phishing AI de Lookout a pu trouver les adresses IP des victimes et les dates auxquelles le déploiement du kit de phishing a enregistré les clics. Ce qui a révélé une campagne de phishing contre les clients de ces banques, ainsi que l’ampleur de l’attaque, active depuis juin 2019.
Les clients des banques ciblées par des campagnes de phishing courent le risque de se faire voler leurs identifiants bancaires, et donc de subir d’importantes pertes financières. D’autre part, repérer les attaques de phishing sur mobile est souvent beaucoup plus difficile que sur un ordinateur portable ou de bureau. Les caractéristiques, les fonctionnalités et même la taille de l’écran des terminaux mobiles d’aujourd’hui rendent plus difficile pour un quelconque individu de déterminer ce qui est réel par rapport à ce qui est faux.
En cas de réception d’un message SMS d’une banque, mieux vaut ne pas cliquer dessus, mais plutôt d’accéder directement au site web de la banque ou à son application mobile.
[Le marché des services bancaires mobiles va générer 1,82 milliard de dollars, à l’échelle mondiale, d’ici 2026]
Sur la base des plateformes, le segment Android détenait la part de marché la plus élevée du marché mondial des services bancaires mobiles en 2018, représentant près des trois quarts de la part totale, et continuera de maintenir son avance en termes de chiffre d’affaires au cours de la période de prévision. Cela est attribué aux économies en développement qui sont à la pointe de l’adoption de la plate-forme Android, ce qui a incité les banques à se concentrer davantage sur l’offre de services bancaires mobiles. Cependant, le segment iOS devrait enregistrer le TCAC le plus rapide de 12,7% de 2019 à 2026, car les institutions financières sont très capables de répondre aux exigences et aux demandes continues de leurs clients via des applications mobiles.