Tour d'horizon des Human Risk : Emails piégés, attaques par navigateur et entreprises de drones

Dans cette édition du Human Risk Roundup, nous nous penchons sur trois événements récents très médiatisés – continuez à lire pour plus d'informations.

Des courriels piégés exploitent les faiblesses de l'authentification dans Zendesk

Les cybercriminels ont exploité les paramètres d'authentification laxistes de la plateforme de service à la clientèle de Zendesk pour inonder les boîtes de réception de milliers de courriels malveillants, en utilisant les comptes de clients légitimes de Zendesk. Cet abus met en évidence les risques liés à l'autorisation de soumissions anonymes de billets sans vérification appropriée, ce qui peut ternir les marques et submerger les cibles.

Ce qui s'est passé

Les cybercriminels ont profité de la configuration de Zendesk qui permet à des utilisateurs anonymes de soumettre des tickets d'assistance pour envoyer des milliers de courriels malveillants. Ces courriels, envoyés à partir de comptes clients Zendesk légitimes tels que le Washington Post et NordVPN, ont submergé les boîtes de réception de spams et de messages nuisibles. Les attaquants ont exploité l'absence de validation des adresses électroniques dans le processus de création de tickets de Zendesk, ce qui leur a permis d'utiliser de fausses adresses d'expéditeur. Malgré les mesures de limitation de débit de Zendesk, les attaquants ont réussi à envoyer un volume important d'e-mails en peu de temps. Zendesk a reconnu le problème et a recommandé aux clients de mettre en œuvre des flux de travail authentifiés pour éviter les abus. Cependant, la configuration actuelle de la plateforme privilégie la commodité par rapport à la sécurité, ce qui laisse la place à de telles attaques.

Pourquoi c'est important

Cet incident souligne l'importance cruciale de l'application de l'authentification et de la validation dans les systèmes en contact avec la clientèle. Le personnel chargé de la cybersécurité doit reconnaître que même des plateformes de confiance comme Zendesk peuvent être utilisées à des fins militaires si elles sont mal configurées. Cette attaque montre comment des paramètres de sécurité laxistes peuvent nuire à la fois aux personnes ciblées et aux marques dont les comptes sont exploités. Elle souligne également la nécessité d'adopter des mesures proactives, telles que la limitation du débit et la validation des courriels, pour limiter les abus. Pour les équipes chargées de la cybersécurité, c'est l'occasion de rappeler qu'il faut régulièrement vérifier les outils tiers et s'assurer qu'ils sont conformes aux meilleures pratiques en matière de sécurité. Enfin, l'événement met l'accent sur l'équilibre entre la convivialité et la sécurité, en invitant les professionnels à donner la priorité aux mesures de protection sans compromettre la fonctionnalité.

Quatre conseils pratiques pour les responsables de la sécurité

1. Appliquez la validation des courriels : Veillez à ce que tous les systèmes en contact avec les clients valident les adresses électroniques avant de traiter les demandes afin d'éviter les abus.
2. Mettez en œuvre l'authentification pour les soumissions de tickets : Exigez des utilisateurs qu'ils s'authentifient avant de soumettre des tickets d'assistance afin de réduire le risque d'abus anonymes.
3. Contrôlez régulièrement les outils tiers : Effectuez des examens périodiques de plateformes telles que Zendesk afin d'identifier et de combler les lacunes potentielles en matière de sécurité.
4. Former les équipes aux meilleures pratiques de configuration : Formez le personnel à configurer les systèmes en toute sécurité, en équilibrant la facilité d'utilisation avec des mesures de sécurité robustes.

En savoir plus sur l'attentat.

Analyse de ClickFix : la technique basée sur le navigateur à l'origine des brèches dans l'information

Les attaques par navigateur, telles que ClickFix et les faux CAPTCHA, qui exploitent les interactions des utilisateurs avec des scripts malveillants pour diffuser des malware tels que des voleurs d'informations et des enregistreurs de frappe, constituent une menace croissante. Ces attaques conduisent souvent au vol de données, au déploiement de ransomware et à une double extorsion, ce qui pose des défis importants aux équipes de cybersécurité en matière de détection et de réponse.

Ce qui s'est passé

Ces attaques par navigateur deviennent une méthode courante pour les cybercriminels d'enfreindre la sécurité. Ils incitent les utilisateurs à interagir avec des scripts malveillants, ce qui permet de diffuser des malwares tels que des voleurs d'informations, des enregistreurs de frappe et des logiciels d'accès à distance. Une fois à l'intérieur, les attaquants volent les cookies de session et les informations d'identification pour compromettre les applications et les services de l'entreprise. Les données volées sont souvent utilisées pour obtenir une rançon, le ransomware étant parfois déployé comme tactique d'extorsion secondaire.

