Barracuda full logo

Les banques ont perdu des millions à cause de ces attaques répandues

Thèmes:
3 juil. 2023
|
Christine Barry

Le secteur financier est une mine d’or pour les cybercriminels, et chaque client, employé et entité commerciale est une cible potentielle. Les services bancaires en ligne et les applications mobiles ont multiplié les opportunités pour les pirates, quel que soit leur niveau de compétence. Cet article passe en revue trois attaques courantes conçues pour voler de l’argent et des informations par l’intermédiaire d’une institution financière.

Attaques par hameçonnage

Aucune réflexion sur les cyberattaques n’est complète sans mentionner le phishing. Il s’agit d’une tentative malveillante de voler des informations sensibles en incitant quelqu’un à faire quelque chose. Le pirate se fait passer pour une entité digne de confiance et demande à la victime potentielle d’effectuer une action, comme réinitialiser un mot de passe, vérifier les informations d’une carte de crédit, etc. Certaines attaques visent les clients des banques afin d’accéder à leurs comptes financiers. D’autres peuvent cibler les employés de banque pour accéder aux systèmes internes de l’entreprise. En voici quelques exemples :

Faux sites bancaires : un scam classique qui devient de plus en plus sophistiqué. Les pirates créent un faux site web qui est une copie du véritable site web d’une banque. La plupart des victimes qui consultent ce site ont reçu un e-mail contenant un avertissement urgent concernant une faille de sécurité, une mise à jour du système, un mot de passe expiré, etc. Le lien contenu dans l’e-mail les conduit à ce site web de phishing, où ils sont invités à résoudre le problème à l’origine de l’avertissement. Quelles que soient les données saisies sur le site, elles sont envoyées au pirate.  

Protégez-vous de ces scams en vérifiant l’URL d’un site web avant d’entrer vos identifiants et d’autres informations sensibles. La best practice consiste à se rendre directement sur le site de votre banque en saisissant l’URL dans votre navigateur, plutôt que de cliquer sur un lien figurant dans un e-mail.

Chevaux de Troie bancaires mobiles : nous avons déjà évoqué longuement ces attaques, et il convient également de les mentionner ici. Ces attaques sont parmi les plus dangereuses et les plus prolifiques, et les dommages qu’elles causent ne se limitent pas à votre compte en banque. Pour se défendre contre ces attaques, il faut comprendre leur fonctionnement et faire preuve de prudence lors de l’installation d’une application.

Fraude Business Email Compromise (BEC) : les attaques BEC sont particulièrement sournoises, car elles exploitent des comptes e-mail compromis appartenant à de véritables personnes. Les pirates utilisent le compte e-mail légitime d’un cadre pour demander des virements bancaires urgents ou des informations sensibles. En utilisant le vrai compte e-mail du véritable responsable, le pirate peut formuler des demandes avec une certaine autorité et intercepter les réponses des destinataires.

Ce scam résulte de l’absence de politiques d’entreprise et de sensibilisation à la sécurité. Assurez-vous que votre entreprise a mis en place des contrôles stricts afin d’empêcher l’approbation accidentelle de fausses factures, de faux paiements et de faux virements électroniques.

Une attaque par phishing réussie annonce souvent une autre forme de cybercriminalité. En 2019, le gang russophone « Silence » a infiltré la Dutch-Bangla Bank par le biais d’une campagne de phishing en plusieurs étapes ciblant les employés de la banque. Le gang a recueilli des informations sur les cibles par le biais de messages exempts de malwares qui pouvaient ressembler à des messages de marketing de masse ou à des spams. Ces e-mails ont été utilisés pour tester la sécurité du système d’e-mail et pour confirmer que les adresses e-mail ciblées étaient valides et actives.

Ces données ont aidé le groupe à concevoir la campagne de phishing qui a permis d’envoyer une pièce jointe contenant un malware. Au moins un employé a ouvert cette pièce jointe et a accidentellement installé le malware sur le réseau de la banque. Les pirates de Silence ont pu accéder aux réseaux bancaires et voler environ 3 millions de dollars au cours des trois mois qui ont suivi.

Les institutions financières doivent assurer la formation continue de leurs employés à la cybersécurité afin de les aider à se défendre contre les attaques par phishing. La protection des e-mails grâce à une boîte de réception sécurisée par l’IA peut signaler les tentatives de phishing en étudiant les habitudes de communication de l’entreprise. Ce type de système peut intercepter ou signaler les messages de phishing provenant d’expéditeurs externes et internes, même en l’absence de pièce jointe ou de lien malveillant.

Les institutions financières proposent généralement des informations spécifiques sur la manière d’identifier et de faire face aux cybermenaces. En prenant Chase comme exemple, vous pouvez découvrir comment détecter les e-mails suspects, comment signaler une fraude, etc. Si vous soupçonnez une attaque par phishing ou si vous avez été victime d’une attaque, contactez immédiatement votre établissement bancaire et signalez l’incident.

Attaques par ransomware

Les ransomwares font partie de ces menaces qui causent plusieurs niveaux de préjudices à votre entreprise. Ils ne se limitent pas à vos données ou à votre système informatique, ils touchent votre marque dans son ensemble :

Exfiltration de données : un ransomware envoie des copies de vos données au pirate avant le chiffrement. Cela permet au pirate d’exiger un paiement en échange de la non-vente ou de la non-divulgation des données à des tiers.

Chiffrement des données : le ransomware chiffre toutes les données qu’il trouve, et le pirate demande une rançon en échange de la clé de déchiffrement. La suite dépend de la façon dont l’entreprise a été sensibilisée à ce type de délit.

Temps d’arrêt du système : lorsque les données sensibles sont chiffrées, les systèmes peuvent être désactivés et devenir inutilisables. Parfois, les temps d’arrêt interfèrent avec les activités de l’entreprise, parfois, ils ne représentent qu’une nuisance en arrière-plan. Dans tous les cas, les temps d’arrêt ont toujours un coût.

Atteinte à l’image de la marque : il y a toujours des dommages collatéraux lorsqu’une attaque par ransomware réussie touche des partenaires, des fournisseurs, des employés ou des clients. Il peut s’agir du vol de leurs données sensibles ou simplement de la question de savoir s’ils peuvent à nouveau faire confiance à l’entreprise. Parfois, ces préjudices sont irréversibles.

Chacun de ces événements a un coût pour l’entreprise, qu’il s’agisse du paiement d’une rançon, des coûts de restauration du système informatique ou de la perte d’activité due au temps d’arrêt et à l’atteinte à l’image de marque. 

Une banque n’a pas besoin de subir directement les effets d’un ransomware pour se trouver perturbée par une attaque. Plus d’une douzaine d’institutions financières dans le monde ont été privées de leurs services de change en ligne lorsque le ransomware REvil a frappé Travelex le 31 décembre 2019. Le gang a exigé 6 millions de dollars en échange de la destruction des données sensibles qu’il avait volées à Travelex avant le chiffrement. Le Wall Street Journal a ensuite déclaré que Travelex avait négocié une rançon et payé 2,3 millions de dollars en bitcoins.  

Un système complet de gestion des correctifs est un pilier de la cybersécurité. Il protège votre entreprise contre de nombreux risques, et pas seulement les ransomwares.

Menaces persistantes avancées (APT)

Les APT (« Advanced Persistent Threats ») sont des attaques ciblées par lesquelles des pirates accèdent à un réseau et ne sont pas détectés pendant une longue période. Les victimes potentielles sont identifiées et ciblées en fonction de l’objectif de l’attaque. Il peut s’agir d’espionnage, de gain financier ou de perturbations des systèmes pour des motifs idéologiques ou géopolitiques. Les compétences et les ressources nécessaires pour déployer de telles attaques sont hors de portée des criminels qui sont à la recherche de bénéfices rapides et qui dépendent de malwares accessibles par abonnement. Il s’agit d’attaques de longue durée, nécessitant une forte main-d’œuvre, et elles sont généralement menées par des acteurs étatiques et des organisations criminelles.

Les APT pénètrent un système par tous les moyens possibles : attaques par phishing, pièces jointes malveillantes, exploits, vulnérabilités et menaces internes.Une attaque APT réussie exécute plusieurs tâches :

La reconnaissance du réseau : l’exploration et l’étude d’un réseau est l’une des tâches les plus importantes de l’APT, car le pirate peut utiliser ces informations pour renforcer son attaque. C’est l’une des raisons pour lesquelles la segmentation du réseau est si importante pour la sécurité. Les mouvements latéraux dans le réseau sont divisés en plus petites sections qui sont délimitées par des frontières sécurisées.

Éviter d’être détecté : les APT savent se dissimuler, c’est pourquoi il s’agit de menaces « persistantes ». Elles peuvent effacer leurs traces en supprimant les journaux, en modifiant les horodatages et en utilisant d’autres techniques qui rendent leur détection plus ardue.

L’élévation des privilèges : les APT tentent toujours d’obtenir les autorisations les plus élevées possibles pour le réseau. Plusieurs méthodes peuvent être utilisées à cette fin, notamment des tactiques de social engineering basées sur des informations recueillies lors de la reconnaissance du réseau.

Établir des backdoors : les pirates mettent en place des passerelles supplémentaires vers un réseau afin de pouvoir y accéder à leur guise. Ces backdoors peuvent rester en place sur un réseau pendant des mois ou des années après la violation initiale.

