Pour tout le monde chez Alyne, cela signifie qu'il faut rester vigilant et s'assurer d'être au courant de ces tentatives. L'un des moyens de maintenir la sensibilisation à un niveau élevé est de rendre publiques les tentatives d'hameçonnage qui n'ont pas abouti, afin que les autres puissent voir à quoi ressemblent ces attaques et les éviter en toute sécurité à l'avenir.
J'aimerais présenter quelques-unes des tentatives effectuées au cours des derniers mois dans le billet suivant.
Méthodes
Dans ce billet, je n'analyse que les tentatives d'hameçonnage par courrier électronique. Bien que notre application soit bien sûr exposée à l'internet et donc sujette à de nombreuses attaques, l'architecture de sécurité - en particulier notre CDN et notre surface d'attaque minimisée - empêche ces attaques d'être un problème.
- Liens d'hameçonnage
Les tentatives les plus basiques consistent à amener l'utilisateur à cliquer sur un lien masqué avec plus ou moins d'habileté. - Liens vers les services en nuage
L'une des méthodes les plus inquiétantes à mes yeux est l'utilisation de services en nuage - qu'une organisation pourrait effectivement utiliser - pour envoyer des courriels frauduleux. - Ingénierie sociale pure
L'approche classique de l'ingénierie sociale consiste à se faire passer pour un membre de l'organisation afin d'établir une ligne de communication pour persuader quelqu'un d'effectuer une action qui pourrait, à son insu, fournir un accès inapproprié à un pirate. - Partage de documents réels sur des services en nuage
Une nouvelle approche consiste à inviter les utilisateurs à collaborer sur un document d'un service en nuage (par exemple OneDrive) lorsque le document contient un lien vers une source malveillante.
Objectifs
Il est évident que nous ne connaissons pas les objectifs exacts de chaque attaque, mais étant donné que ces attaques sont généralement menées à grande échelle, nous pouvons nous faire une idée générale des motivations qui se cachent derrière ces initiatives.
- Équivalents de trésorerie
L'attaque la plus directe concerne les simples équivalents de trésorerie. Nous avons fait une tentative pour voir où l'attaque mènerait. Dans ce cas, l'attaquant/escroc se faisait passer pour le PDG et essayait de convaincre un nouvel employé d'acheter du crédit Google Play et d'envoyer les codes de récupération par courrier électronique. - Installation de logiciels malveillants
C'est de là que partent les attaques traditionnelles : on essaie d'installer un code malveillant sur la machine attaquée afin d'obtenir un accès non autorisé au système. Les logiciels malveillants ont certainement évolué au fil du temps, les rançongiciels étant le type le plus répandu, en particulier pour cette approche d'attaque plus large. - Escroquerie à l'information
Certaines attaques ont clairement pour objectif d'obtenir des informations sur la victime afin de poursuivre l'ingénierie sociale. L'objectif final peut toujours être d'obtenir des équivalents en espèces, d'installer des logiciels malveillants ou d'obtenir un accès inapproprié.
Exemples
À ce stade, j'aimerais vous faire part de quelques-unes des attaques semi-ciblées que nous avons recensées au cours des derniers mois :
- Espionnage du courrier du PDG
L'un des nouveaux membres de notre équipe, Alex, a reçu cet e-mail - apparemment de ma part. L'usurpation d'adresse était tellement banale qu'un clic sur l'expéditeur de l'e-mail a révélé que l'expéditeur réel n'était certainement pas ma propre adresse e-mail.
- Fausses notes de frais ou calculs de primes
Il est intéressant de noter que dans cet exemple, un fichier a été partagé avec mon utilisateur via OneDrive. Bien que personne n'ait ouvert le fichier chez Alyne, j'imagine qu'il contient un lien ou un contenu malveillant. L'attrait est certainement d'envoyer quelque chose d'aussi "excitant" que des paiements de bonus pour inciter les gens à cliquer rapidement et à voir.
