Risques pour l'homme

Dans la première édition du Human Risk Roundup, nous nous penchons sur des exemples récents et concrets de la manière dont les cybercriminels exploitent les vulnérabilités humaines pour percer les défenses de l'organisation. Conçue pour les RSSI et les responsables de la sécurité, cette rubrique régulière de Mimecast fournit des informations exploitables sur l'évolution des tactiques et des stratégies psychologiques utilisées par les attaquants, vous aidant ainsi à garder une longueur d'avance dans la protection de l'actif le plus critique de votre organisation, à savoir son personnel.

Le numéro de cette semaine met en lumière les attaques de Scattered Spider contre les détaillants britanniques, les campagnes de phishing exploitant l\'infrastructure de Google par le biais d\'attaques par rejeu DKIM, la résurgence du malware Lampion utilisant des leurres ClickFix, et bien d\'autres choses encore. Chaque article fournit des informations exploitables aux responsables de la sécurité qui cherchent à améliorer les stratégies de gestion des risques humains.

Attaques d'araignées dispersées sur des détaillants britanniques : Une leçon d'exploitation humaine

Fin avril 2025, une série de cyberattaques coordonnées a frappé trois grands détaillants britanniques : Mark & Spencer (M&S), Co-op Group et Harrods. Bien que l'attribution reste officieuse, les chercheurs en cybersécurité soupçonnent fortement l'implication du célèbre groupe de pirates informatiques "Scattered Spider". Ce groupe est tristement célèbre pour exploiter les vulnérabilités humaines plutôt que les exploits techniques avancés.

Ce qui s'est passé : Selon la BBC, l'attaque sur M& S a commencé pendant le week-end de Pâques et a d'abord perturbé les services Click & Collect et les paiements sans contact. L'incident du ransomware a interrompu les systèmes de paiement, suspendu les commandes en ligne et a eu un impact significatif sur les chaînes d'approvisionnement. Certains fournisseurs, dont Greencore et Nails Inc. ont eu recours à des processus manuels pour répondre aux demandes de livraison en raison de difficultés opérationnelles. M&S a perdu environ 3,8 millions de livres sterling par jour en ventes en ligne, et l'attaque a réduit sa valeur marchande d'environ 500 à 700 millions de livres sterling. Les enquêtes suggèrent que les attaquants ont obtenu l'accès par le biais d'informations d'identification volées, obtenues par des techniques telles que le phishing ou l'authentification multifactorielle (MFA) à la bombe. Bien que certains systèmes aient repris, les retombées plus générales continuent d'affecter les opérations.

Le Co-op Group a également été victime d'une cyberattaque dévastatrice ce mois-ci, qui s'appuyait sur des techniques sophistiquées d'ingénierie sociale. Les attaquants ont manipulé le personnel informatique en se faisant passer pour eux et les ont convaincus de réinitialiser les mots de passe, obtenant ainsi un accès non autorisé à des systèmes critiques. La faille a entraîné des perturbations logistiques, provoquant des pénuries de produits frais dans de nombreux magasins Co-op, en particulier dans les îles écossaises. Pour atténuer la menace, Co-op a mis en œuvre des mesures telles que la limitation de l'accès à l'internet et l'amélioration des protocoles de vérification pour les réunions virtuelles. Le Centre national de cybersécurité (NCSC) a depuis conseillé aux détaillants de renforcer les processus de réinitialisation des mots de passe afin de limiter les risques similaires.

Harrods, quant à lui, a réussi à contrer une tentative de cyberattaque en prenant rapidement des mesures de précaution. L'entreprise a restreint l'accès à l'internet dans l'ensemble de ses activités à la suite de tentatives d'accès non autorisé liées à des tactiques d'ingénierie sociale. L'approche proactive du détaillant de luxe a permis d'éviter d'autres intrusions, bien que les détails de la violation n'aient pas été divulgués.

