Cloud Phishing : de nouvelles astuces et le joyau de la couronne

Explication des techniques évoluées d'hameçonnage dans le cloud et leçons tirées du récent piratage de Dropbox et d'Uber

Le cloud computing offre aux hameçonneurs un nouveau terrain de jeu pour récolter et développer leur activité. Mais pas seulement cela, les impacts sont beaucoup plus larges et plus dangereux. Aucune organisation, petite ou grande, n'est invulnérable aux attaques de phishing. Par conséquent, il est essentiel de savoir comment vous pourriez être ciblé et ce que vous pouvez faire pour l'empêcher.

Le phishing en mode SaaS est déjà familier. Par exemple, plus de 90 % de toutes les violations de données sont dues au phishing , des identifiants volés aux URL malveillantes. De plus, selon un rapport de l'unité 42 de Palo Alto Networks , les chercheurs ont constaté une augmentation massive de ces abus, les données recueillies par la firme montrant une énorme expansion de 1 100 % de juin 2021 à juin 2022.

Avec plus de progrès technologiques, non seulement les défenseurs peuvent tirer parti d'outils et de techniques plus sophistiqués pour détecter et bloquer les e-mails, liens et messages de phishing, mais les attaquants améliorent également leur côté du jeu du chat et de la souris.

Alors que la plupart des attaques d'ingénierie sociale sont transmises par e-mail, un tiers des professionnels de l'informatique ont signalé une augmentation de l'ingénierie sociale via d'autres plateformes de communication en 2022.

Il s'agit notamment des attaques lancées via :

• Plateformes de visioconférence (44%),
• Plates-formes de messagerie de la main-d'œuvre (40 %),
• Plateformes de partage de fichiers basées sur le cloud (40 %), et
• SMS (36%).

De plus, le phishing sur les réseaux sociaux est de plus en plus courant et, au premier trimestre 2022, les utilisateurs de LinkedIn ont été ciblés dans 52 % de toutes les attaques de phishing dans le monde . Selon le rapport State of the Phish 2022 de Proofpoint , les employés de 74 % des organisations ont reçu des SMS frauduleux (smishing), et le même pourcentage a été ciblé sur les réseaux sociaux.

Une nouvelle technique de phishing difficile à détecter — SaaS-to-SaaS

Tout cela pourrait se produire sans que l'attaquant ne touche les ordinateurs/le réseau sur site de la victime. Comme tout s'est passé de SaaS à SaaS, toutes les mesures de sécurité existantes, telles que la passerelle anti-spam, le sandboxing et le filtrage d'URL, ne seront pas inspectées. Ainsi, aucune alerte ne sera générée.

De plus, avec l'augmentation de la productivité des bureaux dans le cloud et des technologies de collaboration multi-utilisateurs, il est désormais possible pour un attaquant d' héberger et de partager des documents, des fichiers et même des logiciels malveillants malveillants sur l'infrastructure cloud de ces domaines réputés tout en restant non détecté.

Depuis les conclusions de Check Point Research en 2020 , nous avons constaté la tendance à utiliser cette attaque de phishing SaaS à SaaS « en plusieurs étapes ».

La première étape d'une attaque de phishing est souvent une fausse facture ou un document PDF sécurisé hébergé sur des services cloud. Ce document peut être téléchargé ; cependant, il est essentiel de noter que pour faciliter l'utilisation, ces services cloud ouvrent le PDF pour la visualisation, lui permettant de se charger dans le navigateur Web sans restriction ni avertissement.

Il est difficile à détecter car il n'a pas forcément touché la protection déployée. Comme nous l'avons vu aux actualités, lors des tentatives d'AWS Cloud Phishing en août , si la détection de phishing est implémentée à l'entrée et à la sortie des e-mails, elle ne le verra jamais se produire.

Toutes les actions se sont produites dans le Cloud (ou plusieurs clouds) ; lorsque la détection/l'analyse a eu lieu, tout semblait légitime et crypté. Très probablement, l'e-mail de phishing atteindra la machine des victimes et toute la magie se produira dans le navigateur.

