Ennemi en vue : analyse des attaques visant les services financiers

Les services financiers comptent parmi les secteurs les plus durement touchés par la cybercriminalité, de l'apogée de Zeus et autres chevaux de Troie bancaires jusqu'aux attaques par déni de service distribué (DDoS), aux attaques par hameçonnage nouvelle génération et aux ransomwares. Les services financiers constituent un secteur vital qui joue un rôle majeur non seulement dans la vie des individus, mais aussi dans l'économie mondiale. 

Toute perturbation ou interruption des services financiers peut avoir de graves conséquences et les données sensibles que détiennent ces organisations peuvent être transformées en un bien précieux. Les hackers, par conséquent, considèrent les services financiers comme des cibles lucratives et mènent un large éventail d'attaques contre eux, des nouvelles vulnérabilités « zero-day », aux attaques par hameçonnage éprouvées. 

Une augmentation considérable des cyberattaques

Ce n'est donc un secret pour personne : les hackers sont très concentrés et motivés pour attaquer le secteur des services financiers. Traditionnellement, le rapport État des lieux d'Internet dans le secteur des services financiers (SOTI) aborde un sujet comme l'hameçonnage ou la fraude, mais cette fois-ci, nous avons adopté une approche beaucoup plus large et couvrons un certain nombre de questions touchant ce secteur souvent attaqué.

Cette perspective plus large nous a permis de constater l'augmentation considérable du nombre de cyberattaques contre le secteur des services financiers et la vitesse alarmante à laquelle les hackers exploitent les failles Zero Day récemment découvertes. 

Les clients du secteur des services financiers ne sont pas épargnés non plus, avec une grande partie des hackers qui choisissent de renoncer aux attaques contre l'un des secteurs les plus sûrs du monde, et qui, au lieu de cela, attaquent leurs internautes en masse. 

Points clés du rapport SOTI 

Avec cet ennemi en vue, il est important pour les professionnels de la sécurité des services financiers de comprendre comment l'écosystème des menaces évolue. Notre rapport comprend les points clés suivants : 

• Les services financiers figurent constamment parmi les 3 principaux segments de marché ciblés par les attaques d'applications Web et d'API, les attaques Zero Day et les attaques DDoS. 

• Le nombre d'attaques d'applications Web et d'API visant les services financiers a été multiplié par 3,5 d'une année sur l'autre, soit la plus forte croissance de tous les grands secteurs d'activité.

• En 24 heures, l'exploitation de failles Zero Day récemment découvertes peut engendrer des milliers d'attaques par heure contre les services financiers. Elles augmentent à un rythme exponentiel, ce qui ne laisse que peu de temps pour réagir rapidement et corriger les vulnérabilités.

• Une augmentation significative des attaques par inclusion de fichiers locaux (LFI) et par cross-site scripting (XSS) démontre que les hackers choisissent désormais comme angle d'attaque l'exécution de code à distance, qui exerce une pression importante sur la sécurité des réseaux internes.

• L'abus de clients des services financiers est endémique, avec plus de 80 % des hackers du secteur qui se concentrent sur les comptes clients plutôt que sur les organisations elles-mêmes, soit directement, soit par le biais d'activités d'hameçonnage.

• Les campagnes d'hameçonnage (comme Kr3pto) introduisent des techniques qui contournent les solutions d'authentification à deux facteurs en utilisant des jetons de mot de passe à usage unique ou des notifications push.

Comprendre une surface de menace en expansion

Les attaques d'applications Web et d'API ont connu une augmentation de 257 % au cours des 12 derniers mois. La montée en puissance de ces attaques peut être attribuée à plusieurs vecteurs d'attaque, dont les attaques par LFI et XSS (cross-site scripting). Cette donnée est pertinente, car les hackers pourraient utiliser de tels vecteurs d'attaque pour s'implanter dans votre réseau ou comme moyen de reconnaissance efficace. 

Cela soulève également l'importance de sécuriser les applications Web, car les failles qui y sont associées pourraient être utilisées comme point d'entrée pour commettre des violations sur les organisations cibles. Cette découverte pourrait également être importante pour les équipes qui cherchent à tester leurs réseaux avec plus d'efficacité.

Résoudre les failles Zero Day

D'après nos recherches, le secteur des services financiers est l'un des premiers et des plus attaqués lorsque des vulnérabilités nouvelles ou émergentes sont découvertes (Zero Days). L'exploitation des vulnérabilités nouvelles et émergentes peut commencer dans les 24 heures suivant leur divulgation et atteindre rapidement un pic, comme dans le cas de la vulnérabilité de Confluence (CVE-2022-26134). Par conséquent, la course contre la montre est lancée pour corriger ces failles de sécurité avant que les hackers commencent à les exploiter pour lancer des attaques. 

Nos recherches indiquent également que les attaques DDoS continuent d'être une source de préoccupation pour les services financiers (deuxième secteur le plus touché par les attaques DDoS au niveau mondial). Une attaque DDoS efficace transforme une entreprise en île déserte coupée du reste d'Internet. Les clients ne sont pas en mesure d'accéder aux comptes, et les temps d'arrêt, les perturbations de service et les délais de reprise suite à de telles attaques peuvent entraîner des pertes financières pour l'entreprise. 

Bien que les attaques DDoS à l'encontre des services financiers soient restées stables cette année, nous avons observé un « changement régional », à mesure que le volume des attaques DDoS contre les États-Unis s'est réduit. Pendant ce temps, le volume des attaques dans la zone EMEA a augmenté, malgré la baisse du nombre total de cibles. 

Les clients des services financiers dans le viseur 

Une analyse des hackers révèle que plus de 80 % de ces derniers visent les clients des services financiers plutôt que les institutions, directement ou indirectement. Cela peut être attribué à la fois au piratage de compte et aux attaques par extraction Web. 

Les attaques par piratage de compte visent directement les clients, tandis que les attaques par extraction Web sont principalement utilisées pour créer des escroqueries par hameçonnage et créer des kits qui imitent étroitement les sites Web. Pour démontrer ce point, nous constatons également une augmentation de l'activité des botnets (une augmentation de 81 %) due aux piratages de compte et aux attaques par extraction Web liées à l'hameçonnage. 

En comprenant comment le secteur des services financiers est ciblé, comment leurs clients sont attaqués et avec quels types d'attaques, les entreprises peuvent sécuriser leurs données, leur réseau et leurs clients plus facilement. Nous vous encourageons à utiliser ces informations pour examiner les domaines dans lesquels vous devez réévaluer les risques dans votre programme ou informer vos équipes de renseignement sur les menaces et d'exercices.