[ad_1]

le Bureau fédéral d’enquête (FBI) et le Agence de cybersécurité et de sécurité des infrastructures (CISA) a publié jeudi une alerte conjointe pour avertir de la menace croissante du phishing vocal ou «vishing» des attaques ciblant des entreprises. L’avis est intervenu moins de 24 heures après que BreachTrace a publié un examen approfondi d’un groupe criminel offrant un service que les gens peuvent embaucher pour voler les informations d’identification VPN et d’autres données sensibles des employés travaillant à distance pendant la pandémie de coronavirus.

« La pandémie de COVID-19 a entraîné un passage massif au travail à domicile, entraînant une utilisation accrue des réseaux privés virtuels (VPN) d’entreprise et l’élimination de la vérification en personne », indique l’alerte. « À la mi-juillet 2020, les cybercriminels ont lancé une campagne de vishing – pour avoir accès aux outils des employés de plusieurs entreprises avec un ciblage aveugle – dans le but final de monétiser l’accès. »

Comme indiqué dans l’article de mercredi, les agences ont déclaré que les sites de phishing mis en place par les attaquants ont tendance à inclure des traits d’union, le nom de l’entreprise cible et certains mots, tels que « assistance », « ticket » et « employé ». Les auteurs se concentrent sur l’ingénierie sociale des nouvelles recrues de l’entreprise ciblée et se font passer pour le personnel du service d’assistance informatique de l’entreprise cible.

L’alerte conjointe FBI/CISA (PDF) indique que le gang de vishing compile également des dossiers sur les employés d’entreprises spécifiques en utilisant le grattage massif de profils publics sur les plateformes de médias sociaux, les outils de recrutement et de marketing, les services de vérification des antécédents accessibles au public et la recherche open source. Depuis l’alerte :

« Les acteurs ont d’abord commencé à utiliser des numéros de voix sur protocole Internet (VoIP) non attribués pour appeler des employés ciblés sur leurs téléphones portables personnels, puis ont commencé à incorporer des numéros usurpés d’autres bureaux et employés de l’entreprise victime. Les acteurs ont utilisé des techniques d’ingénierie sociale et, dans certains cas, se sont fait passer pour des membres du service d’assistance informatique de l’entreprise victime, utilisant leur connaissance des informations personnellement identifiables de l’employé, y compris le nom, le poste, la durée dans l’entreprise et l’adresse du domicile, pour gagner la confiance. de l’employé visé.

« Les acteurs ont ensuite convaincu l’employé ciblé qu’un nouveau lien VPN serait envoyé et ont exigé leur connexion, y compris tout 2FA [2-factor authentication] ou OTP [one-time passwords]. L’acteur a enregistré les informations fournies par l’employé et les a utilisées en temps réel pour accéder aux outils de l’entreprise à l’aide du compte de l’employé. »

L’alerte note que dans certains cas, les employés sans méfiance ont approuvé l’invite 2FA ou OTP, soit accidentellement, soit en pensant que c’était le résultat de l’accès antérieur accordé à l’imitateur du service d’assistance. Dans d’autres cas, les attaquants ont pu intercepter les codes à usage unique en ciblant l’employé avec un échange de carte SIM, ce qui implique des personnes d’ingénierie sociale dans les entreprises de téléphonie mobile pour leur donner le contrôle du numéro de téléphone de la cible.

Les agences ont déclaré que les escrocs utilisent les informations d’identification VPN visées pour exploiter les bases de données de l’entreprise victime afin d’obtenir les informations personnelles de leurs clients afin de les exploiter dans d’autres attaques.

« Les acteurs ont ensuite utilisé l’accès des employés pour mener des recherches supplémentaires sur les victimes et / ou pour obtenir frauduleusement des fonds en utilisant différentes méthodes en fonction de la plate-forme à laquelle ils accèdent », indique l’alerte. « La méthode de monétisation variait selon l’entreprise, mais était très agressive avec un délai serré entre la violation initiale et le plan de retrait perturbateur. »

L’avis comprend un certain nombre de suggestions que les entreprises peuvent mettre en œuvre pour aider à atténuer la menace de ces attaques de hameçonnage, notamment :

• Restreignez les connexions VPN aux appareils gérés uniquement, en utilisant des mécanismes tels que les vérifications matérielles ou les certificats installés, de sorte que l’entrée de l’utilisateur seule ne suffit pas pour accéder au VPN d’entreprise.

• Restreindre les heures d’accès VPN, le cas échéant, pour atténuer l’accès en dehors des heures autorisées.

• Utilisez la surveillance de domaine pour suivre la création ou les modifications apportées aux domaines de marque d’entreprise.

• Analysez et surveillez activement les applications Web à la recherche d’accès non autorisés, de modifications et d’activités anormales.

• Utiliser le principe du moindre privilège et mettre en œuvre des politiques de restriction logicielle ou d’autres contrôles ; surveiller les accès et l’utilisation des utilisateurs autorisés.

• Envisagez d’utiliser un processus d’authentification formalisé pour les communications d’employé à employé effectuées sur le réseau téléphonique public où un deuxième facteur est utilisé pour
authentifier l’appel téléphonique avant que des informations sensibles puissent être discutées.

• Améliorez la messagerie 2FA et OTP pour réduire la confusion concernant les tentatives d’authentification des employés.

• Vérifiez que les liens Web ne comportent pas de fautes d’orthographe ou ne contiennent pas le mauvais domaine.

• Mettez en signet l’URL VPN d’entreprise correcte et ne visitez pas d’URL alternatives sur la seule base d’un appel téléphonique entrant.

• Méfiez-vous des appels téléphoniques, des visites ou des e-mails non sollicités d’inconnus prétendant appartenir à une organisation légitime. Ne fournissez pas d’informations personnelles ou d’informations sur votre organisation, y compris sa structure ou ses réseaux, à moins que vous ne soyez certain de l’autorité d’une personne à détenir ces informations. Si possible, essayez de vérifier l’identité de l’appelant directement auprès de l’entreprise.

• Si vous recevez un appel de vishing, documentez le numéro de téléphone de l’appelant ainsi que le domaine vers lequel l’acteur a essayé de vous envoyer et relayez cette information aux forces de l’ordre.

• Limitez la quantité d’informations personnelles que vous publiez sur les sites de réseaux sociaux. Internet est une ressource publique; ne publiez que des informations que vous êtes à l’aise avec quiconque voit.

• Évaluez vos paramètres : les sites peuvent modifier périodiquement leurs options. Vérifiez donc régulièrement vos paramètres de sécurité et de confidentialité pour vous assurer que vos choix sont toujours appropriés.

.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *