Cloud Phishing : de nouvelles astuces et le joyau de la couronne

Explication des techniques évoluées d'hameçonnage dans le cloud et leçons tirées du récent piratage de Dropbox et d'Uber Le cloud computing offre aux hameçonneurs un nouveau terrain de jeu pour récolter et développer leur activité. Mais pas seulement cela, les impacts sont beaucoup plus larges et plus dangereux. Aucune organisation, petite ou grande, n'est invulnérable aux attaques de phishing. Par conséquent, il est essentiel de savoir comment vous pourriez être ciblé et ce que vous pouvez faire pour l'empêcher. Le phishing en mode SaaS est déjà familier. Par exemple, plus de , des identifiants volés aux URL malveillantes. De plus, selon un rapport de , les chercheurs ont constaté une augmentation massive de ces abus, les données recueillies par la firme montrant une énorme expansion de 1 100 % de juin 2021 à juin 2022. 90 % de toutes les violations de données sont dues au phishing l'unité 42 de Palo Alto Networks Avec plus de progrès technologiques, non seulement les défenseurs peuvent tirer parti d'outils et de techniques plus sophistiqués pour détecter et bloquer les e-mails, liens et messages de phishing, mais les attaquants améliorent également leur côté du jeu du chat et de la souris. Alors que la plupart des attaques d'ingénierie sociale sont transmises par e-mail, une augmentation de l'ingénierie sociale via d'autres plateformes de communication en 2022. un tiers des professionnels de l'informatique ont signalé : Il s'agit notamment des attaques lancées via Plateformes de visioconférence (44%), Plates-formes de messagerie de la main-d'œuvre (40 %), Plateformes de partage de fichiers basées sur le cloud (40 %), et SMS (36%). De plus, le phishing sur les réseaux sociaux est de plus en plus courant et, au premier trimestre 2022, . Selon le rapport , les employés de 74 % des organisations ont reçu des SMS frauduleux (smishing), et le même pourcentage a été ciblé sur les réseaux sociaux. les utilisateurs de LinkedIn ont été ciblés dans 52 % de toutes les attaques de phishing dans le monde State of the Phish 2022 de Proofpoint Une nouvelle technique de phishing difficile à détecter — SaaS-to-SaaS Tout cela pourrait se produire sans que l'attaquant ne touche les ordinateurs/le réseau sur site de la victime. Comme tout s'est passé de SaaS à SaaS, toutes les mesures de sécurité existantes, telles que la passerelle anti-spam, le sandboxing et le filtrage d'URL, ne seront pas inspectées. Ainsi, aucune alerte ne sera générée. De plus, avec l'augmentation de la productivité des bureaux dans le cloud et des technologies de collaboration multi-utilisateurs, il est désormais possible pour un attaquant d' de ces domaines réputés tout en restant non détecté. héberger et de partager des documents, des fichiers et même des logiciels malveillants malveillants sur l'infrastructure cloud Depuis , nous avons constaté la tendance à utiliser cette attaque de phishing SaaS à SaaS « en plusieurs étapes ». les conclusions de Check Point Research en 2020 La première étape d'une attaque de phishing est Ce document peut être téléchargé ; cependant, il est essentiel de noter que pour faciliter l'utilisation, ces services cloud ouvrent le PDF pour la visualisation, lui permettant de se charger dans le navigateur Web sans restriction ni avertissement. souvent une fausse facture ou un document PDF sécurisé hébergé sur des services cloud. Il est difficile à détecter car il n'a pas forcément touché la protection déployée. Comme nous l'avons vu aux actualités, lors des tentatives d'AWS Cloud Phishing en , si la détection de phishing est implémentée à l'entrée et à la sortie des e-mails, elle ne le verra jamais se produire. août Toutes les actions se sont produites dans le Cloud (ou plusieurs clouds) ; lorsque la détection/l'analyse a eu lieu, tout semblait légitime et crypté. Très probablement, l'e-mail de phishing atteindra la machine des victimes et toute la magie se produira dans le navigateur. Hameçonnage en nuage en plusieurs étapes Au début de cette année, qui s'attaquent à ceux qui n'utilisent pas l'authentification multifacteur. Microsoft a mis en garde contre de nouveaux hameçonnages utilisant Azure AD Cette attaque est en plein essor maintenant, mais pas avant, car les attaquants tirent parti du via la capacité d'enregistrement des appareils à l'aide d'informations d'identification nouvellement volées, et l'authentification dans le cloud est accessible à tout moment, n'importe où. concept de BYOD (Bring-Your-Own-Device) Rien d'extraordinaire, c'est une nouvelle technique d'attaque qui combine le phishing traditionnel avec des actions de deuxième ou même de troisième phase. La première étape vole le courrier électronique d'un employé comme des attaques de phishing régulières. Pourtant, au lieu d'attaquer la victime, la un nouveau compte Office 365 sur un appareil malveillant au nom de la victime. Une fois établi sur le nouvel ordinateur, le compte utilisateur de la victime (et/ou dans ce cas, son annonce Azure) est utilisé pour envoyer (déguisées en victime) au sein de l'entreprise ou aux clients utilisant le compte de messagerie légitime. deuxième étape établit des attaques de phishing internes S'ils veulent gagner plus de contrôle ou trouver un meilleur "hôte", ils Ces attaques en plusieurs étapes semblent légitimes et peuvent même déployer des logiciels malveillants sur les systèmes OneDrive ou SharePoint de l'entreprise. peuvent le trouver via la première victime, puis compromettre le deuxième compte par hameçonnage interne. ChatGPT (ou autre IA) Selon , le phishing représente près de 90 % des attaques de logiciels malveillants. Mais ChatGPT pourrait aggraver encore la situation. Un tel chatbot 🧠 AI intelligent peut être . Ainsi, la victime peut même ne pas savoir qu'elle interagit avec une IA. les recherches de HP Wolf Security un moyen de recueillir des informations via un chat convivial de type humain https://research.checkpoint.com/2022/opwnai-ai-that-can-save-the-day-or-hack-it-away/?embedable=true démontrant . Plusieurs scripts peuvent être générés rapidement, avec des variantes. Les processus d'attaque complexes peuvent également être automatisés, en utilisant les API LLMs pour générer d'autres artefacts malveillants. Check Point Research a récemment publié un article intéressant comment les modèles d'IA pourraient créer un flux d'infection complet, du harponnage au reverse shell Un autre risque est plus important. La technologie d'IA comme ChatGPT permettra aux attaquants de . Par exemple, supposons que des attaques de phishing génériques envoient des millions de spams sous forme d'e-mails, de SMS (en cas de smashing) et de publications sur les réseaux sociaux. Mais ceux-ci sont faciles à repérer, ce qui entraîne un faible rendement. combiner le volume de phishing massif avec une attaque ciblée (ou harponnage) Avec l'ajout d'un AI Chatbot, des millions de messages de spear phishing pourraient être générés en quelques secondes. Ainsi, les attaquants peuvent avoir le meilleur des deux mondes. Par conséquent, en 2023, nous assisterons probablement . Ce serait un énorme défi pour les équipes de sécurité. à un hameçonnage à grande échelle qui envoie des millions de messages uniques générés en quelques minutes Autres nouvelles techniques d'hameçonnage QRishing Les attaquants essaient désormais de fournir ce qui les rend difficiles à détecter pour la plupart des solutions de sécurité des e-mails. QRishing combine les mots : "Codes QR" + "Phishing". Cela indique que l'attaque se présente sous la forme d'un code QR. Il peut potentiellement inciter les victimes à se connecter à un réseau WiFi non sécurisé tandis que quelqu'un peut facilement capturer ce que vous tapez. des liens malveillants via des codes QR intégrés dans les e-mails, Certains adversaires collent même des codes QR malveillants dans des restaurants ou d'autres lieux publics. Étant donné que la pandémie limite les contacts physiques, les codes QR sont un outil populaire pour les acteurs de la menace. Nous l'utilisons pour accéder aux menus, vérifier les vaccins et obtenir des informations publiques. De plus, la tactique d'ingénierie sociale consiste à insérer de faux codes QR dans un texte de phishing (SMishing + QRishing) ou une plate-forme de médias sociaux. Lors de l'analyse du code malveillant, les utilisateurs sont redirigés vers des sites de phishing, où la victime peut être invitée à se connecter et à voler ses informations d'identification. SMishing Cela signifie qu'il s'agit d'un type d'hameçonnage envoyé sur votre réseau mobile sous la forme de messages texte. Bien que le nom utilise des SMS, cette attaque peut se produire sur d'autres plates-formes de messagerie, telles