Cyberattaque : une nouvelle technique de phishing apparaît
Les cybercriminels ne baissent pas les bras et continuent de renouveler leurs méthodes. Aujourd’hui, ils utilisent des moyens beaucoup plus avancés pour atteindre leurs cibles. La nouvelle technique est en effet inspirée du procédé classique d’attaque.
Le phishing ne fait plus recette…
Nul n’ignore les différentes méthodes habituellement adoptées par les malfaiteurs pour obtenir des données sensibles. L’hameçonnage en fait partie. Les pirates se servent le plus souvent d’un mail ou d’une fausse page web pour escroquer les utilisateurs. Depuis des années, ils ont toujours utilisé la technique qui consiste à envoyer un courrier électronique d’apparence légitime, mais comportant en réalité une pièce jointe infectée : le phishing. L’internaute tombe dans le filet en cliquant sur le document.
Certes, ces types de messages arnaqueurs continuent d’affluer dans les courriels. Mais aujourd’hui, les usurpateurs ont inventé un nouveau procédé bien plus sophistiqué pour piéger facilement les utilisateurs. Ils sont désormais capables de mener le même type d’attaque, sans avoir à insérer une pièce jointe contaminée. En téléchargeant un modèle d’injection de fichier via une connexion SMB, ils sont en mesure de mettre la main sur les identifiants. Pour le moment, cette technique a encore été employée uniquement en vue de voler de données, mais les experts soulignent que son usage pourrait s’étendre à d’autres types d’attaques.
Une nouvelle méthode privilégiée depuis mai 2017
Le piratage est un phénomène très courant dans le monde des entreprises. Si bon nombre d’attaquants continuent d’utiliser les techniques classiques, certains d’entre eux profitent aujourd’hui de l’existence de cette nouvelle méthode. En effet, des malfaiteurs ont déjà ciblé des sociétés du secteur de l’énergie implantées aux États-Unis et en Europe. Le but était de dérober les identifiants au sein de diverses infrastructures critiques en usant de cette technique.
Le procédé n’est pas loin du phishing, car l’opération s’effectue également par l’envoi de mails en se faisant passer pour quelqu’un de légitime. Le contenu est généralement associé soit à une candidature, soit à un rapport environnemental. Le fichier Word attaché en pièce jointe va ensuite tenter « d’extraire » les identifiants dès l’instant où l’internaute l’ouvre sur son ordinateur. Les experts en sécurité chez Talos Cisco, de leur côté, ont réagi en contactant tous les clients concernés afin de s’assurer qu’ils étaient au courant de l’existence de cette nouvelle méthode.
Les experts indiquent que les documents envoyés ne présentent aucun signe suspect, contrairement aux techniques classiques. L’opération est effectuée via le SMB et le recueil des identifiants se fait par HTTPS et les identifiants sont récoltés par le mécanisme « Basic authentication ».
La nécessité de protéger les flux sur le réseau
Face à ce nouveau type d’attaque, les chercheurs insistent sur l’importance de contrôler les flux sur le réseau. Selon eux, il convient aussi de bloquer les protocoles comme SMB pour empêcher le pillage de données. Ils appellent également les internautes à rester vigilants quant aux courriels qui prétendent provenir d’un ministère, de la gendarmerie, d’une institution financière ou autres structures importantes. Actuellement, les hackers tentent de détourner l’attention de leurs cibles en envoyant des mails qui n’affichent aucun indicateur de compromission. Les opérations sont donc bien plus ciblées et effectuées en temps réel.