Hameçonnage en nuage en plusieurs étapes

Au début de cette année, Microsoft a mis en garde contre de nouveaux hameçonnages utilisant Azure AD qui s'attaquent à ceux qui n'utilisent pas l'authentification multifacteur.

Cette attaque est en plein essor maintenant, mais pas avant, car les attaquants tirent parti du concept de BYOD (Bring-Your-Own-Device) via la capacité d'enregistrement des appareils à l'aide d'informations d'identification nouvellement volées, et l'authentification dans le cloud est accessible à tout moment, n'importe où.

Rien d'extraordinaire, c'est une nouvelle technique d'attaque qui combine le phishing traditionnel avec des actions de deuxième ou même de troisième phase. La première étape vole le courrier électronique d'un employé comme des attaques de phishing régulières.

Pourtant, au lieu d'attaquer la victime, la deuxième étape établit un nouveau compte Office 365 sur un appareil malveillant au nom de la victime. Une fois établi sur le nouvel ordinateur, le compte utilisateur de la victime (et/ou dans ce cas, son annonce Azure) est utilisé pour envoyer des attaques de phishing internes (déguisées en victime) au sein de l'entreprise ou aux clients utilisant le compte de messagerie légitime.

S'ils veulent gagner plus de contrôle ou trouver un meilleur "hôte", ils peuvent le trouver via la première victime, puis compromettre le deuxième compte par hameçonnage interne. Ces attaques en plusieurs étapes semblent légitimes et peuvent même déployer des logiciels malveillants sur les systèmes OneDrive ou SharePoint de l'entreprise.

ChatGPT (ou autre IA)

Selon les recherches de HP Wolf Security , le phishing représente près de 90 % des attaques de logiciels malveillants. Mais ChatGPT pourrait aggraver encore la situation. Un tel chatbot 🧠 AI intelligent peut être un moyen de recueillir des informations via un chat convivial de type humain . Ainsi, la victime peut même ne pas savoir qu'elle interagit avec une IA.

Check Point Research a récemment publié un article intéressant démontrant comment les modèles d'IA pourraient créer un flux d'infection complet, du harponnage au reverse shell . Plusieurs scripts peuvent être générés rapidement, avec des variantes. Les processus d'attaque complexes peuvent également être automatisés, en utilisant les API LLMs pour générer d'autres artefacts malveillants.

Un autre risque est plus important. La technologie d'IA comme ChatGPT permettra aux attaquants de combiner le volume de phishing massif avec une attaque ciblée (ou harponnage) . Par exemple, supposons que des attaques de phishing génériques envoient des millions de spams sous forme d'e-mails, de SMS (en cas de smashing) et de publications sur les réseaux sociaux. Mais ceux-ci sont faciles à repérer, ce qui entraîne un faible rendement.

Avec l'ajout d'un AI Chatbot, des millions de messages de spear phishing pourraient être générés en quelques secondes. Ainsi, les attaquants peuvent avoir le meilleur des deux mondes. Par conséquent, en 2023, nous assisterons probablement à un hameçonnage à grande échelle qui envoie des millions de messages uniques générés en quelques minutes . Ce serait un énorme défi pour les équipes de sécurité.

Autres nouvelles techniques d'hameçonnage

QRishing

Les attaquants essaient désormais de fournir des liens malveillants via des codes QR intégrés dans les e-mails, ce qui les rend difficiles à détecter pour la plupart des solutions de sécurité des e-mails. QRishing combine les mots : "Codes QR" + "Phishing". Cela indique que l'attaque se présente sous la forme d'un code QR. Il peut potentiellement inciter les victimes à se connecter à un réseau WiFi non sécurisé tandis que quelqu'un peut facilement capturer ce que vous tapez.

Certains adversaires collent même des codes QR malveillants dans des restaurants ou d'autres lieux publics. Étant donné que la pandémie limite les contacts physiques, les codes QR sont un outil populaire pour les acteurs de la menace. Nous l'utilisons pour accéder aux menus, vérifier les vaccins et obtenir des informations publiques. De plus, la tactique d'ingénierie sociale consiste à insérer de faux codes QR dans un texte de phishing (SMishing + QRishing) ou une plate-forme de médias sociaux. Lors de l'analyse du code malveillant, les utilisateurs sont redirigés vers des sites de phishing, où la victime peut être invitée à se connecter et à voler ses informations d'identification.

