[PIRATAGE PC SMARTPHONE & CB] Outil pour diagnostique & discussion

[Adam]

Bonjour à tous,

Depuis samedi mon compte bancaire est sujet à tentatives (et certaines réussites !) d'utilisation frauduleuses de CB et de compte. Plusieurs milliers d'euros.
Fait le plus grave :
- Un ordre de virement a été fait via mon "espace client" du site de la banque. Or cela ne vient pas d'un simple piratage de numéro de CB. En effet pour réaliser un ajout de compte bénéficiaire pour virement il faut pouvoir accéder à mon espace client.
Celui-ci nécessite un identifiant et un code. C'est deux éléments sont propres à mon compte bancaire et ne peuvent avoir été piratés ailleurs que directement sur mon pc portable ou éventuellement sur mon téléphone (mais je n'ai utilisé le smartphone qu'une seule fois pour accéder à mon compte).
Le conseiller du service des fraudes m'a dit que le pc devait avoir été infecté par un pirates qui a donc capté les codes.
Donc une seule question mais très importantes et urgentissime :
- Quel utilitaire utiliser pour vérifier (de manière efficace et certaine) mon pc ? (et si possible mon smartphone).

D'avance un grand merci.

[LaDidi21]

@Adam :
Le "conseiller du service des fraudes" est, sûrement, un professionnel de la sécurité informatique Moi, je suis le père Noël !

AutoRuns et Process Explorer sont d'excellents points de départ.
Tu es admin ou pas ?

C'est virtuellement impossible si tu ne sauvegardes pas tes identifiants/mots de passe.
Nettoies les caches/...
Utilise la Navigation Privée.

J'espère que tu n'utilises pas un WiFi public ou non sécurisé.

[Adam]

@Adam :
Le "conseiller du service des fraudes" est, sûrement, un professionnel de la sécurité informatique Moi, je suis le père Noël !

C'est bien pour cela que je m'adresse au père Noël et à ses éventuels petits lutins

AutoRuns et Process Explorer sont d'excellents points de départ.
Tu es admin ou pas ?

Je vais bosser tes liens et reviendrais après.
Tape pas mais ma question va te hérisser les poils : comment fais-je pour te répondre si je suis admin ou pas s'il te plait ?

C'est virtuellement impossible si tu ne sauvegardes pas tes identifiants/mots de passe.
Nettoies les caches/...
Utilise la Navigation Privée.

Ok, j'y penserais pour la navigation sur sites sensibles (banque).

J'espère que tu n'utilises pas un WiFi public ou non sécurisé.

Publique non. Sécurisé > bof bof ? Comment puis je trouver l'info qui répondra précisément à ta question s'il te plait ?

[Adam]

Je viens de lancer AutoRun (64b) et j'ai donc une p***** de liste (onglet "everything") sans fin.
Dois je la publier ici ? Ou bien chercher au préalable une ligne particulière ?

[LaDidi21]

@Adam :
Par défaut, si tu fais rien, tu es ADMIN.
Sinon

Code : Tout sélectionner

Net User le_user_à_vérifier

Si le groupe des administrateurs locaux apparait dans les groupes locaux, tu l'es.

Pour ton WiFi, WPA/WPA2 au niveau de ta box ? Si oui, c'est bon. Si non, tu as ta réponse !

Pour AutoRuns, regarde, d'abord, les onglets : Logon, Explorer, Internet Explorer.
Dans les "Options" / "Scan Options...", check "Verify Code signatures" et "Check VirusTotal.com".

[Adam]

@Adam :
Par défaut, si tu fais rien, tu es ADMIN.
Sinon

Code : Tout sélectionner

Net User le_user_à_vérifier

Si le groupe des administrateurs locaux apparait dans les groupes locaux, tu l'es.

Aprés avoir taper la commande Net user monnomuser : j'ai bien une ligne (vers la bas) :
"Appartient aux groupse locaux : *Administrateurs.

Pour ton WiFi, WPA/WPA2 au niveau de ta box ? Si oui, c'est bon. Si non, tu as ta réponse !