Pourquoi c'est important : Ces incidents soulignent la menace croissante des cyberattaques à caractère humain dans le commerce de détail. M&S est un excellent exemple de la manière dont des informations d'identification compromises et des vulnérabilités humaines peuvent entraîner des troubles financiers et opérationnels. Co-op illustre les graves conséquences de l'ingénierie sociale au sein de processus internes fiables, tandis que Harrods souligne l'importance d'une détection et d'une action rapides pour atténuer les menaces. Investir dans une formation ciblée, renforcer les protocoles et doter les employés des outils nécessaires pour reconnaître les tentatives d'ingénierie sociale sera essentiel pour réduire les risques humains et renforcer la résilience de l'organisation.

Pour en savoir plus sur ces attaques , consultez notre blog Mimecast.

Phishing via l'infrastructure de Google : Une attaque sophistiquée contre la confiance humaine

Dans le cadre d''une nouvelle vague de campagnes de phishing, des pirates ont trouvé un moyen d''exploiter l''infrastructure de confiance de Google pour envoyer des courriels qui semblent authentiques. Selon The Hacker News, ces courriels, qui semblent provenir de"no-reply@google.com", informent les destinataires d''une prétendue citation à comparaître émanant d''une autorité chargée de l''application de la loi. Les courriels dirigeaient les utilisateurs vers une page Google Sites qui imitait l''assistance légitime de Google, les incitant à télécharger des documents ou à consulter les détails de l''affaire.

Ce qui s'est passé : Les attaquants ont utilisé une attaque par relecture DKIM, ce qui leur a permis de créer un courrier électronique avec une signature valide qui contourne les filtres de sécurité. Cette technique consiste à créer une application Google OAuth légitime, à générer une alerte de sécurité et à la transmettre tout en préservant la signature DKIM. En conséquence, les courriels de phishing semblaient provenir de comptes Google légitimes, trompant même les systèmes de sécurité les plus avancés.

Pourquoi c'est important : L'exploitation de plateformes de confiance pour diffuser des contenus malveillants est un nouveau défi pour les équipes de sécurité informatique. Les méthodes de détection traditionnelles perdent de leur efficacité à mesure que les attaquants utilisent de plus en plus des services en nuage légitimes pour faire du phishing. "Les organisations devraient mettre l'accent sur la formation des utilisateurs à l'identification des tentatives de phishing, même lorsque les courriels semblent dignes de confiance."

Pour en savoir plus, consultez The Hacker News.

Le Malware Lampion revient avec le leurre d'ingénierie sociale ClickFix

Le malware Lampion, notoire pour cibler les informations bancaires, a refait surface avec un nouveau vecteur d'attaque appelé ClickFix. Comme le signale Palo Alto Networks, cette technique manipule les utilisateurs pour qu'ils exécutent des commandes malveillantes en les convainquant que cette action résoudra un problème système.

Ce qui s'est passé : La campagne cible les organisations portugaises, en particulier dans les secteurs de la finance, du gouvernement et des transports. Les attaquants envoient des courriels de phishing contenant un fichier ZIP malveillant qui, lorsqu'il est ouvert, dirige les utilisateurs vers un faux site de l'administration fiscale. Les victimes sont invitées à exécuter une commande PowerShell, ce qui entraîne le vol de données et la compromission du système. Le malware utilise également de nombreuses techniques d'obscurcissement pour dissimuler sa véritable fonction, ce qui rend sa détection particulièrement difficile.

Pourquoi c'est important : ClickFix représente une tendance croissante où les attaquants manipulent directement les utilisateurs au lieu d'exploiter les vulnérabilités du système. Les responsables de la sécurité devraient sensibiliser davantage à cette technique et mettre en œuvre des outils de surveillance qui détectent les exécutions de lignes de commande suspectes.

Plus d'informations ici.

Combattre les Human Risk avec Mimecast

Prenez le contrôle du risque humain avec Mimecast. Nos solutions avancées bloquent plus de 90% des menaces basées sur le courrier électronique, ciblent efficacement les vulnérabilités et donnent à vos employés les outils et la formation dont ils ont besoin pour rester en sécurité. Découvrez comment Mimecast peut vous aider à protéger votre organisation contre les cybermenaces et à réduire les risques humains dès aujourd'hui.