Comment se protéger d’une attaque verticale d’une ingénierie sociale du nom Kill-Chain

Bill rentrait du travail vendredi après-midi lorsqu’il a été interrompu par un appel téléphonique. Il a été obligé de faire demi-tour et de retourner à son bureau. Il s’est consacré à éviter cet appel pendant toutes ses heures de travail. Bien qu’il n’ait reçu aucun détail par téléphone, il semble qu’André, une personne travaillant au service des paiements de compte, soit tombé dans le piège d’une arnaque et ait reçu un gros paiement. Est-ce une arnaque ? Bill se souvenait de toutes les vidéos de formation qu’il avait données à ce département. Qu’est ce qui ne s’est pas bien passé?

« Ils avaient des informations privilégiées – c’était tellement plausible! » Ce sont les premiers mots d’André après avoir rencontré Bill, le chef de leur équipe de cybersécurité. Quelques minutes avant la fin de son quart de travail, quelqu’un a appelé André, affirmant qu’il s’agissait d’un employé d’une entreprise avec laquelle ils venaient de commencer à travailler ensemble sur un projet important. L’appelant semblait presque paniqué et affligé. Une de leurs factures n’a pas encore été payée, ont-ils affirmé. Ils ont affirmé que la prochaine phase du projet devait commencer lundi. C’était leur dernière chance d’obtenir le paiement. Ils pourraient également geler temporairement le projet, ce qui aurait un effet domino sur le calendrier global et les livrables. André a trouvé tout cela plausible. L’appelant avait raison, ils travaillaient ensemble sur le projet, le calendrier était précis, ainsi que les noms des porteurs de projet. André a envoyé la facture par e-mail à l’appelant. Il se sentait toujours étrange. Il retourna à sa base de données et regarda les détails du compte. Ils étaient effectivement différents. C’était trop tard.

Bill réalisa immédiatement qu’il s’agissait d’une attaque de harponnage. Cela comprenait le vishing (une arnaque téléphonique) et d’éventuels e-mails de phishing (la pièce jointe et l’intégralité de l’e-mail devaient encore être examinés). Il était tenu de signaler l’incident et de mener une enquête. L’enquête a révélé que l’appelant avait falsifié le numéro pour donner l’impression que l’appel provenait de la société partenaire. C’était aussi la raison pour laquelle Andre pensait que l’appel était légitime et était l’un des outils les plus couramment utilisés par les cyber-attaquants pour établir la confiance avec leurs cibles.

Il est difficile de protéger une organisation contre les attaques d’ingénierie sociale. C’est un jeu complexe où la stratégie, l’information et l’éducation sont toutes importantes. Les cybercriminels trouvent l’ingénierie sociale attrayante. Il s’agit d’une approche peu coûteuse, peu risquée et très rémunératrice. Alors que la technologie de sécurité a progressé, les vulnérabilités humaines n’ont pas progressé. L’exploitation de ces vulnérabilités est une réussite constante. L’effet stimulus-réponse des déclencheurs humains a été constant. Il n’est pas surprenant que les rapports sur la cybersécurité et les rapports sur le paysage des menaces pour notre industrie (y compris ceux de l’ENISA et du Forum économique mondial) aient répertorié les attaques d’ingénierie sociale et les erreurs humaines comme les trois principales menaces au cours des dernières années. Cette tendance ne va pas disparaître.

Des incertitudes et des risques stratégiques peuvent survenir lorsque les organisations ont une connaissance limitée des chaînes de destruction de l’ingénierie sociale, des informations exploitées par les attaquants et de la manière dont ils les trouvent. Andre a-t-il reçu des « informations privilégiées » sur les détails ? Ces détails n’ont pas été rendus publics. Existe-t-il une politique ou un processus qui aurait pu empêcher la transaction spontanée non contrôlée ? Certains aspects de l’attaque peuvent-ils être prédits ou évités ? La cybersécurité peut être proactive dans l’identification et la gestion des vecteurs d’attaque et des risques potentiels, mais c’est aussi une responsabilité partagée. L’accès à l’information, aux systèmes et aux actifs est une responsabilité partagée. Cette responsabilité exige qu’ils aient les connaissances et les compétences nécessaires pour la gérer. Ils doivent être capables de reconnaître les drapeaux rouges et de suivre le processus pour répondre à toute attaque d’ingénierie sociale.

