Microsoft utilise des tactiques trompeuses contre les acteurs du phishing en créant des locataires de pots de miel réalistes avec accès à Azure et en attirant les cybercriminels pour collecter des renseignements à leur sujet.
Grâce aux données collectées, Microsoft peut cartographier les infrastructures malveillantes, mieux comprendre les opérations de phishing sophistiquées, perturber les campagnes à grande échelle, identifier les cybercriminels et ralentir considérablement leur activité.
La tactique et ses effets néfastes sur l’activité de phishing ont été décrits lors de la conférence BSides Exeter par Ross Bevington, ingénieur principal en logiciels de sécurité chez Microsoft, se faisant appeler le « Chef de la tromperie » de Microsoft. »
Bevington a créé un « pot de miel hybride à haute interaction » sur le maintenant à la retraite code.microsoft.com collecter des informations sur les menaces sur des acteurs allant des cybercriminels moins qualifiés aux groupes d’États-Nations ciblant l’infrastructure Microsoft.
Illusion de succès d’hameçonnage
Actuellement, Bevington et son équipe luttent contre le phishing en exploitant des techniques de tromperie en utilisant des environnements locataires Microsoft entiers comme pots de miel avec des noms de domaine personnalisés, des milliers de comptes d’utilisateurs et des activités telles que les communications internes et le partage de fichiers.
Les entreprises ou les chercheurs mettent généralement en place un pot de miel et attendent que les acteurs de la menace le découvrent et agissent. En plus de détourner les attaquants de l’environnement réel, un pot de miel permet également de collecter des informations sur les méthodes utilisées pour violer les systèmes, qui peuvent ensuite être appliquées sur le réseau légitime.
Bien que le concept de Bevington soit en grande partie le même, il diffère en ce qu’il amène le jeu aux attaquants au lieu d’attendre que les acteurs de la menace trouvent un moyen d’entrer.
Dans sa présentation à BSides Exeter, le chercheur explique que l’approche active consiste à visiter des sites de phishing actifs identifiés par Defender et à saisir les informations d’identification des locataires du pot de miel.
Étant donné que les informations d’identification ne sont pas protégées par une authentification à deux facteurs et que les locataires sont remplis d’informations réalistes, les attaquants ont un moyen facile d’entrer et commencent à perdre du temps à chercher des signes d’un piège.
Microsoft dit qu’il surveille environ 25 000 sites de phishing chaque jour, alimentant environ 20% d’entre eux avec les informations d’identification du pot de miel; le reste est bloqué par CAPTCHA ou d’autres mécanismes anti-bot.
Une fois que les attaquants se connectent aux faux locataires, ce qui se produit dans 5% des cas, il active une journalisation détaillée pour suivre chaque action qu’ils entreprennent, apprenant ainsi les tactiques, techniques et procédures des acteurs de la menace.
Les renseignements recueillis incluent les adresses IP, les navigateurs, l’emplacement, les modèles de comportement, s’ils utilisent des VPN ou des VPN, et sur quels kits de phishing ils s’appuient.
De plus, lorsque des attaquants tentent d’interagir avec les faux comptes de l’environnement, Microsoft ralentit autant que possible les réponses.
La technologie de tromperie gaspille actuellement un attaquant 30 jours avant de se rendre compte de la violation d’un faux environnement. Depuis le début, Microsoft collecte des données exploitables qui peuvent être utilisées par d’autres équipes de sécurité pour créer des profils plus complexes et de meilleures défenses.
Bevington mentionne que moins de 10% des adresses IP qu’ils collectent de cette manière peuvent être corrélées avec des données dans d’autres bases de données de menaces connues.
La méthode permet de collecter suffisamment de renseignements pour attribuer les attaques à des groupes motivés financièrement ou même à des acteurs parrainés par l’État, tels que le groupe de menaces russe Midnight Blizzard (Nobelium).
Bien que le principe de tromperie pour défendre les actifs ne soit pas nouveau et que de nombreuses entreprises s’appuient sur des pots de miel et des objets canaris pour détecter les intrusions et même suivre les pirates, Microsoft a trouvé un moyen d’utiliser ses ressources pour traquer les acteurs de la menace et leurs méthodes à grande échelle.