août 2024

Les banques ont perdu des millions à cause de ces attaques courantes

Le secteur financier est une mine d'or pour les cybercriminels, et chaque client, employé et entité commerciale est une cible potentielle. Les services bancaires en ligne et les applications mobiles ont multiplié les opportunités pour les acteurs de la menace, quel que soit leur niveau de compétence. Ce blog passe en revue trois attaques courantes conçues pour voler de l'argent et des informations par l'intermédiaire d'une institution financière.

Les banques ont perdu des millions à cause de ces attaques courantes

 

Les attaques par hameçonnage

Aucune discussion sur les cyberattaques n'est complète sans mentionner l'hameçonnage. Il s'agit d'une tentative malveillante de voler des informations sensibles en incitant quelqu'un à faire quelque chose. L'attaquant se fait passer pour une entité digne de confiance et demande à la victime potentielle de faire quelque chose, comme réinitialiser un mot de passe, vérifier les détails d'une carte de crédit, etc. Certaines attaques ciblent les clients des banques pour leur permettre d'accéder à leurs comptes financiers. Certaines attaques visent les clients des banques pour accéder à leurs comptes financiers. D'autres visent les employés des banques pour accéder aux systèmes internes de l'entreprise. Quelques exemples :

  • Faux sites bancaires : Une escroquerie classique qui devient de plus en plus sophistiquée. Les pirates créent un faux site web qui reflète le site web légitime d'une banque. La plupart des victimes qui arrivent sur ce site ont reçu un courriel contenant un avertissement urgent concernant une faille de sécurité, une mise à jour du système, un mot de passe expiré, etc. Le lien contenu dans le courriel les a amenées sur ce site de phishing, où elles peuvent résoudre le problème à l'origine de l'avertissement. Les données saisies sur le site sont envoyées à l'attaquant. Protégez-vous de cette escroquerie en vérifiant l'URL d'un site web avant de saisir des informations d'identification et d'autres informations sensibles. La meilleure pratique consiste à se rendre directement sur le site de votre banque en tapant l'URL dans votre navigateur, plutôt que de cliquer sur un lien figurant dans un courriel.

 

  • Les chevaux de Troie bancaires mobiles : Nous avons déjà abordé ces attaques en détail et elles méritent d'être mentionnées ici. Ces attaques sont parmi les plus dangereuses et les plus prolifiques, et les dommages qu'elles causent vont bien au-delà de votre compte bancaire. Pour vous défendre contre ces attaques, comprenez leur fonctionnement et faites preuve de prudence lorsque vous installez une application.

 

  • Fraude par courriel d'entreprise (Business Email Compromise - BEC) : Les attaques BEC sont particulièrement insidieuses car elles s'appuient sur des comptes de messagerie électronique compromis de personnes réelles. Les attaquants utilisent le compte de messagerie légitime d'un cadre pour demander des virements urgents ou des informations sensibles. En utilisant le vrai compte de courrier électronique d'un cadre, l'attaquant peut faire des demandes avec une certaine autorité et intercepter les réponses des destinataires. Cette escroquerie repose sur l'absence de politiques commerciales et de sensibilisation à la sécurité. Assurez-vous que l'entreprise a mis en place des contrôles stricts pour empêcher l'approbation accidentelle de fausses factures, de faux paiements et de virements électroniques.

Une attaque de phishing réussie marque souvent le début d'une autre cybercriminalité. En 2019, le gang russe « Silence » a infiltré la Dutch-Bangla Bank grâce à une campagne d'hameçonnage en plusieurs étapes visant les employés de la banque. Le gang a recueilli des informations sur les cibles par le biais de messages sans logiciels malveillants qui pouvaient ressembler à des messages de marketing de masse ou à des spams. Ces messages électroniques ont été utilisés pour tester la sécurité du système de messagerie et confirmer que les adresses électroniques ciblées étaient valides et fonctionnaient.

Ces données ont aidé le groupe à concevoir la campagne d'hameçonnage qui a permis d'envoyer la pièce jointe chargée de logiciels malveillants. Au moins un employé a ouvert cette pièce jointe et a accidentellement installé le logiciel malveillant sur le réseau de la banque. Les acteurs de la menace Silence ont pu accéder aux systèmes de la banque et voler environ 3 millions de dollars au cours des trois mois suivants.

