Prise de contrôle de compte: les initiés n’ont pas besoin d’être malveillants pour provoquer le chaos

  • FrançaisFrançais


  • Alors que 2020 touche à sa fin, SC Media présente à travers une série d’articles nos sélections des événements et des tendances les plus marquants de l’année dernière, dont nous prévoyons qu’ils seront pris en compte dans les stratégies communautaires en 2021 et au-delà. C’est le premier de cette série.

    Il y a un terme utilisé pour décrire une personne naïve qui est manipulée sans le savoir pour faire avancer l’agenda néfaste d’un autre parti: un «idiot utile». Il fait souvent référence aux cibles involontaires des services de renseignement russes ou soviétiques, mais cela pourrait tout aussi bien s’appliquer à un employé qui est socialement conçu pour accorder aux pirates un accès non autorisé aux systèmes et aux informations.

    Dans le cyber-monde, à peu près n’importe qui peut devenir un idiot utile. En effet, d’importants incidents de prise de contrôle de compte (ATO) sur Twitter et GoDaddy cette année nous ont rappelé que les initiés au sein de votre organisation n’ont pas besoin d’être malveillants pour constituer une menace. Au contraire, ils peuvent être des pions innocents, trompés par le phishing et les fraudeurs dont les ruses intelligentes sont difficiles à détecter.

    Bien qu’ils n’aient aucune intention malveillante, ces employés peuvent déclencher une cascade de compromissions de comptes en ligne, entraînant des escroqueries, des défections et des désinformations potentielles affectant un grand nombre d’utilisateurs. Les dommages peuvent être importants, c’est pourquoi les experts disent que les organisations doivent aller au-delà des simples justificatifs d’identité et des vérifications d’identité de base, et passer à des concepts tels que la défense en profondeur afin de garantir que les titulaires de comptes sont correctement protégés.

    En juillet dernier, un groupe de conspirateurs – qui ont depuis été identifiés et inculpés – ont appelé plusieurs employés de Twitter et se sont présentés à tort comme le service informatique de l’entreprise. Sous le faux prétexte de résoudre un problème VPN, ils ont persuadé les employés de saisir leurs informations d’identification sur un site Web qui ressemblait au vrai site de connexion VPN. Avec ces informations d’identification, les pirates ont pu détourner les comptes Twitter vérifiés d’individus et d’entreprises de premier plan – y compris Joe Biden, Barack Obama, Elon Musk, Bill Gates, Jeff Bezos, Apple, Uber et d’autres – et publier un message faisant la promotion d’une arnaque à la crypto-monnaie. .

    Des tactiques similaires de vishing (phishing basé sur la voix) étaient en jeu dans l’attaque de GoDaddy ATO quelques mois plus tard en novembre. Des fraudeurs auraient appelé l’équipe d’assistance du bureau d’enregistrement de domaines Internet se faisant passer pour des représentants de plates-formes de crypto-monnaie légitimes, puis auraient incité les employés à modifier les informations de compte afin que le trafic de courrier électronique et Web destiné à ces plates-formes soit plutôt dirigé vers des domaines contrôlés par des attaquants.

    Un troisième incident notable a eu lieu en août dernier et impliquait le lecteur de médias sociaux Reddit. Dans ce cas, les escrocs n’ont même pas eu à recourir au vishing; au lieu de cela, ils ont pu compromettre les informations d’identification faibles appartenant aux comptes de certains employés de Reddit, puis les dépasser afin de dégrader divers subreddits avec des messages pro-Trump. Les informations d’identification se sont révélées vulnérables car les employés ne les ont pas protégées avec une authentification à deux facteurs.

    L’essentiel: «Vous ne pouvez pas automatiser l’humain hors du service client», a déclaré Allison Nixon, responsable de la recherche à l’Unité 221b. “[Customer service] les représentants subissent de nombreuses pressions qui les empêchent de faire le bon appel au nom de la sécurité. Les attaquants connaissent le jargon interne et le fonctionnement de l’entreprise, et ils menaceront également les représentants, exploitant leur manque de sécurité d’emploi et leurs bas salaires. »

    Usurper l’identité d’un client ou d’un service informatique n’est qu’une méthode d’ingénierie sociale: «La corruption est également un gros problème», a ajouté Nixon. Et «à mesure que les opportunités de corruption et de tromperie se tariront, nous verrons davantage la coercition et même la force contre les employés. Cela semble exagéré, mais toutes ces choses se sont déjà produites. “

    Nixon a déclaré qu’il n’y avait «pas de solution miracle» pour empêcher les attaquants de transformer les employés en agents involontaires qui agissent en leur nom. «C’est un problème structurel qui nécessite des investissements dans des choses sur lesquelles les entreprises ne veulent que réduire les coûts.»

    Pourtant, il existe des moyens pour les entreprises de réduire, notamment grâce à une solide stratégie de sécurité des données, plutôt que de se reposer «uniquement sur les défenses au niveau du terminal ou du périmètre», a déclaré Terry Ray, vice-président senior et associé chez Imperva.

    «Les bases de données, les environnements cloud, les API et les applications sont parmi les points de terminaison les plus vulnérables, et pourtant les organisations accélèrent les projets de transformation dans ces catégories sans tenir compte du risque de sécurité potentiel», a poursuivi Ray. «De nombreuses entreprises craignent que prendre le temps de sécuriser les données ne ralentisse leurs projets d’innovation. Cet état d’esprit est indéfendable: pour vraiment protéger les données sensibles de l’organisation, vous devez commencer par sécuriser les données elles-mêmes. »

    Adopter une approche de défense en profondeur est un moyen de sécuriser les données et les systèmes sur lesquels elles résident.

