Une étude réalisée par Trustwave SpiderLabs révèle des développements notables dans les méthodes, les techniques, les thèmes et les marques ciblées par les attaques de phishing visant les services financiers.
Microsoft et le géant bancaire American Express sont les entreprises les plus souvent usurpées dans les courriels d’hameçonnage visant les services financiers. C’est ce que met en lumière le rapport 2023 Financial Services Sector Threat Landscape de Trustwave SpiderLabs, qui examine une multitude de menaces auxquelles le secteur des services financiers est confronté. Selon le rapport, les courriels de phishing et les logiciels malveillants transmis par voie électronique sont les méthodes les plus couramment utilisées pour pénétrer dans les entreprises. Trustwave SpiderLabs observe également des « évolutions intéressantes » dans les méthodes de diffusion, les techniques, les thèmes et les marques ciblées par les attaques contre les services financiers au cours de l’année passée. Ces évolutions sont considérées comme contribuant à maintenir la pertinence et l’efficacité de ces attaques.
Les services financiers sont de plus en plus vulnérables aux cybercriminels. Une récente étude d’Akamai a en effet révélé une augmentation des attaques visant les applications web et les interfaces de programmation d’applications (API) dans le secteur des services financiers au niveau mondial. Selon le rapport intitulé « High Stakes of Innovation: Attack Trends in Financial Services, » ces attaques ont augmenté de 65 % au deuxième trimestre 2023 par rapport au deuxième trimestre 2022, pour un total estimé à 9 milliards d’attaques en 18 mois, le secteur bancaire étant le plus touché. L’étude a également montré que le secteur des services financiers est désormais la première cible des attaques par déni de service distribué (DDoS), avec la région EMEA représentant 63,5 % de tous les incidents DDoS dans le monde.
Les fichiers HTML sont les pièces jointes malveillantes les plus courantes, représentant 78 % de toutes celles évaluées. Ces fichiers sont principalement utilisés pour voler des informations d’identification, rediriger le trafic et mettre en œuvre le « HTML Smuggling » (une technique pour faire télécharger un fichier à une cible via un fichier HTML). L’étude précise que « 33 % des fichiers HTML utilisent l’obfuscation pour échapper aux systèmes de défense. » Outre les fichiers HTML, Trustwave SpiderLabs a constaté que les fichiers exécutables étaient le deuxième type de pièces jointes malveillantes le plus répandu (14 %). Les « stealers » comme Gootloader, XLoader, Lokibot, Formbook et le keylogger Snake figurent parmi les plus fréquemment identifiés, tandis que le cheval de Troie Agent Tesla (Remote Access Trojan, RAT) a également été détecté dans l’ensemble des données. Selon le rapport, les attaquants utilisent peu les fichiers PDF (3 %), les fichiers Excel (2 %) et les documents Word (1 %).
Les thèmes les plus couramment utilisés dans les courriels malveillants incluent les notifications de messages vocaux, les reçus de paiement, les bons de commande, les transferts de fonds, les dépôts bancaires et les demandes de devis. American Express (24 %), DHL (21 %) et Microsoft (15 %) sont les marques les plus fréquemment usurpées. En ce qui concerne le phishing non malveillant, les thèmes les plus courants cités dans le rapport incluent les messages exigeant une « action urgente », les alertes liées à la boîte de réception, le partage de documents, la signature électronique, les alertes relatives aux comptes, les appels manqués, les notifications de réunions et les alertes concernant les paiements et les factures. Les marques les plus fréquemment usurpées dans ce type d’attaques sont Microsoft (52 %), DocuSign (10 %) et American Express (8 %). En ce qui concerne les compromissions de courriels professionnels (Business Email Compromise, BEC), le thème le plus utilisé est le « Payroll Diversion » (48 %), suivi de la « Demande de contact » et de la « Tâche », telles que les demandes de mise à jour des données (23 % et 13 % respectivement).
Au cours de la dernière année, Trustwave SpiderLabs a découvert et analysé de nouvelles techniques de phishing qui sont activement utilisées par les attaquants pour cibler le secteur des services financiers. Parmi celles-ci, on peut citer le phishing basé sur le système de fichiers IPFS (InterPlanetary File System), le phishing Cloudflare Pages.dev et Workers.dev, ainsi que les campagnes RPMSG. Le rapport indique également que l’IA et les grands modèles de langage (LLM) tels que ChatGPT ont un impact sur les attaques de phishing. La maturité rapide de ces technologies et leur utilisation croissante facilitent la création de courriels crédibles, personnalisés et difficiles à détecter. Le rapport mentionne l’émergence récente de LLM tels que WormGPT et FraudGPT sur les forums clandestins, soulignant les risques potentiels en matière de cybersécurité liés à leur utilisation criminelle. WormGPT et FraudGPT sont capables non seulement de créer des courriels de phishing convaincants, mais aussi de faciliter la création de logiciels malveillants indétectables, d’écrire des codes malveillants et de découvrir des vulnérabilités. Le rapport recommande des mesures d’atténuation pour lutter contre le phishing, notamment des tests, des mesures anti-spoofing et une analyse multicouche des courriels.
Pour atténuer les risques de phishing par courrier électronique, Trustwave SpiderLabs recommande aux entreprises de :
– Effectuer régulièrement des tests de phishing simulés pour évaluer l’efficacité de la formation en lutte contre le phishing.
– Mettre en place des mesures anti-spoofing solides, notamment en déployant des technologies sur les passerelles de messagerie.
– Mettre en œuvre une analyse en plusieurs couches des courriels pour améliorer la détection et la protection.
– Utiliser
Source : Lemondeinformatique.fr
