Attaque par phishing contre un hôpital : 129 000 dossiers médicaux volés

 
Un hôpital situé à Kalispell (Montana) a été victime d’une embarrassante violation de données, provoquant la fuite de 129 000 dossiers médicaux et exposant les patients à l’usurpation d’identité et à la fraude.
Le Kalispell Regional Healthcare a appris l’existence de la faille en juin, mais une enquête à ce sujet suggère que l’arnaque par phishing (ou hameçonnage) a commencé à récolter les dossiers médicaux des patients dès le 24 mai. Une déclaration, envoyée par l’établissement à ses patients et obtenue par le journal local Flathead Beacon, révèle que l’attaque par phishing était ciblée et coordonnée.
Plusieurs employés avaient sans le savoir fourni aux pirates leurs identifiants de connexion de messagerie électroniques. Les fraudeurs ont ensuite pu accéder aux informations confidentielles des patients – notamment leur nom, adresse, numéro de dossier médical, date de naissance, numéro de téléphone, adresse électronique, mutuelle, antécédents médicaux, la nature du traitement, la date des opérations, le médecin traitant, et le numéro de compte de la facture des soins. Selon l’hôpital, moins de 250 patients se seraient fait également voler leur numéro de sécurité sociale.
Le directeur de l’établissement, Craig Lambrecht, a déclaré dans sa lettre aux patients que l’attaque était “extrêmement sophistiquée”. Dès qu’il a eu conscience du succès de l’attaque, le KRH a immédiatement désactivé les comptes des employés, en a informé les forces de l’ordre et a ouvert une enquête auprès d’une société de criminalistique numérique réputée, basée à New York.
La lettre indique que le KRH offre un service gratuit de surveillance bancaire aux personnes concernées – comme cela toujours devrait être le cas à la suite d’une atteinte grave à la sécurité des données – et fournit aux patients des informations sur la manière de s’inscrire à ce service.
Les cybercriminels ciblant les hôpitaux suivent généralement l’un des deux scénarios suivants : extorquer l’unité de soins de santé en l’infectant avec un ransomware (ou rançongiciel) ou exfiltrer les dossiers de santé et les revendre à des fraudeurs sur le dark web. La raison pour laquelle le KRH a recours à un service gratuit de surveillance bancaire est bien entendu d’empêcher les patients d’être victimes de fraude.
Dans une interview accordée à la presse le 22 octobre, Melanie Swenson, directrice informatique du KRH, a révélé que l’hôpital était en réalité très bien équipé pour prévenir et gérer les cyber-incidents, effectuant régulièrement diverses évaluations des menaces et différents audits de conformité. En outre, chaque année, l’hôpital prend des mesures supplémentaires pour renforcer sa position en matière de cybersécurité, parallèlement à la sophistication continue des attaques menées par les cybercriminels. Néanmoins, “ne serait-ce qu’en permettant aux employés de faire leur travail au quotidien, il reste toujours une petite fenêtre de vulnérabilité”, a déclaré Swenson.
De nombreuses études réalisées ces dernières années vont dans le sens des propos de cette responsable, soulignant la nécessité de former régulièrement le personnel à la détection des cybermenaces. Le phishing reste l’un des moyens d’attaque les plus répandus parmi les cybercriminels, car les employés constituent généralement le maillon faible de l’infrastructure informatique d’une entreprise.