Crédit : Dreamstime
L’ingénierie sociale est cependant impliquée dans la grande majorité des cyberattaques un tout nouveau rapport de Proofpoint a révélé 5 présomptions courantes d’ingénierie sociale qui ne sont pas seulement incorrectes, mais qui sont à plusieurs reprises renversées par des acteurs malveillants dans leurs attaques.
Commentant les conclusions du rapport, Sherrod DeGrippo, vice-président de Proofpoint recherche et détection, a déclaré que le fournisseur a tenté de démystifier les présomptions de dysfonctionnement faites par les organisations et les équipes de sécurité afin qu’ils puissent mieux protéger les employés contre les cybercrimes.
« Malgré les meilleurs coups des protecteurs, les cyber-escrocs continuent de frauder, d’obtenir et de rançonner des entreprises pour des milliards de dollars par an », a déclaré DeGrippo.
« Les décideurs axés sur la sécurité ont en fait donné la priorité au renforcement des défenses autour des infrastructures physiques et basées sur le cloud, ce qui a fait que les humains sont devenus le point d’entrée le plus fiable pour les compromis. en conséquence, une large sélection de contenus et de méthodes continue d’être établie pour exploiter les comportements et les intérêts humains. »
Les cybercriminels feront des efforts innovants et parfois inhabituels pour mener des campagnes d’ingénierie sociale, ce qui rendra plus difficile pour que les utilisateurs évitent d’en être victimes.
Voici 5 croyances erronées d’ingénierie sociale qui exacerbent les attaques, telles que présentées par Proofpoint.
1. Les acteurs à risque n’ont pas de conversations avec les cibles
L’idée que les agresseurs n’investissent pas d’efforts et de temps dans la conversation avec les victimes pour développer une relation est erronée, selon le rapport. Les scientifiques de Proofpoint ont observé plusieurs stars du danger envoyer des e-mails bénins pour lancer des discussions en 2015.
« Une ingénierie sociale efficace consiste à produire des sentiments chez un utilisateur qui le poussent psychologiquement à s’engager avec du contenu », lit-on dans le rapport. » En envoyant des e-mails bénins dans le but d’inciter l’utilisateur à un sentiment de sécurité incorrect, les stars de la menace se sont préparées à ce qu’une relation soit plus rapidement exploitable. «
Proofpoint a observé plusieurs tentatives de compromission des e-mails de l’entreprise (BEC ), la circulation de logiciels malveillants et les campagnes de menaces persistantes sophistiquées (APT) alignées sur l’état du pays utilisant des discussions bénignes pour introduire des attaques, ces dernières consistant en l’activité des acteurs à risque TA453, TA406 et TA499.
2. Les services authentiques sont à l’abri des abus d’ingénierie sociale
Les utilisateurs peuvent être plus enclins à interagir avec du matériel s’il semble provenir d’une source qu’ils reconnaissent et en laquelle ils ont confiance, mais les stars du danger abusent régulièrement de services légitimes tels que les fournisseurs de stockage en nuage et les réseaux de distribution de contenu pour héberger et distribuer des logiciels malveillants ainsi que des sites Web de collecte d’informations d’identification, selon Proofpoint.
« Les stars du risque pourraient choisir de disperser les logiciels malveillants via des services authentiques en raison de leur probabilité de contourner les protections de sécurité dans les e-mails par rapport aux fichiers nuisibles », lit-on dans le rapport.
» Atténuation des dangers hébergés sur les services authentiques continue d’être un vecteur difficile à empêcher car il inclut très probablement l’exécution d’une pile de détection robuste ou l’arrêt basé sur des politiques des services qui pourraient être pertinents pour l’entreprise. «
L’analyse au niveau de la campagne de Proofpoint a reconnu OneDrive comme le service le plus régulièrement utilisé par les acteurs de la cybercriminalité de premier plan, suivi de Google Drive, Dropbox, Discord, Firebase et SendGrid.
3. Les attaquants utilisent simplement des ordinateurs, pas des téléphones
Il y a une tendance à présumer que les attaques d’ingénierie sociale sont limitées aux e-mails, mais Proofpoint a identifié une augmentation des attaques perpétuées par des stars du risque tirant parti d’un environnement robuste de centre d’appels -les risques liés aux e-mails impliquant une interaction humaine par téléphone.
« Les e-mails eux-mêmes ne contiennent pas de liens ou d’accessoires malveillants, et les personnes doivent appeler de manière proactive un faux numéro de service client dans l’e-mail pour s’engager avec l’acteur du danger. Proofpoint observe chaque jour plus de 250 000 de ces types de danger. »
Le rapport a identifié deux types d’activité de menace dans les centres d’appel : l’un utilisant un logiciel d’assistance à distance entièrement gratuit et authentique pour voler de l’argent, et un autre utilisant un logiciel malveillant camouflé sous forme de fichier pour mettre en danger un ordinateur (souvent lié au logiciel malveillant BazaLoader, fréquemment appelé BazaCall).
« Les deux types d’attaques sont ce que Proofpoint considère comme un envoi d’attaques par téléphone (TOAD) », a-t-il ajouté. Les victimes peuvent perdre des dizaines de milliers de dollars à cause de ces types de dangers, avec Proofpoint mentionnant un exemple de perte spécifique de près de 50 000 $ suite à une attaque d’un acteur dangereux prétendant être un représentant de Norton LifeLock.