SMishing

SMishing combine les mots « phishing » et « SMS ». Cela signifie qu'il s'agit d'un type d'hameçonnage envoyé sur votre réseau mobile sous la forme de messages texte. Bien que le nom utilise des SMS, cette attaque peut se produire sur d'autres plates-formes de messagerie, telles que Facebook Messenger ou WhatsApp. Common Smishing tente de se concentrer sur les nécessités quotidiennes. Les livraisons manquées, les retards de paiement, les notifications bancaires, les amendes et les avis urgents sont des exemples d'attaques par smishing.

Avec autant de personnes qui restent à la maison et tant d'achats quotidiens en ligne, nous sommes inondés de carton. Il est très difficile de garder une trace de tout ce qui entre dans la maison. Combiner des services de livraison bien connus avec de fausses notifications de "frais de livraison" est la meilleure recette pour un Smishing réussi.

Joyau de la couronne = Comptes de développeur

Pourquoi les pirates essaient-ils de compromettre les comptes des développeurs ? Et qu'est-ce qui peut mal tourner s'ils sont volés ?

Selon la position du développeur, les attaquants ont accès à presque tout :

• clés SSH,
• Clés API,
• Code source,
• Infrastructures de fabrication,
• Accès aux pipelines CI/CD et,
• c'est-à-dire les travaux.

À tout le moins, cet ingénieur a un accès "commit" au code source. D'un autre côté, supposons que l'organisation ne suive pas les meilleures pratiques du génie logiciel, telles que les revues de code et la restriction des personnes pouvant s'engager dans la branche principale. Dans ce cas, l'attaquant peut modifier le code source de l'organisation pour altérer et infecter le produit final.

Ce compte pourrait contourner manuellement certaines vérifications de code, qui auront également accès à des ressources précieuses (code source, clés SSH, secrets, informations d'identification, clés API, pipelines CI/CD, etc.). Ce scénario, où ce type de compte est compromis, serait dévastateur pour une organisation. Les comptes de développeur sont généralement fournis avec GitHub ou un autre accès au référentiel de code.

Dropbox et Uber

En septembre, Uber a révélé que des pirates avaient volé les informations personnelles d'environ 57 millions de clients et de chauffeurs . Plus tard, nous avons découvert que le piratage était lié à un identifiant codé en dur obtenu par une « attaque d'ingénierie sociale à distance ». ”

En novembre, Dropbox a eu un incident de sécurité dû à une attaque de phishing contre ses développeurs. Ils ont été incités à remplir leurs informations d'identification Github par un e-mail de phishing sur un faux site Web, malgré l'authentification multifacteur (MFA) en place. Ce qui rend ces incidents effrayants, c'est qu'il ne s'agissait pas simplement d'un utilisateur aléatoire d'une fonction commerciale ; il s'agissait de développeurs ayant un accès privilégié à de nombreuses données Dropbox et Uber.

Fatigue MFA

Les deux cas de ces deux entreprises technologiques géantes ont mis en œuvre une authentification multifacteur. Pourtant, les pirates trouvent un moyen de contourner ou de contourner cette mesure qui peut empêcher la plupart des vols d'informations d'identification.

Dans le cas d'Uber, le pirate informatique (prétendument âgé de 17 ans) a fait preuve de créativité et a proposé une méthode low-tech mais très efficace - une " attaque de fatigue MFA". " L'attaquant tente de se connecter à plusieurs reprises, envoyant un flot de demandes push aux utilisateurs demandant à la victime de confirmer une connexion. Une fois que la victime a cessé de cliquer sur "non" sur son téléphone, suivi d'une "connexion autorisée", la MFA a donc échoué.

Pour le cas Dropbox, qui est beaucoup plus simple. L'e-mail de phishing prétendait provenir de la plate-forme d'intégration et de livraison de code, CircleCI . Ensuite, le site de phishing d'apparence réaliste a amené le développeur à saisir les informations d'identification et le mot de passe à usage unique. Ainsi, l'AMF a également échoué.

