Social Engineering Attacks: A Blueprint for Robust Defense
Dans le contexte actuel d'évolution rapide des menaces, la cybersécurité reste une préoccupation majeure pour les organisations du monde entier. Parmi la multitude de vecteurs d'attaque employés par les cybercriminels, les attaques par ingénierie sociale constituent une menace persistante et omniprésente. En effet, l'ingénierie sociale restera le principal type d'attaque en 2023, ce qui en fait une menace prévalente pour la cybersécurité. Dans la vie de tous les jours, un large éventail d'individus, y compris des escrocs, des journalistes et divers professionnels utilisent des techniques d'ingénierie sociale pour manipuler et mieux comprendre les gens et finalement les persuader d'atteindre des objectifs spécifiques.
Les organisations sont confrontées à plus de 700 attaques d'ingénierie sociale par an en moyenne, ce qui souligne la persistance de ces menaces (Barracuda’s 2021 Spear Phishing: Top Threats and Trends report). Au-delà des solutions de sécurité les plus modernes, les ingénieurs sociaux utilisent la psychologie pour compromettre la cybersécurité des organisations.
En tant que professionnels de la cybersécurité, il est impératif de se doter d'une connaissance approfondie des attaques d'ingénierie sociale, de l'évolution de leurs tactiques et de stratégies de défense solides.
Les caractéristiques des attaques d'ingénierie sociale
Les attaques par ingénierie sociale sont des techniques de manipulation utilisées par des acteurs malveillants pour tromper des individus ou des organisations et les amener à divulguer des informations sensibles, à effectuer des actions spécifiques ou à donner accès à des systèmes ou à des données. Ces attaques exploitent les aspects psychologiques et comportementaux de la nature humaine pour obtenir un accès non autorisé ou extraire des informations précieuses.
Les attaquants mènent souvent des recherches et utilisent des tactiques psychologiques pour rendre leurs attaques convaincantes et difficiles à détecter. Les attaques par ingénierie sociale exploitent les caractéristiques humaines. Le psychologue Robert Cialdini identifie six vulnérabilités dans la psychologie humaine dans son livre "Influence : Science and Practice". Ces vulnérabilités sont la réciprocité, l'engagement et la cohérence, la preuve sociale, la sympathie, l'autorité et la rareté. Les ingénieurs sociaux manipulent cinq émotions pour exploiter les individus, à savoir l'avidité, la curiosité, l'urgence, la serviabilité et la peur.
Les techniques avancées d’attaques par ingénierie sociale comprennent le spear phishing (courriels ciblés), le vishing (hameçonnage vocal), le pretexting (scénarios fabriqués), le baiting (appâts), le quid pro quo (promesses en échange de données), le tailgating (brèches physiques), le pharming (manipulation du DNS), l'usurpation d'identité, les attaques renforcées par l'IA et les deepfakes (simulacres).
Toutes les formes de phishing relèvent de l'ingénierie sociale par voie électronique. Le phishing est une cybermenace par laquelle des adversaires envoient des messages trompeurs par voie électronique pour accéder aux systèmes des victimes. Il peut prendre la forme d'attaques ciblées, connues sous le nom de spearphishing, visant des individus, des entreprises ou des secteurs spécifiques, ou d'attaques non ciblées dans le cadre de campagnes de spam de masse. Ces messages contiennent souvent des pièces jointes ou des liens malveillants, visant à exécuter un code nuisible sur les systèmes des victimes.
L'hameçonnage peut également se produire par l'intermédiaire de services tiers, y compris les médias sociaux, et fait appel à des techniques d'ingénierie sociale consistant notamment à se faire passer pour une source fiable. Les attaquants peuvent manipuler les courriels ou usurper l'identité de l'expéditeur pour tromper à la fois les utilisateurs et les outils de sécurité. Les victimes peuvent également être invitées à appeler un numéro de téléphone, ce qui les conduit à des URL malveillantes, au téléchargement de logiciels malveillants ou à l'installation d'outils de gestion à distance.
La boîte à outils des attaquants par ingénierie sociale
Les attaquants effectuent souvent des recherches OSINT (Open Source Intelligence) et utilisent des outils spécialisés pour leurs activités. Voici quelques outils et techniques clés :
✅ Browser Exploitation Framework (BeEF) : BeEF est utilisé pour exploiter les navigateurs web en y injectant du code malveillant. Il génère un crochet JavaScript appelé "hook.js", qui peut être exécuté sur le navigateur d'une victime par le biais de vulnérabilités XSS (Cross-Site Scripting) sur des sites web légitimes. Une fois le navigateur de la victime compromis, les attaquants peuvent en extraire des informations ou y exécuter des commandes. BeEF propose également des modules dédiés à l'ingénierie sociale (SE), qui permettent aux attaquants de tromper les victimes pour qu'elles révèlent leurs mots de passe ou qu'elles téléchargent et exécutent des binaires malveillants en les présentant comme des plugins ou des mises à jour légitimes.
✅ Social Engineering Toolkit (SET) : SET est un outil puissant conçu pour simplifier les tentatives d'hameçonnage. Il s'intègre au framework Metasploit, comblant ainsi les lacunes des modules d'ingénierie sociale. Il offre une interface intuitive et permet diverses actions, telles que la génération d'exploits PDF, l'élaboration d'e-mails trompeurs, le clonage de pages web, la création de contenus malveillants ou le développement de charges utiles pour Arduino.
✅ Mana Toolkit : Cette boîte à outils fournit des scripts permettant de créer un point d'accès Wi-Fi et de manipuler les victimes connectées, à condition de disposer d'une carte Wi-Fi compatible. Elle inclut également la possibilité de dupliquer le SSID favori d'une victime pour reproduire les attaques KARMA. Selon le script choisi, il peut effectuer des attaques Man-In-The-Middle, présenter des portails trompeurs ou tenter de craquer les hachages EAP.
✅ Browser Exploitation Framework (BeEF) : BeEF est utilisé pour exploiter les navigateurs web en y injectant du code malveillant. Il génère un crochet JavaScript appelé "hook.js", qui peut être exécuté sur le navigateur d'une victime par le biais de vulnérabilités XSS (Cross-Site Scripting) sur des sites web légitimes. Une fois le navigateur de la victime compromis, les attaquants peuvent en extraire des informations ou y exécuter des commandes. BeEF propose également des modules dédiés à l'ingénierie sociale (SE), qui permettent aux attaquants de tromper les victimes pour qu'elles révèlent leurs mots de passe ou qu'elles téléchargent et exécutent des binaires malveillants en les présentant comme des plugins ou des mises à jour légitimes.
Pourquoi les attaques par ingénierie sociale sont à prendre réellement au sérieux ?
Les attaques par ingénierie sociale exploitent les vulnérabilités humaines, entraînant des violations de données, des fraudes financières, des interruptions d'activité, des atteintes à la vie privée, des atteintes à la réputation, des conséquences juridiques, des violations de la conformité et des risques pour la sécurité nationale.
Le coût moyen d'une violation de données initiée par l'ingénierie sociale dépasse les 4,1 millions de dollars (2022 Cost of a Data Breach report). Elle a donc des conséquences financières considérables. Environ 82 % des violations de données impliquent des facteurs humains (2022 Data Breach Investigations Report (DBIR)), ce qui souligne l'importance de l'ingénierie sociale dans les cyberattaques. 90 % des cyberattaques ciblent les employés plutôt que la technologie (2022 Data Breach Investigations Report (DBIR), ce qui souligne l'importance de l'ingénierie sociale dans les cyberattaques. 90 % des cyberattaques ciblent les employés plutôt que la technologie (2022 State of Cybersecurity Trends report), car les attaquants les considèrent comme le maillon faible.
La plus grande attaque d'ingénierie sociale de tous les temps (pour autant que nous le sachions) a été perpétrée par un ressortissant lituanien, Evaldas Rimasauskas, à l'encontre de deux des plus grandes entreprises du monde : Google et Facebook. Il s'agit d'un cybercrime sophistiqué dans le cadre duquel Evaldas Rimasauskas a ciblé des employés spécifiques de Google et de Facebook. Entre 2013 et 2015, il s'est fait passer pour un fournisseur et a envoyé de fausses factures, convainquant ces employés de transférer environ 100 millions de dollars sur ses comptes.
En avril 2021, une attaque de phishing ciblant les travailleurs à distance utilisant des logiciels basés sur le cloud est apparue. L'attaque consistait à envoyer un courriel urgent à la cible, lui demandant de signer un document hébergé dans Microsoft Sharepoint. Bien que le courriel semble légitime avec la marque Sharepoint, le lien mène à un site de phishing visant à voler les informations d'identification de l'utilisateur. Cette attaque souligne la tendance croissante des attaques de phishing exploitant les logiciels de collaboration à distance, avec une vulnérabilité de sécurité importante constatée lors du passage au travail à distance.
Stratégies efficaces de défense contre les attaques d'ingénierie sociale
La sensibilisation, l'éducation et la mise en place de mesures de sécurité solides sont essentielles pour se défendre contre ces techniques avancées d'ingénierie sociale. Il est important de sécuriser les appareils de manière à ce qu'une attaque d'ingénierie sociale, même si elle réussit, soit limitée dans ce qu'elle peut accomplir. Les principes de base sont les mêmes, qu'il s'agisse d'un smartphone, d'un réseau domestique de base ou d'un grand système d'entreprise.
Le saviez-vous ?
Pour faire face aux attaques d'hameçonnage en tant qu'entreprise, une approche à multiples facettes qui combine la technologie, l'éducation et des mesures proactives est nécessaire pour atténuer les risques de manière efficace. Les contrôles CIS et MITRE ATT&CK peuvent être utilisés conjointement pour créer une stratégie de cybersécurité plus robuste qui englobe à la fois des mesures de sécurité proactives (contrôles CIS) et une compréhension des tactiques et techniques des adversaires (MITRE ATT&CK). Voici un guide étape par étape sur la façon de faire face aux attaques de phishing, basé sur 9 des contrôles CIS.
Les 8 meilleures façons de prévenir l'impact des attaques d'ingénierie sociale
Comment les contrôles CIS peuvent-ils vous aider à faire face aux attaques de phishing ?
Les contrôles CIS sont un ensemble de bonnes pratiques et de lignes directrices conçues pour améliorer la posture de cybersécurité d'une organisation. Ils fournissent un cadre structuré qui peut être adapté pour répondre aux besoins spécifiques d'une organisation. Les contrôles CIS couvrent un large éventail de domaines de sécurité, garantissant que toutes les possibilités d'attaques par hameçonnage sont prises en compte. Cette approche holistique aide les organisations à créer une défense plus solide contre les tentatives d'hameçonnage. Voici comment les contrôles CIS peuvent contribuer à atténuer les attaques de phishing :
Contrôle 6 _ Contrôle et gestion des accès
Il est fortement recommandé de mettre en œuvre une authentification forte en ajoutant un (voire plusieurs) facteur(s) en plus de la combinaison traditionnelle login/mot de passe. Exigez l'authentification multifactorielle pour l'accès aux systèmes sensibles, aux comptes privilégiés, aux comptes de messagerie et aux applications. L'authentification multifactorielle ajoute une couche supplémentaire de sécurité en exigeant plusieurs formes de vérification. L'authentification adaptative, combinée à ces facteurs divers et variés, complique considérablement la tâche des attaquants qui tentent d'usurper votre identité et de compromettre vos comptes. Cependant, toutes les méthodes d'AMF ne sont pas aussi résistantes aux attaques de phishing : Les codes SMS, les codes générés par les applications et les jetons physiques peuvent être compromis. Par exemple, les clés matérielles sont hautement sécurisées, confirmant la possession de clés cryptographiques uniques.
Contrôle 9 _ Protection du courrier électronique et des navigateurs web
Ce contrôle se concentre sur la sécurisation des systèmes de messagerie et des navigateurs web, qui sont des points d'entrée courants pour les attaques par hameçonnage. La mise en œuvre d'un filtrage efficace du courrier électronique, de technologies anti-hameçonnage et de paramètres de sécurité du navigateur web peut aider à détecter et à bloquer les contenus malveillants. Configurez les politiques SPF et DMARC pour vérifier l'authenticité des expéditeurs de courrier électronique et réduire le risque d'usurpation d'identité.
Voici 3 outils pour tester votre domaine afin de vérifier vos configurations DMARC, SPF, DKIM et BIMI, très utiles de nos jours.
✅DMARC Advisor
👉https://dmarcadvisor.com/fr/outils-dmarc/
✅Merox DNS Security & DMARC
✅MXToolBox
👉https://mxtoolbox.com/SuperTool.aspx
Contrôle 8 _ Maintenance, surveillance et analyse des journaux d'audit
La surveillance et l'analyse en temps utile des journaux d'audit peuvent aider les organisations à identifier les activités suspectes, y compris les tentatives d'hameçonnage. En suivant les comportements des utilisateurs et les événements du système, les menaces potentielles peuvent être repérées et traitées rapidement.
