Dans cet article, nous allons parler des techniques d’ingénierie sociale généralement utilisées par les cybercriminels pour attaquer les entreprises. À suivre : plusieurs versions d’une arnaque qui utilise les appels et les messages d’un faux service d’assistance technique, des attaques qui compromettent la messagerie des entreprises (BEC), des demandes de renseignements de la part de fausses institutions des forces de l’ordre…
Bonjour, je vous contacte du service d’assistance technique
Une arnaque classique d’ingénierie sociale consiste à recevoir un appel du « service d’assistance technique ». Par exemple, les cybercriminels pourraient appeler l’employé le week-end et lui dire : « Bonjour, je fais partie du service d’assistance technique de l’entreprise où vous travaillez. Nous avons détecté une activité suspecte sur votre poste de travail. Vous devez immédiatement vous rendre au bureau pour que nous puissions savoir de quoi il s’agit. » Évidemment, personne ne veut se rendre à son lieu de travail pendant le week-end et c’est pourquoi l’assistant technique accepte « avec réticence » de « faire une exception » et d’enfreindre le protocole de l’entreprise pour résoudre le problème à distance. Pour ce faire, la personne a besoin des identifiants de connexion de l’employé. Vous pouvez deviner ce qui se passe après.
Une variante de cette méthode a vu le jour et a pris de l’ampleur lors du passage massif au télétravail pendant la pandémie. Ce faux service d’assistance technique « constate » une activité suspecte sur l’ordinateur portable que la victime utilise pour télétravailler et lui propose de résoudre le problème en utilisant une connexion à distance, via un RAT. Là encore, vous pouvez facilement prédire le dénouement de cette requête.
Confirmer, confirmer, confirmer…
Continuons avec le sujet du faux service d’assistance technique. Une technique intéressante a été détectée lors d’une attaque qui a visé Uber en automne 2022 lorsqu’un jeune cybercriminel de 18 ans a réussi à compromettre plusieurs systèmes de l’entreprise. L’attaque a commencé lorsque l’escroc a obtenu les identifiants personnels de connexion d’un travailleur indépendant d’Uber sur le Dark Web. Pourtant, pour se connecter aux systèmes internes de l’entreprise, l’escroc rencontre tout de même le problème de l’authentification à plusieurs facteurs…
C’est à ce moment-là que l’ingénierie sociale entre en jeu. Après plusieurs tentatives de connexion, le cybercriminel a spammé le malheureux travailleur indépendant de demandes d’authentification, puis lui a envoyé un message sur WhatsApp en se faisant passer pour un employé de l’assistance technique. Il lui a alors proposé une solution pour résoudre le problème : pour ne plus recevoir tous ces spams, il doit confirmer une des demandes d’authentification. Le dernier obstacle du réseau d’Uber est enfin dépassé.
Je suis le PDG et j’ai immédiatement besoin de faire un virement !
Encore un classique ; l’attaque qui suit cherche à compromettre la messagerie des entreprises (BEC). L’idée à l’origine de cette attaque est d’entamer la conversation avec les employés de l’entreprise, généralement en se présentant comme un responsable ou comme un associé important. L’objectif de ces messages est de convaincre la victime d’effectuer un virement vers le compte partagé par les escrocs. D’autre part, les scénarios d’attaque sont assez variés : si les cybercriminels veulent s’infiltrer dans le réseau interne de l’entreprise, ils envoient une pièce jointe malveillante à la victime et lui explique qu’elle doit absolument l’ouvrir.
D’une façon ou d’une autre, toutes les attaques BEC tournent autour de la compromission de la messagerie ; mais ce n’est qu’un point technique. L’élément d’ingénierie sociale joue un rôle beaucoup plus important. Alors que la plupart des arnaques par e-mail qui ciblent les utilisateurs normaux ne provoquent que quelques rires, les opérations BEC impliquent des personnes qui ont de l’expérience, qui ont travaillé dans de grandes entreprises et qui peuvent écrire des messages professionnels convaincants pour que la victime fasse ce que les escrocs veulent.
Où en étions-nous ?
Il convient de parler séparément d’une technique d’attaque BEC spécifique qui est devenue très populaire auprès des cybercriminels ces dernières années. Connue comme le détournement de conversations, cette technique permet aux escrocs de se faufiler dans les conversations professionnelles existantes des employés en se faisant passer pour un des participants. Dans ce cas, le compte n’est pas piraté et aucune méthode technique n’est utilisée pour dissimuler l’expéditeur ; il leur suffit d’obtenir un véritable e-mail et de créer un domaine similaire. De cette façon, ils gagnent automatiquement la confiance de tous les autres participants et ils peuvent lentement diriger la conversation comme ils veulent. Pour réaliser ce type d’attaque, les cybercriminels achètent souvent les bases de données de conversations par e-mail volées ou divulguées sur le Dark Web.
Les scénarios peuvent varier. L’utilisation de l’hameçonnage ou d’un programme malveillant n’est pas exclue. Quant à la méthode classique, les cybercriminels essaient généralement de détourner les conversations qui parlent directement d’argent, notamment de grandes sommes, afin de partager leur identité bancaire au moment opportun et de disparaître avec leur butin pour vivre sous les tropiques.
L’incident survenu lors du transfert du joueur de football Leandro Paredes illustre à la perfection le détournement de conversations. Les cybercriminels se sont immiscés dans la conversation par e-mail en se faisant passer pour le représentant du premier club de Paredes, Boca Juniors, et ont expliqué qu’un petit pourcentage du transfert leur correspondait, soit 520 000 €. Les escrocs ont encaissé cette somme.
Police, donnez-nous vos données
Une tendance assez récente, qui a fait son apparition en 2022, consiste à faire des demandes « officielles » de données lorsque les escrocs recueillent des informations pour préparer une attaque contre les utilisateurs de services en ligne. Les fournisseurs d’accès à Internet qui se trouvent aux États-Unis, les réseaux sociaux et les entreprises technologiques ont reçu de telles demandes de la part de comptes de messagerie des forces de l’ordre qui ont été piratés.
Nous avons besoin d’un peu de contexte. Dans des circonstances normales, aux États-Unis, un juge doit signer une ordonnance pour que les fournisseurs de services donnent leurs données. Pourtant, lorsque la vie ou la santé de personnes sont en jeu, une demande urgente de données (EDR) peut être autorisée.
Alors que des procédures simples et compréhensibles de vérification sont mises en place pour les requêtes normales de données, il n’y a rien de tel pour les demandes urgentes. Ainsi, il est fort possible qu’une telle demande soit acceptée si elle semble plausible et que la personne croit qu’elle a été envoyée par les forces de l’ordre. Les cybercriminels peuvent ainsi obtenir des renseignements sur les victimes à partir d’une source fiable et les utiliser pour lancer des attaques.
Comment vous protéger contre les attaques d’ingénierie sociale
La cible de toutes ces méthodes d’attaques décrites auparavant n’est pas un morceau sans âme de matériel informatique mais un être humain. Ainsi, pour renforcer les défenses de votre entreprise face aux attaques d’ingénierie sociale, vous devez vous concentrer sur vos employés. Cela signifie que vous devez leur apprendre les principes de base en cybersécurité afin d’améliorer leurs connaissances en sécurité et leur expliquer comment réagir face aux divers types d’attaques. Une excellente solution consiste à utiliser notre solution de formation interactive Kaspersky Automated Security Awareness Platform.