Pôle Contrôle et conformité interne
Une hausse de plus de 31% des attaques de phishing sur 3ème trimestre 2022
La cybercriminalité est en évolution continue, selon une étude publiée, le 27 octobre 2022, par l’entreprise française Vade Secure[1] : il a été constaté que les attaques de phishing avaient augmenté de plus de 31% au 3ème trimestre 2022 par rapport au trimestre précédent. Les attaquants ont envoyé au cours du 3ème trimestre 2022 plus de 203,9 millions de courriels, soit une augmentation de 217% par rapport à la même période en 2021.
Selon l’étude, le courriel est le moyen d’attaque le plus utilisé par les hackers, car il offre un canal direct vers les utilisateurs, considérés comme le maillon le plus faible d’attaque d’une société.
Le secteur des services financiers est le secteur le plus touché par les attaques de phishing. En effet, le secteur représente 32% des e-mails de phishing identifiés par Vade Secure, suivi du cloud (25%), des réseaux sociaux (22%) et du secteur télécom (13%).
1. Qu’est-ce que le phishing et qu’est-ce que le phishing bancaire ?
Le phishing est une technique utilisée par les cybercriminels afin de tenter de tromper l’utilisateur en se faisant passer pour un interlocuteur ou un service de confiance afin de l’inciter à cliquer sur un lien frauduleux ou à communiquer des informations personnelles et/ou bancaires (comptes d’accès, mot de passe, numéro de sécurité social…) ou transférer des fonds.
Par tous les moyens, courriel SMS ou appel téléphonique, les cybercriminels usurpent l’identité d’un tiers de confiance tel que le service fraude d’une banque, administration, entreprise de livraison… afin de tromper la victime et l’inciter à communiquer les informations personnelles. Les données collectées lors du phishing seront soit revendues à d’autres cybercriminels afin de mener diverses actions frauduleuses, soit utilisées directement par les escrocs.
Les méthodes de phishing utilisées par les cybercriminels varient, mais la finalité est toujours la même : recueillir des informations pour faire un usage frauduleux. Parmi les méthodes de phishing les plus fréquentes, le phishing du service des impôts, le phishing bancaire et les escroqueries à la livraison de colis.
Le phishing bancaire est une technique de détournement de fonds grâce à des accès à des comptes bancaires obtenus de manière frauduleuse. S’agissant d’une technique à travers laquelle les criminels se font passer pour des organismes financiers auprès des victimes pour récupérer les identifiants, mot de passe ou les numéros de carte de crédit.
Le criminel contacte la victime par téléphone ou lui envoie un e-mail en se faisant passer pour la banque du client, le plus fréquent le service fraude de la banque. Il lui demande de se connecter sur un lien identique au site officiel de la banque, pour réactiver son compte ou bloquer une opération frauduleuse.
La victime peu méfiante se connecte sur le site indiqué dans le mail ou le lien envoyé par SMS et croit réactiver son compte ou annuler l’opération d’achat en donnant son login et mot de passe. Les données d’identification sur le compte du client sont captées par le criminel. Ce dernier prélève les sommes voulues, qu’il vire sur un compte à l’étranger.
2. Cybersécurité et son impact sur la sécurité financière.
Le secteur financier, banques, assurances et sociétés de gestion sont confrontées au quotidien à la fois aux risques de blanchiment d’argent et financement du terrorisme et aux risques apparus à la suite de l’évolution technologique. Ces nouveaux risques peuvent émaner des nouvelles méthodologies, telles que les courriels de phishing ou de logiciels malveillants, pour blanchir de l’argent au sein du système financier.
Dans le cadre de la mutation digitale, le secteur financier se retrouve exposé aux attaques informatiques. En effet, chaque nouvelle application bancaire mise en production ou un objet connecté développé par une compagnie d’assurance représente un point d’entrée pour les cybercriminels disposants de moyens de plus en plus performants.
La banque indienne Cosmos Bank a été victime en 2018 d’une attaque informatique visant le serveur de distributeur de billets. Les hackers ont réussi à installer un logiciel malveillant sur le serveur de distributeur de billets, et ils sont parvenus à détourner l’équivalent de 13,5M$. En à peine deux heures, plus de 14 000 opérations de retraits frauduleux à des distributeurs répartis dans 28 pays avaient été effectuées.
De même, Capital One, le troisième plus grand émetteur de carte de crédit aux Etats-Unis a été victime en 2019, d’une attaque visant cette fois-ci les données personnelles de près de 100 millions de clients ou prospects.
En vue d’affronter ces attaques malveillantes pouvant coûter des millions d’euro et une atteinte l’image et la réputation, les banques, assurances et les sociétés de gestion se mobilisent et accentuent leurs efforts en renforçant leurs outils de sécurisation, en mettant en place des missions d’audits et des contrôles permanents sur les thématiques liées à la sécurité des systèmes d’informations ainsi que la sensibilisation et la formation aux enjeux de cybersécurité.
Du point de vue des autorités de contrôle, telles que l’ACPR et la Banque centrale européenne (BCE), les cybercriminels représentent un risque très important dans la stabilité du système financier. En effet, dans un système financier interconnecté, les attaques représentent un risque systémique. Depuis quelques années, une partie des inspections sur place réalisées par la BCE portent sur la sécurité informatique des banques.
Par ailleurs, nous constatons une évolution au niveau national ou européen des textes réglementaires permettant d’accompagner la mutation digitale du secteur financier auxquelles les secteurs bancaires et assurantiels sont tenus de se conformer.
La loi de sécurité financière (LSF), la deuxième directive sur les services de paiement DSP2 entrée en vigueur en 2018, le RGPD… ne sont que quelques exemples des règlements auxquels les banques doivent se conformer afin de protéger leurs intérêts et l’intérêt de leurs clients.
[1] Rapport sur le phishing et les malwares – T3 2022 : le phishing en hausse de 31 % sur un trimestre (vadesecure.com)
Meryem EL GUERROUJ – CMG Advisory
