L'hameçonnage ciblé à la hausse

La pandémie a présenté de nombreux défis pour la cybersécurité, en particulier les tentatives de phishing liées au COVID-19 ciblant les employés travaillant à domicile. Cependant, les experts en sécurité s’exprimant lors de la conférence virtuelle Exabeam Spotlight20 ont mis en garde contre une augmentation des attaques de spear-phishing et de prise de contrôle de compte.

« Après la fermeture, à la mi-mars, c’était plutôt calme au départ, mais au début du mois d’avril, nous avons constaté une forte augmentation du spam et du spearphishing, des attaques de phishing très ciblées que nous n’avions jamais vues auparavant », a déclaré Michael St. Vincent, RSSI chez The Cosmopolitan of Las Vegas.

L'hameçonnage ciblé à la hausse

Alors que son équipe était préparée à la montée des attaques de phishing et était en mesure d’avertir les personnes ciblées de ce qui se passait, St.Vincent a déclaré que le passage au spear-phishing ciblé à la suite du coronavirus et des fermetures était dramatique.

Il n’est pas rare de voir des e-mails de spear-phishing aller au PDG ou au directeur financier avec des demandes financières spécifiques, par exemple, mais dans ce cas, ces demandes provenaient d’e-mails spécifiques et d’apparence légitime de chefs de service avec des messages bien conçus. .

Tyler Warren, directeur de la sécurité informatique chez Prologis, a constaté une augmentation similaire du spam et des e-mails de spear-phishing à peu près au même moment. Le message de spam COVID-19 était un spam typique, a-t-il dit, mal rédigé et envoyé à qui que ce soit, mais lui aussi a vu le spear-phishing plus spécifique et bien conçu.

L’utilisation de comptes violés

Qu’est-ce qui rend ces attaques de spear-phishing plus dangereuses que les autres attaques de phishing ? C’est à cause de la façon dont les attaquants envoient les e-mails: ils utilisent les comptes de clients et de fournisseurs qui ont été victimes d’une violation de données. Et ils utilisent ces comptes, a déclaré Warren, pour demander des choses telles que des paiements de factures ou pour changer les paiements vers un nouveau compte bancaire.

« Nous avons l’habitude de voir ces types d’e-mails parce que nous avons des clients dans le monde entier », a-t-il noté, ce qui rend les e-mails de spear-phishing utilisant des comptes de messagerie légitimes plus difficiles à discerner.

Cela a créé un effet de cascade dans les attaques de phishing. Les liens les plus faibles – ceux qui suivent les instructions d’un e-mail de phishing moins sophistiqué – ont déjà fait leur travail pour les pirates. Cela crée un nouveau type de risque tiers, dans lequel les comptes compromis sont connus de l’utilisateur et sont conçus pour apparaître comme une demande commerciale légitime. Cela change la façon dont les équipes de sécurité doivent répondre.

Tout vérifier

« Il s’agit d’un risque très élevé pour les tiers », a déclaré Warren. Vous formez vos employés aux escroqueries par hameçonnage et à ce qu’ils doivent rechercher, mais ce type de courrier électronique semble provenir d’une source fiable.

Aussi laborieux que cela puisse paraître, la sophistication de ces e-mails de spear-phishing signifie que les employés doivent tout vérifier avant de donner suite à la demande. Et cela signifie un appel téléphonique à « l’expéditeur », a conseillé Warren, car une vérification par e-mail retournera simplement au cybercriminel, qui, bien sûr, dira oui, c’est la vraie personne et c’est une vraie demande.

Lorsqu’ils travaillent au bureau, les employés peuvent facilement contacter les équipes de sécurité et informatiques pour vérifier les e-mails de phishing, ne serait-ce qu’en transférant cet e-mail à l’équipe. Mais les gens qui travaillent à distance ont un état d’esprit différent; ils peuvent avoir l’impression de ne pas bénéficier du même type de sécurité ou d’assistance informatique.

Lors du passage du travail sur site au travail à distance, les dirigeants se sont inquiétés de la manière dont les équipes de sécurité et informatiques aborderaient la défense des réseaux et des appareils. Le conseil de Saint-Vincent à ses dirigeants était de se limiter aux processus qui étaient déjà en place. Si quelque chose semblait inhabituel – ou « hameçonnage » -, il souhaitait que les employés contactent l’équipe de sécurité et le leur signalent.

« Nous ne savions pas ce qui allait se passer », a déclaré St. Vincent. Cet effort massif de travail à domicile était une nouvelle expérience pour tout le monde, après tout. « Spam – nous avons pensé que cela arriverait, et c’est le cas, bien que beaucoup plus que ce à quoi nous nous attendions. » De plus, il était différent de ce qui était prévu, car il s’agissait de spear-phishing extrêmement bien ciblé et conçu.

Ce spear-phishing a remodelé le risque de tiers à un moment où les employés peuvent baisser la garde en ce qui concerne la sensibilisation au phishing. Les équipes de sécurité doivent désormais être plus conscientes des violations de données impliquant des clients et des fournisseurs réguliers et être à l’affût des tentatives d’utiliser ce type de prise de contrôle de compte pour un gain financier pour les acteurs de la menace.