Les services de cybersécurité doivent également s’assurer que les attaques d’ingénierie sociale ne sont pas lancées contre les employés au sein de l’organisation. Nous ne sommes souvent pas en mesure de prédire les techniques ou les scénarios de manipulation psychologique qu’un attaquant pourrait utiliser. Il y a tellement d’inconnues impliquées. Nous devons commencer par nous concentrer sur ce que nous savons : les aspects de l’ingénierie sociale qui sont cohérents et répétés. Ensuite, prenez-le à partir de là.

Qu’est ce que l’ingénierie sociale Kill-Chain ?

Nous examinons toutes les étapes qu’un ingénieur social a prises pour planifier et exécuter une attaque d’ingénierie sociale. Bien que les techniques et tactiques utilisées dans l’ingénierie sociale puissent être très différentes (certaines sont plus couramment utilisées que d’autres), la plupart des étapes impliquées dans l’exécution des attaques d’ingénierie sociale sont similaires.

Deux phases caractérisent la plupart des attaques d’ingénierie sociale :

• Planification, recherche et préparation
• Exécution

L’attaquant suit généralement les étapes suivantes dans la première phase de  recherche, de planification et de préparation .

Reconnaissance:

En ligne, les attaquants recherchent des cibles ou examinent celles qu’ils ont déjà. La reconnaissance est le processus de collecte d’informations sur une cible en ligne ou hors ligne. Cette phase peut durer de quelques heures à une pièce opportuniste ou plusieurs années, selon la complexité de l’attaque.

Les informations sont le plus souvent recueillies via Internet, des sources ouvertes (OSINT), des ressources humaines et des méthodes d’entretien secrètes (HUMINT), ainsi que la surveillance physique et la collecte. Ces dernières années, le renseignement open source (OSINT), qui est une méthode courante de reconnaissance sur des cibles d’entreprise et d’individu, a été le plus populaire.

Nous avons pu trouver les détails que l’appelant a utilisés en ligne après avoir retracé les informations de l’attaquant dans le cas de Bill. Bien qu’ils semblaient détenir des « informations privilégiées », ils ne l’étaient pas. Les portails d’information locaux ont annoncé le nouveau partenariat, ainsi que les noms des propriétaires du projet. Les propriétaires du projet ont fait des erreurs dans deux entretiens et ont divulgué des détails qui n’auraient pas dû être révélés. Grâce à des outils tels que LinkedIn et d’autres bases de données marketing et commerciales, il était facile de trouver des cibles appropriées dans le service des paiements en compte. Cette attaque d’ingénierie sociale a été possible en combinant toutes les pièces et en les tissant ensemble dans une histoire de couverture convaincante (prétexte).

Identification de la cible

Les cibles peuvent être soit une organisation (auquel cas nous observons souvent des attaques à grande échelle telles que des e-mails de phishing), soit un individu au sein de l’organisation. Le ciblage est un processus complexe qui implique deux facteurs.

La valeur de la cible ou sa vulnérabilité

Les ressources de l’adversaire (temps, argent et capacité, détermination)

Notre industrie aime parler des « fruits à portée de main ». Il peut être judicieux de parler de « talons d’Achille » dans les organisations qui ont des programmes de sécurité matures, mais qui négligent ou sous-investissent encore dans les facteurs humains. Cela peut conduire à être ciblé ou compromis.

Pretexte

Le prétexte fait référence à l’histoire de couverture qu’un ingénieur social utilise pour approcher sa cible et faire des demandes innocentes d’informations ou d’actions. Cela « couvrira » leur attaque. Les vêtements du mouton couvrent le loup en dessous et leurs intentions. Des informations de qualité sur la cible sont essentielles pour créer un bon prétexte. Cela a tendance à se produire après la phase de collecte d’informations.

