Le secteur financier est une mine d'or pour les cybercriminels, et chaque client, employé et entité commerciale est une cible potentielle. Les services bancaires en ligne et les applications mobiles ont multiplié les opportunités pour les acteurs de la menace, quel que soit leur niveau de compétence. Ce blog passe en revue trois attaques courantes conçues pour voler de l'argent et des informations par l'intermédiaire d'une institution financière.
Les attaques par hameçonnage
Aucune discussion sur les cyberattaques n'est complète sans mentionner l'hameçonnage. Il s'agit d'une tentative malveillante de voler des informations sensibles en incitant quelqu'un à faire quelque chose. L'attaquant se fait passer pour une entité digne de confiance et demande à la victime potentielle de faire quelque chose, comme réinitialiser un mot de passe, vérifier les détails d'une carte de crédit, etc. Certaines attaques ciblent les clients des banques pour leur permettre d'accéder à leurs comptes financiers. Certaines attaques visent les clients des banques pour accéder à leurs comptes financiers. D'autres visent les employés des banques pour accéder aux systèmes internes de l'entreprise. Quelques exemples :
Une attaque de phishing réussie marque souvent le début d'une autre cybercriminalité. En 2019, le gang russe « Silence » a infiltré la Dutch-Bangla Bank grâce à une campagne d'hameçonnage en plusieurs étapes visant les employés de la banque. Le gang a recueilli des informations sur les cibles par le biais de messages sans logiciels malveillants qui pouvaient ressembler à des messages de marketing de masse ou à des spams. Ces messages électroniques ont été utilisés pour tester la sécurité du système de messagerie et confirmer que les adresses électroniques ciblées étaient valides et fonctionnaient.
Ces données ont aidé le groupe à concevoir la campagne d'hameçonnage qui a permis d'envoyer la pièce jointe chargée de logiciels malveillants. Au moins un employé a ouvert cette pièce jointe et a accidentellement installé le logiciel malveillant sur le réseau de la banque. Les acteurs de la menace Silence ont pu accéder aux systèmes de la banque et voler environ 3 millions de dollars au cours des trois mois suivants.
Les institutions financières devraient maintenir une formation continue à la cybersécurité pour les employés afin de les aider à se défendre contre les attaques de phishing. La protection des courriels avec une sécurité de boîte de réception pilotée par l'IA peut signaler les tentatives de phishing en apprenant les modèles de communication de l'organisation. Ce type de système peut intercepter ou signaler les messages de phishing provenant d'expéditeurs externes et internes, même s'il n'y a pas de pièce jointe ou de lien malveillant.
Les institutions financières proposent généralement des informations spécifiques sur la manière d'identifier et de gérer les cybermenaces. En prenant l'exemple de Chase, vous pouvez voir comment repérer les courriels suspects, comment signaler une fraude, etc. Si vous soupçonnez une attaque de phishing ou si vous en avez été victime, contactez immédiatement votre institution financière et signalez l'incident.
Attaques par ransomware
Les rançongiciels font partie de ces menaces qui causent plusieurs niveaux de dommages à votre entreprise. Pas seulement à vos données ou à votre système informatique, mais à votre marque tout entière :
Chacun de ces événements a un coût pour l'entreprise, qu'il s'agisse du paiement de la rançon, des coûts de reprise informatique ou de la perte d'activité due à l'indisponibilité et à l'altération de la marque.
Il n'est pas nécessaire qu'une banque soit directement touchée par un ransomware pour être perturbée par une attaque. Plus d'une douzaine d'institutions financières dans le monde ont perdu leurs services de change en ligne lorsque le gang du ransomware REvil a frappé Travelex le 31 décembre 2019. Le gang a exigé 6 millions de dollars en échange de la destruction des données sensibles qu'il avait volées à Travelex avant le chiffrement. Le Wall Street Journal a rapporté plus tard que Travelex avait négocié la rançon et payé 2,3 millions de dollars en bitcoins.