que Facebook Messenger ou WhatsApp. Common Smishing tente de se concentrer sur les nécessités quotidiennes. Les livraisons manquées, les retards de paiement, les notifications bancaires, les amendes et les avis urgents sont des exemples d'attaques par smishing. SMishing combine les mots « phishing » et « SMS ». Avec autant de personnes qui restent à la maison et tant d'achats quotidiens en ligne, nous sommes inondés de carton. Il est très difficile de garder une trace de tout ce qui entre dans la maison. Combiner des services de livraison bien connus avec de est la meilleure recette pour un Smishing réussi. fausses notifications de "frais de livraison" Joyau de la couronne = Comptes de développeur Pourquoi les pirates essaient-ils de compromettre les comptes des développeurs ? Et qu'est-ce qui peut mal tourner s'ils sont volés ? Selon la position du développeur, les attaquants ont accès à presque tout : clés SSH, Clés API, Code source, Infrastructures de fabrication, Accès aux pipelines CI/CD et, c'est-à-dire les travaux. En supposant un compromis avec le « meilleur scénario », le compte d'un ingénieur junior pourrait être volé. À tout le moins, cet ingénieur a un accès "commit" au code source. D'un autre côté, supposons que l'organisation ne suive pas les meilleures pratiques du génie logiciel, telles que les revues de code et la restriction des personnes pouvant s'engager dans la branche principale. Dans ce cas, l'attaquant peut modifier le code source de l'organisation pour altérer et infecter le produit final. Dans le pire des cas, qui est également le plus probable, l'attaquant aura accès à un développeur senior avec plus d'autorisations. Ce compte pourrait contourner manuellement certaines vérifications de code, qui auront également accès à des ressources précieuses (code source, clés SSH, secrets, informations d'identification, clés API, pipelines CI/CD, etc.). Ce scénario, où ce type de compte est compromis, serait dévastateur pour une organisation. Les comptes de développeur sont généralement fournis avec GitHub ou un autre accès au référentiel de code. Dropbox et Uber En septembre, Plus tard, nous avons découvert que le piratage était lié à Uber a révélé que des pirates avaient volé les informations personnelles d'environ 57 millions de clients et de chauffeurs . obtenu par une « ” un identifiant codé en dur attaque d'ingénierie sociale à distance ». En novembre, dû à une attaque de phishing contre ses développeurs. Ils ont été incités à par un e-mail de phishing sur un faux site Web, Ce qui rend ces incidents effrayants, c'est qu'il ne s'agissait pas simplement d'un utilisateur aléatoire d'une fonction commerciale ; il s'agissait de développeurs ayant un accès privilégié à de nombreuses données Dropbox et Uber. Dropbox a eu un incident de sécurité remplir leurs informations d'identification Github malgré l'authentification multifacteur (MFA) en place. Fatigue MFA Les deux cas de ces deux entreprises technologiques géantes ont mis en œuvre une authentification multifacteur. Pourtant, les pirates trouvent un moyen de contourner ou de contourner cette mesure qui peut empêcher la plupart des vols d'informations d'identification. Dans le cas d'Uber, le pirate informatique (prétendument âgé de 17 ans) a fait preuve de créativité et a proposé une méthode low-tech mais très efficace - L'attaquant tente de se connecter à plusieurs reprises, envoyant un flot de demandes push aux utilisateurs demandant à la victime de confirmer une connexion. Une fois que la victime a cessé de cliquer sur "non" sur son téléphone, suivi d'une "connexion autorisée", la MFA a donc échoué. une " " attaque de fatigue MFA". Pour le cas Dropbox, qui est beaucoup plus simple. L'e-mail de phishing prétendait . Ensuite, le site de phishing d'apparence réaliste a amené le développeur à saisir les informations d'identification et le mot de passe à usage unique. Ainsi, l'AMF a également échoué. provenir de la plate-forme d'intégration et de livraison de code, CircleCI Dépôt de code et plus Comme nous l'avons vu lors de ces incidents, Avec les autorisations appropriées, les attaquants peuvent obtenir la propriété intellectuelle, les codes sources et d'autres données sensibles. GitHub et d'autres plates-formes dans l'espace de pipeline d'intégration/déploiement continu (CI/CD) sont les nouveaux « joyaux de la couronne » pour