- Fausses notifications de messages vocaux
Là encore, il s'agit d'une tentative d'envoyer quelque chose avec lequel les gens voudront interagir de toute urgence - comme un message vocal manqué. Certains utilisateurs peuvent penser qu'il s'agit d'un nouveau système dont ils ignoraient la mise en œuvre et cliquer sur le lien. La personnalisation du message pour "Alyne" est à noter.
- Demande de changement de compte bancaire
L'exemple suivant est assez ciblé, car les attaquants ont identifié une employée et notre responsable des ressources humaines, Myri, et ont essayé de faire modifier le compte de salaire dans les ressources humaines. Myri utilisait Apple Mail et, bien que l'adresse électronique ait été clairement usurpée, Apple Mail a affiché l'avatar de Jasjeet.
- Escroquerie Docusign
Comme beaucoup d'entreprises de nos jours, nous utilisons Docusign pour signer nos documents. Je reçois un grand nombre de demandes de signature - parfois à l'invitation de notre responsable juridique, mais aussi parfois de nos clients. Si vous n'êtes pas très prudent, ce courrier peut vous tromper.
- Connexion VPN
Il ne s'agit pas d'un courriel très sophistiqué, mais il est tout à fait d'actualité. Comme de nombreuses personnes travaillent désormais à domicile en utilisant un VPN, l'accès à un "nouveau" VPN pourrait les inciter à cliquer sur ce lien.
- Hameçonnage des coordonnées
Autre exemple : les attaquants ont identifié Faris comme l'un de nos employés et ont tenté de se faire passer pour moi afin d'obtenir les coordonnées de Faris. Comme vous pouvez le constater, Faris a reçu un avertissement assez évident.
L'évaluation
Que pouvons-nous donc retenir de ces exemples ? Heureusement, ces attaques n'étaient pas très sophistiquées et ont été faciles à détecter. La nature ciblée des attaques était légèrement surprenante, étant donné que nous ne sommes pas une grande organisation. Je ne pense pas que toutes ces informations puissent être collectées de manière automatisée à 100 %, mais elles nécessitent une configuration manuelle pour être exécutées. Un modèle très clair visait également les nouveaux arrivants qui ne sont peut-être pas en mesure de faire la distinction entre les systèmes réels que nous utilisons et les fausses attaques de phishing. En général, ces attaques sont conçues pour fonctionner en grand nombre avec un faible taux de réussite, mais l'effort de configuration des attaques semble suffisamment faible pour que cela en vaille la peine. L'utilisation d'outils SaaS courants (docusign, box, etc.) comme vecteur d'escroquerie montre l'évolution de ces attaques. La décision la plus intelligente a probablement été d'utiliser des services de fichiers en nuage pour partager des fichiers contenant un contenu malveillant (par exemple, OneDrive). Il est ainsi presque certain que le courrier électronique est livré à la victime et qu'il passe sans être détecté par les filtres anti-spam et anti-programmes malveillants.
Atténuations
Le moyen le plus efficace d'y remédier reste la sensibilisation au sein de l'équipe. Nous en parlons régulièrement lors des réunions de tous les membres de l'équipe, dans nos canaux de communication et au cours de notre formation initiale. Il est essentiel de sensibiliser les gens aux menaces d'hameçonnage.
Chez Alyne, nous utilisons Google for Work et le service de messagerie associé. Si l'on compare l'interface de l'exemple "Changement de compte bancaire" à celle de l'exemple "Hameçonnage des coordonnées", il est clair que l'utilisation de l'interface de Google Mail présente des avantages considérables en termes de sécurité.
Enfin, nous implorons tous nos employés de toujours procéder à une seconde confirmation en cas de doute, même minime. Notre principale plateforme de communication est Slack. Je dis à mes employés que je ne leur demanderai jamais de faire quoi que ce soit par courriel. Si jamais je le fais, il faut toujours confirmer sur un deuxième canal (téléphone, Slack, en personne).