Oh! Serait-ce le talon d’Achille d’un ennemi ? Que se passerait-il si les personnes qu’ils recueillaient croyaient vraies mais se trompaient ? Si les données qui ont servi à la fonder comportaient des failles ou des inexactitudes stratégiques, ce prétexte n’aurait-il pas échoué ? C’était une campagne de désinformation anodine. Ceci est une petite portion de matière à réflexion.

La prochaine étape après la planification, la recherche et la préparation d’une attaque d’ingénierie sociale consiste  à l’exécuter  . Le plus souvent, la protection d’une organisation contre l’étape suivante de la chaîne de destruction par ingénierie sociale échappe au contrôle du personnel de sécurité et incombe aux employés touchés par l’attaque. Voilà comment cela fonctionne:

Approche et établissement de la confiance

Sous leur prétexte, l’adversaire aborde les employés et manipule leurs traitements cognitifs. Ensuite, ils établissent un niveau de confiance et de relation avec eux. Mensonges. Cela peut prendre plusieurs jours, voire plusieurs mois, pour instaurer la confiance. Une fois la confiance établie, les attaquants savent qu’ils ont ancré l’avenir de leur victime.

Exploitation

Une fois qu’il a établi une relation de confiance avec son ingénieur social (le loup déguisé en mouton), l’individu ciblé est plus susceptible de suivre les ordres de l’agresseur. L’ingénieur social est capable de détecter les hésitations et de proposer des justifications, même si elles ne sont pas sûres.

Le scénario idéal est que la cible reconnaisse ce qui se passe et empêche l’attaquant de le signaler. Parfois, cependant, les employés peuvent ne pas être en mesure de répondre à la pression des ingénieurs sociaux, en particulier s’ils n’ont pas été correctement formés. Ils finiront par se conformer aux demandes. Ils cacheront alors l’incident et ne le signaleront à personne, craignant d’avoir des ennuis. Ce n’est pas la culture de sécurité que vous souhaitez.

Exfiltration

L’ingénieur social a atteint ses objectifs (entièrement ou partiellement) et est maintenant prêt à exécuter l’exécution et à mettre fin à l’interaction avec la cible. Parfois, ils sont préoccupés par une exfiltration propre, dans laquelle la cible ne se rend pas compte qu’elle a été attaquée. D’autres fois, ils ne le font pas.

Défense stratégique

Certains scénarios et schémas d’ingénierie sociale peuvent être reproduits au fil des ans, en toute équité. Ces scénarios sont à la base des stratégies de défense et de sensibilisation de nombreuses organisations. Ce n’est pas une mauvaise chose. Cependant, cela peut donner aux employés et aux organisations un faux sentiment de sécurité et la croyance erronée qu’ils sont conscients de la nature des attaques d’ingénierie sociale. Ils sont alors incapables de le reconnaître ou de s’en défendre lorsqu’une approche mieux documentée et adaptée leur est proposée.

Les professionnels de la sécurité et du renseignement sur les menaces doivent être proactifs dans l’identification et la gestion des vulnérabilités organisationnelles aux attaques d’ingénierie sociale. Ils doivent être conscients des informations disponibles en ligne sur leur organisation et des risques potentiels. En tant qu’outil de détection de vulnérabilité, l’intelligence open source peut souvent être négligée. C’est aussi un outil couramment utilisé par les adversaires qui fondent souvent leurs méthodes et leur succès sur la qualité des informations qu’ils recueillent. Pour identifier les vulnérabilités et les risques organisationnels, il est judicieux de mener une enquête de renseignement open source sur .

Ce n’est pas un sujet facile de mener des enquêtes de renseignement d’entreprise open source. Voici quelques domaines qui peuvent être négligés mais qui offrent des informations précieuses dans une enquête de renseignement d’entreprise open source.

