1. Portscanner en ligne
  2. Dernières nouvelles et articles sur la cybersécurité
  3. Quand Les Piratages Low-Tech Provoquent Des Violations À Fort Impact

Quand Les Piratages Low-Tech Provoquent Des Violations À Fort Impact

Géant de l'hébergement web Père Noël a fait la une des journaux ce mois-ci lorsqu'il a révélé qu'une violation pluriannuelle permettait à des intrus de voler le code source de l'entreprise, de siphonner les identifiants de connexion des clients et des employés et d'introduire des logiciels malveillants sur les sites Web des clients. La couverture médiatique s'est naturellement concentrée sur l'aveu de GoDaddy selon lequel il a subi trois cyberattaques différentes sur autant d'années aux mains du même groupe de piratage.  Mais il vaut la peine de revoir comment ce groupe est généralement entré dans les entreprises ciblées: en appelant les employés et en les incitant à naviguer vers un site Web d'hameçonnage.

Dans un dépôt avec le Commission des valeurs mobilières des États-Unis (SEC), GoDaddy a déclaré avoir déterminé que le même “groupe d'acteurs de menaces sophistiqués” était responsable de trois intrusions distinctes, notamment:

- Mars 2020: Une attaque de spear-phishing contre un employé de GoDaddy a compromis les identifiants de connexion d'hébergement d'environ 28 000 clients GoDaddy, ainsi que les identifiants de connexion d'un petit nombre d'employés;

- Novembre 2021: Un mot de passe GoDaddy compromis a permis aux attaquants de voler le code source et les informations liées à 1,2 million de clients, y compris les mots de passe d'administrateur de site Web, les informations d'identification sFTP et les clés SSL privées;

- Décembre 2022: Les pirates ont eu accès et installé des logiciels malveillants sur les serveurs d'hébergement cPanel de GoDaddy qui " redirigeaient par intermittence des sites Web de clients aléatoires vers des sites malveillants.”

“Sur la base de notre enquête, nous pensons que ces incidents font partie d'une campagne pluriannuelle menée par un groupe d'acteurs malveillants sophistiqués qui, entre autres, a installé des logiciels malveillants sur nos systèmes et obtenu des morceaux de code liés à certains services au sein de GoDaddy”, a déclaré la société dans son dépôt auprès de la SEC.

Que savons-nous d'autre sur la cause de ces incidents? Nous ne savons pas grand-chose sur la source de l'incident de novembre 2021, à part la déclaration de GoDaddy selon laquelle il impliquait un mot de passe compromis et qu'il a fallu environ deux mois à l'entreprise pour détecter l'intrusion. GoDaddy n'a pas divulgué la source de la violation en décembre 2022 qui a conduit à des logiciels malveillants sur certains sites Web de clients.

Mais nous savons que l'attaque de mars 2020 a été précipitée par une attaque de harponnage contre un employé de GoDaddy. GoDaddy a décrit l'incident à l'époque en termes généraux comme une attaque d'ingénierie sociale, mais l'un de ses clients affecté par cette violation de mars 2020 a en fait parlé à l'un des pirates impliqués.

Les pirates ont pu modifier les enregistrements du système de noms de domaine (DNS) pour le site de courtage de transactions escrow.com de sorte qu'il indiquait une adresse en Malaisie qui n'hébergeait que quelques autres domaines, y compris le tout nouveau domaine de phishing de l'époque servicemaintenant-godaddy[.]COM.

Le directeur général de Escrow.com s'est retrouvé au téléphone avec l'un des pirates informatiques de GoDaddy, après que quelqu'un qui prétendait travailler chez GoDaddy a appelé et a dit qu'il avait besoin de lui pour autoriser certaines modifications du compte.

En réalité, l'appelant venait de tromper un employé de GoDaddy en lui donnant ses informations d'identification, et il pouvait voir sur le compte de l'employé que Escrow.com nécessite une procédure de sécurité spécifique pour effectuer un transfert de domaine.

Le directeur général de Escrow.com il a dit qu'il soupçonnait que l'appel était une arnaque, mais a décidé de jouer le jeu pendant environ une heure — tout en enregistrant l'appel et en faisant sortir des informations de l'escroc.

“Ce type avait accès aux notes et connaissait le numéro à appeler”, pour apporter des modifications au compte, le PDG de Escrow.com dit à KrebsOnSecurity. "Il lisait littéralement les tickets sur les notes du panneau d'administration à l'intérieur de GoDaddy.”

À peu près à mi-chemin de cette conversation-après avoir été appelé par le directeur général comme un imposteur - le pirate a admis qu'il n'était pas un employé de GoDaddy et qu'il faisait en fait partie d'un groupe qui a connu un succès répété auprès des employés d'ingénierie sociale des entreprises ciblées par téléphone.

La déclaration SEC de GoDaddy est absente d'une autre vague d'attaques en novembre 2020, dans lesquelles des intrus inconnus redirection du trafic e - mail et Web pour plusieurs services de crypto-monnaie cela a utilisé GoDaddy dans une certaine mesure.

Il est possible que cet incident n'ait pas été mentionné car il était l'œuvre d'un autre groupe d'intrus. Mais en réponse aux questions de KrebsOnSecurity à l'époque, GoDaddy a déclaré que cet incident provenait également d'un nombre “limité” d'employés de GoDaddy tombés pour une arnaque sophistiquée d'ingénierie sociale.

"Alors que les acteurs de la menace deviennent de plus en plus sophistiqués et agressifs dans leurs attaques, nous informons constamment les employés des nouvelles tactiques qui pourraient être utilisées contre eux et adoptons de nouvelles mesures de sécurité pour prévenir de futures attaques”, a déclaré GoDaddy dans une déclaration écrite en 2020.

Les attaques de phishing vocal ou “vishing” ciblent généralement les employés qui travaillent à distance. Les hameçonneurs prétendent généralement qu'ils appellent du service informatique de l'employeur, soi-disant pour aider à résoudre un problème. L'objectif est de convaincre la cible d'entrer ses informations d'identification sur un site Web mis en place par les attaquants qui imite la messagerie d'entreprise ou le portail VPN de l'organisation.

Experts interviewés pour un Article d'août 2020 sur une forte augmentation des attaques de phishing vocal réussies il a déclaré qu'il y avait généralement au moins deux personnes impliquées dans chaque escroquerie de vishing: une qui fait de l'ingénierie sociale de la cible par téléphone et un autre co-conspirateur qui prend toutes les informations d'identification saisies sur la page de phishing — y compris les codes d'authentification multifactoriels partagés par la victime-et les utilise rapidement pour se connecter au site Web de l'entreprise.

Les attaquants prennent généralement soin de ne rien faire avec le domaine de phishing jusqu'à ce qu'ils soient prêts à lancer un appel de vishing à une victime potentielle. Et lorsque l'attaque ou l'appel est terminé, ils désactivent le site Web lié au domaine.

Ceci est essentiel car de nombreux bureaux d'enregistrement de domaines ne répondront aux demandes externes de suppression d'un site Web de phishing que si le site est en ligne au moment de la plainte pour abus. Cette tactique peut également contrecarrer les efforts des entreprises qui se concentrent sur l'identification des domaines de phishing nouvellement enregistrés avant qu'ils ne puissent être utilisés pour la fraude.

Un appareil U2F fabriqué par Yubikey.

Le dernier dépôt auprès de la SEC de GoDaddy indique que la société comptait près de 7 000 employés en décembre 2022. De plus, GoDaddy passe des contrats avec 3 000 autres personnes qui travaillent à temps plein pour l'entreprise via des sociétés d'externalisation des processus métier basées principalement en Inde, aux Philippines et en Colombie.

De nombreuses entreprises exigent désormais que les employés fournissent un mot de passe à usage unique, tel qu'un mot de passe envoyé par SMS ou produit par une application d'authentification mobile, en plus de leur nom d'utilisateur et de leur mot de passe lorsqu'ils se connectent aux actifs de l'entreprise en ligne. Mais les codes SMS et basés sur des applications peuvent être compromis par des attaques de phishing qui demandent simplement ces informations en plus du mot de passe de l'utilisateur.

Une option multifactorielle — les clés de sécurité physiques-semble être à l'abri de ces escroqueries avancées. Les clés de sécurité les plus couramment utilisées sont des périphériques USB peu coûteux. Une clé de sécurité implémente une forme d'authentification multifacteur connue sous le nom de 2e facteur universel (U2F), qui permet à l'utilisateur de terminer le processus de connexion simplement en insérant le périphérique USB et en appuyant sur un bouton sur le périphérique. La clé fonctionne sans avoir besoin de pilotes logiciels spéciaux.

L'attrait des appareils U2F pour l'authentification multifacteur est que même si un employé qui a inscrit une clé de sécurité pour l'authentification tente de se connecter à un site imposteur, les systèmes de l'entreprise refusent simplement de demander la clé de sécurité si l'utilisateur n'est pas sur le site Web légitime de son employeur, et la tentative de connexion échoue. Ainsi, le deuxième facteur ne peut pas être hameçonné, que ce soit par téléphone ou par Internet.

En juillet 2018, Google divulguer qu'aucun de ses 85 000 employés et plus n'avait réussi à hameçonner leurs comptes liés au travail depuis le début de 2017, date à laquelle il a commencé à exiger que tous les employés utilisent des clés de sécurité physiques au lieu de codes à usage unique.



>>Plus