Les institutions financières devraient maintenir une formation continue à la cybersécurité pour les employés afin de les aider à se défendre contre les attaques de phishing. La protection des courriels avec une sécurité de boîte de réception pilotée par l'IA peut signaler les tentatives de phishing en apprenant les modèles de communication de l'organisation. Ce type de système peut intercepter ou signaler les messages de phishing provenant d'expéditeurs externes et internes, même s'il n'y a pas de pièce jointe ou de lien malveillant.

Les institutions financières proposent généralement des informations spécifiques sur la manière d'identifier et de gérer les cybermenaces. En prenant l'exemple de Chase, vous pouvez voir comment repérer les courriels suspects, comment signaler une fraude, etc. Si vous soupçonnez une attaque de phishing ou si vous en avez été victime, contactez immédiatement votre institution financière et signalez l'incident.

Attaques par ransomware

Les rançongiciels font partie de ces menaces qui causent plusieurs niveaux de dommages à votre entreprise. Pas seulement à vos données ou à votre système informatique, mais à votre marque tout entière :

  • Exfiltration de données : Les rançongiciels envoient des copies de vos données à l'attaquant avant l'opération de chiffrement. Cela permet à l'attaquant d'exiger un paiement en échange de l'interdiction de vendre ou de divulguer les données à des tiers.
  • Chiffrement des données : Le ransomware crypte toutes les données qu'il trouve et l'attaquant demande une rançon en échange du décryptage. La suite dépend de la façon dont l'entreprise s'est préparée à ce type de crime.
  • Arrêt du système : Lorsque des données critiques sont cryptées, les systèmes peuvent être désactivés et devenir inutilisables. Parfois, le temps d'arrêt interfère avec les activités de l'entreprise, parfois il s'agit simplement d'une nuisance en arrière-plan. Quoi qu'il en soit, les temps d'arrêt ont toujours un coût.
  • Atteinte à l'image de marque : Il y a toujours des dommages collatéraux lorsqu'une attaque réussie par ransomware affecte des partenaires, des fournisseurs, des employés ou des clients. Il peut s'agir de leurs données sensibles qui ont été volées, ou ils peuvent simplement se demander s'ils peuvent à nouveau faire confiance à l'entreprise. Parfois, ces dommages sont irréparables.

Chacun de ces événements a un coût pour l'entreprise, qu'il s'agisse du paiement de la rançon, des coûts de reprise informatique ou de la perte d'activité due à l'indisponibilité et à l'altération de la marque.

Il n'est pas nécessaire qu'une banque soit directement touchée par un ransomware pour être perturbée par une attaque. Plus d'une douzaine d'institutions financières dans le monde ont perdu leurs services de change en ligne lorsque le gang du ransomware REvil a frappé Travelex le 31 décembre 2019. Le gang a exigé 6 millions de dollars en échange de la destruction des données sensibles qu'il avait volées à Travelex avant le chiffrement. Le Wall Street Journal a rapporté plus tard que Travelex avait négocié la rançon et payé 2,3 millions de dollars en bitcoins.

Un système complet de gestion des correctifs est l'un des fondements de la cybersécurité et protège votre entreprise contre bien plus que les ransomwares.

Menaces persistantes avancées (APT – Advanced Persistent Threat)

Les APT sont des attaques ciblées par lesquelles des acteurs de la menace accèdent à un réseau et ne sont pas détectés pendant une longue période. Les victimes potentielles sont identifiées et ciblées en fonction de l'objectif de l'attaque. Il peut s'agir d'espionnage, de gains financiers ou de perturbation du système pour des raisons idéologiques ou géopolitiques. Les compétences et les ressources nécessaires pour déployer de telles attaques sont hors de portée des criminels qui comptent sur des gains rapides ou des logiciels malveillants par abonnement. Il s'agit d'attaques à long terme, qui demandent beaucoup de travail et qui sont généralement menées par des acteurs étatiques et des bandes criminelles organisées.

Les APT s'infiltrent dans un système en utilisant tous les moyens possibles, y compris les attaques de phishing, les pièces jointes malveillantes, les exploits et les vulnérabilités, ainsi que les menaces internes. Une attaque APT réussie accomplit plusieurs tâches :