• Votre site Web . fort>Votre site Web. Supposons que des pirates aient accédé à votre site Web, à vos comptes de médias sociaux, à vos forums et à vos blogs.
• Études de cas par vos partenaires commerciaux . Les partenaires commerciaux peuvent révéler plus d’informations sur les services qu’ils fournissent et sur les processus, la structure et la posture de votre organisation dans le but de créer une étude de cas convaincante et intéressante qui attirera plus de clients. Parfois, ils peuvent révéler des informations confidentielles. Assurez-vous de savoir ce que vos partenaires partagent en ligne à propos de votre entreprise.
• Entrevues et articles/vidéos dans les médias.  Cela peut être une arme à double tranchant. Vous devez savoir si un représentant de l’entreprise divulgue accidentellement des informations sensibles ou confidentielles aux médias. Cependant, vous devez également disposer d’un plan de classification des informations organisé et communiqué. Si les gens ne savent pas quelles informations doivent rester confidentielles, il est impossible de s’attendre à ce qu’ils ne partagent pas d’informations sensibles. Les acteurs de la menace chercheront toujours les fuites accidentelles. Il vaut mieux les trouver tôt.

Les journalistes pourraient également divulguer des informations qui ne devraient pas être rendues publiques. Celles-ci peuvent inclure des informations sur des mesures de sécurité spécifiques (oui, nous l’avons vu), des descriptions de bureaux ou de bureaux d’entreprise contenant des documents et des notes classifiés, et de nombreux autres exemples.

• Fichiers contenant des informations confidentielles . Parfois, des documents confidentiels provenant de services internes se retrouvent accidentellement sur le Web ouvert. Ces documents peuvent aller de listes de mots de passe et de noms d’utilisateur à des guides d’intégration. Vous pouvez rechercher sur Internet tout type de document concernant votre entreprise à l’aide de requêtes de recherche bien pensées et du mot-clé « type de fichier ».

Une fois que vous avez identifié les vulnérabilités et les risques, il est temps de les gérer en limitant, en éliminant ou en brouillant les informations. Il est possible que des données rendues publiques par un adversaire puissent être récupérées même après avoir été supprimées. Cela vaut toujours la peine d’essayer de le supprimer car cela peut ajouter une couche supplémentaire de difficulté pour certains adversaires.

Vous pouvez utiliser les résultats de l’intelligence d’entreprise open source comme outil pour identifier les vecteurs d’attaque possibles pour les attaques d’ingénierie sociale et pour éclairer votre stratégie de cybersécurité.

Il se peut que vous ne soyez pas autorisé à modifier les informations publiques dans certains cas. C’est une bonne idée de l’inclure avec le potentiel d’attaques d’ingénierie sociale dans votre formation de sensibilisation à la cybersécurité. Cela permettra aux employés de comprendre que, parfois, ce qui ressemble à des « informations privilégiées » peut ne pas l’être. Cela les aidera également à identifier les prétextes pour utiliser ces informations. Nous utilisons des informations open source pour créer des exercices et des scénarios d’attaques d’ingénierie sociale basés sur notre expérience et nos connaissances. Ceux-ci sont ensuite utilisés comme exemples interactifs et pratiques dans les formations ou ateliers de sensibilisation à la cybersécurité que nous proposons aux clients. Ils se sentent soudainement plus connectés à la formation en cybersécurité et à leur réalité quotidienne. Ils trouvent cela plus intéressant et sont impatients d’en savoir plus. Ces programmes de formation rendent les leçons plus «collantes».

Cela nous amène à notre dernier point clé. Bien que nous puissions et devrions atténuer certains risques, les ingénieurs sociaux trouveront des moyens d’atteindre les employés et de les manipuler. Les humains seront toujours une couche de défense supplémentaire pour les organisations. Ils doivent être en mesure d’identifier et de stopper une attaque, de la signaler puis d’agir en conséquence. Il est toujours essentiel de former les employés à la sensibilisation à la cybersécurité et de leur apprendre à mettre en œuvre les meilleures pratiques. La cybersécurité est et sera toujours une responsabilité partagée. Faisons tous de notre mieux pour assurer la cybersécurité.