le Centre de partage et d’analyse d’informations sur les services financiers (FS-ISAC), un forum de l’industrie pour le partage de données sur les menaces de cybersécurité critiques auxquelles sont confrontés les secteurs bancaire et financier, a déclaré aujourd’hui qu’une attaque de phishing réussie contre l’un de ses employés a été utilisée pour lancer des attaques de phishing supplémentaires contre les membres de FS-ISAC.
Les retombées des attaques de phishing consécutives semblent avoir été limitées et contenues, car de nombreux membres du FS-ISAC qui ont reçu l’attaque de phishing l’ont rapidement détectée et signalée comme suspecte. Mais l’incident est un bon rappel d’être sur vos gardes, rappelez-vous que n’importe qui peut être victime d’hameçonnage et que la plupart des attaques d’hameçonnage réussissent en abusant du sentiment de confiance déjà établi entre l’expéditeur et le destinataire.
L’incident de phishing a été signalé dans une alerte que FS-ISAC a partagée avec ses membres aujourd’hui et obtenue par BreachTrace. Il décrit un incident survenu le 28 février au cours duquel un employé du FS-ISAC « a cliqué sur un e-mail de phishing, compromettant les identifiants de connexion de cet employé. À l’aide des informations d’identification, un acteur malveillant a créé un e-mail avec un PDF contenant un lien vers un site de collecte d’informations d’identification et a ensuite été envoyé depuis le compte de messagerie de l’employé à certains membres, affiliés et employés.
L’alerte indiquait alors que FS-ISAC planifiait et implémentait déjà une solution d’authentification multifacteur (MFA) sur toutes ses plates-formes de messagerie, « malheureusement, cet incident est arrivé à un employé qui n’était pas encore configuré pour MFA. Nous accélérons notre solution MFA sur tous les actifs FS-ISAC.
Le FS-ISAC a également déclaré avoir mis à jour sa version de messagerie Office 365 pour fournir « une visibilité et une sécurité supplémentaires ».
Dans une interview avec BreachTrace, président et chef de la direction de FS-ISAC Bill Nelson a déclaré que son organisation avait considérablement augmenté le nombre de nouveaux employés au cours des dernières années pour atteindre plus de 75 personnes maintenant, y compris Greg Temmresponsable des risques informatiques du FS-ISAC.
« Dire que je suis déçu que cela se soit passé est un euphémisme », a déclaré Nelson. « Nous devons accélérer la MFA extrêmement rapidement pour tous nos actifs. »
Nelson a observé que « le message positif qui en ressort, je suppose, est que n’importe qui peut en devenir victime. » Mais selon Nelson et Temm, l’attaque de phishing qui a amené l’employé du FS-ISAC à donner des identifiants de messagerie ne semble pas avoir été ciblée – ni particulièrement sophistiquée.
« Je classerais cela comme une récolte de compte et un hameçonnage typiques, routiniers et non ciblés », a déclaré Temm. « Cela n’a pas affecté notre portail de membres, ni l’emplacement de nos données. C’est 100% multifactoriel. Dans ce cas, il s’agissait d’un actif qui n’avait pas de multifactoriel.
Dans cet incident, il n’a pas fallu un acteur sophistiqué pour obtenir un accès privilégié à la boîte de réception d’un employé du FS-ISAC. Mais des attaques comme celles-ci soulèvent la question suivante : quel serait le succès d’une telle attaque de phishing si elle n’était qu’un peu plus professionnelle et/ou organisée ?
Nelson a déclaré que les membres de son personnel participent tous à des formations et à des tests réguliers de sensibilisation à la sécurité, mais qu’il est toujours possible de combler les lacunes de sécurité et de déplacer l’aiguille sur le nombre de personnes qui cliquent alors qu’elles ne devraient pas avec le courrier électronique.
« Les données que nos membres partagent avec nous sont entièrement protégées », a-t-il déclaré. « Nous avons un plan en collaboration avec notre conseil d’administration pour nous assurer que nous avons renforcé la sécurité à l’avenir », a déclaré Nelson. « Mais clairement, reconnaître où se trouvent certaines de ces cibles plus souples est quelque chose que chaque entreprise doit examiner. »