Articles

Comment pirater une banque

admin septembre 23, 2021 0 Comment

Bien que la menace de cyberattaques augmente, les banques sont poussées à revenir aux bases de la cybersécurité, selon un spécialiste de la pénétration.

Le 31 décembre 2019, un groupe de pirates appelé Sodinokibi a lancé une cyberattaque sur le réseau Travelex. Le groupe a tenu la société de change en rançon pour 4,6 millions de £, a rapporté le Telegraph. L’attaque a ensuite provoqué des perturbations chez Lloyds, Barclays et Royal Bank of Scotland.

Avec une cyberattaque produisant un effet d’entraînement sur l’ensemble des services financiers, je voulais savoir quelles menaces de cybersécurité sont spécifiques à l’industrie, j’ai donc eu une conversation avec Andrew Mabbitt, co-fondateur et directeur de Fidus Information Security, une entreprise britannique spécialisée dans les tests de pénétration.

Pour effectuer un test de pénétration, il est important de connaître la taille de la banque, explique Mabbitt.

« Il y a quelques choses qui sortent tout de suite par la fenêtre. En règle générale, l’infrastructure externe, tout ce qu’elle héberge publiquement, sera relativement sûre. Encore une fois, les banques dépensent beaucoup d’argent pour la sécurité, alors vous savez tout de suite que cela aura été testé à mort et statistiquement, vous n’y trouverez rien de majeur.

« Nous n’aurions même pas la peine de regarder la sécurité physique des banques parce qu’elles ont toutes ces caméras, elles ont beaucoup de personnel, elles ont des gardes de sécurité. Ce que nous commencerions à regarder, c’est qu’ils ont des bureaux satellites? Ont-ils un grand quartier général? En règle générale, ils auront moins de sécurité parce qu’ils ne gardent pas tout l’argent, mais qu’essayons-nous de réaliser ici?

« Nous n’essayons pas d’avoir accès au coffre-fort et aux gros boulons dans les banques, nous essayons d’avoir accès au réseau. Alors, où serait le point le plus faible du réseau? En règle générale, ils se trouvent soit dans des sièges sociaux où il y a tant de monde, soit dans des bureaux satellites.

« Lorsque nous menons un engagement physique, nous pouvons même rester dehors ou nous asseoir dans un café local et regarder les personnes qui travaillent pour la banque entrer et sortir. En règle générale, ils portent toujours les mêmes longes, etc. Et s’ils sont génériques comme une lanière rouge, nous pouvons simplement mettre une lanière rouge sous notre pull, aller marcher et généralement si quelqu’un voit une lanière, il va vous faire confiance.

« L’autre chose que nous faisons habituellement est également de filmer et de prendre des photos des gens s’ils travaillent à la banque et d’essayer de cloner un badge. Alors prenez une photo, simulez-la dans photoshop, imprimez-la sur notre propre badge et ensuite nous avons la tentative plausible d’essayer d’entrer dans le bâtiment et notre badge ne fonctionne pas sur le scanner et de demander à la sécurité de l’ouvrir, car encore une fois les gens veulent aider.

« Si nous ne pouvons pas faire la pause, nous rechercherons des personnes que nous pensons pouvoir cibler, nous nous éloignons donc de l’équipe financière, de l’équipe informatique et nous examinons des personnes qui occupent des rôles très différents que les gens ne supposeraient pas être ciblées par des attaques de phishing tout le temps. Donc, les gens dans les médias par exemple, on ne s’attendrait pas à ce qu’ils soient aussi ciblés que les gens de l’équipe financière, alors nous essaierions d’exploiter cela.”

Le jeu en attente

En novembre 2018, la HSBC a informé ses clients d’une violation de données survenue le mois précédent. Une connexion non autorisée a laissé les informations personnelles de certains clients accessibles.

Mais combien de temps un pirate peut rester inaperçu dépend complètement de ce qu’il essaie de réaliser, dit Mabbitt.