Contrôle 1 & 2 _ Inventaire et contrôle des actifs matériels et logiciels
S'assurer que tous les actifs sont à jour avec les derniers correctifs de sécurité est crucial pour atténuer les vulnérabilités que les attaques d'hameçonnage peuvent exploiter. Les contrôles de l'ECI soulignent l'importance de tenir un inventaire de vos actifs pour gérer efficacement les mises à jour.
Contrôle 3 _ Protection des données
La protection des données sensibles est vitale, car les attaques de phishing cherchent souvent à voler des informations précieuses. Utilisez le cryptage, les contrôles d'accès et les mesures de prévention des pertes de données pour éviter que les données ne tombent entre de mauvaises mains.
Contrôle 10 _ Défense contre les logiciels malveillants
Les attaques par hameçonnage transmettent souvent des charges utiles de logiciels malveillants pour compromettre les systèmes. Mettre en œuvre de solides défenses contre les logiciels malveillants, y compris des logiciels antivirus, des systèmes de détection des intrusions et des comptes privilégiés afin de détecter et de neutraliser les menaces liées aux logiciels malveillants.
Contrôle 17 _ Réponse et gestion des incidents
En cas d'attaque par hameçonnage réussie, il est essentiel de disposer d'un plan efficace de réponse aux incidents. Les contrôles CIS soulignent l'importance de disposer d'une équipe de réponse aux incidents prête à enquêter sur les incidents de sécurité et à les atténuer rapidement.
Contrôle 14 _ Sensibilisation et formation à la sécurité
Former régulièrement les collaborateurs à reconnaître les tentatives d'hameçonnage est crucial. Les tests de phishing et les sensibilisation en continue au phishing sont nécessaires à mesure que votre entreprise se développe et que les méthodes de phishing évoluent. Utilisez des exemples concrets pour leur apprendre à identifier les courriels, les liens et les pièces jointes suspects. Les collaborateurs doivent être encouragés à toujours vérifier la source, à être prudents si la source ne contient pas les informations attendues à leur sujet et à prendre le temps de réfléchir et de vérifier les demandes par le biais des canaux officiels. En fournissant ces lignes directrices et en organisant régulièrement des formations de sensibilisation à la sécurité, les équipes de sécurité peuvent aider les collaborateurs à devenir plus vigilants et à mieux résister aux attaques d'ingénierie sociale.
En tant que professionnel de la cybersécurité, votre responsabilité ne se limite pas à la mise en œuvre de mesures de sécurité ; vous devez également favoriser une culture de la cybersécurité au sein de nos organisations. Les attaques par ingénierie sociale sont adaptables et persistantes, mais en combinant la formation des collaborateurs, des défenses techniques solides et un plan de réponse aux incidents bien défini, vous pouvez réduire de manière significative le risque et l'impact de ces menaces. Garder une longueur d'avance sur les cybercriminels est un effort permanent et des équipes vigilantes et formées est votre défense la plus puissante contre les attaques par ingénierie sociale.
L'adoption des contrôles CIS offre aux organisations un moyen puissant de renforcer leurs défenses en matière de cybersécurité contre la menace en constante évolution des attaques d'ingénierie sociale. En fournissant un cadre structuré qui englobe un large éventail de domaines de sécurité, les contrôles CIS garantissent une approche globale et proactive de la protection des données et des systèmes sensibles.
Alors que les organisations s'efforcent de se protéger contre les tactiques insidieuses des ingénieurs sociaux, le partenariat avec des experts en cybersécurité tels que Stroople peut changer la donne. Stroople, un acteur à part entière dans le domaine de la cybersécurité, apporte des connaissances et des outils spécialisés, aidant les organisations à garder une longueur d'avance sur les cybermenaces. Qu'il s'agisse de mettre en œuvre des systèmes de surveillance avancés, d'effectuer des évaluations de sécurité ou de proposer des programmes de formation sur mesure, Stroople permet aux organisations de relever les défis de l'ingénierie sociale.
Dans le paysage numérique actuel, où les attaques d'ingénierie sociale continuent de poser un risque important, les forces combinées de CIS Controls et l'expertise de Stroople offrent une stratégie de défense solide. Ensemble, ils fournissent aux organisations les ressources et les connaissances nécessaires pour renforcer leur posture de cybersécurité et se protéger contre l'assaut incessant des menaces d'ingénierie sociale. En tirant parti de ces ressources, les organisations peuvent naviguer dans le paysage complexe de la cybersécurité avec confiance et résilience.
