Notes d'Experts

Retrouvez l'ensemble des Notes d'Expert

Cyberbraquages : comment les banques peuvent elles lutter contre ce fléau ?

Lorsque l'on demandait au criminel Willie Sutton pourquoi il ciblait spécifiquement les banques, il répondait : « Parce que c'est là où se trouve l'argent. » Il n'est donc pas surprenant que le nombre de cyberattaques menées contre les banques a augmenté au cours des deux dernières années. Comme toute entreprise légitime, les criminels doivent parfois changer de modèle économique lorsque leurs méthodes et processus ne sont plus aussi efficaces ou rentables qu'ils l'étaient auparavant. En 2015 et en 2016, on note que les criminels ont intensifié leurs attaques de logiciels rançonneurs, tout en réduisant leur recours aux chevaux de Troie bancaires et aux emails de phishing. Il est facile de comprendre pourquoi : les logiciels rançonneurs permettent aux criminels de dérober plus intelligemment, et plus facilement.

 

Le pillage de comptes bancaires en ligne était autrefois simple comme bonjour : il suffisait de conduire les internautes vers une copie d'apparence authentique d'un site de banque en ligne, capturer leurs identifiants de connexion, puis se connecter aux véritables sites pour transférer des fonds vers les comptes de mules. Les agresseurs doivent désormais composer avec l'authentification à 2 facteurs et se connecter au site de la banque à partir des appareils reconnus des utilisateurs. Les transferts de fonds peuvent déclencher des systèmes antifraude qui bloquent les transferts et gèlent les comptes. Les agresseurs doivent également personnaliser les contenus pour ressembler plus fidèlement au site web de chaque banque cible, ce qui rend les détournements plus difficiles via ces approches. Les criminels se sont alors tournés vers des attaques contre les systèmes et les réseaux internes des banques, comme nous avons pu le constater lors de trois attaques cette année.

 

Des attaques audacieuses

L'un des incidents les plus notables a eu lieu plus tôt cette année, lorsque 81 millions de dollars ont été dérobés auprès de la Banque du Bangladesh via une attaque contre le système de messagerie financière SWIFT. L'attaque a été effectivement identifiée lorsque Deutsche Bank a repéré une erreur suspecte dans une demande de transfert et a émis une alerte. Sans cette découverte, les criminels auraient pu détourner 951 millions de dollars. Cette attaque sophistiquée, qui a utilisé une combinaison de renseignements internes et de logiciels malveillants spécialement conçus, souligne à quel point les pirates étaient insidieux et patients. Cette attaque n’était qu’une des plus importantes dans la série qui a ciblé des vulnérabilités dans le réseau SWIFT en 2016.

 

 

Plus récemment, Tesco Bank a été contraint de verser 2,5 millions de livres à ses clients, suite à des détournements d'argent sur environ 20 000 comptes. L'analyse initiale suggère qu'il s'agissait d'une fuite interne. Un employé ou un sous-traitant possédant des droits élevés aurait dérobé les informations des comptes des clients. Encore une fois, plutôt que dérober les informations auprès des titulaires de comptes individuels, les agresseurs sont allés directement à la source.

 

En novembre 2016, un nouveau logiciel malveillant ciblant des distributeurs a été découvert. Il force les distributeurs à fournir de l'argent à la demande. On pense que ce logiciel malveillant se propage à travers les systèmes centraux des banques depuis un serveur de commande et de contrôle central, pour infecter simultanément des groupes entiers de distributeurs automatiques de billets. Plusieurs banques à travers l'Europe ont été touchées.

 

Prévention avancée des menaces : trois principes

La nature de ces attaques souligne la nécessité d'une prévention avancée des menaces pour stopper les attaques et empêcher les logiciels malveillants associés de s'implanter. Elle doit être renforcée par des analyses automatisées des attaques sur les postes des utilisateurs, pour apporter aux équipes de sécurité une visibilité sur les incidents au moment où ils se produisent et fournir des renseignements utilisables pour stopper les infections avant qu'elles ne se propagent. L'enquête de Verizon sur les fuites de données en 2016 révèle que dans plus de 80 % des incidents, il ne faut que quelques minutes pour qu'une attaque initiale réussisse, alors qu'il faut des jours voire des semaines pour la détecter. Il est donc essentiel d'empêcher les infections de s'implanter dans les réseaux en premier lieu.

