L'une des premières leçons que les cybercriminels apprennent est que "si ce n'est pas cassé, il ne faut pas le réparer". C'est pourquoi hameçonnage reste l'un des vecteurs d'attaque initiale les plus fréquents : un utilisateur reçoit un courriel "urgent" d'une personne de confiance, il clique sur un lien et les malfaiteurs accèdent aux systèmes et aux données qu'ils ne devraient pas avoir.
Mais si la cybersécurité est aux prises avec le phishing depuis des décennies, cela ne signifie pas que la tactique n'a pas évolué. À l'instar d'une souche COVID en pleine évolution, les acteurs de la menace apportent de nouveaux éléments à l'hameçonnage qui le rendent plus efficace sur ses cibles et plus dommageable pour les organisations.
L'un de ces nouveaux développements est le phishing-as-a-service (PHaaS) qui, comme son nom l'indique, permet aux cybercriminels de confier leurs campagnes de phishing à des professionnels qualifiés. Une autre évolution est la prise de contrôle des comptes dans le nuage (CATO), qui permet aux acteurs de la menace d'accéder aux comptes dans le nuage d'une organisation.
Étant donné que le phishing est le vecteur d'attaque initial le plus fréquent et qu'il a coûté aux organisations une moyenne de $4,76 millions USD Si l'on considère qu'une entreprise peut être victime d'une violation du droit d'auteur, tout ce qu'elle peut faire pour limiter son exposition à l'hameçonnage peut contribuer grandement à la protection de ses résultats et à la sécurité de ses employés.
Examinons donc PhaaS, CATO, ce qui les rend si efficaces et les mesures que les organisations peuvent prendre pour se prémunir contre ces deux types de menaces.
À l'instar du ransomware-as-a-service, on sait qu'un vecteur de menace est devenu un problème lorsque les cybercriminels peuvent externaliser une tactique donnée. C'est ce qui se passe avec les PHaaS, qui permet aux acteurs de la menace de sous-traiter et d'automatiser les cyberattaques.
Le phishing et les PHaaS ont tendance à utiliser des tactiques d'ingénierie sociale pour rendre leur détection plus difficile. C'est la raison pour laquelle les cibles reçoivent tant de courriels "urgents" "du" PDG, du directeur financier ou d'autres dirigeants : les gens sont plus susceptibles de répondre plus rapidement et avec moins de prudence si c'est le patron de leur patron qui leur dit d'agir.
En outre, les campagnes PHaaS ne se limitent pas aux boîtes de réception traditionnelles. Les attaquants ciblent désormais les services de messagerie basés sur le cloud, en s'appuyant sur des plateformes telles que Microsoft 365 ou Google Workspace. Compte tenu de la dépendance croissante à l'égard des outils et services de productivité basés sur le cloud, les attaques CATO peuvent avoir des conséquences dévastatrices pour les organisations.
Pour ne rien arranger, les campagnes de PHaaS ciblent souvent délibérément les cadres de haut niveau. Dans une récente campagne du CATO utilisant Evil Proxy, 39% des victimes se trouvaient dans la suite C.
Il a également été rapporté que d'autres comptes sont ignorés au profit du PDG ou du directeur financier, et il est facile de comprendre pourquoi. Les cadres supérieurs ont souvent accès à des données sensibles et exercent une influence considérable au sein d'une organisation. Par conséquent, les attaquants adaptent leurs tentatives d'hameçonnage pour se concentrer sur ces cibles de grande valeur, augmentant ainsi la probabilité d'une attaque CATO réussie.
Les cadres supérieurs sont également des candidats de choix pour les attaques de spear-phishing, où les attaquants conçoivent des messages hautement personnalisés pour inciter leurs victimes à révéler des informations sensibles ou à cliquer sur des liens malveillants. Les enjeux sont plus élevés lorsque des cadres sont impliqués, et il est donc impératif que les organisations prennent des mesures proactives pour protéger leurs dirigeants.
Pour lutter contre la menace croissante des attaques CATO et des PHaaS, les organisations peuvent se tourner vers des solutions d'authentification modernes telles que le protocole Fast Identity Online (FIDO). FIDO offre un moyen sûr et convivial de vérifier l'identité des utilisateurs, réduisant ainsi le risque d'attaques par hameçonnage.
L'authentification basée sur FIDO repose sur la cryptographie à clé publique, qui renforce la sécurité en éliminant le besoin de mots de passe. Au lieu de cela, les utilisateurs s'authentifient à l'aide d'un dispositif matériel enregistré de manière sécurisée : lors de l'authentification, les utilisateurs sont invités à toucher le dispositif pour remplir le facteur "quelque chose que vous avez" de l'authentification FIDO. MFA. Cela signifie que même si un pirate fraude les informations d'identification d'un utilisateur, il ne pourra pas relever le défi de l'authentification s'il n'est pas en possession de l'appareil.
