À la mi-juillet 2020, Twitter a été victime d’une brèche de sécurité monumentale. Des pirates ont savamment orchestré une attaque d’ingénierie sociale pour faire main basse sur des comptes Twitter de personnalités en vue et de compagnies reconnues à travers le monde, comme Apple, ainsi que de magnats de la finance tels Bill Gates et Elon Musk.
Les cybercriminels ont utilisé ces accès pour déployer une fraude impliquant des bitcoins, qui a généré au-delà de 120 000 $. Cette attaque n’est qu’un exemple de la tendance émergente des menaces d’ingénierie sociale. Un rapport produit en 2019 indique que des tentatives ont été faites pour compromettre les comptes d’administrateurs de Microsoft Office 365 dans le cadre d’une vaste offensive d’hameçonnage.
Cette tactique de compromission des médias sociaux est l’équivalent de celle de la compromission des courriers électroniques professionnels (Business Email Compromise – BEC), que les ingénieurs sociaux utilisent pour établir un lien de confiance avec leurs cibles. Cet incident soulève donc l’importance d’ajouter à votre stratégie de cybersécurité d’entreprise des protections contre les attaques d’ingénierie sociale.
Nous examinons ici de plus près la façon dont le piratage de Twitter s’est produit, les apprentissages à en retirer, comment détecter les tentatives d’ingénierie sociale, et l’importance de la sensibilisation à la sécurité.
L’attaque d’ingénierie sociale envers Twitter : ce qui s’est produit
Selon un billet de blogue publié par Twitter, la fraude est survenue lorsque ses auteurs mal intentionnés ont « manipulé quelques employés et utilisé leurs identifiants pour accéder aux systèmes internes de Twitter ». Après avoir gagné l’accès à des systèmes privilégiés, les fraudeurs ont tenté de pirater 130 comptes d’utilisateurs.
Pour pirater ces comptes, les assaillants ont tenté de réinitialiser les mots de passe de leurs victimes éventuelles dans des systèmes secondaires de Twitter pour ensuite entrer le nouveau mot de passe pour se connecter. Les fraudeurs ont réussi à s’emparer de 45 comptes et publié des messages incitant les abonnés des victimes à envoyer des bitcoins à une adresse BTC en prétendant que leurs paiements seraient doublés en retour.
Le cybercrime a réussi parce que les fraudeurs se sont positionnés pour pouvoir exploiter la confiance entre les détenteurs des comptes et leurs abonnés. Puisque plusieurs de ces tweets falsifiés semblaient provenir de personnalités reconnues pour leur philanthropie, plusieurs utilisateurs de Twitter les ont malheureusement perçus comme étant légitimes.
L’attaque d’ingénierie sociale envers Twitter : les principaux apprentissages
Même si cet incident a déstabilisé la confiance du public envers les réseaux sociaux, il est important de demeurer optimistes. Cette attaque procure aux organisations modernes une précieuse chance d’en apprendre plus sur la réalité des menaces d’ingénierie sociale. Voici quelques éléments importants à retirer du piratage de Twitter :
1. L’ingénierie sociale peut piéger toute personne ou organisation
Le piratage de Twitter a démontré que les géants technologiques eux-mêmes ne sont pas immunisés contre les fraudes d’ingénierie sociale. Un fraudeur qui mène une recherche approfondie sur une victime potentielle peut facilement berner celle-ci avec une histoire convaincante et de fausses références. Se préparer contre ces messages est vital, que vous fassiez partie d’une petite organisation ou d’une multinationale.
2. L’ingénierie sociale cible davantage les utilisateurs privilégiés
L’accès d’un employé aux systèmes internes fait de celui-ci une cible majeure pour les cybercriminels. Obtenir les identifiants d’un utilisateur au moyen d’un courriel d’hameçonnage pourrait donner l’accès à des ressources privilégiées en TI qui seraient autrement inaccessibles à l’attaquant, ce qui rend une brèche de sécurité d’autant plus dévastatrice.
3. L’identification à deux facteurs peut être insuffisante pour protéger votre information
Bien que l’identification à deux facteurs soit importante pour sécuriser les accès, elle ne suffit pas en elle-même à protéger votre information. Si un fraudeur réussit à berner un employé et le pousse à lui donner directement de l’information, la voie lui est quand même ouverte pour s’emparer de données. La sensibilisation en cybersécurité est essentielle pour que les employés sachent comment minimiser le risque de fuites de données.
4. Les réseaux sociaux représentent la nouvelle frontière pour les attaques d’hameçonnage fructueuses
Alors qu’on s’attend à des dépenses en publicité sur les médias sociaux de l’ordre de 43 milliards de dollars en 2020, les cybercriminels vont clairement s’empresser d’exploiter la portée en ligne de ces compagnies. Plus une compagnie a d’abonnés, plus elle offre de cibles potentielles pour des fraudes. C’est pourquoi vous devez gérer adéquatement les comptes des personnes représentant votre organisation sur les médias sociaux.
5. Le piratage de Twitter pourrait signaler une recrudescence des menaces d’ingénierie sociale
Le succès du piratage de Twitter inspirera sans aucun doute d’autres cybercriminels à faire de pareilles tentatives de fraudes sur les médias sociaux. On peut donc s’attendre à voir une augmentation des fraudes par compromission de réseaux sociaux. Un solide programme de sensibilisation à la sécurité est critique pour déceler les signes d’une cybermenace imminente, et pour garder votre information à l’abri.
Comment déceler les signes d’une menace d’ingénierie sociale et s’en protéger
En gros, l’ingénierie sociale est une technique de manipulation que les cybercriminels utilisent pour se faire passer pour une personne et inciter quelqu’un à donner de l’information confidentielle, comme des mots de passe. L’ingénierie sociale peut frapper avec une grande variété de véhicules dont les courriels, les appels téléphoniques et les messages SMS.
