Les banques ont toutes pour mission de protéger l'épargne, les prêts et d'aider à investir. En conséquence, les banques partagent généralement de nombreuses pratiques et outils. Dans cet article de blog, nous montrons comment les acteurs malveillants ont tendance à cibler le même groupe des institutions financières. Cela pourrait être le résultat d'acteurs malveillants réutilisant les mêmes techniques sur plusieurs cibles et constatant que certaines institutions financières sont plus vulnérables à des types d'attaques spécifiques. Ce comportement d'acteurs malveillants peut être exploité pour Banques du cluster en groupe pour prévoir les compromis.
Deux types d' acteurs malveillants annoncer des informations financières volées sur le darknet :
1) ceux qui vendent des informations à partir d'un banque unique;
2) ceux qui vendent des informations de plusieurs banques.
D'après notre expérience, la plupart des acteurs malveillants offrent des informations financières volées à plusieurs banques. L'étendue de ce comportement n'est cependant pas encore claire. Pas plus que la mesure dans laquelle cela peut être exploité pour créer des informations exploitables.
Sur les années de collecte de données dont nous disposons, nous avons distingué pendant trois mois (octobre à décembre 2018) les publicités darknet pour 6 des plus grands Institutions financières canadiennes. Nous avons construit un matrice où chaque point est un acteur malveillant ou une institution financière canadienne. Chaque lien entre les points indique qu'une publicité relie l'institution financière canadienne à l'un des 30 acteurs malveillants nous avons identifié.
Une inspection visuelle du graphique suggère que certaines attaques malveillantes se spécialisent dans le ciblage d'une seule institution financière canadienne. Cependant, bon nombre d'entre eux ciblent plus d'une institution financière canadienne. En y regardant de plus près, la cible des acteurs malveillants en moyenne 2 institutions financières canadiennes (Min = 1 et Max = 6). 66% des acteurs malveillants cibler plus d'un.
Plusieurs acteurs malveillants ciblent chaque institution financière canadienne. En moyenne, 39% des acteurs malveillants de notre échantillon cibler toutes les institutions financières canadiennes (Min = 3 et Max = 18).
Pour aller plus loin, nous avons analysé la fréquence à laquelle des acteurs malveillants ont ciblé les mêmes paires d'institutions financières canadiennes. Le graphique ci-dessus montre que lorsqu'un acteur malveillant cible l'institution financière canadienne #1 (nom expurgé), l'institution financière canadienne #4 est également ciblée 40 % du temps. À l'opposé, lorsqu'un acteur malveillant cible l'institution financière canadienne #5, il n'y a que 3 % de chances qu'il cible également l'institution financière canadienne #6.
Conclusion
Pour expliquer nos résultats, nous proposons deux hypothèses. Premièrement, une majorité d'acteurs malveillants sur le Darknet avoir la compétences et tempsou de la possibilité d'acheter des exploits, de compromettre plusieurs institutions financières canadiennes. Deuxièmement, notre hypothèse la plus logique, les acteurs malveillants ont développé des outils et des stratégies basés sur les vulnérabilités d'un marché spécifique. La réutilisation des mots de passe et l'hameçonnage par le biais de campagnes de pourriels sont susceptibles de fonctionner contre tous les systèmes informatiques, y compris ceux des institutions financières canadiennes. Par conséquent, nous pouvons avoir des vulnérabilités similaires dans plusieurs infrastructures.
Les acteurs malveillants exploitent leurs exploits contre une institution financière canadienne pour élargir leur base de victimes. Regarder quelles institutions financières canadiennes sont victimes d'un acteur malveillant pourrait nous aider à deviner comment d'autres institutions financières canadiennes seront victimes à l'avenir.
Le principal point à retenir est que les institutions financières canadiennes devraient utiliser des renseignements appropriés sur les menaces pour identifier qui sont leurs pairs les plus proches. Ces pairs peuvent avoir adopté des politiques et des stratégies de défense similaires qui les rendent vulnérables aux mêmes types d'attaques. Les institutions financières canadiennes peuvent utiliser ces renseignements comme système d'avertissement. Si un acteur malveillant annonce une nouvelle méthode de fraude, il serait peut-être temps de tester votre propre système pour détecter les vulnérabilités et prévenir toute victimisation. Notre suggestion est donc que les institutions financières canadiennes portent une attention particulière non seulement aux menaces contre elles-mêmes, mais également aux menaces contre l'industrie financière canadienne, car des informations précieuses pourraient les aider à sécuriser leur propre infrastructure.
Flare Systems est une solution de renseignements sur les menaces fournissant des données immédiatement exploitables sur les menaces et les acteurs aux institutions financières du Dark Web, aux communautés de cybercriminels et aux conversations surveillées. En savoir plus sur nous sur notre page Web ou nous contactant.
Abonnez-vous à notre blog pour rester à jour sur le darknet et la cybersécurité.
Articles connexes
- Les délinquants en ligne sont-ils des lâcheurs ?
- Comment la fraude financière se produit-elle lorsque tout change si vite