J'ai fait une copie écran. J'ai jamais touché à mon wifi depuis des années.
Si je dois modifier je le ferais.

[Adam]

Pour AutoRuns, regarde, d'abord, les onglets : Logon,

Pour AutoRuns, regarde, d'abord, les onglets : Logon, Explorer, Internet Explorer.
Dans les "Options" / "Scan Options...", check "Verify Code signatures" et "Check VirusTotal.com".

Voici :

[LaDidi21]

@Adam :
Il faudrait connaître les autres options du "mode de sécurité" de ta box. Sinon, c'est correct.

Pour AutoRuns :

• onglet "Explorer" : RAS à part que je ne vois guère intérêt d'utiliser Eraser (d'Heidi)
• onglet "Internet Explorer" : RAS
• onglet "Logon" : RAS à part que je virerai AdobeAAMUpdater et AdobeGCInvoker

Tu as bien fait une copie d'écran de chaque onglet. Il n'y avait pas d'ascenseur ?

Regarde les onglets "Scheduled Tasks", "Services" et "Drrvers".

[Barca]

En principe, mais je ne connais pas tous les modèles employés par les banques françaises, la plupart de temps tu as a rentrer ton numéro de compte puis sur un clavier virtuel qui est modifié à chaque fois ton code.
A moins d'avoir un keylogger sur ton PC, il y a peu de chance de trouver ton code. C'est le minimum. (en principe la sauvegarde du numéro de compte est seule permise) Mais il y a un lien direct en un numéro de compte et une identité. C'est pas sécurisé et à la merci d'un keylogger installé sur ton PC.
Dans d'autres pays, les systèmes sont plus sophistiqués et impliquent souvent un contrat qui affecte à tes comptes un code (donc aucun lien direct avec tes numéros de compte). Par exemple en Suisse, une fois entré le numéro de contrat et le mot de passe (impossible de les sauvegarder dans les navigateurs) la banque génère un Q code en couleur qui doit être lu par ton smartphone dans un logiciel spécifique, le Q code lu dans le smartphone correspond à un code à entrer dans l'interface de la banque. En plus le smartphone doit avoir été auparavant défini dans le compte.

Pour éradiquer un keylogger, essaye Spybot - Search & Destroy https://www.safer-networking.org/products/ et Malwarebytes https://fr.malwarebytes.com/ qui sont particulièrement dédiés aux malware dans lesquels se trouvent les keyloggers.
Un bon antivirus ne suffit en général pas car il y a toujours des nouveautés amis cela réduit les risques. Les deux logiciels cités peuvent fonctionner ensemble, et avec les antivirus.
Tu peux aussi avoir un keylogger hardware installé sur ton Ordi mais pour cela il faut que la personne ai eu un accès physique à ton ordi. Ce peut être un raccord entre le clavier s'il est filaire et le Pc si tu as une tour.
Pour le smartphone, malwarebytes existe aussi et un antivirus est obligatoire. Choisi de préférence un antivirus connu (Norton, Bitedefender ou Kaspersky par exemple ont des suites pour tous les objets électroniques)

[Barca]

@Adam :
Il faudrait connaître les autres options du "mode de sécurité" de ta box. Sinon, c'est correct.

Pour AutoRuns :

• onglet "Explorer" : RAS à part que je ne vois guère intérêt d'utiliser Eraser (d'Heidi)
• onglet "Internet Explorer" : RAS
• onglet "Logon" : RAS à part que je virerai AdobeAAMUpdater et AdobeGCInvoker

Tu as bien fait une copie d'écran de chaque onglet. Il n'y avait pas d'ascenseur ?

Regarde les onglets "Scheduled Tasks", "Services" et "Drrvers".

D'accord avec toi, je ne vois rien que de très normal bien et je virerai aussi Eraser et les 2 Adobe

Il y a aussi plein de vol de données le dernier c'est chez Wish
- Nombre : +1 700 000 comptes
- Adresses mails
- Mots de passe (en clair)
- Identités
- Adresses postales
- Méthodes de paiement (CB/Paypal)
- Montants des factures
- Numéros de suivi colis
- Liens tracking

:: Comptes divers
- +230 000 Gmail
- +46000 .fr
- +6000 .ca
- +3200 .ch
- +3100 .be
- +600 .lu

Contrôler si tes identifiants, mail, mots de passe ont été volés sur https://haveibeenpwned.com/

[Cosmos0059280]

Bonsoir

perso, chez Société Générale , j'ai pris la carte avec cryptogramme arrière dynamique (3 chiffres) qui change tous les +- 30 minutes.
avec Kasperky total Security j'ai le clavier sécurisé en accès mode banque.(antilogger je pense )
Je suppose que tu a immédiatement changé tes codes bancaires le principal "client " ( à demander chez ton banquier ) et le secondaire que l'on change soi même tous le x semaines.
tu n'a pas fait un changement de banque dernièrement ? ou de carte ?


Question que tu a dû te poser : Pire !
est tu sûre de ton entourage ??

a+

[Barca]

Bonsoir

perso, chez Société Générale , j'ai pris la carte avec cryptogramme arrière dynamique (3 chiffres) qui change tous les +- 30 minutes.
avec Kasperky total Security j'ai le clavier sécurisé en accès mode banque.(antilogger je pense )
Je suppose que tu a immédiatement changé tes codes bancaires le principal "client " ( à demander chez ton banquier ) et le secondaire que l'on change soi même tous le x semaines.
tu n'a pas fait un changement de banque dernièrement ? ou de carte ?


Question que tu a dû te poser : Pire !
est tu sûre de ton entourage ??

a+

Il y a un certain retard au niveau des banques en France, ce genre de carte pour moi remonte à une dizaine d'année pour le login sur les plateformes sécurisés de l'établissement ou je travaillais comme responsable de support utilisateur et avec 6 chiffres! et en plus on se connectait par vpn la nuit et le WE. On a ensuite changé pour les empreintes ce qui reste plus difficile à pirater.
Je crois bien que c'est un peu dépassé comme système (bien que ta carte soit surement 3 fois plus fine) dans le concept.
Au niveau bancaire il y a eu aussi la double vérification, puis le générateur de code et les sms sur un smartphone défini au préalable avant de passe au Qcode a scanner. Mais le principal défaut à mon sens des banques françaises c'est de garder comme id pour la plupart le numéro de compte.
Le numéro de compte ne doit pas être l'identifiant mais un numéro de contrat comprenant des chiffres et des lettres, un mot de passe à changer fréquemment avec des obligations (majuscules, chiffres, autres caractères du clavier. longueur minimale....etc), l'entrée de ce mot de passe génère un Qcode à scanner qui donne un code de 6 à 8 chiffres à rentrer dans le site de la banque pour ouvrir le compte. La majorité des banques suisses utilisent ce système à plusieurs niveau de sécurité.
Les credit agricole par exemple utilisent le numéro de compte comme id et une seul niveau c'est a dire une mot de passe (limité à 6 chiffres) bien que le clavier soit virtuel et aléatoire, c'est pour ainsi dir le niveau le plus bas. Pour la SG je ne sais pas, même si le système semble daté, il est déjà un peu plus sécurisé avec le cryptogramme dynamique mais on peut faire mieux.

Si ta banque sur le smartphone utilise les même code que sur les PC..... quelle grossière erreur de sécurité..... Change de banque, le système de connection par smartphone doit être différent et à la place d'un site web la banque doit fournir un application qui lui est propre (pas une web app) avec un mot de passe totalement différent de celui du site bancaire, le smartphone doit avoir été défini dans le logiciel de la banque comme pour le Qcode (pas seulement le numéro mais quel smartphone exactement) L'app doit aussi accepter les empreintes.

[delta-lima]

Ca serait pas plutôt un petit coup de "phishing" ?
Cela reste la méthode la plus efficace en termes de récupération de coordonnées bancaire !

[Adam]

@Adam :
Il faudrait connaître les autres options du "mode de sécurité" de ta box. Sinon, c'est correct.

Pour AutoRuns :

• onglet "Explorer" : RAS à part que je ne vois guère intérêt d'utiliser Eraser (d'Heidi)
• onglet "Internet Explorer" : RAS
• onglet "Logon" : RAS à part que je virerai AdobeAAMUpdater et AdobeGCInvoker

Tu as bien fait une copie d'écran de chaque onglet. Il n'y avait pas d'ascenseur ?

Regarde les onglets "Scheduled Tasks", "Services" et "Drrvers".

@Ladidi ; Eraser je l'avais mis pour effacer totalement des données sur DD externes avant de les jeter. Je vais virer.
Onglet "Logon" comment virer "AdobeAAMUpdater et AdobeGCInvoker" sil te plait ?
- Pas d'ascenseur.

Je mets une copie écrant de l'onglet "Everything" où j'ai vu deux infos en rouge :



@Barca ; Je suis sur portable, donc pas de soucis qu'un truc soit rajouter physiquement. Il est neuf, sorti d'usine, un Dell. Je doute que Dell rajoute des trucs nuisibles en sortie usine.
- Spybot - Search & Destroy et Malwarebytes en version gratuite seront ils suffisants s'il te plait ?
- Merci pour le lien pour vérifier email (https://haveibeenpwned.com/). Je viens de tester et oui " Oh no — pwned! - Pwned on 3 breached sites and found no pastes"
Heureusement que chaque site où je me loggue pour achat a un pass différent (un peu plus de 20 caractères, minuscule+majuscule+chiffre).


@Cosmos0059280 ; pas de changement de banque récent. Mon banquier m'a renvoyé un nouveau pass mais dit qu'il ne peut générer un autre identifiant, celui-ci étant le numéro de compte bancaire.
Tu as raison de suggérer les proches mais en l’occurrence personne, c'est certain, n'a accès à mon pc.


@Barca ; je ne peux changer de banque (petit village). Et oui, effectivement, le Crédit Agricol a un système de protection ras des paquerettes. tout ce que tu as dit est exacte.

@Delta Lima ; non, ce n'est pas du phishing. J'en recois plein par semaine et généralement ils se voient comme un nez au milieu de la figure (Fote de phranssais phar exanpleux).

La banque a bloqué la carte, bloqué les virements, renvoyé un code 6 chiffres pour accès espace client, ré édité une CB.
Mon conseiller (qui est "une" conseillère) doit me rappeler pour fixer rdv et évaluer l'ampleur des dégâts.

La seule piste que j'ai c'est que quelques heures avant piratages j'avais, à la demande du C.A., effectué des entrées de codes via le net. On a vérifié avec eux qu'il ne s'agissait pas de phishing et que les mails venaient bien d'eux.
J'suis pas spécialiste mais j'ai l'impression qu'il doivent avoir une faille quelque part. La conseillère m'a dit qu'elle allait interroger le siège pour savoir s'il avait été victime d'autres arnaques similaires au même moment.
Mais je doute de la sincérité de la réponse.

Merci à tous.

[Adam]

@ Barca ; Malewarebytes installé sur smartphone et pc sur tes conseils.
Je scan et reviens poster résultat.
Sur Smartphone j'ai activé "premium" en essai gratuit un mois et sur le Pc l'offre identique mais en 15 jours..

[Adam]

Résultat du scan sur Pc :
Malwarebytes
www.malwarebytes.com

-Détails du journal-
Date de l'analyse: 14/01/2020
Heure de l'analyse: 11:02
Fichier journal: 06fe938a-36b5-11ea-b198-98e743a0e5a6.json

-Informations du logiciel-
Version: 4.0.4.49
Version de composants: 1.0.793
Version de pack de mise à jour: 1.0.17716
Licence: Essai

-Informations système-
Système d'exploitation: Windows 10 (Build 18362.535)
Processeur: x64
Système de fichiers: NTFS
Utilisateur:PC\xxxxxxxxx

-Résumé de l'analyse-
Type d'analyse: Analyse des menaces
Analyse lancée par: Manuel
Résultat: Terminé
Objets analysés: 297500
Menaces détectées: 3
Menaces mises en quarantaine: 0
Temps écoulé: 1 min, 2 s

-Options d'analyse-
Mémoire: Activé
Démarrage: Activé
Système de fichiers: Activé
Archives: Activé
Rootkits: Désactivé
Heuristique: Activé
PUP: Détection
PUM: Détection

-Détails de l'analyse-
Processus: 0
(Aucun élément malveillant détecté)

Module: 0
(Aucun élément malveillant détecté)

Clé du registre: 3
PUP.Optional.WebDiscoverBrowser, HKU\S-1-5-21-398834359-2906387804-2372385995-1001\SOFTWARE\WebDiscoverBrowser, Aucune action de l'utilisateur, 1689, 253912, 1.0.17716, , ame,
PUP.Optional.WebDiscoverBrowser, HKLM\SOFTWARE\WOW6432NODE\WebDiscoverBrowser, Aucune action de l'utilisateur, 1689, 253915, 1.0.17716, , ame,
PUP.Optional.WebDiscoverBrowser, HKLM\SOFTWARE\WebDiscoverBrowser, Aucune action de l'utilisateur, 1689, 253915, 1.0.17716, , ame,

Valeur du registre: 0
(Aucun élément malveillant détecté)

Données du registre: 0
(Aucun élément malveillant détecté)

Flux de données: 0
(Aucun élément malveillant détecté)

Dossier: 0
(Aucun élément malveillant détecté)

Fichier: 0
(Aucun élément malveillant détecté)

Secteur physique: 0
(Aucun élément malveillant détecté)

WMI: 0
(Aucun élément malveillant détecté)


(end)

[Adam]

Résultat Analyse de Malwarebytes sur smartphone :
259 Applications analysées
4084 Fichiers analysés
Aucun programme malveillant trouvé.


Entre temps la banque m'a appelé pour me dire que cela venait nécessairement de chez moi.
Pour la création d'un ordre de virement sur leur plate-forme ils envoient un SMS avec code pour demande confirmation.
Or je n'ai pas reçu ce code. Donc quelqu'un l'a reçu à ma place et la utilisé pour valider l’ordre de virement.
Flippant...

[Philoudemer]

Résultat Analyse de Malwarebytes sur smartphone :
259 Applications analysées
4084 Fichiers analysés
Aucun programme malveillant trouvé.


Entre temps la banque m'a appelé pour me dire que cela venait nécessairement de chez moi.
Pour la création d'un ordre de virement sur leur plate-forme ils envoient un SMS avec code pour demande confirmation.
Or je n'ai pas reçu ce code. Donc quelqu'un l'a reçu à ma place et la utilisé pour valider l’ordre de virement.
Flippant...

La banque a-t-elle bien ton numéro de portable actuel ?

[Adam]

@ Philoudemer ; Oui.

Entre temps j'ai eu Bouygues au téléphone ; ils ne peuvent rien voir (genre quels sms recu).
De mon côté je suis certain à 1000% de n'avoir rien reçu.

[Barca]

La seule piste que j'ai c'est que quelques heures avant piratages j'avais, à la demande du C.A., effectué des entrées de codes via le net. On a vérifié avec eux qu'il ne s'agissait pas de phishing et que les mails venaient bien d'eux.
J'suis pas spécialiste mais j'ai l'impression qu'il doivent avoir une faille quelque part. La conseillère m'a dit qu'elle allait interroger le siège pour savoir s'il avait été victime d'autres arnaques similaires au même moment.
Mais je doute de la sincérité de la réponse.