 

Prévention des menaces de nouvelle génération

Les solutions de prévention des menaces de nouvelle génération peuvent stopper les nouveaux logiciels malveillants inconnus, grâce à des technologies de bac à sable avancé. Elles fournissent un environnement sûr à l'extérieur de votre réseau pour imiter un poste et examiner le trafic, afin que les fichiers contenant des logiciels malveillants soient bloqués avant qu'ils n'entrent dans le réseau. Les solutions de désinfection de documents renforcent encore les défenses en supprimant le code actif, tel que les macros, des fichiers et des documents entrants pour désamorcer les actions malveillantes cachées. Cette technique de désinfection est particulièrement importante pour bloquer la dernière génération de logiciels rançonneurs, qui utilise des macros pour contourner les défenses conventionnelles et télécharger le code malveillant de chiffrement, et ainsi l'empêcher d'atteindre et d'infecter des postes pour se propager dans le réseau. Ces techniques renforcent d'autant les défenses reposant sur des signatures existantes. Elles apportent aux entreprises des moyens de stopper les attaques de logiciels malveillants inconnus en constante évolution, au lieu d'essayer de contenir les attaques une fois qu'elles ont déjà pris pied.

 

Défenses intelligentes sur les appareils

Une approche de prévention plutôt que de détection est particulièrement pertinente pour les appareils connectés, comme le soulignent les attaques DDoS à grande échelle récentes exploitant des appareils intelligents infectés. Compte tenu de la quantité croissante d'appareils se connectant aux réseaux des entreprises, y compris des appareils photo, des imprimantes et des télécopieurs, une simple approche de détection ne permet pas de sécuriser efficacement un réseau. Par exemple, une stratégie de détection pourrait laisser une infection entrer dans un réseau via un téléviseur intelligent, alors qu'une approche préventive bloque les logiciels malveillants avant qu'ils n'atteignent le réseau, notamment en isolant soigneusement ces appareils du réseau principal à l'aide d'un pare-feu. Cela empêche les infections de se propager, en coupant les sources d'infection et en empêchant les appareils intelligents de participer à des attaques de déni de service distribué (DDoS).

 

Sensibilisation et formation

La plupart des grandes cyberattaques réussies contre les entreprises débutent par une phase d'ingénierie sociale, telle que l'attaque récente de « chasse à la baleine » qui a coûté 45 millions de dollars à un fabricant européen. Les attaques de phishing sophistiquées peuvent être extrêmement convaincantes, incitant les employés à divulguer des identifiants de connexion ou des données personnelles. Armés de ces identifiants légitimes, les cybercriminels bénéficient d'une totale liberté de mouvement sur une grande partie du réseau de l'entreprise, sans laisser de trace ni de signe d'activité malveillante. Cela se produit à tous les niveaux de l'entreprise, et le nombre d'attaques de « chasse à la baleine » menées contre des cadres dirigeants ne cesse d'augmenter. Les erreurs et les accidents ne peuvent jamais être complètement éliminés, mais sensibiliser régulièrement les collaborateurs à tous les niveaux de l'entreprise aux tactiques d'ingénierie sociale permet de réduire considérablement les chances de succès des attaques.

 

Ces principes de prévention des menaces de nouvelle génération, renforcés par un programme complet et dynamique de sensibilisation et de formation, peuvent contribuer à stopper la nouvelle vague d'attaques qui cible les systèmes et les réseaux internes des banques. Grâce à des protections complètes contre les nouveaux logiciels malveillants et les menaces, et la sensibilisation des collaborateurs aux cybermenaces, les futures tentatives de braquage des cybercriminels risquent de ne plus être aussi lucratives.

© 2019 Check Point. All Rights Reserved. Designed By CheckPointFrance