  • Reconnaissance du réseau : L'exploration et l'étude d'un réseau est l'une des tâches les plus importantes de l'APT, car l'attaquant peut utiliser ces informations pour amplifier l'attaque. C'est l'une des raisons pour lesquelles la segmentation du réseau est si importante pour la sécurité. Les mouvements latéraux à travers le réseau sont divisés en sections plus petites qui sont contenues par des frontières sécurisées.
  • Éviter la détection : Les APT savent se cacher, c'est pourquoi il s'agit de menaces « persistantes ». Elles peuvent effacer leurs traces en supprimant les journaux, en modifiant l'horodatage et en utilisant d'autres techniques qui les rendent plus difficiles à trouver.
  • L'escalade des privilèges : Les APT tentent toujours d'obtenir les autorisations les plus élevées possibles sur le réseau. Plusieurs méthodes peuvent être utilisées à cette fin, notamment des tactiques d'ingénierie sociale basées sur des informations obtenues lors de la reconnaissance du réseau.
  • Création de portes dérobées : Les acteurs de la menace créent des moyens supplémentaires d'entrer dans un réseau afin de pouvoir accéder au système à leur guise. Ces portes dérobées peuvent rester en place sur un réseau pendant des mois ou des années après la violation initiale.
  • Exfiltration de données : Les APT siphonnent les données du système d'une victime lorsque l'acteur de la menace estime qu'il est possible de le faire en toute sécurité. La reconnaissance du réseau aide l'attaquant à déterminer l'emplacement, la valeur et la meilleure méthode d'extraction.
  • Installation de logiciels malveillants : Les APT utilisent souvent des logiciels malveillants supplémentaires pour faciliter l'attaque. Un voleur d'informations peut être déployé juste assez longtemps pour capturer des informations d'identification, ou un rançongiciel peut être installé au moment où l'attaquant s'en va. L'utilisation de logiciels malveillants de cette manière permet aux développeurs de se concentrer sur les fonctions essentielles de leur APT et de ne pas perdre de temps à créer un logiciel malveillant surdimensionné qu'il serait plus difficile de dissimuler.

Une attaque sophistiquée peut faire beaucoup plus que cela, ou se contenter d'effectuer une reconnaissance furtive aussi longtemps que possible. Tout dépend de l'objectif de l'attaque.

Des dizaines d'institutions financières ont été ciblées par des acteurs de menaces APT. Le groupe APT français (langue) OPERA1ER est soupçonné d'avoir mené plus de 30 attaques réussies entre 2018 et 2022. Le montant total des vols s'élève à 11 millions de dollars, et les dommages réels subis par les entreprises pourraient atteindre 30 millions de dollars. OPERA1ER cible les banques, les services financiers et les entreprises de télécommunications.

Le groupe Lazarus, parrainé par l'État nord-coréen, a réalisé l'un des plus grands cyber-hélicoptères de l'histoire lors de l'attaque de 2016 contre la banque du Bangladesh. Le logiciel malveillant APT a été développé par le Lazarus Group et diffusé par le biais de courriels d'hameçonnage accompagnés de pièces jointes malveillantes. Une fois installé, le logiciel malveillant a permis au Lazarus Group de créer des portes dérobées, de voler des informations d'identification, de naviguer dans le réseau de la banque et de dissimuler ses traces en modifiant les entrées du journal des transactions. En février 2023, la banque avait récupéré environ 15 millions de dollars sur les 81 millions de dollars dérobés.

Plusieurs couches de sécurité sont nécessaires pour se défendre pleinement contre les attaques APT. Les vecteurs de menace que sont le réseau, les applications et le courrier électronique doivent être protégés contre les intrusions et l'exfiltration de données. Le partage des signaux, la mise à jour des renseignements sur les menaces et la journalisation complète peuvent aider les administrateurs à créer des politiques de sécurité fondées sur les attaques actuelles. Les équipes informatiques pourront ainsi identifier plus rapidement les anomalies du système et éventuellement empêcher une APT de s'implanter dans le réseau.

De nombreuses attaques commencent par un courriel d'hameçonnage, et un système anti-hameçonnage basé sur l'IA devrait être une exigence pour toute organisation financière. Des sauvegardes de données appropriées ne peuvent pas empêcher le vol de données, mais elles peuvent restaurer les données qui ont pu être détruites lors d'une attaque.

Comme pour toute autre cybermenace, les APT peuvent être bloquées ou minimisées grâce à une bonne gestion des correctifs, à la formation des employés à la sécurité et à un plan d'intervention en cas d'incident.

Barracuda peut vous aider

Natrix offre le portefeuille complet de solutions Barracuda pour vous protéger contre le phishing, le ransomware et les attaques APT. Découvrez comment nous pouvons vous aider à protéger votre entreprise sur www.barracuda.com.

Par Christine Barry

Cet article a été initialement publié sur Journey Notes, le blog de Barracuda.

Lien vers l'article original

Retour