Comment les services financiers peuvent-ils endiguer la marée des attaques de phishing mobiles?

Comment les services financiers peuvent-ils endiguer la marée des attaques de phishing mobiles?

Selon Forgerock, le secteur des services financiers a subi des dommages liés aux cyberattaques de 6,2 milliards de dollars au premier trimestre de 2019, contre 8 millions de dollars au premier trimestre de 2018, soit une augmentation de 77 400%. HSBC, JP Morgan et PayPal ne sont que quelques-unes des institutions financières ayant connu des violations de données. Même les natifs du numérique, tels que Monzo, Nutmeg et Coinbase, sont tombés à l’eau. Personne n’est à l’abri.

La cybercriminalité sévit dans le secteur des services financiers et le phishing n’est plus une menace, en particulier pour les appareils mobiles, qui sont rapidement devenus l’appareil préféré des employés, des sous-traitants et même des informaticiens qui installent des kiosques et d’autres améliorations de la modernisation sur le lieu de travail. Les recherches ont révélé que 90% des violations de données commençaient par une attaque de phishing.

En se concentrant plus particulièrement sur les services financiers, une étude récente de Wandera a révélé que 57,33% des entreprises de services financiers ont subi une attaque de phishing mobile, contre 42,2% des entreprises de tous les secteurs. Les chiffres ne sont pas particulièrement rassurants, mais les données soulignent que le secteur des services financiers est très ciblé, que le phishing est un problème systémique et que les appareils mobiles ont besoin d’une protection adéquate pour empêcher les cyberattaques de ce type.

Pourquoi les attaques de phishing mobiles constituent-elles un tel problème?

Pour commencer, les appareils mobiles sont encombrés. Par rapport aux facteurs de forme plus traditionnels tels que les ordinateurs de bureau, les mobiles ont des écrans beaucoup plus petits et une interface utilisateur tactile (ce qui signifie un clic moins précis), et les informations sont visiblement tronquées (par exemple, les URL dans les navigateurs).

L’utilisation est également très différente pour les mobiles. Si un employé se trouve sur un desktop à son bureau, c’est (espérons-le) un lieu calme et axé sur le travail dans lequel se concentrer. Travailler sur un appareil mobile peut être très différent. Nous pouvons être n’importe où: dans le train, dans un café, dans un aéroport, même sur une plage. La réalité est que les appareils mobiles nous permettent de travailler dans des environnements plus distrayants et ne sont pas nécessairement propices à une bonne cyber-hygiène

.Nous devons également examiner les technologies traditionnelles utilisées pour se protéger contre le phishing.

Les technologies traditionnelles anti-phishing se concentrent généralement sur le courrier électronique, mais ce n’est pas le seul moyen que les attaquants peuvent utiliser pour le phishing. Les médias sociaux, la messagerie et d’autres plates-formes de communication facilitent un modèle de communication beaucoup plus ouvert, augmentant considérablement la surface d’attaque.

Pourquoi le phishing mobile est-il un gros problème dans les services financiers?

Isoler les employés des cybermenaces est un mandat important pour les équipes de sécurité. C’est particulièrement important pour un secteur tel que celui des services financiers, dans lequel les employés protègent des données clients extrêmement sensibles. Selon un sondage, 29% des employés du secteur des services financiers ont admis avoir cliqué sur un lien de phishing, contre 11% en moyenne. À l’évidence, il faut mettre en place des protections plus importantes pour empêcher les cybercriminels de s’emparer des identifiants de connexion pour les données sensibles de l’entreprise.

La formation de sensibilisation au Phishing donnera inévitablement aux employés des connaissances de base sur ce qu’il faut rechercher. Cependant, le phishing a évolué bien au-delà de l’escroquerie rudimentaire du prince nigérian; elles ne sont pas aussi évidentes et s’apparentent davantage à des campagnes marketing bien exécutées.

