Le secteur financier a enregistré une augmentation de 125% des attaques de phishing mobile en 2020

  • FrançaisFrançais


  • La finance fait partie des secteurs qui ont le plus lutté pour respecter une norme de stockage et de transmission des informations de carte de crédit. (Uris sur Wikipedia anglais / CC BY-SA 3.0)

    Les chercheurs ont rapporté jeudi que malgré une augmentation de 50% de l’adoption de la gestion des appareils mobiles (MDM) au cours de l’année écoulée, l’exposition trimestrielle moyenne aux attaques de phishing sur les appareils mobiles dans le secteur financier a augmenté de 125% – et l’exposition aux logiciels malveillants et aux applications a augmenté de plus. que cinq fois.

    Dans un article de blog, les chercheurs de Lookout ont déclaré que, alors que de plus en plus d’utilisateurs accèdent aux services et à l’infrastructure du cloud à partir d’appareils mobiles, les attaquants ciblent délibérément les téléphones, les tablettes et les Chromebooks pour augmenter leurs chances de trouver un point d’entrée vulnérable. Les chercheurs ont déclaré qu’une seule attaque réussie de phishing ou de ransomware mobile peut donner aux attaquants l’accès aux données sur l’ensemble de l’infrastructure back-end d’une entreprise.

    «Les compromis peuvent avoir lieu de plusieurs manières, mais avec chacune d’elles, un attaquant peut trouver son chemin dans votre infrastructure cloud», a déclaré Hank Schless, directeur principal des solutions de sécurité chez Lookout. «Un attaquant peut recréer la page de connexion de l’entreprise et transmettre un message de phishing à l’individu qui l’invite à se connecter à son compte. L’attaquant peut utiliser des logiciels malveillants en tant que service pour fournir une application cheval de Troie qui peut se cacher en arrière-plan de l’appareil et attendre que l’utilisateur accède aux données d’entreprise sensibles stockées dans les applications et l’infrastructure cloud avant d’exécuter des actions. »

    Dans le cadre du blog, Lookout a également lié à son rapport sur les menaces liées aux services financiers, qui a été rédigé par Schless. Certains des points saillants du rapport sont les suivants:

    • Le motif de près de 50% des attaques de phishing était de voler les identifiants de connexion d’entreprise.
    • Près de 20% des clients des services bancaires mobiles avaient une application trojanized sur leur appareil lorsqu’ils essayaient de se connecter à leur compte bancaire mobile personnel.
    • Sept mois après la sortie d’iOS 14 et d’Android 11, 21% des appareils iOS étaient toujours sous iOS 13 ou une version antérieure, et 32% des appareils Android étaient toujours sous Android 9 ou une version antérieure.

    Le rapport souligne également que les organisations doivent faire plus que gérer les appareils mobiles avec MDM. Schless a déclaré que si le MDM permet aux organisations d’appliquer des politiques de base de gestion des applications et des accès aux appareils des employés, comme l’indiquent les chiffres du phishing et des risques liés aux applications, MDM n’a pas protégé les appareils contre ces risques et ne peut pas remplacer la sécurité.

    «Lors de la création d’applications grand public, la sécurité doit être intégrée à partir de zéro», a déclaré Schless. «En intégrant la sécurité dans le processus de développement des applications mobiles, les capacités de sécurité mobile sont fournies nativement à vos clients sans leur demander d’installer de logiciel supplémentaire. Chaque organisation doit également souscrire à une approche de confiance zéro et doit considérer les applications mobiles, les appareils et les utilisateurs dans le cadre de cette stratégie. »

    Comme la majeure partie de la main-d’œuvre travaille toujours à distance, Krishnan Subramanian, ingénieur de recherche en sécurité chez Menlo Security, a convenu qu’il était impératif d’inclure les appareils mobiles dans la stratégie de confiance zéro.

    «Sur la base des données de notre plate-forme, nous voyons des utilisateurs d’appareils mobiles accéder à des services cloud comme Office 365, DocuSign ou Adobe, qui sont couramment usurpés dans les campagnes de phishing», a déclaré Subramanian. «Les attaquants ont réalisé que les appareils mobiles sont aussi précieux que les ordinateurs de bureau en ce qui concerne les données et l’accès aux applications critiques.»

    Source

    Laisser un commentaire

    Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *