Les identifiants de compte, un vecteur d’accès initial populaire, sont devenus un bien précieux dans la cybercriminalité. Par conséquent, un seul ensemble d’informations d’identification volées peut mettre en danger l’ensemble du réseau de votre organisation.
Selon le Rapport d’enquête sur les violations de données Verizon 2023des parties externes étaient responsables de 83 pour cent des violations survenues entre novembre 2021 et octobre 2022. Quarante-neuf pour cent de ces violations concernaient des informations d’identification volées.
Comment les acteurs malveillants compromettent-ils leurs identifiants ? L’ingénierie sociale est l’un des cinq principales menaces de cybersécurité en 2023. Le phishing, qui représente % des tentatives d’ingénierie sociale, est la méthode privilégiée pour voler des informations d’identification. C’est une tactique relativement peu coûteuse qui donne des résultats.
À mesure que les techniques de phishing et d’ingénierie sociale deviennent plus sophistiquées et que les outils deviennent plus facilement disponibles, le vol d’identifiants devrait devenir une préoccupation majeure en matière de sécurité pour toutes les organisations, si ce n’est déjà le cas.
Le phishing a évolué
Avec le phishing et l’ingénierie sociale en général, les auteurs de menaces ne se limitent pas à l’utilisation des e-mails :
- Les campagnes de phishing sont désormais des attaques multicanaux comportant plusieurs étapes. En plus des e-mails, les acteurs malveillants utilisent des SMS et des messages vocaux pour diriger leurs victimes vers des sites Web malveillants, puis utilisent un appel téléphonique de suivi pour poursuivre leur ruse.
- Les acteurs malveillants ciblent activement les appareils mobiles. Les informations d’identification peuvent être compromises car les utilisateurs peuvent être trompés par des tactiques d’ingénierie sociale dans différentes applications. La moitié de tous les appareils personnels ont été exposés à une attaque de phishing chaque trimestre 2022.
- L’IA est devenue un facteur. L’IA est utilisée pour rendre les contenus de phishing plus crédibles et élargir la portée des attaques. À l’aide des données de recherche sur les victimes, l’IA peut créer des messages de phishing personnels, puis affiner ces messages pour ajouter un vernis de légitimité et obtenir de meilleurs résultats.
PhaaS est la voie vers les informations d’identification volées
Pourtant, il ne faut pas grand-chose pour commencer à voler des informations d’identification. Le phishing est devenu une bonne affaire car les acteurs de la menace adoptent pleinement le modèle Phishing-as-a-Service (PhaaS) pour sous-traiter leur expertise à d’autres. Avec les kits de phishing vendus sur les forums clandestins, même les novices n’ayant aucune compétence pour infiltrer eux-mêmes les systèmes informatiques peuvent avoir la capacité de lancer une attaque.
PhaaS fonctionne comme des entreprises SaaS légitimes. Il existe des modèles d’abonnement parmi lesquels choisir et l’achat d’une licence est requis pour que les kits fonctionnent.
Outils de phishing avancés utilisés pour cibler les comptes Microsoft 365
L’écosystème de phishing BEC de W3LL exposé
Depuis six ans, l’acteur malveillant W3LL propose son kit de phishing personnalisé, le W3LL Panel, sur son marché clandestin, le W3LL Store. Le kit de W3LL a été créé pour contourner l’authentification multifacteur (MFA) et constitue l’un des outils de phishing les plus avancés du marché clandestin.
Entre octobre 2022 et juillet 2023, l’outil a été utilisé pour infiltrer avec succès au moins 8 000 des 56 000 comptes de messagerie professionnels Microsoft 365 qui étaient visés. W3LL vend également d’autres actifs, notamment des listes de diffusion de victimes, des comptes de messagerie compromis, des comptes VPN, des sites Web et des services compromis et des leurres de phishing personnalisés. On estime que les revenus du magasin W3LL au cours des 10 derniers mois ont atteint 500 000 $.
Le kit de phishing de grandeur simplifie le BEC
La grandeur est à l’état sauvage depuis novembre 2022 avec de brusques sauts d’activité au cours Décembre 2022 et de nouveau en mars 2023. En plus de l’intégration du robot Telegram et du filtrage IP, Greatness intègre une capacité de contournement d’authentification multifacteur comme le panneau W3LL.
Le premier contact est établi avec un e-mail de phishing qui redirige la victime vers une fausse page de connexion Microsoft 365 où l’adresse e-mail de la victime a été pré-remplie. Lorsque la victime saisit son mot de passe, Greatness se connecte à Microsoft 365 et contourne le MFA en invitant la victime à soumettre le code MFA sur la page leurre. Ce code est ensuite transmis au canal Telegram afin que l’acteur malveillant puisse l’utiliser et accéder au compte authentique. Le kit de phishing Greatness ne peut être déployé et configuré qu’avec une clé API.
Le marché clandestin des identifiants volés
En 2022, il y avait plus de 24 milliards d’identifiants en vente sur le Dark Web, une augmentation par rapport à 2020. Le prix des informations d’identification volées varie en fonction du type de compte. Par exemple, les informations d’identification cloud volées coûtent à peu près le même prix qu’une douzaine de beignets alors que Les connexions aux comptes bancaires ING se vendront 4 255 $.
L’accès à ces forums clandestins peut être difficile avec certaines opérations nécessitant une vérification ou des frais d’adhésion. Dans certains cas, comme avec le W3LL Store, les nouveaux membres ne sont autorisés que sur recommandation des membres existants.
Les dangers liés aux utilisateurs finaux utilisant des informations d’identification volées
Les risques de vol d’identifiants sont accrus si les utilisateurs finaux réutilisent les mots de passe sur plusieurs comptes. Les acteurs malveillants paient pour les identifiants volés car ils savent que de nombreuses personnes utilisent le même mot de passe sur plusieurs comptes et services Web à des fins personnelles et professionnelles.
Aussi impénétrable que soit la sécurité de votre organisation, il peut être difficile d’empêcher la réutilisation d’identifiants valides volés sur un autre compte.
Le gain financier est la motivation derrière le vol des informations d’identification
Après avoir volé les informations d’identification du compte, les acteurs malveillants peuvent diffuser des logiciels malveillants, voler des données, usurper l’identité du propriétaire du compte et effectuer d’autres actes malveillants avec le compte de messagerie compromis. Cependant, les acteurs malveillants qui volent les informations d’identification ne sont souvent pas ceux qui utiliseront les informations.
Le gain financier reste la principale raison derrière 95% de manquements. Les acteurs malveillants vendront les informations d’identification qu’ils ont volées sur des forums clandestins dans un but lucratif à d’autres acteurs malveillants qui les utiliseront des semaines ou des mois plus tard. Cela signifie que les informations d’identification volées seront à l’avenir le moteur des marchés clandestins. Quelles mesures prenez-vous pour sécuriser les informations d’identification des utilisateurs dans votre organisation ?
Bloquer les mots de passe compromis
Éliminez les risques de sécurité liés aux mots de passe compromis grâce à la politique de mot de passe Specops avec protection par mot de passe violé qui vous permet de bloquer plus de 4 milliards de mots de passe compromis connus depuis votre Active Directory. Tous les utilisateurs ne pourront pas utiliser de mots de passe compromis connus et seront guidés vers la création d’un mot de passe différent qui correspond à votre politique. De plus, si l’analyse continue est activée, les utilisateurs seront alertés par SMS ou par e-mail dès que leur mot de passe sera découvert comme étant compromis.
Vous pouvez renforcer votre infrastructure de mots de passe en utilisant la fonctionnalité de dictionnaire personnalisé qui vous permet de bloquer les mots communs à votre organisation ainsi que les modèles faibles et prévisibles. Appliquez une politique de mot de passe plus stricte qui répond aux exigences de conformité actuelles avec la politique de mot de passe Specops. Essayez-le gratuitement ici.