4 menaces d’ingénierie sociale à surveiller – et comment les arrêter

4 menaces d’ingénierie sociale à surveiller – et comment les arrêter

Les acteurs de la menace socialement entreprenants s’ennuient du faible taux de réussite des campagnes de phishing en masse et du recours à des astuces plus avancées. S’il existe une garantie sur l’avenir de la cybersécurité, c’est que les cybercriminels suivent toujours l’argent. Les tactiques, techniques et procédures (TTP) continueront d’évoluer pour obtenir les meilleurs rendements sur les attaques.

L’ingénierie sociale fait toujours partie des TTP les plus couramment employés par les cybercriminels, soit seul, soit associé à d’autres méthodes de piratage.L’ingénierie sociale est définie comme une manipulation psychologique d’une cible pour l’inciter à adopter un comportement donné – le plus souvent, la passation des pouvoirs, le renoncement à l’accès à des données sensibles ou à des transferts de fonds. Il est impossible de séparer le vecteur d’ingénierie sociale de son composant le plus connu, le phishing, mais les attaques de phishing ne préoccupent pas tous les responsables de la sécurité de l’information (RSSI). Les tendances en matière de cybersécurité révèlent que les attaques d’ingénierie sociale hautement ciblées se développent proportionnellement aux autres PTT de cette catégorie. Voici ce que vous devez savoir pour défendre votre organisation – et vous-même.

4 menaces d’ingénierie sociale à préparer

Les e-mails de phishing constituent toujours une menace pour les entreprises, mais vous n’avez pas à vous en soucier. Selon une étude récente de PhishLabs, les acteurs de la menace ciblent de plus en plus les logiciels en tant que service (SaaS) et les informations d’identification financières dans les e-mails, et moins d’e-mails de phishing que jamais contiennent des logiciels malveillants. Votre entreprise est plus que jamais touchée par une menace sociale avancée soigneusement planifiée qui cible les initiés par inadvertance les plus vulnérables au sein de votre organisation – y compris les nouveaux employés, les dirigeants et les autres personnes détenant les clés de données ou de fonds sensibles.

1. Compromis des courriels professionnels

Selon l’indice «X-Force Threat Intelligence Index» d’IBM 2019, 29% des attaques analysées par les services de réponse aux incidents et de renseignement X-Force (IRIS) impliquaient des courriels de phishing. Quarante-cinq pour cent de ces attaques impliquaient une compromission de la messagerie d’entreprise (BEC) ou des arnaques très ciblées impliquant le piratage du compte de messagerie d’une personne pour effectuer des transferts de fonds non autorisés.

Le Centre de traitement des plaintes relatives à la criminalité sur Internet (IC3) a décrit BEC comme une arnaque de 12 millions de dollars et a souligné que celui-ci ne faisait aucune discrimination par taille d’industrie ou d’organisation. Sans de bonnes pratiques de gouvernance des mots de passe ou d’analyse comportementale permettant de détecter des tendances inhabituelles, BEC peut être à la fois simple et très gratifiant pour les cybercriminels.

2. Extorsion

Les tentatives d’extorsion directes sont en augmentation. Ils ont également beaucoup de succès, selon une étude récente de Digital Shadows. Les attaquants profitent d’un accès facile et peu coûteux à des informations d’identification compromises par d’autres attaques pour convaincre les cibles dont elles ont été victimes. La segmentation est un schéma courant, qui implique des campagnes bien coordonnées pour convaincre les PDG et d’autres cibles bien connues que les assaillants disposent de preuves gênantes. Ces attaques promettent la divulgation de la prétendue preuve si les demandes de paiement ne sont pas satisfaites.

En examinant les tendances en matière de cybersécurité, les pirates ont également commencé à utiliser des modèles de financement participatif pour générer des revenus pour des contenus sensibles au lieu d’exiger une rançon directement de leurs victimes. Cela peut être un moyen particulièrement rentable de vendre l’accès à la propriété intellectuelle des entreprises. Certaines des campagnes les mieux coordonnées proviennent de ce que Digital Shadows appelle «des opérations véritablement mondiales, avec des serveurs analysant cinq continents».

«Au cours des trois années passées chez Digital Shadows, nous avons toujours observé ces parallèles [entre le cybercriminel souterrain] et des entreprises légitimes», a déclaré Rick Holland, responsable de Digital Shadows, dans un entretien avec le MIS Training Institute. “Cela devient de plus en plus facile pour les criminels.”

3. Prétexte

Le prétexte représente un faible pourcentage du total des attaques d’ingénierie sociale dirigées contre des organisations, mais il est passé de 60 attaques en 2017 à 170 en 2018, selon le rapport de Verizon «2018 Data Breach Investigations Report». Cette forme d’ingénierie sociale très ciblée implique un dialogue approfondi entre un initié et une personne se faisant passer pour un collègue ou un vendeur. Sous de faux prétextes, un tiers communiquera jusqu’à ce qu’il ait acquis suffisamment de confiance pour obtenir l’accès à un système interne sécurisé, à des données sensibles ou à un transfert d’argent sécurisé. Cette menace émergente peut compromettre l’efficacité des obstacles techniques.

4. Escroqueries whaling et  catphish

L’année dernière, un riche homme d’affaires australien a perdu un million de dollars à cause d’une arnaque «catphish» unique associant une combinaison de techniques whaling et de catfhishing ou d’usurpation d’identité. L’assistante de cette personne a reçu une demande par courrier électronique d’une femme affirmant être la petite amie de la cible âgée de 87 ans, Nancy Jones. Jones a demandé un virement d’un million de dollars et l’assistant s’est plié.

Le nombre d’attaques de whaling ciblant les grandes entreprises est bien inférieur au nombre de millions de courriels de phishing envoyés par trimestre, mais leur impact est bien plus important. Selon les estimations de l’infoSec Institute, les courriels destinés aux dirigeants et aux autres personnes détenant les clés du contrôle financier ont collecté au moins 1,8 milliard de dollars US uniquement de sociétés basées aux États-Unis.

Répondre au vecteur de menace en évolution de l’ingénierie sociale

Bien que la formation à la sensibilisation à la sécurité reste une protection essentielle contre les attaques d’ingénierie sociale les plus volumineuses, il est temps que les entreprises aillent au-delà de la sensibilisation de base des utilisateurs. Certaines des attaques les plus rentables d’aujourd’hui impliquent des méthodes criminelles invisibles à l’œil nu. Les initiés par inadvertance sont le maillon faible de toute organisation et il est plus important que jamais d’impliquer un plan complet de cyber-résilience, comprenant une formation par simulation et un solide plan de résilience.

Les informations Open Source partagées librement sur les profils des réseaux sociaux des employés et des entreprises peuvent être utilisées comme un moyen de créer une attaque sociale intelligente. Cela signifie que le temps est venu de doubler les éléments de base, tels que la gouvernance et l’éducation des utilisateurs, mais également de rechercher des solutions de cyber-résilience pour les menaces sociales les plus avancées.

Les analyses comportementales sont une autre protection essentielle contre les dommages potentiels associés à BEC ou au prétexte, ainsi qu’aux formes d’attaques d’ingénierie sociale plus anciennes, telles que les courriels de phishing ciblant les informations d’identification du cloud. À mesure que les cybercriminels évoluent, les investissements dans un écosystème de sécurité puissant comprenant des capacités cognitives peuvent permettre aux équipes de sécurité de détecter les menaces les plus sophistiquées avant qu’elles ne se traduisent par un transfert d’argent ou des dommages coûteux similaires.