Mimecast Logo
Obtenir un devis
    Aperçus sur la Cyber Resilience
    Tous les thèmes
    Email and Collaboration Threat Protection
    Insider Risk Management
    Security Awareness Training
    Data Compliance and Governance
    Threat Intelligence
    Security Awareness Training

    Human Risk Roundup : Une ville attaquée, les retombées de Salesloft et VerifTools déjoué

    Baltimore perd de l'argent à cause de la BEC, les retombées de la violation de Salesloft se poursuivent, et les autorités pensent avoir mis hors d'état de nuire VerifTools

    by Renatta Siewert
    roundup-Blog.jpg

    Key Points

    • Un fraudeur a dérobé plus de 1,5 million de dollars à la ville de Baltimore en se faisant passer pour un vendeur et en manipulant le personnel pour qu'il modifie les données du compte bancaire.
    • Une brèche dans Salesloft, un fabricant de chatbots d'intelligence artificielle, a entraîné le vol de jetons d'authentification, compromettant les données de nombreuses instances Salesforce d'entreprise et d'autres services intégrés.
    • Une opération policière conjointe américano-néerlandaise a permis de démanteler VerifTools, une importante plateforme de création de faux documents d'identité utilisée dans le cadre de diverses cybercriminalités.

    Dans cette édition du Human Risk Roundup, nous nous penchons sur trois événements récents très médiatisés – continuez à lire pour plus d'informations.

    Un fraudeur a dérobé plus de 1,5 million de dollars à la ville de Baltimore

    Un fraudeur a dérobé plus de 1,5 million de dollars à la ville de Baltimore en se faisant passer pour un fournisseur et en manipulant le personnel pour qu'il modifie les coordonnées de son compte bancaire, exploitant ainsi la faiblesse des contrôles internes dans le cadre d'une attaque de type "Business Email compromise" (BEC). Bien qu'une partie des fonds ait été récupérée, l'incident met en évidence les vulnérabilités persistantes des processus de gestion des comptes fournisseurs de la ville, qui a déjà été confrontée à des escroqueries similaires par le passé.

    Ce qui s'est passé

    Ce stratagème, une attaque BEC classique, s'est produit entre février et mars 2025, avec deux paiements frauduleux d'un montant total de 1 524 621,04 dollars. L'escroc a accédé au compte Workday du fournisseur et a modifié les coordonnées bancaires, qui ont été approuvées par les employés de la comptabilité fournisseurs sans vérification appropriée. La ville a récupéré 721 236,60 dollars, les 803 384,44 $ restants n'ont toujours pas été recouvrés et une demande d'indemnisation a été déposée auprès de l'assurance. L'enquête a révélé la faiblesse des contrôles internes et l'absence de garanties dans le service de la comptabilité fournisseurs, qui n'avait pas mis en œuvre de mesures correctives après des cas de fraude antérieurs. Cet incident fait suite à deux autres escroqueries aux vendeurs à Baltimore depuis 2019.

    Pourquoi c'est important

    Cette attaque met en lumière un incident de cybersécurité important au cours duquel un fraudeur a exploité des contrôles internes déficients. Le pirate a utilisé une tactique courante de BEC, en se faisant passer pour un fournisseur et en modifiant les détails du compte bancaire pour rediriger les paiements. Cette affaire souligne la nécessité de mettre en place des processus de vérification et des garanties solides dans les systèmes financiers afin de prévenir ce type de fraude. Elle révèle également des vulnérabilités récurrentes, Baltimore ayant déjà été confrontée à des escroqueries similaires par le passé, ce qui souligne l'importance de tirer les leçons des incidents antérieurs. Pour le personnel chargé de la cybersécurité, c'est l'occasion de rappeler qu'il faut donner la priorité à la formation des employés, mettre en place une authentification multifactorielle et appliquer des protocoles stricts de vérification des documents. Cet incident montre comment des lacunes dans les mesures de sécurité de base peuvent entraîner des dommages financiers et de réputation considérables.