de nombreuses entreprises. Mais cela ne s'arrête pas là, car GitHub s'intègre souvent à d'autres plateformes, ce qui permet aux « utilisateurs » autorisés d'aller encore plus loin. De plus, les comptes des développeurs ont généralement accès au niveau le plus profond, car la maintenance et le développement de l'application principale peuvent faire partie de leur responsabilité professionnelle. Cela fait du compte développeur un joyau de la couronne pour les attaquants. Comment améliorer vos défenses contre le phishing Selon , une organisation moyenne reçoit des dizaines d'e-mails de phishing par jour, les pertes financières s'aggravant alors que les pertes dues aux attaques de logiciels malveillants et de ransomwares font grimper le coût moyen des attaques de phishing d'année en année. Faire face à toutes les menaces mises en évidence nécessite des efforts supplémentaires, et bien que vous ne puissiez pas éliminer le risque d'attaques par hameçonnage, vous pouvez apprendre des tendances et des incidents observés pour mieux les gérer. les statistiques du secteur Par exemple, voici les recommandations du : récent rapport Zscaler Comprendre les risques pour mieux éclairer les décisions politiques et technologiques Tirez parti des outils automatisés et des informations exploitables pour réduire les incidents de phishing Mettre en œuvre des architectures de confiance zéro pour limiter le rayon d'explosion des attaques réussies Offrir une formation en temps opportun pour renforcer la sensibilisation à la sécurité et promouvoir le signalement des utilisateurs Simulez des attaques de phishing pour identifier les lacunes de votre programme Outre les cinq atténuations de base des attaques de phishing, nous pouvons faire plus. Par conséquent, je terminerai cet article avec des conseils que vous pouvez apporter. , avoir une plus grande cyber-résilience serait un excellent moyen de commencer. Sachant que les hameçonneurs finiront par trouver un moyen de vous atteindre Conseils n° 1 : Approche multicouche des défenses contre le phishing La sécurité typique des e-mails contre le phishing repose souvent exclusivement sur un seul point de garde, comme les passerelles de messagerie et les agents terminaux/mobiles. Tout ce qui passerait par cette porte dépendrait de la capacité des utilisateurs à repérer les messages de phishing. Sans oublier que les attaquants aiguisent désormais leurs armes avec le phishing en plusieurs étapes. À l'inverse, De plus, il y aurait de multiples chances de détecter et d'attraper un e-mail de phishing. une approche de défense en couches pourrait améliorer la cyber-résilience sans perturber la productivité de l'entreprise. Atteindre — Empêcher l'e-mail d'atteindre la boîte de réception de l'utilisateur. Ceci peut être réalisé en introduisant un logiciel de sécurité anti-hameçonnage tel que des filtres anti-spam. En outre, des contrôles anti-usurpation doivent être mis en œuvre, tels que ; Enregistrements DMARC, DKIM et SPF. Identifier - La plupart des violations de données sont initiées par un e-mail de phishing en raison d'une erreur humaine. Par conséquent, le personnel doit suivre une formation régulière pour identifier les derniers e-mails de phishing potentiels. Cela leur permettra de suivre le processus de l'entreprise lorsqu'un incident se produit, ce qui devrait inclure le signalement de l'incident à l'équipe concernée. Protéger — Des protections doivent être en place lorsque des incidents se produisent. Ces protections incluent, mais ne sont pas limitées à ; l'application de l'authentification multifacteur (MFA), des gestionnaires de mots de passe, des contrôles de santé informatiques réguliers et des défenses des terminaux. Réponse — Le personnel doit être en mesure de signaler les incidents de phishing à l'équipe concernée. Une journalisation de sécurité dédiée et le système d'alarme doivent être en place, ainsi qu'un plan de réponse aux incidents. Même si certaines attaques réussissent, cette approche facilitera la réponse aux incidents et minimisera l'impact. Conseils #2 : Approche d'accès juste-à-temps (JIT) L'accès privilégié comporte un danger important, affirme . Le risque posé par les utilisateurs disposant de privilèges permanents persiste même avec les outils PAM, et il est considérable. Ils suggèrent que des solutions juste-à-temps (JIT) soient utilisées par les