Nouveau type d’attaque bancaire sur Internet

Les pirates ne sont jamais à court d’idées lorsqu’il s’agit de piéger les internautes. Nous vous parlions récemment des nombreuses attaques par phishing qui se développent ces derniers temps sur la toile et qui ciblent principalement les clients de banques. Aujourd’hui, les spécialistes alertent sur un tout nouveau type d’attaque utilisant un cheval de Troie pour attaquer ses victimes.

Le cheval de Troie nommé Bancos.pw est spécialisé dans l’attaque de comptes bancaires dans le but d’en récupérer les identifiants sur Internet afin d’en prendre le contrôle. Il se charge d’intercepter les informations circulant sur le protocole sécurisé https://, utilisé pour tout paiement en ligne ou transaction bancaire. Ce protocole est notamment utilisé par certaines banques pour envoyer à leurs clients les identifiants qui leur permettront de gérer leur compte en ligne. Deux grandes banques allemandes, Postbank et Deutsche Bank, utilisent quotidiennement ce système. Le trojan n’est cependant que peu répandu et aucun cas d’attaque réussie n’a encore été recensé.

Source : Zataz

Et que fait notre gouvernement pour lutter contre ces vrais pirates pendant ce temps là ? Il nous prépare la loi DADVSI Pro ! ! !

> Alors il n'y a rien à craindre, les données transitant ne seront pas intelligibles.

Erreur, en fait si ils ont intelligents il ont fait leur trojan/malware comme ça :
Le navigateur fait la requête sur le serveur https, mais au lieu d'établir une connexion avec le serveur https de la banque/etc la connexion est faite a un serveur https local (le malware), qui lui fait la requête avec le vrai serveur de la banque.

en gros : client <> malware <> banque

Du coup les données sont envoyés au malware avec le certificat du malware (bon navigateur <=> avertissement normalement).
Et ce dernier agit comme un proxy en faisant un jolis man-in-the-middle.

En gros comme il a tout le flux décrypté il suffit de regarder le nom d'hôte demandé et d'envoyer au pirate les requêtes POST intéressantes par exemple (mot de passe/login)

Bref c'est tout a fait possible, si en plus le trojan/malware configure le client pour faire confiance a son certificat bidon, ben alors le client se fait avoir en beauté...

Une dernière chose, les banques préfèrent payer les indemnités pour des opérations frauduleuse plutôt que de perdre du capital d'image.
Souvent elle se font trouer et elle ne portent même pas plainte pour que ça ne se sache pas.
(cas de beaucoup d'entreprise car la perte d'image ne compenserais pas les éventuels domâges et intérêts).

ps : je suis bien content d'être sous linux, parce que moi ce genre de connerie me touchera pas...
(ben ui si j'ai un port ouvert en plus je vais très vite le voir, et un processus en plus qui ouvre un port qui écoute ça met la puce a l'oreille... )

Toutes les distributions linux sont capables d'aller sur le net !
Mais il y a une configuration à faire, ça ne se fait pas automatiquement ...
Perso je ne connais pas la fedora, mais jette un oeil sur le net tu devrais trouver sans pb :-)

Je tennais a te donner une précision...

Alors premièrement je te conseille TRES fortement de jetter ta fedora a la poubelle et de mettre un mandriva...
La mandriva 2006.0. a quelque bugs, mais tout est expliqué dans les errata pour les contourner.

Elle a l'avantage de pas être une distribution de développement comme l'est la fedora et d'avoir des outils de config très simple pour te connecter au net (entre autre) et configurer tout le reste que n'a pas la fedora...

Après pour ce qui est du fishing en montant un faut serveur https relais, ce n'est pas possible sous linux pour plusieurs raisons :
- Tu dois avoir un port ouvert en listen (écoute) et ça se voit très vite :
fait : lsof -i -P -n et tu va voir les programmes en listen (ceux avec numero_port:*)
- Après re-diriger le flux vers ce serveur https bidon est vraiment compliqué :
* Ton virus arrive a passer root (quasi impossible sans une série de trou consécutif et les failles sont souvent locale et les mises a jours disponibles dans les 5h, donc si tu tient ton linux a jour aucun risque ou presque )
Si il réussis il pourrais modifier la config en ajoutant une variable d'environnement https_proxy et faire tourner un processus qui écoute sur le port pour exécuter les requête
(et comme les méthodes des lancement des services ne sont pas universels sous linux ça complique encore les choses)
* Ton virus n'est pas passé root, dans ce cas là c'est simple, seul ton utilisateur peux être touché, donc ton virus n'a écris ses conneries que dans /home/nom_user
Dans ce cas là il dois ajouter l'export des variables seulement dans /home/nom_user/.bashrc ou /home/nom_user/.bash_profile
(ou /home/nom_user/.kde/env/fichier.sh seulement si tu utilise kde)
Puis il dois se débrouiller pour lancer le processus en arrière plan et c'est chaud (ajout d'une commande dans un des précédents fichiers ou placer un fichier dans /home/nom_user/.kde/Autostart et comme ça peux être changé et que c'est non standard ça a peu de chance de marcher)

Bon là c'est en imaginant que tu a le droit d'écrire dans ces fichiers, ce que tu peux interdire par divers moyens.
Ensuite le serveurs https falsifié qui tourne pas en user root ne peux utiliser qu'un port supérieur a 1024, donc si tu vois un binaire qui écoute sur un port > 1024 c'est bisard (a part p2p ou amarok (lecteur audio) par exemple)

Ensuite la majorité des clients webs sérieux vont t'afficher une popup de warning gros comme une maison et dans les détails tu a l'adresse réelle du proxy et si le nom d'hôte demandé ne correspond pas a celui du serveur falsifié (le protocole https est tel que le serveur doit envoyer le nom du serveur en premier sans que le client ne le lui ai donné).

Bon dernière chose qui permet de garantir que ce genre de truc ne marche pas sous linux, on ne peux pas faker une adresse sans être root
(genre www.google.fr qui envoie sur l'ip de www.mesuisfaitavoir.ru)
Et pour ce faire il devrait ajouter ça dans dans le fichier /etc/hosts
#ip nom de domaine
182.245.23.12 www.fauxnomdedomaine.ext
et comme le fichier en question est pas ouvert en écriture a l'utilisateur ça règle pas mal de choses...)

Bref, linux est pas parfait, mais les couches sont tellement bien séparées et non compromises (les failles sont presque toujours dite "locale" donc un compte valide sur la machine est obligatoire), par des mises a jours dispo tout de suite, etc que ça le rend très difficilement de réaliser ce genre de choses.

Après linux se contente d'afficher les avertissements si il n'a pas été compromis par un un utilisateur/programme passé root (qui a tous les droits), il n'empêche pas l'utilisateur de faire sciament des conneries...

Dernier points, par défaut sous linux tout ficher téléchargé est non exécutable, ce qui veux dire qu'il faut le rendre exécutable (chmod +x ou mode exécution dans ses droits) pour qu'il se lance en tant que programme et ne soit pas ouvert comme un fichier texte avec l'éditeur de fichier par défaut. (ça vient des solutions prises a la suite d'un virus qui passait en tant que pièce jointe exécutable qui se faisait passer pour un en-tête ce programme, alors que c'était un exécutable malveillant)

Dernier point, linux a un certains nombres de règles de sécurités activées par défaut qui permettent de savoir ce qu'il s'est passé et de le vérifier.

#va afficher toutes les différences entre les paquets d'origine
#et l'état actuel les changements peuvent être légaux ou non
# exemple : config de la carte son
rpm -Va

#les fichiers de logs dans /var/log
auth.log #contient toutes les tentatives d'accès (échouées ou non)
syslog #activité générale des différents services lancés
rpmpkgs #paquets installés
...

Bref, linux de part sa conception (qui tient compte de ses erreurs passées) a une sécurité intrinsèque bien plus grande, qui plus est le fait que le code soit opensource garantis que les maillions essentiels ai été examinés par un grand nombre de personnes (souvent expertes dans le sujet).

Tit liens pour la mandriva :
ftp://ftp.proxad.net/pub/Distribu [...] 006.0/i586
#pour ajouter les sources de paquets supplémentaires, on ne télécharge pas les programmes séparément sous linux, on ouvre Rpmdrake (gestionnaires de paquet) et on sélectionne les paquets a installer (permet les mise a jour, etc...)
http://easyurpmi.zarb.org/

Liens utiles (bugs connus, communauté, etc) :
http://forum.mandrivaclub.com/viewtopic.php?t=43122
http://qa.mandriva.com/twiki/bin/v [...] aseNotesFr

http://qa.mandriva.com/twiki/bin/v [...] leaseNotes
http://qa.mandriva.com/twiki/bin/v [...] 2006Errata

Bonjour,

Depuis quelque jours je n' arrête pas de recevoir des chevals de troie , et cela fait sauter mon antivirus internet et à chaque fois, il faut que je le réactive.
Dans ces cheval de troie je n' ai pas vu celui cité ci-dessus.