Un système complet de gestion des correctifs est l'un des fondements de la cybersécurité et protège votre entreprise contre bien plus que les ransomwares.
Menaces persistantes avancées (APT – Advanced Persistent Threat)
Les APT sont des attaques ciblées par lesquelles des acteurs de la menace accèdent à un réseau et ne sont pas détectés pendant une longue période. Les victimes potentielles sont identifiées et ciblées en fonction de l'objectif de l'attaque. Il peut s'agir d'espionnage, de gains financiers ou de perturbation du système pour des raisons idéologiques ou géopolitiques. Les compétences et les ressources nécessaires pour déployer de telles attaques sont hors de portée des criminels qui comptent sur des gains rapides ou des logiciels malveillants par abonnement. Il s'agit d'attaques à long terme, qui demandent beaucoup de travail et qui sont généralement menées par des acteurs étatiques et des bandes criminelles organisées.
Les APT s'infiltrent dans un système en utilisant tous les moyens possibles, y compris les attaques de phishing, les pièces jointes malveillantes, les exploits et les vulnérabilités, ainsi que les menaces internes. Une attaque APT réussie accomplit plusieurs tâches :
Une attaque sophistiquée peut faire beaucoup plus que cela, ou se contenter d'effectuer une reconnaissance furtive aussi longtemps que possible. Tout dépend de l'objectif de l'attaque.
Des dizaines d'institutions financières ont été ciblées par des acteurs de menaces APT. Le groupe APT français (langue) OPERA1ER est soupçonné d'avoir mené plus de 30 attaques réussies entre 2018 et 2022. Le montant total des vols s'élève à 11 millions de dollars, et les dommages réels subis par les entreprises pourraient atteindre 30 millions de dollars. OPERA1ER cible les banques, les services financiers et les entreprises de télécommunications.
Le groupe Lazarus, parrainé par l'État nord-coréen, a réalisé l'un des plus grands cyber-hélicoptères de l'histoire lors de l'attaque de 2016 contre la banque du Bangladesh. Le logiciel malveillant APT a été développé par le Lazarus Group et diffusé par le biais de courriels d'hameçonnage accompagnés de pièces jointes malveillantes. Une fois installé, le logiciel malveillant a permis au Lazarus Group de créer des portes dérobées, de voler des informations d'identification, de naviguer dans le réseau de la banque et de dissimuler ses traces en modifiant les entrées du journal des transactions. En février 2023, la banque avait récupéré environ 15 millions de dollars sur les 81 millions de dollars dérobés.
Plusieurs couches de sécurité sont nécessaires pour se défendre pleinement contre les attaques APT. Les vecteurs de menace que sont le réseau, les applications et le courrier électronique doivent être protégés contre les intrusions et l'exfiltration de données. Le partage des signaux, la mise à jour des renseignements sur les menaces et la journalisation complète peuvent aider les administrateurs à créer des politiques de sécurité fondées sur les attaques actuelles. Les équipes informatiques pourront ainsi identifier plus rapidement les anomalies du système et éventuellement empêcher une APT de s'implanter dans le réseau.
De nombreuses attaques commencent par un courriel d'hameçonnage, et un système anti-hameçonnage basé sur l'IA devrait être une exigence pour toute organisation financière. Des sauvegardes de données appropriées ne peuvent pas empêcher le vol de données, mais elles peuvent restaurer les données qui ont pu être détruites lors d'une attaque.
Comme pour toute autre cybermenace, les APT peuvent être bloquées ou minimisées grâce à une bonne gestion des correctifs, à la formation des employés à la sécurité et à un plan d'intervention en cas d'incident.
Barracuda peut vous aider
Natrix offre le portefeuille complet de solutions Barracuda pour vous protéger contre le phishing, le ransomware et les attaques APT. Découvrez comment nous pouvons vous aider à protéger votre entreprise sur www.barracuda.com.
Par Christine Barry
Cet article a été initialement publié sur Journey Notes, le blog de Barracuda.
Retour