Le Federal Bureau of Investigation (FBI) des États-Unis et la Cybersecurity and Infrastructure Security Agency (CISA) ont publié un avis commun pour mettre en garde contre une recrudescence des attaques d’hameçonnage vocal (vishing) visant le personnel de plusieurs entreprises.
La recrudescence des attaques de hameçonnage par téléphone peut en partie être attribuée à la pandémie COVID-19, qui a forcé les entreprises à se tourner vers le télétravail et a entraîné un boom de l'utilisation des réseaux privés virtuels (VPN) et la suppression de la vérification en personne.
Selon l'avis, partagé par le journaliste spécialisé dans la sécurité Brian Krebs, depuis la mi-juillet environ, les cybercriminels ont pu voler les données de connexion dans les outils des employés de plusieurs entreprises. « Les acteurs ont ensuite utilisé l'accès des employés pour mener des recherches plus approfondies sur les victimes, ou pour obtenir frauduleusement des fonds en utilisant différentes méthodes dépendant de la plate-forme à laquelle ils accèdent », note l'alerte.
Dans le cadre de ces campagnes, les chapeaux noirs ont créé des sites web d’hameçonnage qui dupliquaient ou ressemblaient aux pages de connexion VPN internes de diverses entreprises, ont obtenu des certificats SSL (Secure Socket Layer) pour leurs domaines et leur ont donné divers noms qui utilisent une combinaison du nom de l'entreprise et du trait d'union et des mots tels que « support » ou « employés ».
LECTURE CONNEXE : 6 conseils pour travailler à distance en sécurité
Les acteurs de la menace ont également recueilli des informations sur leurs cibles. « Les acteurs ont ensuite compilé des dossiers sur les employés de ces entreprises spécifiques en utilisant le grattage massif de profils publics sur les plateformes de médias sociaux, des outils de recrutement et de marketing, des services de vérification des antécédents accessibles au public et des recherches en source ouverte », peut-on lire dans l'avis. Les informations recueillies comprenaient les noms des cibles, leurs adresses, leurs numéros de téléphone et de portable personnels, ainsi que leurs fonctions.
Les agresseurs ont ensuite contacté leurs cibles, d'abord en utilisant des numéros de téléphone VoIP (Voice over Internet Protocol), puis en utilisant les numéros usurpés des employés et des services de l'entreprise de la victime. En utilisant des techniques d'ingénierie sociale, les fraudeurs se sont fait passer pour des employés du service d'assistance informatique et ont utilisé les informations de leurs dossiers pour gagner la confiance des victimes.
De là, les attaquants ont convaincu les cibles qu'elles recevraient un nouveau lien VPN qui nécessiterait leur connexion, y compris une authentification à deux facteurs (2FA) ou un mot de passe à usage unique (OTP). Dans certains cas, les invites 2FA ou OTP ont été approuvées par des employés croyant à tort que l'accès avait été accordé plus tôt à l'imitateur du bureau informatique, tandis que dans d'autres cas, les attaquants ont utilisé des attaques de permutation de SIM pour contourner les mesures de sécurité.
Les agences ont également échangé des conseils sur la manière dont les entreprises pourraient atténuer les risques de telles attaques. Cela inclut la restriction des connexions VPN aux dispositifs gérés, le recours à la surveillance des domaines, ainsi que l'analyse et la surveillance actives des applications web pour détecter les accès non autorisés.
N'oublions pas que l'hameçonnage vocal a également été à l'origine de la brèche ouverte le mois dernier sur Twitter, où quelque 130 comptes très médiatisés ont été détournés pour colporter une arnaque de Bitcoin.