Netskope Threat Labs : plus de 500 employés du secteur bancaire français pourraient cliquer chaque mois sur des liens de phishing
novembre 2024 par Netskope
Le Threat Labs de Netskope annonce la publication de son nouveau rapport sur le secteur bancaire. Cette étude révèle que le phishing demeure l’une des menaces de cybersécurité les plus couramment utilisées dans le secteur bancaire, la fraude financière étant le principal motif des cybercriminels pour s’attaquer à cette industrie.
Le rapport couvre trois types de menaces utilisées dans le secteur bancaire — l’ingénierie sociale, la diffusion de contenus malveillants et la sécurité des données d’Intelligence Artificielle (IA) générative — et identifie les principaux groupes d’adversaires ciblant ce secteur.
Principales conclusions de cette étude :
Ingénierie sociale
Le phishing est la tactique d’ingénierie sociale privilégiée ; elle est utilisée pour voler des informations bancaires, ainsi que subtiliser les identifiants de connexion employés par le personnel des banques. Chaque mois, trois employés du secteur bancaire sur 1 000 cliquent sur un lien de phishing. Si l’on rapporte cette statistique aux 182 000 employés dans la banque en France, il ressort que plus de 500 employés du secteur bancaire pourraient cliquer sur un lien de phishing chaque mois.
Au lieu de cibler les applications cloud, comme c’est le cas dans la plupart des autres industries, les adversaires créent des pages malveillantes spécialement conçues pour reproduire le site web des institutions ciblées et s’emparer d’informations liées aux comptes bancaires et d’identifiants de connexion dans l’optique de commettre des fraudes financières.
Diffusion de contenus malveillants
Les groupes criminels russes sont les auteurs de menaces les plus susceptibles de cibler le secteur bancaire ; il s’agit en particulier des groupes TA577 et Indrik Spider.
Les cinq principales familles de malwares récemment utilisées pour cibler le secteur bancaire sont les suivantes : Downloader.SLoad (alias Starslord), Infostealer.AgentTesla, Trojan.FakeUpdater, Trojan.Parrottds et Trojan.Valyria.
Sécurité des données d’IA générative
Le secteur bancaire se distingue par une adoption de l’intelligence artificielle générative plus lente que dans les autres secteurs : 87 % des banques utilisant l’IA générative contre 97 % pour la moyenne transversale.
Davantage que les autres secteurs, les banques empêchent leurs employés d’utiliser des applications d’IA générative, 93 % des établissements bloquant au moins une application d’IA générative contre 77 % pour la moyenne transversale. Les applications les plus souvent bloquées sont Quillbot, WriteSonic et MotionAI.
Dans le secteur bancaire, l’utilisation des applications d’IA générative est également plus stricte que dans les autres industries, l’objectif étant de minimiser les risques de fuite de données règlementées de la part des utilisateurs. La prévention des pertes de données (DLP — Data Loss Prevention) est la forme la plus courante de contrôle de l’intelligence artificielle générative ; en effet, plus de la moitié des entreprises du secteur l’utilisent pour éviter que des informations sensibles n’alimentent les outils d’IA générative.
« Le secteur bancaire se distingue en étant l’un des plus efficaces pour maîtriser les risques associés aux données d’IA générative, déclare Ray Canzanese, Threat Research Director au Netskope Threat Labs. Ces entreprises sont plus agressives en bloquant les applications dépourvues d’un usage métier légitime et utilisent la prévention des pertes de données (DLP) pour contrôler les informations susceptibles d’être envoyées aux applications autorisées. Résultat, l’adoption de la technologie d’IA générative est plus stratégique et plus mesurée, ce qui se traduit par des données plus sûres. Les entreprises d’autres secteurs pourraient ainsi s’inspirer du secteur bancaire pour contrôler avec efficacité l’IA générative.
Les groupes qui ciblent le secteur bancaire sont des criminels qui concentrent principalement leurs méfaits sur la fraude financière en utilisant l’ingénierie sociale et les infostealers pour tenter d’obtenir des coordonnées bancaires et des identifiants d’accès aux portails bancaires. Certains cybercriminels cherchent encore à saboter des opérations, à voler des données sensibles ou à déployer des ransomwares, mais ils sont nettement moins nombreux que les fraudeurs financiers ».
Le Threat Labs de Netskope recommande aux entreprises du secteur bancaire d’analyser leur posture de sécurité afin de vérifier qu’elles sont correctement protégées contre ces tendances en :
Inspectant la totalité des téléchargements HTTP et HTTPS, y compris le trafic échangé sur le web et dans le cloud, afin d’empêcher les malwares d’infiltrer le réseau.
En s’assurant que les types de fichiers à haut risque, tels que les exécutables et les archives, sont scrupuleusement inspectés en combinant des outils d’analyse statique et dynamique en amont de leur téléchargement.
En configurant des règles permettant de bloquer le téléchargement à partir d’applications et d’instances qui ne sont pas utilisées dans l’entreprise, dans le but de limiter la surface exposée aux seules applications et instances dont elle a besoin.
En configurant des règles permettant de bloquer le téléversement vers des applications et des instances qui ne sont pas utilisées dans l’entreprise afin de réduire le risque d’exposition de données — accidentelle ou délibérée — par des initiés ou d’exploitation malveillante par des cyberattaquants.
En utilisant un système de prévention des intrusions (IPS) capable d’identifier et de bloquer les schémas de trafic malveillants tels que les échanges de commande et contrôle (C2) associés aux malwares les plus répandus. Le fait de bloquer ce type de communication peut empêcher des dommages en limitant la capacité des cybercriminels à exécuter des actions supplémentaires.
En utilisant la technologie d’isolation du navigateur à distance (RBI) pour appliquer une ligne de protection supplémentaire lorsqu’il est impératif de visiter un site appartenant à une catégorie susceptible de présenter un risque plus élevé — par exemple un domaine nouvellement observé ou nouvellement enregistré.
Ce rapport est basé sur des données d’utilisation anonymes collectées par la plateforme Netskope One et concernant un sous-ensemble de clients de Netskope ayant reçu une autorisation préalable.