C'est eux qui t'on appelé ? Tu t'es fait hameçonner et tu as donné tes infos à un pirate qui a sans doute aussi changé le numéro de tel pour le sms de confirmation pour le versement.
Normalement dans les versements du comptes, tu dois trouver l'historique et sur quel compte l'argent a été versé. Normalement il faut quelques jours avant qu'un versement sur un compte non répertorié soit possible et alors tout transfert se fait sans aucun avertissement sauf si tu a coché avant de faire le versement sur l'envoi de mail.

Entre temps la banque m'a appelé pour me dire que cela venait nécessairement de chez moi.
Pour la création d'un ordre de virement sur leur plate-forme ils envoient un SMS avec code pour demande confirmation.
Or je n'ai pas reçu ce code. Donc quelqu'un l'a reçu à ma place et la utilisé pour valider l’ordre de virement.
Flippant...

C'est la confirmation de ce que je dis plus haut!
Une banque ne dois jamais t'appeler directement, si c'est le cas, tu dois rappeler au numéro normal et demander à parler à la personne qui vient de t'appeler, et ne surtout pas appeler un numéro fourni par la personne qui t'a appelé, c'est souvent un complice qui répond.
Menace le CA de porter plainte contre leur niveau de protection totalement ridicule et piratable par un enfant!
C'est la faille du CA!

Pour se faire rembourser cela va être coton car c'est de ton coté qu'est le problème et bien que le niveau de protection soit minimal, c'est toi qui a fourni les informations au pirate. Tu ne peux que les attaquer sur la conception du site avec le numérode compte comme identifiant.

[Adam]

@ Barca ; en vrac mes réponses :
La conseillère qui m'a appelé je n'ai aucun doute sur son identité ; je connais sa voix et on est dans une petite agence de campagne.
Le phishing me parait curieux car, je le redis, tous les mails reçu étaient bien les leurs, on en retrouve trace dans l'interface client.
Pour le virement curieusement le pirate a entré son rib mais n'aurait rien viré.
Le reste des commandes sur le net (une vingtaine pour un montant à plus de 10 000 euros) ont visiblement toutes été bloquées par le CA car leur plateforme les trouvés douteuses.
D'autre part, pour valider un achat en ligne via CB du CA il faut confirmer lors de l'achat par un code reçu par sms. Or une partie de ces demandes est arrivée sur mon smartphone (ce qui m'a alerté ce WE) et une partie je ne sais ou....
En tout état de cause il paraitrait qu’aucune dépense frauduleuses n'ait été acceptée ce WE par le CA.
J'en suis juste d'une nouvelle CB.

[Barca]

Ok alors tant mieux mais fait remonter les insuffisances du site.

[Cosmos0059280]

bonjour
heureux pour toi cette fin d'histoire !
Tu doit également pouvoir mettre un plafond jour/semaine sur tes comptes CB et chèques pour limiter et bloquer au cas ou ...
prendre un simple second téléphone pour recevoir uniquement tes SMS de transaction ?
Si tu voyage hors de France, signale à ton conseiller au guichet tes dates et pays ou tu te trouvera. (pas de manip depuis ton pc)

a+

[LaDidi21]

@Adam :
Tu peux laisser tomber les 2 processus en rouge.
Pour supprimer, bouton droit de la souris..

[Joselito]

La seule piste que j'ai c'est que quelques heures avant piratages j'avais, à la demande du C.A., effectué des entrées de codes via le net. On a vérifié avec eux qu'il ne s'agissait pas de phishing et que les mails venaient bien d'eux.

As-tu encore ce mail ?
En as-tu examiné l'en-tête en détail ?

[Adam]

@ Ladidi ; ok, merci.

@ Joselito ; oui, jai le mail, bonne adresse, rien a redire. Dans l'en tete, tu parles de ce que l'on lit ou d'infos dans le code source du mail s'il te plait ?

[Joselito]

@Adam,
Par exemple : Quelles informations contiennent les en-têtes d’emails ?
ou https://support.office.com/en-us/articl ... n-US&ad=US

[delta-lima]

Ton histoire me fait penser a une affaire traitée par J COURBET : https://www.rtl.fr/actu/conso/virements ... 7799488971