« Je dirais généralement que les personnes qui ont le talent et le soutien pour attaquer une banque critique dans un pays vont être assez sophistiquées. On pourrait s’attendre à ce qu’ils soient à un niveau élevé de criminalité organisée ou d’attaques de banques d’État-nation dont ils n’essaient pas seulement d’entrer et de voler l’argent, ils veulent obtenir autant de données que possible. C’est donc le genre de hacks où les gens vont rester sur les réseaux pendant au moins six mois et plus.

« L’un des plus gros problèmes lors du transfert de données est que les gens les envoient toujours par e-mail normal. Dans leur esprit, ils l’envoient à partir de leur e-mail et la seule autre personne qui va le voir est l’autre personne à l’autre bout de cet e-mail. Si votre boîte de réception est compromise, vous n’en avez peut-être aucune idée et quelqu’un pourrait simplement regarder chaque e-mail que vous envoyez. Une autre chose à noter est que les e–mails par défaut n’ont pas de cryptage, ce qui signifie que toute personne capable de compromettre la connexion au milieu et de surveiller le flux de trafic – certes, il faudrait beaucoup d’efforts pour faire quelque chose comme ça – si quelqu’un est sur le même réseau wifi, si quelqu’un peut intercepter des données en transit sur le fil, il sera complètement capable de lire tout le contenu de cet e-mail sans aucun tracas.

« L’une des choses à implémenter est le cryptage obligatoire lors de l’envoi de données. Je sais que le gouvernement britannique utilise un système de classification des données – il y a des clients confidentiels, officiels, essentiels, sensibles, top secrets, etc. Et il y a des directives sur la façon dont chacun d’eux doit être géré.”

phishing

Les entreprises de services financiers continuent d’être les plus ciblées par les pirates en raison des données critiques qu’elles détiennent, explique Mabbitt. Mais le manque de sensibilisation des employés et la sécurité des bâtiments physiques continuent d’être les deux principaux pièges de la sécurité des entreprises.

« Je dis physique et les gens supposent que James Bond dépasse une clôture, mais la plupart du temps, il se trouve juste à l’extérieur dans une zone fumeurs et suit quelqu’un parce qu’il tient la porte ouverte pour vous. La raison étant que les gens sont intrinsèquement gentils et veulent aider. Personne ne veut se retourner et être cette personne pour dire: « salut, qui es-tu?’

« Une fois que vous avez dépensé des millions pour vos fonctions de sécurité et toutes les choses que les gens mettent sur le réseau et les belles boîtes brillantes qu’ils achètent pour les protéger, tout va à l’égout si quelqu’un peut simplement entrer dans votre bâtiment et se brancher sur votre réseau.

« Le deuxième écueil que nous voyons qui ne se limite pas au secteur financier sera la sensibilisation des employés, et quand je dis sensibilisation des employés, je veux dire des choses comme les attaques de phishing. La raison en est que je sais que beaucoup de sociétés financières investissent beaucoup dans la formation du personnel pour ne pas ouvrir de courriels, etc.

« Il est très facile d’adapter les choses pour plaire à la personne spécifique, par exemple si nous savons que quelqu’un travaille dans une salle de courrier, nous pouvons lui envoyer quelque chose qui semble provenir d’une entreprise de livraison bien connue et nous pouvons tout de suite nous éloigner de ceux couramment mentionnés comme la finance et les PDG – nous n’irons pas près de ceux–ci. Ou nous pouvons envoyer quelque chose aux RH avec un faux CV.

« Mais le problème avec le phishing et les attaques similaires est que les banques et les employés doivent bien faire les choses à chaque fois – ne pas entrer leurs informations d’identification et ne pas ouvrir de documents, alors qu’un attaquant ne doit les corriger qu’une seule fois.”

admin

Related Posts

fizikai Geológia

janvier 7, 2022

fysikaalinen geologia

janvier 7, 2022

fysische Geologie

janvier 7, 2022

Geologia fizyczna

janvier 7, 2022

Physikalische Geologie

janvier 7, 2022

fyzikální Geologie

janvier 7, 2022

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *