Première cyberattaque de phishing
C’est fin mai 2016 qu’a eu lieu la première attaque. Un salarié de la National Bank of Blacksburg, située dans l’Etat de Virginie aux Etats-Unis, a cliqué sur un e-mail d’hameçonnage ciblé.
D’après l’enquête, cet e-mail a permis à l’attaquant d’installer un logiciel malveillant sur le PC de la victime. Puis de compromettre un autre poste de la National Bank of Blacksburg. Ce second poste permettait l’accès au STAR Network. Ce système permet de gérer les comptes clients et l’usage de leurs cartes bancaires dans les distributeurs de billets.
Les attaquants ont désactivé ou modifié certains réglages par le biais de cet accès au STAR Network. La vérification des PIN (code secret), la limite quotidienne de retrait ou les protections anti-fraude ont été ciblés.
Les cyber attaquants avaient pris la précaution de lancer leurs opérations le week-end du 28 mai, suivi d’un lundi férié.
En 3 jours seulement, les délinquants sont parvenus à soustraire 500 000$ des comptes de clients. Ils ont en réalisé des retraits dans des centaines de distributeurs de billets.
Huit mois plus tard, une seconde cyberattaque de phishing plus coûteuse encore est constatée
Suite aux investigations liées à la première attaque et conformément aux recommandations des spécialistes, des mesures techniques ont été mises en place.
Cela n’a pas empêché un salarié non sensibilisé de tomber dans le piège d’un second hameçonnage. En effet, celui-ci a cliqué sur un document Word infecté.
Cette fois, l’impact fût plus important encore. Les attaquants sont, en effet, parvenus à entrer dans un second système de la banque, gérant notamment les crédits auxquels peuvent prétendre les clients.
Avant de perpétuer de nouveaux retraits dans les distributeurs un week-end de janvier 2017, les attaquants ont donc pu créditer les comptes bancaires des clients attaqués de 2 millions de dollars.
A l’issue du cyber braquage, 1,8 millions de dollars avaient disparu des comptes de la National Bank of Blacksburg.
Une cyber assurance qui ne tient pas ses promesses
Ayant souscrit à 2 cyber assurances, la banque pensait être couverte à hauteur de plus de 8 millions de dollars…Néanmoins, d’après l’assureur, le cas concerné devrait permettre à la banque de se faire dédommager qu’à hauteur de quelques dizaines de milliers de dollars. La banque a lancé une action en justice contre son assureur.
Comment la banque aurait-elle pu se protéger des cyberattaques ?
Nous ne le dirons jamais assez : aucun système technique ne peut permettre d’éliminer le risque d’une cyberattaque. Et aucune solution logicielle ne pourra empêcher un utilisateur non sensibilisé de réaliser une action permettant à un hacker de parvenir à ses fins.
Seule une sensibilisation créée sur mesure pour chaque salarié et un contrôle sur la durée de la mise en pratique des connaissances auraient pu éviter une telle catastrophe.
Avant De Cliquer est membre du CPME, confédération des petites et moyennes entreprises, tous secteurs confondus : industrie, services, commerce, artisanat et professions libérales et adhérent au MEDEF, premier réseau d’entrepreneurs de France.
Vous le savez :
Avant de Cliquer aide les organisations à se protéger des cyberattaques (dont 80% ont pour origine l’hameçonnage). Cela en sensibilisant et testant sur la durée chaque utilisateur en fonction de son profil de risque.