Statistiquement parlant, le courriel est le plus utilisé et 91 % de toutes les cyberattaques commencent avec un courriel d’hameçonnage envoyé à une victime sans méfiance. Le courriel d’hameçonnage s’accompagne typiquement de fichiers contenant des maliciels ou des liens exigeant de la victime qu’elle fournisse des données personnelles comme ses identifiants.
Si la victime fournit ces informations, un cybercriminel peut alors les utiliser pour des activités frauduleuses ou malicieuses.
Voici une brève liste des exemples les plus courants de menaces d’ingénierie sociale :
- Hameçonnage vocal – L’hameçonnage vocal est utilisé par un fraudeur pour tenter d’obtenir de l’information confidentielle de votre part lors d’un appel téléphonique, en se faisant habituellement passer pour une personne en autorité.
- Appâtage – Une menace d’ingénierie sociale en ligne ou physique, où la victime se fait promettre une récompense si elle agit d’une certaine façon.
- Faux-semblant – Le fraudeur endossera une fausse identité pour approcher la victime avec un prétexte pour tenter d’obtenir de l’information confidentielle.
- Attaque par point d’eau – Une attaque d’ingénierie sociale qui infecte, par un logiciel malveillant, un site web légitime ainsi que les internautes qui le visitent.
- Maliciel – La victime est portée à croire qu’un maliciel a été installé dans son ordinateur et on lui demande de payer pour le supprimer.
Contre ces types d’attaques, votre arme par excellence est la sensibilisation. Une bonne connaissance des signes annonçant une menace et des meilleures pratiques à adopter pour limiter l’exposition à votre information est critique pour assurer votre sécurité en ligne.
Il y a plusieurs mesures à appliquer pour vous protéger des attaques d’ingénierie sociale afin de réduire la chance d’une brèche de sécurité dans un réseau social.
1. Misez sur vos employés
Investir temps et argent pour éduquer votre personnel au sujet des cybermenaces actuelles leur fournira les outils nécessaires pour atténuer efficacement les risques. Les simulations d’hameçonnage ou de rançongiciel sont d’excellentes ressources à utiliser pour dresser un portrait de votre degré d’exposition et déterminer les mesures pour renforcer la sensibilisation à la sécurité dans votre organisation.
2. Éduquez votre équipe
Éduquer vos utilisateurs sur les attaques d’ingénierie sociale aidera ceux-ci à identifier les signes d’un cybercrime qui les cible. Fournir aux utilisateurs des exemples réels de fraudes d’ingénierie sociale (comme le piratage de Twitter!) contribue aussi grandement à la détection de tentatives d’attaques en temps réel.
3. Lisez The Human Fix to Human Risk
Prendre le temps de lire The Human Fix to Human Risk vous procurera une démarche étape par étape pour mettre sur pied un programme efficace de sensibilisation à la sécurité. La démarche vous renseigne au sujet d’une sensibilisation proactive pour donner aux utilisateurs les connaissances nécessaires pour détecter par eux-mêmes les menaces. Il y a plusieurs éléments à communiquer à vos utilisateurs pour qu’ils sachent comment se protéger des tentatives d’attaques d’ingénierie sociale :
1. Ne jamais répondre en donnant de l’information sensible
Tout message vous demandant de donner de l’information personnelle comme des identifiants de connexion constitue une fraude. Plusieurs organisations, les banques par exemple, vous indiqueront qu’elles ne vous demanderont jamais une information sensible par courriel. Dès que vous voyez un courriel demandant votre mot de passe, vous pouvez en toute légitimité le considérer comme une menace et le supprimer.
2. Toujours faire preuve de méfiance avec les liens de téléchargement et les fichiers joint
Il faut toujours douter des courriels contenant des liens de téléchargement et des fichiers joints provenant d’adresses que vous ne connaissez pas. Les liens de téléchargement et les fichiers joints représentent les deux points d’entrée les plus courants pour les logiciels malveillants, aussi évitez de télécharger quoi que ce soit à moins que vous ayez la certitude que le message provient d’un expéditeur légitime.
3. Vérifier à qui vous avez affaire
L’aspect réaliste des communications en ligne et la prévalence des attaques par courriel impliquent que vous ne pouvez pas toujours avoir la certitude de la légitimité de leur expéditeur. Si vous recevez un courriel d’un collègue vous demandant de l’information qui pourrait rendre vos systèmes vulnérables, assurez-vous de lui parler en personne ou de l’appeler pour confirmer s’il est bien l’auteur du courriel en question.
En résumé : Protégez vos systèmes et vos employés
Le piratage de Twitter a démontré que même les entreprises les plus conscientisées envers la sécurité peuvent être victimes d’une brèche de données. La prochaine génération des cybermenaces ne se limite pas à l’exploitation de maliciels, mais elles s’appuient de plus en plus sur la manipulation d’employés à l’interne pour obtenir l’accès à l’information. Un antivirus ne suffit plus pour faire face aux menaces; celles-ci exigent maintenant une démarche cohérente de sensibilisation à la cybersécurité.
L’application des meilleures pratiques décrites précédemment vous permettra de travailler de façon productive et sécuritaire, sans voir vos informations prises en otage par des individus sans scrupules. Doter vos employés des connaissances dont ils ont besoin pour détecter des tentatives d’ingénierie sociale augmentera substantiellement vos chances de conserver votre information en sécurité.
Obtenez un portrait clair du véritable taux de clics d’hameçonnage de votre organisation et comparez-le à celui de vos pairs. Inscrivez-vous gratuitement à l’édition 2020 du Gone Phishing Tournament™!