    Quatre conseils pratiques pour les responsables de la sécurité

    1. Veillez à ce que toutes les modifications apportées aux coordonnées bancaires du fournisseur fassent l'objet d'une vérification approfondie. Exigez plusieurs niveaux d'approbation et vérifiez les documents, tels que les chèques annulés, pour confirmer l'authenticité.
    2. Apprenez à vos employés à reconnaître les tentatives de phishing et les stratagèmes BEC. Une formation régulière peut aider le personnel à identifier les signaux d'alerte, tels que les demandes inhabituelles ou les divergences dans la documentation.
    3. Mener des audits réguliers des processus de comptabilité fournisseurs et mettre en œuvre des mesures de protection pour détecter et prévenir les activités frauduleuses. Il s'agit notamment d'adopter des mesures correctives après tout incident frauduleux afin d'éviter de nouvelles vulnérabilités.
    4. Investissez dans des systèmes avancés de détection des fraudes qui peuvent signaler des activités suspectes, telles que des tentatives répétées de modifier les coordonnées d'un fournisseur ou d'accéder à un compte à partir d'un endroit inhabituel.

    En savoir plus sur l'attentat.

     

    Les retombées d'une faille chez Salesloft, le fabricant de chatbots d'IA

    Une brèche chez Salesloft, un fabricant de chatbot d'intelligence artificielle, a entraîné le vol de jetons d'authentification, compromettant les données de nombreuses instances Salesforce d'entreprise et d'autres services intégrés tels que Google Workspace et Amazon S3. L'attaque, attribuée au groupe UNC6395, a entraîné un vol généralisé de données et soulevé des inquiétudes quant à la sécurité des plates-formes d'identité centralisées, ce qui a incité les organisations concernées à prendre des mesures correctives urgentes.

    Ce qui s'est passé

    Les pirates ont volé des jetons d'authentification, compromettant non seulement les données de Salesforce, mais aussi les intégrations avec des services tels que Slack, Google Workspace et Amazon S3. Le Threat Intelligence Group de Google a révélé que la faille a permis aux attaquants d'exfiltrer des données sensibles, y compris des identifiants pour des services en nuage, ce qui pourrait permettre d'autres compromissions. La brèche, liée à UNC6395, a conduit à des avertissements généralisés pour que les entreprises invalident tous les jetons liés aux intégrations Salesloft. Cet incident s'inscrit dans une tendance plus large d'attaques par ingénierie sociale, avec des groupes tels que ShinyHunters et Scattered Spider qui exploitent les jetons d'accès pour infiltrer les systèmes. Salesloft a engagé Mandiant pour enquêter sur la violation, mais la cause première reste incertaine.

    Pourquoi c'est important

    Cette faille met en évidence des vulnérabilités critiques dans la sécurité des jetons d'authentification, affectant non seulement Salesforce mais aussi les intégrations avec des plateformes majeures telles que Google Workspace, Slack et Microsoft Azure. Le personnel chargé de la cybersécurité doit agir rapidement pour limiter les risques, car des attaquants ont déjà exploité des jetons volés pour accéder à des données d'entreprise sensibles, y compris des informations d'identification pour des services en nuage tels que AWS et Snowflake. Cet incident souligne les dangers de la prolifération des autorisations sur le site ",", où les attaquants utilisent l'accès d'utilisateurs légitimes pour se déplacer sans être détectés à travers les systèmes. La violation révèle également la sophistication croissante des groupes de menace tels que UNC6395, qui utilisent l'ingénierie sociale et le vol de jetons pour contourner les mesures de sécurité traditionnelles. Ce cas nous rappelle brutalement les risques en cascade posés par les intégrations de tiers dans les écosystèmes informatiques modernes.

    Quatre conseils pratiques pour les responsables de la sécurité

    1. Invalidez et réémettez proactivement les jetons d'authentification, en particulier pour les intégrations de tiers, afin de minimiser le risque de vol de jetons et d'accès non autorisé.
    2. Mettez en place des contrôles stricts pour empêcher la prolifération des autorisations sur "," où les attaquants exploitent les jetons d'accès d'utilisateurs légitimes pour passer sans être détectés d'un système à l'autre. Des audits réguliers des autorisations d'accès et de l'utilisation des jetons peuvent contribuer à atténuer ce risque.
    3. Évaluez et sécurisez les intégrations de tiers, car elles peuvent constituer un maillon faible dans votre chaîne de sécurité. Partez du principe que les données liées à des intégrations compromises peuvent être en danger et prenez des mesures correctives immédiates.
    4. Formez les employés à reconnaître les tactiques d'ingénierie sociale, telles que le voice phishing, que les pirates utilisent pour accéder à des systèmes sensibles, et à y réagir. Des simulations régulières et des campagnes de sensibilisation peuvent renforcer les défenses contre ces menaces.

    Pour en savoir plus sur la brèche.

     

    Les forces de l'ordre saisissent la plateforme de fausses cartes d'identité VerifTools

    Une opération policière conjointe américano-néerlandaise a permis de démanteler VerifTools, une importante plateforme de création de faux documents d'identification utilisée dans le cadre de diverses cybercriminalités, notamment le phishing et le vol de crypto-monnaies. Les autorités ont saisi des serveurs et des domaines, et des enquêtes sont en cours pour identifier les administrateurs et les utilisateurs de la plateforme, ce qui constitue une étape importante dans la lutte contre l'usurpation d'identité et la cybercriminalité.

    Ce qui s'est passé

    L'opération a consisté à saisir des serveurs à Amsterdam et des noms de domaine aux États-Unis, qui ont été utilisés pour générer de fausses cartes d'identité pour un montant de 9 dollars seulement. Ces fausses cartes d'identité ont été exploitées dans le cadre de diverses formes de cybercriminalité, notamment le phishing, la fraude au service d'assistance et le contournement des systèmes de vérification financière. Les enquêteurs analysent actuellement les données saisies afin d'identifier les administrateurs et les utilisateurs de la plateforme. L'enquête du FBI, qui a débuté en 2022, a permis d'établir un lien entre VerifTools et au moins 6,4 millions de dollars de profits illicites. Les autorités ont souligné l'importance de cibler ces plateformes pour lutter efficacement contre la fraude et l'usurpation d'identité.

    Pourquoi c'est important

    Le retrait de VerifTools est un événement important pour le personnel chargé de la cybersécurité. Cette plateforme a permis aux criminels de contourner les systèmes de vérification d'identité, facilitant ainsi le phishing, le vol de crypto-monnaie et d'autres cybercrimes. En saisissant ses serveurs et ses domaines, les forces de l'ordre ont perturbé un outil clé de l'écosystème de la cybercriminalité en tant que service. Cette opération souligne l'importance de cibler non seulement les cybercriminels, mais aussi les infrastructures qui soutiennent leurs activités. Pour les équipes de cybersécurité, cela souligne la nécessité de renforcer les processus de vérification de l'identité et de surveiller les activités frauduleuses. En outre, le succès de l'enquête démontre la valeur de la collaboration internationale dans la lutte contre les cybermenaces.

    Quatre conseils pratiques pour les responsables de la sécurité

    1. Veillez à ce que vos processus de vérification de l'identité soient suffisamment solides pour détecter et empêcher l'utilisation de fausses cartes d'identité. Il s'agit notamment de tirer parti de technologies avancées telles que l'IA et l'apprentissage automatique pour identifier les anomalies dans les documents soumis.
    2. Établir des partenariats solides avec les services répressifs afin de partager des informations et de collaborer à des enquêtes ciblant les plateformes de cybercriminalité et leurs utilisateurs.
    3. Restez informé de l'évolution de l'économie de la cybercriminalité en tant que service, qui fournit des outils tels que de fausses cartes d'identité, des malwares et des serveurs à l'épreuve des balles. Comprendre ces tendances peut aider à anticiper et à atténuer les menaces émergentes.
    4. Organisez régulièrement des programmes de formation et de sensibilisation à l'intention des employés et des clients pour leur permettre de reconnaître et de signaler les attaques par phishing, les fraudes au service d'assistance et les autres escroqueries utilisant de faux documents d'identité.

    En savoir plus sur l'opération.

    roundup-Blog.jpg
    Up Next
    Security Awareness Training |
    Human Risk Roundup : Un ver qui se reproduit de lui-même, une arrestation au Royaume-Uni et une alerte concernant un compte Facebook

    Related Articles

    Security Awareness Training
    Comment mesurer le Human Risk : 7 indicateurs clés
    Security Awareness Training
    Rationaliser les stratégies de cybersécurité : Le rôle du Human Risk Management
    Security Awareness Training
    Tour d'horizon des Human Risk : Emails piégés, attaques par navigateur et entreprises de drones

    Abonnez-vous à Cyber Resilience Insights pour plus d'articles comme ceux-ci

    Recevez toutes les dernières nouvelles et analyses de l'industrie de la cybersécurité directement dans votre boîte de réception.

    Inscription réussie

    Merci de vous être inscrit pour recevoir les mises à jour de notre blog.

    Nous vous contacterons !

    Haut de la page