Dépôt de code et plus

Comme nous l'avons vu lors de ces incidents, GitHub et d'autres plates-formes dans l'espace de pipeline d'intégration/déploiement continu (CI/CD) sont les nouveaux « joyaux de la couronne » pour de nombreuses entreprises. Avec les autorisations appropriées, les attaquants peuvent obtenir la propriété intellectuelle, les codes sources et d'autres données sensibles.

Mais cela ne s'arrête pas là, car GitHub s'intègre souvent à d'autres plateformes, ce qui permet aux « utilisateurs » autorisés d'aller encore plus loin. De plus, les comptes des développeurs ont généralement accès au niveau le plus profond, car la maintenance et le développement de l'application principale peuvent faire partie de leur responsabilité professionnelle. Cela fait du compte développeur un joyau de la couronne pour les attaquants.

Comment améliorer vos défenses contre le phishing

Selon les statistiques du secteur , une organisation moyenne reçoit des dizaines d'e-mails de phishing par jour, les pertes financières s'aggravant alors que les pertes dues aux attaques de logiciels malveillants et de ransomwares font grimper le coût moyen des attaques de phishing d'année en année. Faire face à toutes les menaces mises en évidence nécessite des efforts supplémentaires, et bien que vous ne puissiez pas éliminer le risque d'attaques par hameçonnage, vous pouvez apprendre des tendances et des incidents observés pour mieux les gérer.

Par exemple, voici les recommandations du récent rapport Zscaler :

1. Comprendre les risques pour mieux éclairer les décisions politiques et technologiques
2. Tirez parti des outils automatisés et des informations exploitables pour réduire les incidents de phishing
3. Mettre en œuvre des architectures de confiance zéro pour limiter le rayon d'explosion des attaques réussies
4. Offrir une formation en temps opportun pour renforcer la sensibilisation à la sécurité et promouvoir le signalement des utilisateurs
5. Simulez des attaques de phishing pour identifier les lacunes de votre programme

Outre les cinq atténuations de base des attaques de phishing, nous pouvons faire plus. Par conséquent, je terminerai cet article avec des conseils que vous pouvez apporter. Sachant que les hameçonneurs finiront par trouver un moyen de vous atteindre , avoir une plus grande cyber-résilience serait un excellent moyen de commencer.

Conseils n° 1 : Approche multicouche des défenses contre le phishing

La sécurité typique des e-mails contre le phishing repose souvent exclusivement sur un seul point de garde, comme les passerelles de messagerie et les agents terminaux/mobiles. Tout ce qui passerait par cette porte dépendrait de la capacité des utilisateurs à repérer les messages de phishing. Sans oublier que les attaquants aiguisent désormais leurs armes avec le phishing en plusieurs étapes.

À l'inverse, une approche de défense en couches pourrait améliorer la cyber-résilience sans perturber la productivité de l'entreprise. De plus, il y aurait de multiples chances de détecter et d'attraper un e-mail de phishing.

1. Atteindre — Empêcher l'e-mail d'atteindre la boîte de réception de l'utilisateur. Ceci peut être réalisé en introduisant un logiciel de sécurité anti-hameçonnage tel que des filtres anti-spam. En outre, des contrôles anti-usurpation doivent être mis en œuvre, tels que ; Enregistrements DMARC, DKIM et SPF.
2. Identifier - La plupart des violations de données sont initiées par un e-mail de phishing en raison d'une erreur humaine. Par conséquent, le personnel doit suivre une formation régulière pour identifier les derniers e-mails de phishing potentiels. Cela leur permettra de suivre le processus de l'entreprise lorsqu'un incident se produit, ce qui devrait inclure le signalement de l'incident à l'équipe concernée.
3. Protéger — Des protections doivent être en place lorsque des incidents se produisent. Ces protections incluent, mais ne sont pas limitées à ; l'application de l'authentification multifacteur (MFA), des gestionnaires de mots de passe, des contrôles de santé informatiques réguliers et des défenses des terminaux.
4. Réponse — Le personnel doit être en mesure de signaler les incidents de phishing à l'équipe concernée. Une journalisation de sécurité dédiée et le système d'alarme doivent être en place, ainsi qu'un plan de réponse aux incidents.