responsables de la gestion des identités et des accès (IAM) pour enfin parvenir à une position sans privilèges permanents. Gartner a également fourni une solution pour le contrer : l'approche juste-à-temps. Par exemple, lorsque les développeurs utilisent ces informations d'identification pour configurer ou modifier des ressources de production, il est crucial de leur accorder les autorisations appropriées, avec uniquement les capacités requises pour effectuer les tâches spécifiées. Gartner L'approche JIT, qui traite de la sécurité de l'information, ne donne aux utilisateurs l'accès qu'aux ressources privilégiées pendant qu'ils travaillent. Cela réduit la surface d'attaque et élimine les risques liés aux privilèges persistants. Conseils n° 3 : revoir le transfert de boîte aux lettres Les pirates utilisent des comptes compromis non seulement pour voler des données internes, mais aussi, par exemple : Lire les emails des utilisateurs, Distribuer des logiciels malveillants, spammer, En savoir plus sur l'utilisateur et lancer davantage le phishing de deuxième étape, et Transfert des e-mails à des destinataires externes. Les attaquants peuvent configurer des règles de messagerie pour dissimuler leurs activités malveillantes à l'utilisateur afin de masquer les e-mails entrants dans la boîte aux lettres de l'utilisateur compromis. Ils peuvent également créer des règles dans la boîte aux lettres de l'utilisateur compromis pour supprimer les e-mails, les déplacer vers un dossier moins visible, tel qu'un dossier RSS, ou transférer des e-mails vers un compte externe. Les e-mails peuvent être transférés manuellement ou automatiquement à l'aide de règles de transfert. Le transfert automatique peut être effectué de différentes manières, notamment Bien que le transfert manuel oblige les utilisateurs à prendre des mesures directes, ils peuvent avoir besoin d'être au courant de tous les e-mails transférés automatiquement. les règles de boîte de réception, les règles de transport Exchange (ETR) et le transfert SMTP. Il serait judicieux de programmer une révision de toutes les règles de transfert des e-mails vers des adresses externes et de vérifier qu'il ne s'agit pas d'une adresse IP inhabituelle et qu'elle correspond aux activités habituelles de l'utilisateur. Derniers mots tant que le facteur humain est dans la formule. Par conséquent, le mieux que nous puissions faire à long terme est Ce serait une conception beaucoup plus granulaire de l'approche de défense à plusieurs niveaux. La réalité est que personne ne peut arrêter complètement le phishing d'adopter l'architecture Zero Trust pour la sécurité des e-mails. Une approche Zero Trust de la messagerie électronique peut aider les organisations à se défendre contre les attaques par usurpation d'identité en - garantissant que les e-mails entrant dans l'environnement de l'entreprise ou atterrissant dans les boîtes de réception des utilisateurs finaux proviennent d'individus, de marques et de domaines légitimes. . se concentrant sur l'authentification (vérification de la confiance de l'utilisateur/de l'appareil) https://hackernoon.com/introduction-to-the-zero-trust-security-architecture-a-concept-not-a-product?embedable=true Une position privilégiée existe pour les développeurs de logiciels dans chaque organisation technique. Ils sont la clé de voûte de toute entreprise moderne en raison de leur accès en amont aux produits distribués aux clients et de leur accès aux systèmes et aux infrastructures de production. L'organisation de la sécurité échouerait si les développeurs n'étaient pas protégés, ce qui conduirait à la catastrophe. Si, malheureusement, vous tombez dans le piège d'une attaque de phishing, veuillez procéder comme suit : Contactez le service informatique et informez-les de la situation Réinitialiser le mot de passe pour les applications associées Veuillez ne pas utiliser un mot de passe répété. Au lieu de cela, réinitialisez le compte avec le même mot de passe que les applications ci-dessus. Surveillez attentivement le compte pendant 30 jours Enfin, le NIST a développé une méthode pour aider l'équipe de sécurité à voir pourquoi les utilisateurs cliquent sur l'e-mail de phishing : https://www.nist.gov/news-events/news/2020/09/phish-scale-nist-developed-method-helps-it-staff-see-why-users-click?embedable=true Merci pour la lecture. Qu'InfoSec soit avec vous🖖.