Microsoft et le géant bancaire American Express sont les entreprises les plus usurpées dans les courriels d'hameçonnage visant les services financiers. C'est ce que montre le rapport 2023 Financial Services Sector Threat Landscape de Trustwave SpiderLabs, lequel s’est intéressé à une multitude de menaces auxquelles est confronté le secteur des services financiers. Selon ce dernier, le phishing et les logiciels malveillants transmis par courriel sont les méthodes les plus exploitées pour s’introduire dans les entreprises. Trustwave SpiderLabs note aussi des « évolutions intéressantes » dans les méthodes de diffusion, les techniques, les thèmes et les marques ciblées par les attaques contre les services financiers au cours de l'année écoulée, estimant qu’elles ont contribué à maintenir leur pertinence et leur efficacité.

Les services financiers sont de plus en plus dans la ligne de mire des cybercriminels. Une récente étude d'Akamai a constaté une recrudescence des attaques d'applications web et d’API ciblant le secteur mondial des services financiers. Selon le rapport « High Stakes of Innovation : Attack Trends in Financial Services », ces attaques ont augmenté de 65 % au deuxième trimestre 2023 par rapport au deuxième trimestre 2022, pour un total estimé de 9 milliards d'attaques sur 18 mois, le secteur bancaire étant le plus touché. Cette étude a également révélé que le secteur des services financiers était désormais le premier secteur vertical ciblé par les attaques par déni de service (DDoS), la région EMEA représentant 63,5 % des événements DDoS mondiaux.

Les fichiers HTML, pièces jointes malveillantes les plus courantes

D’après les données provenant de la base de clients des services financiers de Trustwave SpiderLabs, les fichiers HTML sont les pièces jointes malveillantes les plus courantes dans les courriels, puisqu’elles représentent 78 % de toutes celles évaluées, selon le rapport. Ces fichiers servent essentiellement au vol d’identifiants, à la redirection de trafic et au HTML Smuggling (une technique utilisée pour faire télécharger un fichier à une cible via un fichier HTML). « 33 % des fichiers HTML utilise l’obfuscation pour échapper aux systèmes de défense », ajoute l'étude. Outre le HTML, Trustwave SpiderLabs a constaté que les exécutables étaient le deuxième type de pièces jointes malveillantes le plus répandu (14 %). Les stealers comme Gootloader, XLoader, Lokibot, Formbook et Snake Keylogger figurent parmi les plus repérées, tandis que le RAT Agent Tesla (Remote Access Trojan) a également été détecté dans l'ensemble de données. Selon le rapport, les attaquants utilisent peu les PDF (3 %), Excel (2 %) et les documents Word (1 %).

Les notifications de messages vocaux, les reçus de paiement, les bons de commande, les remises de fonds, les dépôts bancaires et les demandes de devis sont les thèmes les plus couramment rencontrés dans les courriels de pièces jointes malveillantes, American Express (24 %), DHL (21 %) et Microsoft (15 %) étant les marques les plus usurpées. Les thèmes d'hameçonnage non malveillant les plus fréquents cités dans le rapport comprennent les messages réclamant une « Action urgente », les alertes liées à la boîte de messagerie, le partage de documents, la signature électronique, les alertes liées aux comptes, les appels manqués, les notifications relatives aux réunions et les alertes liées aux paiements/factures. Les marques les plus usurpées dans ce type d'attaques sont Microsoft (52 %), DocuSign (10 %) et American Express (8 %). Concernant la compromission des courriels professionnels (Business Email Compromise, BEC), le thème le plus utilisé est « l’arnaque au compte rémunération » ou « Payroll Diversion » (48 %), suivi de la « Demande de contact » et de la « tâche », comme la demande de mise à jour des données (23 % et 13 % respectivement).

Des tactiques qui évoluent avec l'IA et les LLM

Au cours de l'année écoulée, Trustwave SpiderLabs a découvert et analysé de nouvelles techniques de phishing, activement utilisées par les attaquants pour cibler le secteur des services financiers. C’est le cas notamment du phishing basé sur le système de fichier IPFS (InterPlanetary File System), du phishing Cloudflare Pages.dev et Workers.dev, et des campagnes RPMSG, peut-on lire dans le rapport. Trustwave SpiderLabs a également surveillé l'impact de l'IA et des grands modèles de langage (LLM) comme ChatGPT sur les attaques de phishing. « La maturité rapide et l'utilisation élargie de la technologie LLM rendent la création de courriels crédibles plus facile, plus convaincante, hautement personnalisée et plus difficile à détecter », peut-on lire dans l'étude. « Récemment, nous avons constaté l'émergence de LLM comme WormGPT et FraudGPT sur des forums clandestins, soulignant les risques potentiels de cybersécurité posés par leur utilisation criminelle », indique-t-elle. WormGPT et de FraudGPT sont non seulement capables de créer des courriels d'hameçonnage convaincants, mais aussi de faciliter la création de logiciels malveillants indétectables, d’écrire des codes malveillants et de découvrir des vulnérabilités. Les mesures d'atténuation du phishing devraient inclure des tests, des mesures anti-spoofing, une analyse multicouche des courriels.

Trustwave SpiderLabs émet par ailleurs plusieurs recommandations pour atténuer les risques d'hameçonnage par courrier électronique. En particulier, il recommande aux entreprises :

- D’effectuer systématiquement des tests d’hameçonnage fictifs pour évaluer l'efficacité de la formation à la lutte contre l’hameçonnage ;
- De mettre en œuvre de solides mesures anti-spoofing, en déployant notamment des technologies sur les passerelles de messagerie ;
- De déployer une solution de balayage des courriels par couches afin d'améliorer la détection et la protection ;
- D’utiliser des techniques de détection des fautes d'orthographe dans les noms de domaine pour permettre l'identification des attaques de phishing et celles qui compromettent les messageres d'entreprise (BEC).