Prenons l'exemple d'un client d'une institution financière réputée qui reçoit un courriel semblant être une mise à jour de routine de son compte, accompagné d'un code QR pour faciliter la vérification. Confiant dans sa légitimité, le client scanne le code avec son téléphone mobile , mais au lieu d'accéder à un site sécurisé, il est victime d'une attaque de "quishing" orchestrée par Phishing-as-a-Service (PhaaS).
Cet article explore l'impact de PhaaS sur la sécurité du courrier électronique dans le secteur financier, en détaillant l'évolution du paysage des menaces et en proposant des stratégies défensives solides.
Vue d'ensemble
Les plateformes de phishing en tant que service fournissent des outils complets pour l'exécution de campagnes de phishing et offrent un accès par abonnement à des modèles de courriels personnalisables, y compris l'hébergement de sites web malveillants et l'assistance à la clientèle. Ces plateformes permettent aux pirates d'exploiter plus facilement les communications par courrier électronique dans le secteur financier.
Tactiques et ressources PhaaS
Les plateformes de phishing en tant que service, telles que "Robin Banks" et "Tycoon 2FA", utilisent toute une série de tactiques sophistiquées pour tromper les victimes :
Modèles d'e-mails d'hameçonnage personnalisables
Ces plateformes offrent un large éventail de modèles de courriels convaincants qui imitent les communications légitimes des institutions financières, ce qui permet aux pirates de créer plus facilement des courriels trompeurs.
Tableaux de bord des campagnes de phishing en temps réel
Les attaquants peuvent surveiller le succès de leurs campagnes de phishing en temps réel et adapter leurs tactiques en fonction de l'efficacité des différentes stratégies.
Techniques avancées d'évasion en matière de cybersécurité
Des mécanismes tels que le reCAPTCHA et la vérification de la chaîne de l'agent utilisateur sont utilisés pour éviter d'être détectés par les systèmes de sécurité automatisés.
Interfaces conviviales
Malgré la nature complexe de ces cyberattaques, les plateformes PhaaS offrent des interfaces conviviales, ce qui les rend accessibles même aux personnes ayant des connaissances techniques minimales.
Statistiques et tendances
Augmentation des attaques par hameçonnage
Les attaques de phishing ont augmenté de 58 % en 2023 par rapport à l'année précédente, en raison de la disponibilité de kits PhaaS avancés et de l'utilisation de l'IA générative pour créer des escroqueries de phishing plus convaincantes.
Adoption de l'hameçonnage en tant que service
Les plateformes PhaaS ont considérablement abaissé les barrières d'entrée pour les cybercriminels. Par exemple, "Robin des banques" fournit des kits de phishing prêts à l'emploi ciblant les principales institutions financières dans le monde, ce qui a entraîné une augmentation notable des incidents de phishing dans le secteur financier.
Industrie à haut risque
Le secteur de la finance et de l'assurance a été confronté à 27,8 % de l'ensemble des attaques par hameçonnage, ce qui représente la plus forte concentration parmi les secteurs et une augmentation de 393 % d'une année sur l'autre.
Impact de la plateforme "Robin des banques
Les institutions financières ont récemment été la cible de la plateforme d'attaque "Robin Banks" Phishing-as-a-Service, qui diffuse sa charge utile par le biais de messages textuels et de courriels. Les chercheurs d'IronNet ont découvert que le consortium Robin Banks fournissait des kits d'hameçonnage prêts à l'emploi ciblant principalement des sociétés financières basées aux États-Unis ainsi que de nombreuses entreprises au Royaume-Uni, au Canada et en Australie. Parmi les cibles figurent de grandes banques américaines telles que Bank of America, Wells Fargo, Capital One et Citigroup.
Depuis mars 2022, les acteurs de la menace sont devenus plus proactifs avec Robin des banques en utilisant des kits de phishing sophistiqués qui offrent aux utilisateurs l'accès à des tableaux de bord personnels, à la gestion du portefeuille, à la création de pages et à des mécanismes tels que reCAPTCHA et la vérification de la chaîne de l'agent utilisateur. Ces caractéristiques rendent les kits de Robin Banks plus sophistiqués mais plus faciles à utiliser que d'autres kits de phishing tels que BulletProftLink et 16Shop.
Campagne dans les magasins ONNX
La campagne ONNX Store représente une autre menace importante pour les institutions financières, car elle utilise des techniques de phishing sophistiquées pour violer les communications par courrier électronique. Cette campagne se distingue par sa capacité à déployer de multiples vecteurs d'hameçonnage, y compris des courriels de spear-phishing, pour compromettre les réseaux financiers et exfiltrer des données sensibles.
La campagne d'ONNX Store a ciblé des institutions financières de premier plan avec des courriels d'hameçonnage bien conçus qui semblaient légitimes et qui incitaient les destinataires à fournir leurs identifiants de connexion et d'autres informations sensibles. La campagne a utilisé des techniques avancées pour contourner les mesures traditionnelles de sécurité des courriels, telles que :
Attaques en plusieurs étapes
ONNX Store a utilisé des attaques d'hameçonnage en plusieurs étapes, où les premiers courriels contenaient un contenu bénin pour établir la confiance, suivis de courriels malveillants ciblant des employés spécifiques.
Récolte de titres de compétences
Les courriels d'hameçonnage étaient conçus pour recueillir les identifiants de connexion en redirigeant les victimes vers de fausses pages de connexion qui ressemblaient beaucoup à des portails bancaires légitimes.
Ingénierie sociale avancée
ONNX Store a utilisé des techniques sophistiquées d'ingénierie sociale pour personnaliser les courriels, en les faisant passer pour des courriels envoyés par des collègues ou des partenaires commerciaux de confiance.
