Le Federal Bureau of Investigation (FBI) des États-Unis a émis un avertissement concernant des campagnes dans le cadre desquelles les acteurs de la menace ciblent des employés du monde entier avec des attaques de phishing vocal (également appelé vishing) afin de voler leurs identifiants réseau et d'augmenter les privilèges des utilisateurs.
L'avertissement peut en partie être attribué au fait que la pandémie COVID-19 a forcé de nombreuses entreprises à se tourner vers le télétravail, qui ne permet peut-être pas une surveillance complète des points d'accès au réseau et une escalade des privilèges.
Le Bureau a mis en avant une campagne qui remonte à décembre 2019 et qui consistait en des attaques ciblant les employés de grandes entreprises aux États-Unis et ailleurs par le biais de plates-formes de voix sur IP (VoIP) ainsi que d'un salon de discussion d'entreprise afin de faire passer des identifiants dans les réseaux d'entreprise.
« Pendant les appels téléphoniques, les employés ont été amenés à se connecter à une page web de phishing afin de saisir leur nom d'utilisateur et leur mot de passe », peut-on lire dans la description du FBI d'un vecteur d'attaque, qui implique souvent des numéros d'appel usurpés qui dissimulent l'emplacement et l'identité du criminel.
En peu de temps, les acteurs de la menace ont découvert qu'ils pouvaient s'infiltrer plus profondément dans les réseaux qu'ils ne l'avaient cru au départ et qu'ils avaient même la possibilité d'augmenter les autorisations sur les comptes compromis.
Dans ces scénarios, les attaquants peuvent causer toutes sortes de dégâts sur les systèmes d'une entreprise, par exemple en implantant des logiciels malveillants, en fouillant dans les données de l'entreprise à la recherche de données propriétaires ou en accédant aux informations d'identification des comptes des dirigeants dans le but de commettre une fraude par courrier électronique professionnel. Il va sans dire que tout cela peut coûter cher à n'importe quelle entreprise.
Dans un autre cas, des cybercriminels ont d'abord contacté un employé via le salon de discussion de l'entreprise et l'ont dupé pour qu'il se connecte à une page frauduleuse du réseau privé virtuel (VPN). À l'aide des informations d'identification saisies, ils ont ensuite accédé au réseau de l'entreprise, où ils ont recherché un employé capable de changer de nom d'utilisateur et de courrier électronique. Les cybercriminels ont réussi à identifier leur cible grâce à un service de paie en ligne et ont ensuite hameçonné les identifiants de la victime en utilisant également la tactique des salons de discussion.
L'agence fédérale chargée de l'application des lois a également donné des conseils sur la manière dont les entreprises pourraient atténuer les risques de telles attaques. Cela comprend la mise en œuvre d'une authentification à plusieurs facteurs, le balayage et la surveillance active des accès non autorisés, la segmentation du réseau et l'examen périodique de l'accès des employés au réseau.
En août 2020, le FBI et la Cybersecurity and Infrastructure Security Agency (CISA) ont publié une alerte similaire concernant une augmentation des attaques par hameçonnage vocal ciblant le personnel de plusieurs entreprises. Lors de ces attaques, les acteurs de la menace ont également utilisé des tactiques similaires, notamment des pages VPN frauduleuses pour obtenir des informations d'identification de compte.