L’analyse de Bastien Bobe, Directeur technique Europe Continentale chez Lookout.
Récemment, la société spécialisée dans les communications unifiées via une plateforme cloud Twilio a annoncé que ses systèmes internes avaient été violés après que des hackers aient obtenu les informations d'identification des employés à l'aide d'une attaque de phishing par SMS.
À peu près au même moment, Cloudflare, un réseau de diffusion de contenu et une société d'atténuation des attaques DDoS, a signalé que ses employés avaient également été visés, mais que leurs systèmes n'avaient pas été compromis. Signal, fournisseur d'applications de messagerie chiffrée et client de Twilio, a révélé par la suite que les attaquants avaient utilisé la faille pour obtenir les numéros de téléphone de 1 900 de ses utilisateurs. Trois de ces utilisateurs ont été identifiés et ont fait l'objet d'attaques de phishing supplémentaires, dont Lorenzo Franceschi-Bicchierai, journaliste senior à VICE Motherboard.
Selon Signal, avec le numéro exposé et l'accès au système de Twilio pour pousser l'authentification multi-facteurs (MFA), le hacker aurait pu réenregistrer un compte de victimes à des fins d'usurpation d'identité. D'après une étude de cette campagne, outre Twilio et Cloudflare, ce hacker aurait ciblé plus de 30 organisations au cours des derniers mois, y compris des employés de différents secteurs tels que les télécommunications, les crypto-monnaies, le service client et les médias sociaux. Dans le cas de Twilio et de Signal, les attaquants semblaient chercher à pivoter leur attaque vers des comptes spécifiques, éventuellement pour approfondir les efforts d'ingénierie sociale ou compromettre d'autres cibles.
Cette violation montre à quel point les services sont aujourd’hui interconnectés via le cloud, où les attaquants sont capables de passer rapidement d'une cible à l'autre. Pour vous aider à évaluer votre propre position de sécurité, voici quelques conseils pour protéger votre organisation contre les attaques de phishing mobile.
Comprendre l'évolution du phishing
Le phishing a considérablement évolué au fil des ans. Bien sûr, les attaques classiques de compromission d'e-mails professionnels (BEC) sont toujours lucratives, mais l'introduction des appareils mobiles a ouvert d'innombrables voies aux attaques de phishing. Pour sécuriser votre organisation, vous devez en tenir compte dans votre stratégie de sécurité globale. Pour inciter les employés à communiquer leurs informations d'identification, les hackers profitent du fait que nous faisons beaucoup plus confiance à nos appareils mobiles. L'employé type est moins enclin à faire preuve de prudence lorsqu'il reçoit un message texte non sollicité que si le même contenu est envoyé dans sa messagerie professionnelle. En outre, les appareils mobiles, avec leurs écrans plus petits et leur interface utilisateur simplifiée, cachent beaucoup de signes révélateurs d'une attaque. Les kits du phishing sont aussi fréquemment vendus sur le marché des malwares en tant que service, ce qui donne aux hackers plus de possibilités que jamais auparavant. Ces kits peuvent être relativement bon marché et permettent même à des attaquants inexpérimentés de cibler des organisations spécifiques avec des campagnes de phishing complexes.
Repérer les signaux d'alarme
Le fait est que les attaquants s'améliorent dans l'élaboration de campagnes de phishing réalistes et astucieuses. Les signaux d'alerte sont donc plus difficiles à repérer, surtout sur les appareils mobiles. Mais même si les drapeaux rouges sont petits, ils sont là si vous savez où regarder. Dans une attaque comme celle-ci, qui déclenche la solution MFA d'un employé ciblé, le lieu indiqué sur la notification peut être incorrect. Si un employé se trouve à Paris et que la notification a été déclenchée depuis un autre endroit, il doit refuser la demande d'accès et en informer immédiatement son équipe de sécurité. Un autre signe serait une communication anormale. Par exemple, l'un des trois utilisateurs de Signal spécifiquement visés par la violation de Twilio a déclaré avoir reçu un code de vérification par SMS au milieu de la nuit.
Chaque fois que les employés reçoivent des messages pour vérifier leurs informations d'identification, ils doivent aborder la demande avec une extrême prudence. S'ils n'ont pas essayé de se connecter eux-mêmes, ils doivent immédiatement contacter leurs équipes informatiques et de sécurité internes pour vérifier si la communication est valide. Si ce n'est pas le cas, ces équipes peuvent sensibiliser le reste de l'entreprise à des attaques entrantes de nature similaire. Vos employés devraient toujours prendre quelques secondes pour examiner les messages à la recherche d'indices d'intentions malveillantes, tels qu'une différence de localisation, des mots mal orthographiés ou des URL suspectes.
Comment les organisations peuvent rester vigilantes
Étant donné que les attaques de phishing mobile peuvent passer par des canaux échappant au contrôle de votre équipe de sécurité comme les SMS, les réseaux sociaux et les plateformes de messagerie tierces comme WhatsApp, votre organisation doit rester vigilante pour se protéger et protéger ses employés. La violation de Signal montre à quel point les organisations sont vulnérables à ce type d'attaque. Le phishing mobile est l'un des moyens les plus courants par lesquels les attaquants volent les identifiants de connexion. Ensuite, ils se connectent à l'infrastructure du cloud de l'organisation pour accéder à des données sensibles qu'ils peuvent voler ou crypter pour exécuter une attaque par ransomware. La manière dont la brèche de Twilio s'est étendue aux utilisateurs de Signal nous rappelle brutalement que l'objectif d'un attaquant n'est pas toujours le service qu'il a initialement compromis. Pour rester en sécurité, les organisations de tout type et de toute taille doivent mettre en œuvre une plateforme de sécurité du cloud qui peut les alerter d'une cyberattaque potentielle en détectant automatiquement les comportements anormaux.
Il est aujourd’hui essentiel que chaque organisation dispose de capacités de sécurité avancées capables de détecter les indicateurs d'activités malveillantes au-delà du seul réseau traditionnel d'autant plus que les hackers se déplacent sur différents appareils, réseaux et applications pour exécuter leurs attaques.