Le point sur les Human Risk : L'escroquerie à l'ingénierie sociale de Salesforce expose les données du nuage

Dans ce numéro du Human Risk Roundup, nous détaillons une récente escroquerie d'ingénierie sociale de Salesforce qui est à l'origine d'une vague d'attaques sophistiquées. En outre, les acteurs de la menace utilisent des techniques de vishing et de phishing pour exploiter la confiance et accéder aux données sensibles du cloud et aux systèmes interconnectés.

L'escroquerie à l'ingénierie sociale de Salesforce vise les données du cloud computing 

Les chercheurs du Google Threat Intelligence Group (GTIG) suivent UNC6040, un groupe de menaces à motivation financière qui, selon le GTIG, se spécialise dans les campagnes de phishing vocal (vishing) visant à compromettre les systèmes Salesforce. Les agents de l'UNC6040 utilisent des acteurs de la menace qui se font passer pour des membres du service d'assistance informatique et appellent les victimes. 

Cette approche s'est avérée particulièrement efficace pour piéger les employés, souvent au sein de filiales anglophones de sociétés multinationales, afin qu'ils agissent de manière à permettre aux attaquants d'accéder ou de partager des informations d'identification sensibles, facilitant ainsi le vol des données Salesforce de l'organisation. Dans tous les cas observés, les attaquants se sont appuyés sur la manipulation des utilisateurs finaux et n'ont exploité aucune vulnérabilité inhérente à Salesforce, a écrit Google Threat Intelligence Group (GTIG) dans un article sur l'escroquerie. 

Ce qui s'est passé 

"Les attaquants se sont fait passer pour un service d'assistance informatique, ont appelé les employés et les ont convaincus de visiter un site de phishing imitant une page de configuration de Salesforce. " Les victimes saisissaient des codes accordant un accès basé sur OAuth, ce qui permettait aux attaquants d'infiltrer les environnements Salesforce et les plateformes connectées comme Microsoft 365 et Okta. Les chercheurs affirment que plusieurs secteurs ont été ciblés, notamment le commerce de détail, l'éducation et l'hôtellerie. 

Pourquoi c'est important 

Cette campagne souligne la manière dont les attaquants exploitent la confiance et les vulnérabilités humaines pour contourner les défenses telles que l'authentification multifactorielle. En ciblant Salesforce, une plateforme cruciale pour les opérations des entreprises, la brèche affecte non seulement les systèmes primaires, mais aussi les environnements en nuage interconnectés, ce qui amplifie les risques. 

Conseils pratiques pour les responsables de la sécurité 

Sensibilisez les utilisateurs à repérer et à signaler les tentatives d'ingénierie sociale. 

Restreignez les autorisations des applications en contrôlant les applications tierces avant de les approuver. 

Examinez les autorisations OAuth pour identifier et supprimer les accès non autorisés. 

Appliquez des contrôles d'accès rigoureux en limitant les privilèges et en appliquant le système MFA. 

Pour en savoir plus, consultez le site CyberScoop.

La pyrale Luna cible les cabinets d'avocats  

En ce qui concerne les escroqueries par ingénierie sociale, le FBI met en garde contre Luna Moth, un groupe de cybercriminels qui utilise des tactiques de phishing et d'ingénierie sociale pour cibler les cabinets d'avocats. Luna Moth, également appelé Silent Ransom Group (SRG), Chatty Spider, Storm-0252 et UNC3753, existe depuis 2022. Ils utilisent une tactique appelée "callback phishing" ou "telephone-oriented attack delivery" (TOAD) pour inciter les victimes à appeler des numéros de téléphone figurant dans des courriels de phishing relatifs à des factures et à des paiements d'abonnements.  

Ce qui s'est passé 

Pendant l'appel, les victimes sont incitées à installer un logiciel d'accès à distance, ce qui permet aux pirates de contrôler le système. Les responsables du FBI affirment que Luna Moth se fait passer pour du personnel informatique et guide les employés dans des sessions d'accès à distance pour le vol de données et l'extorsion. 

Pourquoi c'est important 

En ciblant les cabinets d'avocats, où les données confidentielles des clients sont essentielles, ces campagnes font peser de graves risques sur la réputation, la conformité et l'ensemble des opérations. 

Conseils pratiques pour les responsables de la sécurité 

Formez vos employés à reconnaître les courriels de phishing et les tactiques d'ingénierie sociale. 

Vérifier les demandes informatiques en établissant des protocoles d'authentification pour les appels ou les courriels. 

Surveillez les outils suspects tels que Rclone, WinSCP ou les programmes d'accès à distance peu courants. 

Désactivez l'accès externe à distance pour les systèmes non essentiels. 

Contrôlez régulièrement le trafic réseau pour détecter les connexions inhabituelles à des adresses IP externes. 

L'escroquerie au travailleur informatique nord-coréen continue d'évoluer  

Le système sophistiqué impliquant des agents nord-coréens qui se font passer pour des demandeurs d'emploi et postulent à des postes dans des entreprises technologiques en utilisant de faux profils LinkedIn et de fausses vidéos ne montre aucun signe d'essoufflement. Des centaines d'entreprises ont été ciblées par les criminels, qui détournent des données sensibles et des revenus pour financer les programmes d'armement de la Corée du Nord.

