Attaques par hameçonnage 2.0 : Nouveaux kits, nouveaux risques, nouvelles défenses

7 juin 2024
Vectra AI
Attaques par hameçonnage 2.0 : Nouveaux kits, nouveaux risques, nouvelles défenses

Comment pouvez-vous défendre votre réseau contre le phishing, qui est l'une des deux principales méthodes utilisées par les acteurs de la menace pour accéder à votre réseau ? 

En fait, cela fait partie de la méthode préférée des attaquants, à savoir le vol d'informations d'identification. 

Mais nous y reviendrons dans un instant...

Tout d'abord, dans le dernier Prodcast en date, John Mancini, Product Market Manager de Vectra AI , parle de l'augmentation du phishing - qui n'a en fait jamais disparu - et des raisons pour lesquelles il représente désormais une menace considérable pour les utilisateurs et les équipes SOC partout dans le monde. Dans son bref aperçu, John fournit une mise à jour très informative et pertinente sur l'état du phishing, y compris :

- Une brève histoire du phishing

- Ce que nous observons dans la nature aujourd'hui

- De nouvelles tactiques utilisées par les attaquants pour tromper les utilisateurs finaux les plus intelligents

- Comment se défendre au mieux contre eux

Au début, il y avait le phishing...

Le phishing existe depuis le début de l'ère numérique, la première attaque de phishing ayant été lancée contre AOL en 1996. Cela peut vous surprendre, mais cela ne devrait pas. L'attaque de phishing utilisait le kit de phishing bien nommé "AOHell", qui permettait aux attaquants d'accéder aux comptes des utilisateurs et de faire ce qu'ils voulaient, y compris de disposer d'un agent d'intelligence artificielle leur permettant de répondre automatiquement aux messages d'AOL de la manière qu'ils souhaitaient.

L'objectif ultime était de voler les comptes des utilisateurs dans ce que l'on pourrait appeler l'"ère du script kitty" du piratage informatique. L'impact financier n'a pas été très important, il s'est surtout agi d'un désagrément. L'attaque par hameçonnage a finalement été stoppée par AOL lorsqu'elle a empêché les utilisateurs de créer des comptes illimités dans AOL en utilisant des numéros de carte de crédit aléatoires, d'où provenaient les attaques.

Cette même année, une société appelée e-gold a vu le jour, une sorte de monnaie numérique avant l'apparition des crypto-monnaies. e-gold permettait aux utilisateurs de transférer de l'or "numérique" qui avait une valeur monétaire réelle dans le monde réel. Mais il s'agissait d'une transaction à sens unique. Une fois la valeur monétaire de l'e-gold transférée, il n'y avait aucun moyen de la restituer. En d'autres termes, une fois que le pirate a accédé au portefeuille d'un utilisateur d'e-gold, il peut envoyer la valeur de l'e-gold vers un autre portefeuille et le titulaire du compte e-gold n'a aucun moyen de récupérer l'argent volé. 

En 2001, des milliers de dollars étaient perdus chaque jour sur e-gold. Ces pertes ont été stoppées lorsque e-gold a ajouté un défi PIN unique pour les nouveaux IP, ce qui n'était en fait qu'un type primitif de MFA.

Où en est le phishing aujourd'hui ?

Tout cela devrait vous sembler familier, car les principes de base de l'hameçonnage n'ont pas beaucoup changé depuis. Oui, l'utilisation abusive des informations d'identification est la première tactique utilisée par les attaquants aujourd'hui pour accéder à votre réseau. Mais comme nous l'avons mentionné plus haut, les attaques de phishing jouent un rôle en aidant les attaquants à accéder à vos informations d'identification, et les deux sont donc étroitement liées. 

De plus, les deux objectifs du phishing sont soit de déposer une charge utile sur un site endpoint , soit de capturer des informations d'identification pour lancer des attaques de bout en bout basées uniquement sur l'identité. En gros, nous sommes toujours dans la même situation qu'en 1996 en ce qui concerne les attaques par hameçonnage. En bref, les kits d'hameçonnage, bien que plus sophistiqués que par le passé, constituent toujours le moyen par lequel de nombreuses attaques d'hameçonnage sont menées aujourd'hui.

L'Open Source rend les attaques de phishing plus faciles que jamais

Par exemple, des kits open source tels que Gophish et Zphisher rendent l'exécution d'une attaque de phishing aussi simple que quelques clics sur un clavier. En fait, les défenseurs utilisent souvent l'un ou l'autre de ces kits, ou les deux, pour imiter les attaques et tester ainsi leurs utilisateurs. Ils sont très faciles à utiliser, avec des modèles et des pages de renvoi personnalisés, ainsi que des catalogues entiers de pages de renvoi et de modèles qui permettent aux attaquants d'imiter facilement les meilleurs sites web pour le vol d'informations d'identification, d'imiter des courriels convaincants qui ont été envoyés, de suivre les campagnes, de déterminer quels courriels ont été envoyés et lesquels ont été ouverts, de capturer des mots de passe et d'autres fonctionnalités d'attaque puissantes.

Au cours des deux dernières années, du point de vue des attaquants, le phishing s'est avéré plus productif que le ransomware en termes d'impact et d'opportunités. Les attaques par courrier électronique offrent tout simplement un menu beaucoup plus large pour tirer parti d'une brèche au fil du temps plutôt que d'un ransomware unique. 

La nouvelle (ancienne) réalité : Kits d'hameçonnage en tant que service

La prise de conscience du fait que les attaques par courrier électronique ouvrent de nombreuses autres possibilités d'exploitation a conduit au développement et à la vente à grande échelle d'outils d'hameçonnage en tant que service (Phishing-as-a-Service). Créés par et pour les attaquants, les kits de Phishing-as-a-Service fournissent les outils spécialisés dont les attaquants ont besoin pour mener des attaques sophistiquées, telles que la capacité de faire du reverse proxy, des évasions de détection, des capacités d'exécution à distance, et plus encore, mais sans exiger des attaquants qu'ils aient réellement des connaissances technologiques avancées. 

De plus, il existe toute une série de kits de "Phishing-as-a-Service" qui peuvent être achetés à partir de 100 dollars. Des kits améliorés peuvent être achetés pour environ 300 dollars ou plus, là encore, par n'importe qui sans avoir besoin d'un bagage technologique. Comme vous pouvez l'imaginer, les kits d'aujourd'hui sont beaucoup plus puissants et sophistiqués que les kits d'attaque par hameçonnage de 1996. Il est possible de les arrêter net, mais il faut savoir les repérer rapidement.

Pour en savoir plus sur le fonctionnement de ces kits de Phishing-as-a-Service, sur les problèmes qu'ils posent à vos collègues de la sécurité et sur la manière dont Vectra AI peut les neutraliser avant qu'ils n'endommagent ou ne volent vos données, regardez la brève vidéo ci-dessous.

Foire aux questions