Conseils #2 : Approche d'accès juste-à-temps (JIT)

L'accès privilégié comporte un danger important, affirme Gartner . Le risque posé par les utilisateurs disposant de privilèges permanents persiste même avec les outils PAM, et il est considérable. Ils suggèrent que des solutions juste-à-temps (JIT) soient utilisées par les responsables de la gestion des identités et des accès (IAM) pour enfin parvenir à une position sans privilèges permanents.

Gartner a également fourni une solution pour le contrer : l'approche juste-à-temps. Par exemple, lorsque les développeurs utilisent ces informations d'identification pour configurer ou modifier des ressources de production, il est crucial de leur accorder les autorisations appropriées, avec uniquement les capacités requises pour effectuer les tâches spécifiées.

Conseils n° 3 : revoir le transfert de boîte aux lettres

Les pirates utilisent des comptes compromis non seulement pour voler des données internes, mais aussi, par exemple :

• Lire les emails des utilisateurs,
• Distribuer des logiciels malveillants,
• spammer,
• En savoir plus sur l'utilisateur et lancer davantage le phishing de deuxième étape, et
• Transfert des e-mails à des destinataires externes.

Les attaquants peuvent configurer des règles de messagerie pour dissimuler leurs activités malveillantes à l'utilisateur afin de masquer les e-mails entrants dans la boîte aux lettres de l'utilisateur compromis. Ils peuvent également créer des règles dans la boîte aux lettres de l'utilisateur compromis pour supprimer les e-mails, les déplacer vers un dossier moins visible, tel qu'un dossier RSS, ou transférer des e-mails vers un compte externe.

Les e-mails peuvent être transférés manuellement ou automatiquement à l'aide de règles de transfert. Le transfert automatique peut être effectué de différentes manières, notamment les règles de boîte de réception, les règles de transport Exchange (ETR) et le transfert SMTP. Bien que le transfert manuel oblige les utilisateurs à prendre des mesures directes, ils peuvent avoir besoin d'être au courant de tous les e-mails transférés automatiquement.

Derniers mots

La réalité est que personne ne peut arrêter complètement le phishing tant que le facteur humain est dans la formule. Par conséquent, le mieux que nous puissions faire à long terme est d'adopter l'architecture Zero Trust pour la sécurité des e-mails. Ce serait une conception beaucoup plus granulaire de l'approche de défense à plusieurs niveaux.

Une approche Zero Trust de la messagerie électronique peut aider les organisations à se défendre contre les attaques par usurpation d'identité en se concentrant sur l'authentification (vérification de la confiance de l'utilisateur/de l'appareil) - garantissant que les e-mails entrant dans l'environnement de l'entreprise ou atterrissant dans les boîtes de réception des utilisateurs finaux proviennent d'individus, de marques et de domaines légitimes. .

Une position privilégiée existe pour les développeurs de logiciels dans chaque organisation technique. Ils sont la clé de voûte de toute entreprise moderne en raison de leur accès en amont aux produits distribués aux clients et de leur accès aux systèmes et aux infrastructures de production. L'organisation de la sécurité échouerait si les développeurs n'étaient pas protégés, ce qui conduirait à la catastrophe.

Si, malheureusement, vous tombez dans le piège d'une attaque de phishing, veuillez procéder comme suit :

• Contactez le service informatique et informez-les de la situation
• Réinitialiser le mot de passe pour les applications associées
• Veuillez ne pas utiliser un mot de passe répété. Au lieu de cela, réinitialisez le compte avec le même mot de passe que les applications ci-dessus.
• Surveillez attentivement le compte pendant 30 jours

Enfin, le NIST a développé une méthode pour aider l'équipe de sécurité à voir pourquoi les utilisateurs cliquent sur l'e-mail de phishing :

Merci pour la lecture. Qu'InfoSec soit avec vous🖖.