Ce qui s'est passé 

Ce système se développe depuis au moins 2022. Selon un récent avis publié par le FBI, les acteurs de la menace intensifient leurs activités malveillantes pour y inclure l\'extorsion de données. Les alertes précédentes indiquaient qu\'un single agent pouvait gagner jusqu\'à 300 000 dollars par an, contribuant ainsi à alimenter un pipeline de dizaines de millions de dollars vers des entités sanctionnées. Ce mois-ci, le ministère américain de la justice a saisi 7,74 millions de dollars en crypto-monnaie provenant d\'informaticiens nord-coréens qui utilisaient de fausses identités pour obtenir des emplois à distance et faire circuler de l\'argent.

Pourquoi c'est important 

Il s'agit là d'un excellent exemple de risque d'initié dû à la manipulation humaine. La confiance dans le processus de recrutement est militarisée, car ces agents ont transformé leurs postes en plateformes d'espionnage et de cyber-attaques. 

Conseils pratiques pour les responsables de la sécurité 

Veillez à ce que les protocoles d'embauche prévoient une vérification rigoureuse de l'identité, y compris des contrôles d'authenticité des documents et des entretiens vidéo en direct. 

Mettez en place des restrictions d'accès pour les nouveaux employés afin de limiter l'exposition aux systèmes sensibles pendant la période d'intégration. 

Surveillez les modèles de comportement pour détecter les anomalies telles que les livraisons d'équipement réacheminées ou les demandes d'accès suspectes. 

S'appuyer sur les programmes de lutte contre les menaces internes pour identifier les activités inhabituelles liées aux employés occupant des fonctions critiques. 

Sensibiliser les travailleurs en mettant l'accent sur la reconnaissance des tactiques de recrutement frauduleuses et des risques encourus par les initiés. 

Pour en savoir plus, lisez les propos de Beth Miller, CISO de Mimecast Field, sur ce problème croissant.

Les agences gouvernementales sont victimes d'escroqueries par Phishing 

Le phishing a été au cœur de plusieurs incidents gouvernementaux qui ont récemment fait la une des journaux, ce qui montre bien qu'il continue de nuire aux organisations. Les récents incidents survenus à l'administration fiscale et douanière britannique (HM Revenue and Customs - HMRC) et dans les agences de l'État du Texas et de l'Illinois ont provoqué des dégâts considérables. 

Ce qui s'est passé 

Le HMRC a subi une perte de 47 millions de livres sterling à cause d'un groupe criminel organisé qui a exploité le phishing pour collecter des données d'identité et manipuler le système fiscal PAYE (Pay-As-You-Earn). Bien qu'aucune victime n'ait subi de pertes financières directes, 100 000 comptes ont été touchés, ce qui montre comment les fraudeurs s'appuient sur la confiance pour exploiter des systèmes essentiels. 

Au Texas, des pirates informatiques se sont introduits dans un compte du système d'information sur les accidents (CRIS) du ministère des transports, dérobant près de 300 000 rapports d'accidents. Un avis de l'État note que les données comprenaient des détails sensibles tels que des noms, des numéros de permis de conduire et des polices d'assurance, ce qui soulève des inquiétudes quant à l'usurpation d'identité et à la fraude. 

Dans l'Illinois, des cybercriminels ont utilisé un email de phishing pour compromettre un employé du ministère de la santé et des services familiaux. Cela a conduit à l'exposition de numéros de sécurité sociale, d'identifiants d'État et de données financières liées à Medicaid et aux programmes d'aide à l'enfance pour près de 1 000 personnes. 

Pourquoi c'est important 

Ces attaques montrent à quel point il est facile pour les criminels de manipuler les utilisateurs et de leur donner accès à des systèmes sensibles. "L'utilisation d'identifiants authentiques, associée à des tactiques de phishing, permet de contourner de nombreuses défenses de sécurité."  

Conseils pratiques 

Formez vos employés: Formez régulièrement vos équipes à repérer et à signaler les escroqueries par phishing. 

Renforcez les contrôles d'accès : Mettez en place un système de gestion des accès robuste et limitez les autorisations d'accès aux comptes. 

Surveillez les activités inhabituelles : Activez l'enregistrement en temps réel et signalez les comportements anormaux dans les systèmes connectés. 

Pour en savoir plus, lisez The Record.

A suivre : L'araignée dispersée continue de tisser sa toile 

Scattered Spider, le groupe de menace considéré comme responsable de la récente attaque contre le détaillant britannique Marks & Spencer, cible maintenant les fournisseurs de services gérés et les fournisseurs informatiques dans le cadre d'une campagne visant à infiltrer les clients de ces entreprises. Un rapport de ReliaQuest indique que le groupe exploite les systèmes d'assistance et cible les informations d'identification de grande valeur, en particulier celles des administrateurs de système et des cadres. En utilisant des tactiques d'ingénierie sociale avancées telles que le phishing et le vishing, le groupe manipule la confiance humaine pour obtenir un accès initial.

Pour en savoir plus, consultez Cybersecurity Dive.