4. Répondre aux conversations par e-mail existantes est sûr
Le sentiment de confiance et de sécurité entourant les discussions par e-mail existantes est exploité par des escrocs via le détournement de fils ou de discussions, a précisé Proofpoint.
« Une star utilisant cette approche se nourrit de la confiance de l’individu dans la conversation par e-mail existante », écrit-il. » Normalement, un destinataire anticipe une réponse de l’expéditeur, et est donc plus susceptible de communiquer avec le contenu injecté. «
Pour détourner efficacement une discussion existante, les stars du risque doivent avoir accès à de véritables les boîtes de réception des utilisateurs, qui peuvent être acquises par différentes méthodes, notamment le phishing, les attaques de logiciels malveillants, les listes d’informations d’identification facilement disponibles sur les forums de piratage ou les méthodes de pulvérisation de mots de passe. Les stars du risque peuvent également pirater des serveurs de messagerie entiers ou des boîtes aux lettres et envoyer immédiatement des réponses à partir de botnets contrôlés par des acteurs du risque.
« En 2021, Proofpoint a observé plus de 500 projets utilisant le détournement de threads, liés à 16 familles de logiciels malveillants différentes. D’importants acteurs de la menace, à savoir TA571, TA577, TA575 et TA542, utilisent fréquemment le détournement de threads dans les campagnes. »
Bien que les acteurs destructeurs ciblent souvent les employés des entreprises, la présomption selon laquelle ils s’appuient sur le contenu lié à l’entreprise comme leurre est inexacte, a déclaré Proofpoint. Les stars de Danger ont largement capitalisé sur les événements actuels, les nouvelles et la culture populaire pour amener les gens à s’engager avec du matériel malveillant.
Le rapport cite plusieurs projets de 2015 qui ont adopté cette méthode, consistant en :
- Attaques BazaLoader tirant parti des thèmes de la Saint-Valentin tels que les fleurs et la lingerie
- TA575 distribuant le cheval de Troie bancaire Dridex en utilisant les styles de l’émission Netflix Squid Game ciblant les utilisateurs aux États-Unis. gamme d’informations de reconnaissance personnelle (PII)
- Environ plus de 6 millions de menaces liées au COVID-19 par jour tout au long de 2021
Les entreprises doivent former leurs employés sur méthodes d’ingénierie sociale, démystifier les idées fausses
Compte tenu à la fois de la créativité des tactiques d’ingénierie sociale et des idées fausses concernant les méthodes employées par les escrocs, les organisations doivent s’engager auprès de leur main-d’œuvre pour les sensibiliser aux véritables dangers que pose l’ingénierie sociale et déplacer les mentalités qui pourraient être vulnérables à l’exploitation.
« La stratégie la plus percutante, pour toute organisation proposée, est de faire évoluer la culture vers une posture où l’identification des dangers entrants est comprise comme à la fois appropriée et nécessaire », lit-on dans le rapport. » Cela signifie encourager la familiarisation avec le large éventail de contenus dangereux que les vedettes peuvent utiliser et imposer quelques obstacles au signalement plus systématique du contenu comme potentiellement malveillant. «
Pour Raef Meeuwisse, spécialiste de la cybersécurité et auteur de How to Hack a Human: Cybersecurity for the Mind, les employés doivent être informés que les fraudes d’ingénierie sociale les plus convaincantes semblent généralement tout aussi authentiques qu’une grande partie de ce avec quoi ils se connectent dans le cadre de leur travail réel et quotidien – ou peut-être beaucoup plus.
« Lapsus$ est allé jusqu’à envoyer de vraies demandes d’authentification multifacteur mobile push via la vraie plate-forme de sécurité à de véritables employés – et la plupart des demandes malveillantes ont été approuvées par les destinataires, » informe-t-il CSO.
La meilleure façon de responsabiliser les membres du personnel pour trouver l’ingénierie sociale est de les rendre attentifs à toute circonstance qui déclenche une panique soudaine et grave pour agir sans délai, y compris que si les utilisateurs rencontrent ces deux symptômes ensemble, 99,99% du temps, ils restent au milieu d’une arnaque par ingénierie sociale, a déclaré Meeuwisse.
« Et naturellement, les membres du personnel doivent être formés pour signaler une activité potentielle d’ingénierie sociale au groupe d’action sur l’incident et, en cas de doute, pour demander leur aide. »
Néanmoins, sur Au sujet de la dénonciation des mythes de l’ingénierie sociale, Meeuwisse encourage également les entreprises à identifier que les risques ne proviennent pas toujours de l’extérieur d’une organisation.
« Ce qui est oublié ou complètement mis de côté, ce sont les techniques de signalement, d’examen et de surveillance des individus qui ont délibérément fait semblant de se frayer un chemin pour utiliser une organisation », a-t-il déclaré. « Il s’agit d’un problème beaucoup plus important que ne le pensent de nombreuses organisations, car des violations considérables déclenchées par des actions d’initiés voyous sont rarement exposées aux médias, mais les statistiques signalent les experts voyous comme un problème énorme. »
Si une organisation effectue quelques ou aucune vérification des antécédents, ne dispose d’aucun mécanisme de dénonciation confidentielle ou (dans 2 cas qu’il a réellement vus) a un expert voyou chargé d’embaucher d’autres experts voyous, a-t-il déclaré, alors il y a un grand espace dans leurs défenses d’ingénierie sociale.
.
Toute l’actualité en temps réel, est sur L’Entrepreneur