Pièces jointes malveillantes
La campagne comprenait également des courriels contenant des pièces jointes malveillantes qui, une fois ouvertes, déployaient des logiciels malveillants capables de capturer des frappes au clavier, des captures d'écran et d'autres informations sensibles.
Ces techniques avancées ont rendu la campagne ONNX Store particulièrement efficace pour infiltrer les institutions financières et extraire des données précieuses.
Quatre niveaux de défense contre les campagnes PhaaS
Les couches de défense avancées qui complètent les solutions existantes de sécurité du courrier électronique font désormais partie intégrante des stratégies globales de cybersécurité dans le monde entier. Cette approche est le meilleur moyen d'atténuer les attaques par hameçonnage, car différents types de technologies peuvent détecter divers indicateurs de tentatives d'hameçonnage.
Par exemple, au lieu de s'appuyer sur un seul ou quelques moteurs antivirus, un dispositif de sécurité robuste pour le courrier électronique doit être composé de plusieurs moteurs antivirus et de technologies de détection ayant des spécialités et des techniques différentes.
Anti-hameçonnage en temps réel
Cette solution utilise l'apprentissage automatique avancé et l'analyse heuristique pour détecter et bloquer instantanément les tentatives de phishing, garantissant ainsi que les courriels malveillants sont interceptés avant d'atteindre les utilisateurs.
OPSWAT Real-Time Anti-Phishing a un taux de détection de 99,98 % pour le spam et les attaques de phishing, en examinant le contenu des e-mails, la réputation de l'expéditeur et les modèles d'URL pour s'assurer que les e-mails malveillants sont identifiés et ne persistent pas à travers le système jusqu'aux utilisateurs finaux. Avec plus de 30 sources de vérification de la réputation des liens et d'analyse du temps de clic, Real-Time Anti-Phishing réduit considérablement le risque de réussite des attaques de phishing.
Multiscanning
Cette couche de défense de la messagerie électronique répond aux risques de cybersécurité des réseaux complexes et interconnectés en utilisant une combinaison de plusieurs moteurs antivirus, ce qui améliore les taux de détection de plus de 99 % par rapport aux solutions à moteur unique. OPSWAT Multiscanning réduit la fenêtre d'exposition aux menaces nouvelles et émergentes en exploitant les forces de plusieurs moteurs.
Deep Content Disarm and Reconstruction (CDR)
Cette technologie permet d'assainir tout le contenu des courriels entrants, en supprimant les éléments potentiellement malveillants tels que les scripts et les macros intégrés dans les pièces jointes - même dans les codes QR apparemment inoffensifs.
OPSWAT Deep CDR fonctionne en désassemblant et en reconstruisant les fichiers afin de supprimer tout composant nuisible, ce qui garantit la sécurité tout en préservant la facilité d'utilisation. Cette technologie est très efficace : plus de 1 000 fichiers ont été vérifiés contre des attaques complexes et par usurpation d'identité. En outre, Deep CDR vérifie et protège plus de 170 types de fichiers, ce qui réduit considérablement le risque d'attaques de type "zero-day" et d'autres menaces avancées.
Sandbox Adaptive temps réel
Le sandboxing en temps réel isole les fichiers des autres ressources du système afin qu'ils puissent être examinés en toute sécurité pour détecter les comportements malveillants. Cette technologie est particulièrement efficace pour détecter les logiciels malveillants inconnus.
OPSWAT Real-Time Adaptive Sandbox fonctionne 10 fois plus vite que les bacs à sable traditionnels et est 100 fois plus économe en ressources que les autres bacs à sable.
Mise en œuvre de la stratégie Email Security
Pour contrer efficacement les menaces posées par le Phishing-as-a-Service et le quishing, les institutions financières doivent mettre en œuvre une stratégie de sécurité du courrier électronique ciblée et solide :
- Évaluation complète des risques liés au courrier électronique : Effectuer des évaluations régulières pour identifier les vulnérabilités et les lacunes de l'infrastructure de cybersécurité existante.
- Enhanced Email Gateway Security: Renforcez les passerelles de messagerie, à la fois sur site et dans le nuage (y compris Microsoft 365), avec une sécurité multicouche qui comprend l'anti-hameçonnage en temps réel, Multiscanning, Deep CDR, et une Sandbox en temps réel pour empêcher les courriels d'hameçonnage d'entrer dans le réseau.
- Mises à jour permanentes de la sécurité : Mettez régulièrement à jour les protocoles de sécurité et les définitions pour vous adapter aux nouvelles techniques d'hameçonnage et à l'évolution des menaces.
Alors que le phishing en tant que service continue d'évoluer, en utilisant des techniques de plus en plus trompeuses comme le quishing, il est impératif que les institutions financières renforcent leurs pratiques de sécurité en matière de courrier électronique.
En comprenant la nature sophistiquée du Phishing-as-a-Service et en mettant en œuvre des technologies défensives de pointe, les institutions financières peuvent atténuer les risques et se protéger contre le paysage en constante évolution des cyber-menaces basées sur le courrier électronique.
Le renforcement de la sécurité du courrier électronique n'est pas seulement une nécessité technique, mais une stratégie essentielle pour maintenir la confiance et l'intégrité à l'ère numérique.
Prochaines étapes
- Arrêtez l'hameçonnage avec MetaDefender Email Security
- Évaluez la sécurité de votre courrier électronique
- Essayer OPSWAT MetaDefender Email Security
- En savoir plus sur l'hameçonnage par code QR (quishing)