L’exfiltration de données : les APT extraient des données du système d’une victime lorsque le pirate estime qu’il est possible de le faire en toute sécurité. La reconnaissance du réseau permet au pirate de déterminer l’emplacement et la valeur de l’extraction et la meilleure méthode pour l’effectuer.

L’installation de malwares : les APT utilisent souvent des malwares supplémentaires pour faciliter les attaques. Un infostealer peut être déployé suffisamment longtemps pour capturer des identifiants, ou un ransomware pourrait être installé lorsque le pirate s’apprête à disparaître. Une telle utilisation des malwares permet aux développeurs de se concentrer sur les fonctions essentielles de leur APT et de ne pas perdre de temps à créer un malware trop volumineux qu’il serait plus difficile de dissimuler.

Une attaque sophistiquée peut faire beaucoup plus que cela, ou se contenter d’effectuer une reconnaissance discrète pendant une durée aussi prolongée que possible. Cela dépend de l’objectif de l’attaque.

Des dizaines d’institutions financières ont été ciblées par des pirates qui utilisaient les APT. Le groupe APT francophone OPERA1ER est soupçonné d’avoir mené plus de 30 attaques réussies entre 2018 et 2022. Le montant total des vols s’élève à 11 millions de dollars et les préjudices réels subis par les entreprises pourraient s’élever à 30 millions de dollars. OPERA1ER cible les banques, les services financiers et les entreprises de télécommunications.

Le groupe Lazarus, parrainé par l’État nord-coréen, a réalisé l’un des plus grands exploits cybernétiques en attaquant la banque du Bangladesh en 2016. Le malware APT a été développé par le Lazarus Group et diffusé au moyen d’e-mails de phishing accompagnés de pièces jointes malveillantes.  Une fois installé, le malware a permis à Lazarus Group de créer des backdoors, de voler des identifiants, de naviguer au sein du réseau de la banque et de brouiller les pistes en modifiant les entrées du journal des transactions.  En février 2023, la banque avait récupéré environ 15 millions de dollars sur les 81 millions de dollars dérobés.

De multiples niveaux de sécurité sont nécessaires pour se défendre efficacement contre les attaques APT. Les vecteurs de menace que sont le réseau, les applications et les e-mails doivent être sécurisés par une protection contre les intrusions et l’exfiltration de données. Le partage des signaux, la mise à jour des informations sur les menaces et la journalisation complète peuvent aider les administrateurs à élaborer des politiques de sécurité qui tiennent compte des attaques actuelles. Les équipes informatiques pourront ainsi identifier plus rapidement les anomalies du système et éventuellement empêcher une APT de pénétrer le réseau.

De nombreuses attaques commencent par un e-mail de phishing, et un système anti-phishing basé sur l’IA devrait être obligatoire pour tout établissement financier.  Des backups de données appropriés ne peuvent pas empêcher le vol de données, mais ils peuvent restaurer les données qui ont été détruites lors d’une attaque.

Comme pour toute autre cybermenace, les APT peuvent être bloquées ou minimisées grâce à une bonne gestion des correctifs, à la formation des employés à la sécurité et à une stratégie de réponse aux incidents.

Vous pouvez compter sur Barracuda

Barracuda dispose d’un éventail complet de solutions pour vous protéger contre les attaques par phishing, ransomwares et APT. Découvrez comment nous pouvons vous aider à protéger votre entreprise sur www.barracuda.com.

 

 

Christine Barry

Christine Barry est Senior Chief Blogger et Social Media Manager chez Barracuda.  Avant de rejoindre Barracuda, Christine a été ingénieure de terrain et chef de projet dans l'éducation et auprès de PME pendant plus de 15 ans. Elle est titulaire de plusieurs diplômes en technologie et en gestion de projet, d'un "Bachelor of Arts" et d'un "Master of Business Administration".Elle est diplômée de l'université du Michigan.

Connectez-vous avec Christine sur LinkedIn.

Billets associés :
Confronting the Dark Side of GenAI: Recommendations for business leaders, CISOs and security teams
Confronting the Dark Side of GenAI: Recommendations for business leaders, CISOs and security teams
 The SOC case files: Akira ransomware turns victim’s remote management tool on itself
The SOC case files: Akira ransomware turns victim’s remote management tool on itself
 Cyber crooks getting younger — and more dangerous
Cyber crooks getting younger — and more dangerous
Lazarus Group: A criminal syndicate with a flag
Lazarus Group: A criminal syndicate with a flag
Rechercher dans le blog

Rapport 2025 sur les ransomwares

Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier

Recevez le rapport d'enquête

S’abonner au blog de Barracuda.

Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée 

Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter

REGARDER LE WEBINAIRE

Abonnez-vous pour recevoir les nouvelles à connaître sur les menaces, des commentaires sur notre domaine d’activité et bien plus encore.

Recevez directement dans votre boîte de réception toutes les dernières nouvelles, avec nos actualités sur les recherches et nos analyses.