Cybersécurité sur le lieu de travail : Le directeur de la cybersécurité de Hikvision discute de l'hameçonnage, deuxième partie
La semaine dernière, Chuck Davis, directeur de la cybersécurité pour l’Amérique du Nord chez Hikvision, a publié un blog sur le hameçonnage ciblant les personnes dont les comptes en ligne ont été compromis. Comme promis, cette semaine, Davis offre un aperçu plus détaillé d’une attaque par extorsion de fonds.
Vue d'ensemble d'une attaque d'extorsion
En mai 2016, 164 millions d’e-mails et de mots de passe ont été exposés sur LinkedIn. Initialement piratées en 2012, les données sont restées secrètes jusqu'à leur mise en vente sur un site de marché underground en ligne quatre ans plus tard. La grande majorité des mots de passe n'étaient pas bien protégés et ont été rapidement déchiffrés dans les jours qui ont suivi la publication des données.
La plupart des gens ne se souviennent probablement pas de cette violation de données, ou vaguement, mais la liste de millions d'adresses électroniques et de mots de passe est toujours accessible sur Internet. Bien que la plupart de ces propriétaires de compte aient modifié leurs mots de passe, ce groupe d’attaques a imaginé un nouveau moyen astucieux de monétiser une ancienne liste.
Vous trouverez ci-dessous une explication de la manière dont les assaillants ont probablement créé cette attaque avec peu d’investissement en temps et en argent.
Étape 1 : Obtenir la liste
Il n’est pas très difficile d’obtenir une liste des noms d’utilisateur et des mots de passe compromis, en particulier une liste de plus de deux ans. Bien que cela puisse prendre un certain temps pour les trouver, des liens vers les données sont disponibles en ligne depuis des années, surtout si vous savez où chercher.
Étape 2 : Créer un portefeuille Bitcoin
C'est une étape facile. Je ne détaillerai pas comment créer un portefeuille bitcoin, mais cette étape permet à l’attaquant de collecter de l’argent très difficile à retrouver.
Étape 3 : Courriel d’hameçonnage automatisé
Je suppose qu'ils ont automatisé cette attaque d’hameçonnage en utilisant un script ou un programme. Le script prend automatiquement l'adresse courriel et la met dans le champ "A :" d'un courriel, puis prend le prénom et le mot de passe connu et les place dans le corps du courriel. En utilisant cette méthode, les attaquants pourraient rapidement envoyer de gros volumes de courriels. Comme vous pouvez le constater, ce n’est probablement pas quelque chose qui a été écrit spécifiquement pour le destinataire.
Pour notre exemple, supposons qu’un des comptes LinkedIn concerne l’adresse électronique suivante : example2018@yahoo.com et que le mot de passe de ce compte est le suivant : Wangchungindaclub! Le script envoie un courrier électronique à example2018@yahoo.com, avec le mot de passe de la liste LinkedIn qui ressemble à ce qui est ci-dessous.
Salut Robert,
Je sais que votre mot de passe est Rover.1980 parce que je suis dans votre ordinateur, vous regarde et incluant tout ce que vous faites et tapez. Envoyez-moi 1000,00 $ en bitcoins à l'adresse suivante ou j'enverrai vos photos et messages texte à tous vos contacts. Voici l'adresse bitcoin pour envoyer l'argent et vous épargner de l'embarras. Vous avez 24 heures pour payer.
Adresse BTC: 1Dvd7Wb72JBTbAcfTrxSJCZZuf4tsT8V72
(Il est sensible aux cAsE, alors copiez-le et collez-le)
Leçons apprises : vérifier les courriels de près
En résumé, nous devons être vigilants lorsque nous vérifions attentivement les courriels. Selon un rapport de 2017, 90% à 95% de toutes les cyberattaques commencent par un courrier électronique de hameçonnage. Ce vecteur d’attaque étant si important, nous devons continuer à apprendre à identifier les attaques qui dépassent nos filtres anti-spam.