    «Les programmes les plus efficaces auront une approche à plusieurs niveaux de la réduction des risques de fraude», a déclaré Bryan Jardin, directeur de la gestion des produits chez Appgate. «Rester proactif, découvrir les vulnérabilités potentielles au sein de vos processus et rechercher des« bavardages »sont des étapes très importantes pour savoir si vous allez être une cible bientôt ou dans un proche avenir.»

    En effet, Corey Nachreiner, directeur de la technologie chez WatchGuard Technologies, a déclaré qu’une sécurité à plusieurs niveaux peut potentiellement empêcher le type d’attaques ATO subies par GoDaddy et Twitter. “Quelque chose d’aussi simple que d’identifier l’origine de l’événement d’authentification aurait pu le signaler [the malicious takeover attempts] comme suspect, a-t-il déclaré, «si une forte authentification multifactorielle sur les comptes des employés, associée à une formation au phishing, aurait stoppé complètement le compromis.»

    L’un des principaux points à retenir de la formation au phishing et au vishing devrait être un sens accru de la vigilance, a poursuivi Nachreiner.

    «L’un des meilleurs éléments d’orientation pour toutes les formes de phishing, quel que soit le canal de communication, est de tout traiter avec suspicion», a-t-il déclaré. “Cela ne signifie pas que vous devez analyser chaque message ou appel téléphonique, mais si l’autre partie vous demande de faire quelque chose avec un degré de risque élevé comme changer un mot de passe ou vérifier des informations personnelles, vous devez absolument le supposer est faux jusqu’à preuve du contraire. »

    Cela peut signifier demander aux employés et aux représentants du service clientèle de vérifier un appelant en utilisant une deuxième forme de communication pour confirmer son identité. «Si vous recevez une demande suspecte par e-mail, décrochez le téléphone et appelez l’individu», a déclaré Nachreiner. “Si la demande arrive par téléphone” appelez, contactez le numéro officiel indiqué sur le site Web de l’organisation pour vérification. Ces inconvénients mineurs et le temps supplémentaire impliqué feront la différence entre une violation ou une prévention. »

    Ray a ajouté ses propres conseils: pour commencer, ne répondez pas aux appels provenant de numéros de téléphone qui semblent étranges ou qui ont des codes postaux inconnus. Laissez l’appelant laisser un message à la place.

    De plus, «aucun service légitime ne demandera des informations de connexion par téléphone. Ne répondez jamais à ces demandes. Au lieu de cela, contactez le service via une ligne d’assistance client de confiance pour vérifier que la demande est réelle », a déclaré Ray. De même, les appels téléphoniques non sollicités vous demandant de modifier vos informations d’identification ou les paramètres de votre compte doivent être ignorés, a-t-il ajouté.

    Jardin a déclaré que lorsqu’ils sont contactés par un client présumé, les représentants des clients devraient «se concentrer sur l’abus potentiel de l’interaction, ce qui vous est demandé en tant que représentant et l’impact potentiel sur le compte de l’utilisateur. Plusieurs niveaux de vérification d’identité sont nécessaires. »

    «La même chose est vraie pour la correspondance par e-mail. Votre capacité à atténuer et à identifier les fraudes potentielles au sein de l’environnement doit dicter ce qui peut et ne peut pas être effectué par téléphone, e-mail ou Web. Si vous disposez de contrôles Web solides, redirigez le client pour qu’il le fasse lui-même en ligne. Si vos contrôles de messagerie sont médiocres, n’autorisez pas la correspondance par e-mail à demander des modifications de compte, etc. » En d’autres termes: “Dirigez-les vers l’endroit où vous disposez de commandes pour éviter de les contourner.”

    Bien sûr, de solides défenses n’arrêteront pas chaque attaque, il est donc également important d’être prêt à répondre avec agilité à une prise de contrôle réussie.

    «Je recommande de vous concentrer sur votre stratégie de réponse», a déclaré Jardin. Il est important d’avoir un manuel de fraude agile et non embourbé dans la bureaucratie. Les organisations doivent être habilitées à réagir rapidement et à déployer des contre-mesures. L’accent est mis sur la détection et la réponse plutôt que sur l’obsession de la prévention. »

    Pourtant, former les employés à suivre les pratiques ci-dessus et à se conduire avec la plus grande prudence ne sera pas nécessairement efficace à moins qu’ils ne soient vraiment motivés à faire partie de la solution, a ajouté Nachreiner. «C’est pourquoi il est important d’aller au-delà de l’éducation et de la formation des utilisateurs pour les convaincre de vraiment adhérer et de s’engager en faveur de la sécurité. Chaque organisation devrait se concentrer sur le remodelage des utilisateurs des maillons faibles en une clôture en fer forgé pour la cybersécurité », a-t-il déclaré.

    Cette même adhésion doit également s’étendre à la direction de l’entreprise. C’est pourquoi Nixon estime qu’une «solution plus durable» pour éviter les prises de contrôle et les violations de compte consiste à «se concentrer sur les résultats et les incitations» lors de l’élaboration d’un plan de sécurité.

    Une façon de le faire: mettre à jour les lois et les politiques qui exigent une forme de restitution si un compte est piraté. «Remboursez les victimes», a expliqué Nixon. «Comme la façon dont les banques sont incitées à maintenir un niveau de sécurité, car elles doivent rembourser les victimes de piratage informatique, ce qui empêche la fraude bancaire de devenir incontrôlable.»

    «En l’absence de lois mises à jour, la source d’incitation la plus probable est que ces victimes commencent à gagner leurs poursuites civiles», a poursuivi Nixon. «En dehors de cela, je ne pense pas que les entreprises aient une raison financière de changer et nous pouvons nous attendre à ce que tout cela s’aggrave.»

    Source

    Laisser un commentaire

    Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *