En véritables espions, les cybercriminels s’infiltrent via la prise de contrôle de messageries, surveillent l’activité pour savoir comment l’entreprise fonctionne, les signatures de courrier électronique qu’elle utilise et la manière dont les transactions financières sont traitées.
La généralisation du télétravail et l’ouverture d’accès numériques hors du périmètre protégé de l’entreprise ont été une opportunité que les cybercriminels ont essayé d’exploiter au maximum. Le rapport intitulé Spear Phishing : Top Threats and Trends Vol. 4 - Insights into attacker activity in compromised email accounts, révèle l’émergence d’une économie spécialisée autour du rachat des comptes de courriels, les cybercriminels trouvant de nouveaux moyens d’attaquer et d’exploiter ces comptes.
Au cours de l’année dernière, les chercheurs de Barracuda se sont associés à des chercheurs de l’Université de Berkeley pour étudier le cycle de vie de bout en bout d’un compte compromis. En examinant 159 comptes compromis englobant 111 entreprises, ils ont étudié comment se fait l’usurpation de comptes, pendant combien de temps les attaquants ont accès au compte compromis et comment ils utilisent et extraient des informations de ces comptes. Pour identifier les activités furtives des attaquants, les chercheurs ont traqué des événements suspects à partir du moment où l’organisation a confirmé que le compte était compromis. Cette activité a été comparée au comportement typique du compte sur une période de deux mois avant la compromission.
Infiltration et furtivité pour recueillir un maximum d’informations
Pour monter une attaque de spear phishing ou d’hameçonnage ciblé, l’attaquant doit disposer d’un maximum d’informations sur la victime, le titulaire du compte de messagerie. Le but étant de faire tomber ce premier « poste avancé » pour s’ouvrir la voie vers le SI de l’entreprise. C’est la raison pour laquelle plus d’un tiers des comptes détournés analysés par les chercheurs abritait des attaquants qui s’y étaient infiltrés depuis plus d’une semaine. Cela suggère qu’au-delà de la détection initiale, les outils de détection et de réponse automatisée aux incidents et de suppression après attaque, sont essentiels pour traquer et prévenir la compromission de comptes supplémentaires.
Lors de la prise de contrôle d’un compte de messagerie, les cybercriminels utilisent l’usurpation d’identité de marque, l’ingénierie sociale et l’hameçonnage pour voler les identifiants de connexion et accéder à un compte de courrier électronique. Une fois que le compte est compromis, les pirates surveillent et suivent l’activité pour savoir comment l’entreprise fonctionne, les signatures de courrier électronique qu’elle utilise et la manière dont les transactions financières sont traitées, afin de pouvoir lancer des attaques d’hameçonnage ultérieures, notamment en récoltant des informations financières et des identifiants de connexion supplémentaires pour d’autres comptes.
78 % des infiltrations limitées au courriel
Bizarrement, les chercheurs ont trouvé que 78 % des attaquants n’ont accédé à aucune autre application en dehors du courrier électronique, « ce qui suggère soit que les comptes cloud de nombreuses organisations n’ont pas accès aux données et fonctionnalités en dehors du courrier électronique, soit que les attaquants doivent encore adapter et exploiter ces sources d’information supplémentaires », explique le rapport.
Par ailleurs, 20 % des comptes compromis sont le fait d’au moins une violation de données d’identification en ligne, ce qui suggère que les cybercriminels exploitent la réutilisation des identifiants sur les comptes personnels et d’entreprise des employés.