Pourquoi c'est important

Les attaques par navigateur représentent une évolution significative des cybermenaces, ciblant les interactions de l'utilisateur pour contourner les mesures de sécurité traditionnelles. Ils exploitent les failles du comportement humain et de la sécurité des navigateurs, ce qui les rend difficiles à détecter et à prévenir. Pour le personnel chargé de la cybersécurité, cela signifie qu'il faut s'adapter à un nouveau paysage de menaces dans lequel les défenses traditionnelles ne suffisent plus. L'utilisation de cookies de session et d'identifiants volés pour infiltrer les systèmes d'entreprise représente un risque direct pour les données sensibles et la continuité opérationnelle. Le modèle de double extorsion, qui combine la rançon de données et le ransomware, amplifie les dommages financiers et les atteintes à la réputation des victimes. Il est essentiel de comprendre et d'atténuer ces menaces pour maintenir des défenses de cybersécurité solides dans un environnement d'attaques de plus en plus sophistiqué.

Quatre conseils pratiques pour les responsables de la sécurité

1. Sensibilisez les utilisateurs : Formez les employés à reconnaître et à éviter d'interagir avec les invites suspectes du navigateur, telles que les faux CAPTCHA ou les actions de copier-coller inattendues.
2. Améliorer les outils de détection : Investissez dans des systèmes de détection avancés capables d'identifier les scripts malveillants et les comportements inhabituels du navigateur.
3. Contrôler l'activité de la session : Mettez en œuvre des solutions de surveillance pour détecter l'utilisation non autorisée des cookies de session et des informations d'identification.
4. Préparez-vous à une double extorsion : Élaborez des plans d'intervention en cas d'incident qui tiennent compte à la fois des rançons et des ransomwares afin d'en minimiser l'impact.

Pour en savoir plus sur ces violations, cliquez ici.

Des pirates informatiques nord-coréens infiltrent des entreprises de développement de drones

Des pirates informatiques nord-coréens, probablement issus du Lazarus Group, ont ciblé des entreprises européennes de développement de drones dans le cadre d'une campagne de cyberespionnage visant à s'approprier des technologies propriétaires de drones. Ces attaques, qui font appel à l'ingénierie sociale et à des malwares tels que ScoringMathTea, visent à renforcer les capacités de la Corée du Nord en matière de drones à usage militaire.

Ce qui s'est passé

Le groupe Lazarus a infiltré plusieurs entreprises européennes impliquées dans le développement et la défense des drones. Ces attaques, qui ont débuté en mars, ont visé des entreprises du sud-est et du centre de l'Europe, notamment celles qui produisent des drones utilisés dans le conflit ukrainien. Les pirates ont utilisé des tactiques d'ingénierie sociale pour diffuser des malware, tels que ScoringMathTea, qui leur permettent de prendre le contrôle total du système. Il semble que la campagne visait à voler le savoir-faire en matière de fabrication et la technologie propriétaire des drones. La Corée du Nord a donné la priorité à l'amélioration de ses capacités en matière de drones, comme en témoigne la présentation récente de drones ressemblant à des modèles militaires américains. Ces attaques mettent en évidence la dépendance du régime à l'égard du cyberespionnage pour accélérer ses avancées militaires.

Pourquoi c'est important

Cette campagne souligne la menace persistante que représentent les acteurs étatiques comme la Corée du Nord, en particulier dans des secteurs essentiels comme la défense et l'aérospatiale. "L'utilisation de l'ingénierie sociale et des malwares souligne la nécessité d'une formation solide des employés et de mesures de sécurité des points d'accès." Les tactiques du Lazarus Group, telles que l'opération Dream Job, exploitent les vulnérabilités humaines, ce qui les rend difficiles à détecter et à prévenir. Le vol de technologies propriétaires ne compromet pas seulement les entreprises visées, mais a également des implications plus larges pour la sécurité mondiale et l'équilibre militaire. Le personnel chargé de la cybersécurité doit rester vigilant face à l'évolution des menaces, en particulier celles qui font appel à des techniques d'espionnage sophistiquées. Cet incident rappelle le rôle essentiel que joue la cybersécurité dans la protection de la propriété intellectuelle et de la sécurité nationale.

Quatre conseils pratiques pour les responsables de la sécurité

1. Améliorez la formation des employés : Formez le personnel à reconnaître et à éviter les tactiques d'ingénierie sociale, telles que les fausses offres d'emploi et les tentatives de phishing.
2. Mettez en œuvre la protection des points d'accès : Déployez des outils de détection et de réponse (EDR) avancés pour identifier et atténuer les malwares tels que ScoringMathTea.
3. Surveillez les activités inhabituelles : Contrôlez régulièrement le trafic réseau et les journaux système pour détecter tout signe d'accès non autorisé ou d'exfiltration de données.
4. Renforcer la sécurité des fournisseurs et des partenaires : Veillez à ce que les fournisseurs et partenaires tiers adhèrent à des protocoles de cybersécurité stricts afin de prévenir les vulnérabilités de la chaîne d'approvisionnement.

Pour en savoir plus sur la campagne.