Il est essentiel de rendre l'authentification à la fois facile et sûre pour favoriser l'adoption par les utilisateurs au sein d'une organisation. La technologie qui sous-tend les dispositifs FIDO les rend extrêmement utiles pour résister aux campagnes d'hameçonnage les plus complexes.
De nombreuses organisations ont résisté à l'idée d'investir dans FIDO, car la technologie ne fonctionne que via le Web, par exemple sur les sites suivants applications en nuage et des services SaaS. Cette limitation laisse de côté un grand nombre d'applications et de ressources critiques sur site dont les entreprises ont besoin pour continuer à fonctionner. Investir du temps, des efforts et du budget dans une technologie qui ne fonctionne pas partout est problématique pour de nombreuses organisations.
RSA a relevé ce défi en proposant diverses solutions :
- RSA Authenticator App 4.5 fournit une clé de sécurité liée à l'appareil certifiée FIDO2 sur les appareils mobiles des utilisateurs, aidant les organisations à améliorer l'adoption, l'expérience utilisateur, la productivité et à accélérer la maturité Zero Trust.
- Les Série RSA iShield Key 2 est compatible avec FIDO2, PIV et HOTP et dispose d'un module cryptographique certifié FIPS 140-3. Les authentificateurs matériels sont conformes à l'Executive Order 14028, à l'OMB M-22-09 et à l'OMB M-24-14, et peuvent aider les secteurs public et privé à simplifier et à sécuriser la gestion des justificatifs d'identité.
- Les RSA DS100 est un authentificateur matériel qui fournit à la fois des mots de passe à usage unique (OTP) pour les ressources sur site et FIDO pour les ressources connectées à l'internet. Un tel dispositif protège non seulement les comptes basés sur le cloud, mais aussi les anciens systèmes sur site qui peuvent s'appuyer sur d'anciennes méthodes d'authentification telles que le mot de passe à usage unique.
La capacité à combler le fossé entre les services modernes en nuage et les systèmes existants est cruciale pour de nombreuses organisations. En mettant en œuvre une solution FIDO hybride telle que RSA DS100, RSA Authenticator App ou RSA iShield, les organisations peuvent garantir une sécurité cohérente pour tous les comptes et toutes les applications. Ainsi, même si certains systèmes ne peuvent être contestés qu'avec des méthodes OTP, ils sont toujours protégés.
Pour garder une longueur d'avance sur les menaces telles que CATO et PHaaS, il faut adopter une approche proactive de la cybersécurité. Voici quelques bonnes pratiques que les organisations peuvent adopter pour réduire les risques :
- Formation et sensibilisation des employés: Une formation régulière à la sécurité est essentielle pour aider les employés à reconnaître les tentatives d'hameçonnage et à éviter de tomber dans le piège des tactiques d'ingénierie sociale.
- Mise en œuvre de l'AMF: Le MFA ajoute une couche supplémentaire de protection, ce qui complique considérablement la tâche des attaquants, même si les informations d'identification sont compromises.
- Réalisation d'audits de sécurité réguliers: Il est important d'examiner régulièrement les contrôles d'accès, les autorisations et les configurations des comptes pour les services en nuage afin d'identifier les vulnérabilités que les attaquants pourraient exploiter.
- Mise en œuvre d'une approche de sécurité à plusieurs niveaux: La sécurité en couches comprend plusieurs mécanismes de défense à différents endroits du réseau.
- Mise à jour régulière des protocoles de sécurité: Les cybermenaces évoluant rapidement, la mise à jour régulière des protocoles et des politiques permet de s'assurer qu'ils sont alignés sur les meilleures pratiques de sécurité les plus récentes.
Qu'il s'agisse de PHaaS, de cibler les cadres de niveau C, de CATO, ou autre ride suivante Face aux attaques des cybercriminels, il est essentiel pour la cybersécurité de garder une longueur d'avance.
La mise en œuvre d'un dispositif FIDO hybride qui protège à la fois les systèmes basés sur le cloud et les systèmes traditionnels sur site est une étape importante pour garantir une sécurité complète à votre organisation. En adoptant méthodes d'authentification sans mot de passe En restant vigilantes face à l'évolution des menaces, les entreprises peuvent se protéger contre les attaques CATO, le phishing et d'autres risques. N'oubliez pas qu'en matière de cybersécurité, la prévention proactive est toujours préférable à la récupération réactive.
