Les experts en cybersécurité sont confrontés à un système de phishing «révolutionnaire»

Une cyberattaque récente a été qualifiée de «révolutionnaire» - une formulation que vous ne voyez évidemment pas tous les jours. Qu'est-ce qui rend cette attaque de phishing si impressionnante?

L'attaque a été détaillée et analysée par le chercheur en sécurité Craig Hays dans un article de Medium. Tout a commencé avec les alertes habituelles d' attaque de phishing que les entreprises de sécurité reçoivent des clients. Cependant, alors que l'enquête initiale était en cours, quelques minutes après le premier rapport, de plus en plus de voyants rouges ont commencé à clignoter alors qu'un nombre croissant de comptes de messagerie de la même organisation se révélaient compromis.

Les comptes de messagerie piratés envoyaient des quantités inhabituellement importantes de courrier sortant, ce qui a déclenché les mécanismes d'avertissement. Ils étaient accessibles à partir d'endroits inhabituels partout dans le monde et envoyaient beaucoup plus de courriels que d'habitude. Le problème rencontré par l'équipe de sécurité, cependant, était qu'il n'y avait aucune indication claire du vecteur d'attaque initial - il n'y avait aucun des signes avant-coureurs habituels qui signalent une tentative de phishing réussie - aucun courrier entrant en provenance d'adresses inconnues, rien.

Le danger de la familiarité

Il s'est avéré que les e-mails de phishing ne provenaient en effet pas d'adresses suspectes ou inconnues. Ils étaient envoyés sous forme de messages de réponse à des e-mails authentiques et légitimes. Le simple fait que les liens de phishing malveillants se cachaient dans le courrier reçu de ce qui ressemblait à des sources connues.

Le mécanisme derrière l'attaque impliquait un robot sophistiqué. Une fois qu'un e-mail sur le réseau attaqué s'est vu voler ses informations d'identification, le bot a reçu les informations de connexion, s'est connecté au compte compromis et a commencé à filtrer les e-mails entrants arrivés au cours des derniers jours. Chaque chaîne de messagerie unique découverte de cette manière a reçu une réponse du bot avec un message contenant les liens vers le portail de phishing mis en place par les criminels. Notamment, les escrocs avaient trouvé un libellé suffisamment générique pour que cliquer sur le faux document joint ne semblait jamais trop étrange ou déplacé.

Cela signifie que le message de phishing envoyé par le bot a conservé l'adresse, la ligne d'objet d'origine de la chaîne de conversation ainsi que toutes les communications passées, ce qui le rend incroyablement crédible et fiable en surface, bien plus que toute tentative de phishing envoyée par une adresse inconnue. qui déclenche immédiatement des voyants d'avertissement, même pour les utilisateurs inexpérimentés.

Un logiciel malveillant de phishing semblable à un ver

Le fait que le bot ait agi comme un ver, se propageant sur les réseaux de messagerie de l'entreprise en analysant les boîtes de réception et en envoyant son appât de phishing crédible est significatif. Ce mode de propagation rendait la menace particulièrement difficile à gérer. Enfin, un modèle dans les URL malveillantes a été découvert et l'ajout de cela à un filtre automatique a permis de vraiment freiner et arrêter la propagation du robot de phishing semblable à un ver.

Un autre fait important que le rapport met en évidence est que le bot était un peu trop désireux de son propre bien. S'il n'y avait pas eu d'aussi gros volumes de courrier sortant pour déclencher les alarmes, le bot aurait pu passer inaperçu beaucoup plus longtemps et causer beaucoup plus de dégâts.

Le dernier point essentiel de cet incident était que l'authentification multifacteur devrait être utilisée chaque fois qu'elle était disponible et également rendue disponible dès que possible là où ce n'est pas déjà une option.