Les banques BMO et Simplii avertissent que des attaquants pourraient avoir subtilisé les données de clients

Gabrielle Ladouceur Despins

Deux banques canadiennes, soit la Banque de Montréal (BMO) et Simplii Financial– une filiale de la (CIBC) – ont annoncé que des cybercriminels prétendent avoir utilisé une brèche de sécurité pour voler les données de jusqu’à 90 000 clients.

Les deux institutions financières ont chacune publiée un communiqué de presse présentant la situation. Dans les deux cas, les circonstances relatées sont assez proches. Les deux entreprises expliquent avoir reçu, le dimanche 27 mai, un message provenant de cybercriminels.

« Nous prenons cette allégation au sérieux et nous avons pris des mesures afin d’améliorer nos processus de surveillance et de sécurité », a affirmé Michael Martin, premier vice-président, Simplii Financial. « Nous sommes d’avis qu’il est important que nos clients soient au courant de cette fraude potentielle afin qu’ils puissent eux aussi prendre des mesures pour protéger leurs renseignements. »

Quant à la BMO, l’entreprise souligne qu’elle communique : « façon proactive avec les clients dont les comptes pourraient avoir été touchés et nous nous engageons à les soutenir et à les aider. » L’entreprise ajoute prendre au sérieux la protection de la vie privée de sa clientèle et mettre en place des processus de sécurité.

« Nous menons une enquête approfondie», a affirmé le porte-parole Paul Gammal dans une déclaration transmise lundi.
« Nous avons pris connaissance d’affirmations non vérifiées selon lesquelles les données personnelles et financières de clients auraient pu être consultées par un fraudeur et une menace a été formulée pour le rendre public », a-t-il expliqué. La banque n’a pas précisé si l’agresseur avait demandé de l’argent.

Par ailleurs, CBC rapporte que plusieurs médias canadiens ont reçu une lettre, menaçant de vendre l’information à des criminels, à moins que les banques ne paient pas une rançon de 1 million de dollars.
« Les criminels utiliseront Simplii et les renseignements sur les clients de BMO pour faire une demande de crédit pour des produits en utilisant le numéro d’assurance sociale, la date de naissance et tous les autres renseignements personnels », peut-on lire dans la lettre.

Ce message aux médias se terminait par un échantillon des informations bancaires et de connexion d’un homme de l’Ontario et d’une femme vivant en Colombie-Britannique. Cette dernière a confirmé à CBC que l’information contenue dans le courriel, qui comprenait également les réponses à ses trois questions de sécurité, était exacte.

Les institutions fédérales sont aussi impliquées pour faire face à cette brèche de sécurité. Ainsi, le ministre des Finances, Bill Morneau, s’est entretenu avec les dirigeants des institutions concernées, selon la porte-parole du ministère, Jocelyn Sweet. « Nous surveillons de près la situation avec le Bureau du surintendant des institutions financières », souligne-t-elle. « La situation est étudiée par les institutions, en collaboration avec les forces de l’ordre. »

Le Commissariat à la protection de la vie privée a de plus indiqué lundi que la BMO et Simplii l’avaient avisé du dossier. «Nous travaillons avec les organisations pour mieux comprendre ce qui s’est passé et ce qu’elles font pour atténuer la situation», a déclaré la porte-parole Valerie Lawton par courrier électronique. «À ce stade, nous sommes en contact avec les entreprises, mais nous n’avons pas ouvert d’enquête formelle.»

Radio-Canada souligne que les services de la banque virtuelle Simplii ne sont pas offerts au Québec. Ainsi, rien n’indique pour l’instant que des clients de la CIBC sont touchés.

Les clients des deux entreprises devraient, comme c’est toujours le cas suite à une brèche de sécurité, adopter certaines mesures de sécurité particulières, notamment :

·         surveiller leurs comptes pour repérer des signes d’activité inhabituelle;

·         modifier l’ensemble des mots de passe qui pourraient avoir été compromis (raison de plus d’utiliser des informations d’identifications uniques pour chaque compte ou service!);

·         se méfier des tentatives d’hameçonnage par courrier électronique ou par téléphone;

o    En cas de doutes, contacter directement l’entreprise visée.

74 people arrested in US-led crackdown on email scams

Tomáš Foltýn

The international effort to disrupt Business Email Compromise (BEC) schemes also resulted in the seizure of nearly $2.4 million and the recovery of around $14 million in fraudulent wire transfers

The United States’ federal authorities on Monday announced the arrests of 74 people on three continents for their alleged roles in large-scale Business Email Compromise (BEC) schemes, according to announcements by the US Department of Justice and the Federal Bureau of Investigation (FBI).

Forty-two people were detained in the US, 29 in Nigeria, and three in Canada, Mauritius, and Poland following a coordinated international effort called Operation WireWire. The operation was conducted over six months before leading to a wave of arrests over a span of more than two weeks.

In a typical BEC scenario, a criminal uses various techniques, including computer intrusions and social engineering, to dupe a company employee into carrying out a transfer of funds. The victim labors under the impression that the funds are being sent to a trusted business partner, but instead the money ends up in a bank account controlled by the scammers.

The individuals charged in the WireWire operation are believed to have participated in international criminal organizations that defrauded small- to large-sized businesses, as well as individual victims, who were duped into transferring high-dollar amounts or sensitive records.

A number of those arrested are “money mules” who, whether acting as witting or unwitting accomplices, were recruited to receive funds from the victims and to wire them as directed by the fraudsters. These money launderers get to keep a small cut of the proceeds in exchange for their “trouble”.

“This operation demonstrates the FBI’s commitment to disrupt and dismantle criminal enterprises that target American citizens and their businesses,” FBI Director Christopher A. Wray was quoted as saying. “We will continue to work together with our law enforcement partners around the world to end these fraud schemes and protect the hard-earned assets of our citizens. The public we serve deserves nothing less.”

The US Department of Homeland Security, Department of the Treasury and the Postal Inspection Service, as well as law enforcement in Nigeria, Poland, Canada, Mauritius, Indonesia, and Malaysia, also contributed to the operation.

The FBI recently announced that the reported loss totals for victims of BEC fraud and its variation known as Email Account Compromise (EAC) fraud topped $676 million last year.

https://www.welivesecurity.com/2018/06/12/74-arrested-us-led-crackdown-email-scams/?utm_source=feedburner&utm_medium=email&utm_campaign=Feed%3A+eset%2Fblog+%28ESET+Blog%3A+We+Live+Security%29