Des kits de phishing sont facilement disponibles en ligne, si vous savez où chercher. Les entreprises qui souhaitent préserver leur marque téléchargent souvent des fichiers de conception sur leurs sites. Celles-ci fournissent presque tout ce dont les mauvais acteurs ont besoin pour créer des pages de phishing d’apparence légitime, et une recherche rapide fournit toutes les procédures nécessaires pour créer des supports de phishing. Il existe même des services disponibles sur des sites indépendants tels que Fiverr. L’économie cybercriminelle est en plein essor.

De plus, les attaquants ont généralement abandonné leurs campagnes de pulvérisation à grande échelle pour adopter un harponnage plus ciblé. Pomeroy Investment en est un exemple remarquable: une attaque par phishing a coûté 495 000 $ à l’entreprise.

Dans certains cercles, la formation de sensibilisation au phishing est considérée comme suffisante pour empêcher les phishing, mais les campagnes de phishing sont de plus en plus inventives dans la manière de pocaliser leurs données personnelles et professionnelles. Oui, la formation au phishing a sa place, mais elle n’est nullement à l’abri.

Les groupes de cybercriminels organisés utilisent de plus en plus le spear phishing pour cibler le secteur des services financiers. Le groupe de piratage London Blue, par exemple, a acquis une liste d’environ 35 000 directeurs financiers, dont certains travaillaient pour des sociétés de services financiers de premier plan, et a lancé une série d’attaques hautement ciblées contre le courrier électronique. Silence, un autre groupe de cybercriminels, a été identifié comme une menace majeure pour les banques qui utilisent le spear phishing pour cibler leurs employés.

Les gens sont inondés de notifications. Il est facile de penser que tout le monde a le temps de vérifier soigneusement chaque email, message LinkedIn et messagerie instantanée qui lui parvient – en particulier sur mobile, où nous sommes facilement distraits. Cet état de diligence parfait existe rarement; les entreprises doivent accepter le fait que les employés sont imparfaits en matière de sécurité et fournissent une protection supplémentaire pour alléger le fardeau de la sécurité imposé aux employés.

Le fait de disposer d’une solution de sécurité mobile appropriée, telle que la défense contre les menaces mobiles (MTD), peut contribuer à réduire la dépendance des employés. Un agent qui fonctionne à la fois au niveau du terminal et au niveau du réseau peut aider à protéger les employés peu méfiants des attaques de phishing.

De nos jours, si un employé est victime de phishing, cela ne devrait pas être la fin du monde. À maintes reprises, l’authentification basée sur un mot de passe isolée s’est avérée une solution faible en matière de sécurité. Des contrôles robustes de gestion des identités et des accès (IAM) doivent être mis en place pour maintenir la confiance et la sécurité numériques dans un monde de plus en plus centré sur le cloud.

L’authentification multifactorielle (MFA) peut sans aucun doute freiner les efforts d’un attaquant pour accéder à un système nécessitant deux informations d’authentification indépendantes ou plus. Même dans ce cas, cependant, l’accès ne devrait pas être noir et blanc. Un accès conditionnel doit être appliqué pour évaluer le contexte d’une session et fournir un accès en conséquence. Mais la sécurité ne devrait pas en rester là: que se passera-t-il si un pirate informatique est assez habile pour contourner toutes ces lignes de défense?

Les sociétés de services financiers doivent passer d’un modèle d’accès aux privilèges inutilement intensifié à l’un des moindres privilèges – l’accès minimal nécessaire à un employé pour effectuer son travail de manière productive. S’assurer que le privilège est lié au rôle d’un employé peut aider à limiter la capacité d’un attaquant à se déplacer latéralement sur un réseau ou à contraindre un employé à exécuter ses ordres.

Une approche multicouche de la sécurité est essentielle. Il n’existe pas de technologie miracle pour la sécurité, pas plus qu’une combinaison particulière que les entreprises doivent utiliser; cela dépend beaucoup de l’entreprise.

L'avenir de la cybercriminalité: Où allons-nous? Comment la prévention de la perte de données de nouvelle génération (DLP) peut aider à résoudre le problème des menaces internes