L’ingénierie sociale pourrait être à l’origine de deux attaques très médiatisées contre les opérateurs de casino Ceasar’s et MGM. Dans un
Dépôt 8-K auprès de la Securities and Exchange Commission, Ceasar’s Entertainment a signalé « une attaque d’ingénierie sociale contre un fournisseur de support informatique externalisé utilisé par la société ». Les pirates ont réussi à voler des données de la base de données de fidélité de Ceasar vers le 7 septembre, révélant un nombre inconnu de permis de conduire et de numéros de sécurité sociale. Le Wall Street Journal a rapporté que Ceasar’s avait payé environ la moitié de la rançon de 30 millions de dollars exigée par les pirates pour restaurer les systèmes et supprimer les informations volées. Dans ses documents déposés auprès de la SEC, Ceasar’s a noté qu’il n’y avait aucune garantie que les criminels supprimeraient les données.
Ailleurs à Las Vegas, les systèmes MGM, notamment les clés codées des chambres, les systèmes de réservation et les machines à sous, ont été désactivés à la suite d’une attaque de ransomware. Reuters a rapporté que le
attaque de rançongiciel il a été attribué à un groupe connu sous le nom de Scattered Spider, qui ciblait auparavant les entreprises de télécommunications et d’externalisation des activités. On pense également que Scattered Spider est à l’origine de l’attaque de César.
Anatomie d’une attaque d’ingénierie sociale
Dans une interview avec TechCrunch, un porte-parole supposé de Scattered Spider s’en est attribué le mérite.
Attaque d’ingénierie sociale contre MGM mais a nié toute implication dans le piratage de César. Le porte-parole a déclaré avoir trouvé des informations sur un employé d’un fournisseur informatique de MGM via LinkedIn, puis avoir appelé le service d’assistance du fournisseur pour accéder au compte de cette personne.
Les attaques d’ingénierie sociale sont ciblées. Le criminel dispose généralement de certaines informations sur un individu dont il tente de se faire passer pour ou de persuader. Les attaquants plus sophistiqués peuvent désormais utiliser des outils d’intelligence artificielle qui
Ssynthétiser la voix d’un individu en utilisant seulement quelques secondes d’audio en ligne. Ils appelleront ensuite les personnes pouvant accorder l’accès au compte, comme les banquiers ou les services d’assistance, en utilisant la fausse voix en temps réel pour tenter d’accéder au compte. Les employés d’entreprises qui constituent des cibles de grande valeur, telles que les hôpitaux, les banques, les casinos et les fournisseurs de télécommunications, ainsi que les fournisseurs tiers qui servent ces entreprises, sont plus susceptibles d’être ciblés par des attaques sophistiquées. Plus le profit potentiel est élevé, plus l’attaque est sophistiquée.
D’autres escroqueries d’ingénierie sociale sont plus maladroites et devraient immédiatement déclencher des signaux d’alarme. Quelqu’un pourrait appeler en se faisant passer pour un vendeur ou un membre du personnel informatique et demander à la victime de lire un code d’authentification à deux facteurs par téléphone, annulant ainsi la protection offerte par cette authentification. De telles attaques sont très courantes et peuvent toucher n’importe quel employé de n’importe quelle entreprise.
Scattered Spider n’est pas aussi sophistiqué que certains gangs criminels et pirates informatiques parrainés par l’État. Ils sont motivés par l’argent et sont principalement des jeunes, un rapport suggérant qu’ils recrutent délibérément de jeunes adolescents pour éviter des conséquences criminelles importantes s’ils sont arrêtés. Ce que les propriétaires d’entreprise doivent savoir, c’est que des groupes comme Scattered Spider sont suffisamment sophistiqués pour pouvoir inciter les employés à fournir l’accès ou à divulguer des informations.
Prévenir les attaques d’ingénierie sociale
Alors que les attaques d’ingénierie sociale deviennent de plus en plus sophistiquées, les entrepreneurs doivent redoubler d’efforts.
formation des collaborateurs à la sécurité informatique et établir des protocoles commerciaux qui guident les demandes d’informations ou d’accès. Les individus ont également une responsabilité, car ils doivent limiter la découverte d’informations que les criminels peuvent utiliser dans des attaques d’ingénierie sociale. Voici cinq choses à faire maintenant pour réduire votre risque :
- Vérifiez vos profils LinkedIn et sur les réseaux sociaux. Les étrangers ont-ils besoin de savoir où vous travaillez ? Votre profil doit-il être accessible au public ? Pour une poignée de personnes, la réponse est oui, et ces personnes prennent généralement des mesures pour séparer leur profil public de leur profil professionnel privé. Pour la plupart des travailleurs, la réponse est non. Suivez cette règle simple : plus vous partagez, moins vos profils doivent être visibles. Allez-y et cultivez un réseau professionnel sur LinkedIn, mais limitez votre visibilité aux personnes que vous connaissez.
- Changez vos mots de passe. Supposons que votre nom d’utilisateur et votre mot de passe actuels soient disponibles à la vente sur le Dark Web. C’est probablement le cas, ce n’est donc qu’une question de temps avant qu’un criminel n’associe ces informations à vos comptes professionnels. Utilisez des mots de passe distincts pour les comptes professionnels et personnels et modifiez-les toutes les quelques semaines, au moins quatre fois par an. Lorsque les criminels voient vos mots de passe modifiés, ils reconnaissent que vous prenez la cybersécurité au sérieux et peuvent vous ignorer au profit d’une cible plus facile.
- Activez l’authentification à deux facteurs. Cela devrait acheminer vos mots de passe vers un appareil qui est toujours avec vous. Ne partagez jamais, sous aucun prétexte, l’un de ces codes d’accès avec qui que ce soit. L’authentification à deux facteurs reste l’une des protections les plus solides contre le piratage de compte.
- Évaluez votre niveau de risque. Certaines entreprises savent qu’elles sont des cibles car elles ont accès à de l’argent ou à des données personnelles. Ces entreprises ont généralement mis en place des protocoles très stricts pour décourager les attaques d’ingénierie sociale et de phishing. Les fournisseurs peuvent ne pas disposer du même niveau de protection ou de formation, ce qui donne aux criminels une porte dérobée vers les systèmes protégés. Si vous avez des clients de grande valeur, vous devez adopter leur niveau de cybersécurité et former chaque employé à reconnaître et à répondre aux tentatives de cyberattaques.
- Demander un examen des tentatives de connexion. L’un des meilleurs protocoles à mettre en place consiste à exiger une deuxième paire d’yeux pour toute tentative d’accès aux comptes par téléphone, SMS ou e-mail. Ces demandes doivent être adressées à un employé de niveau supérieur possédant une expertise en ingénierie sociale et en tentatives de phishing. En cas de doute, les protocoles devraient exiger un appel au numéro de téléphone enregistré pour la personne comme étape finale de l’approbation de l’accès. N’appelez aucun autre numéro et n’utilisez pas la fonction de recomposition, car les fraudeurs pourraient usurper le numéro de téléphone d’une personne sur vos appareils.
Les attaques sophistiquées d’ingénierie sociale fonctionnent parce que les employés ont confiance et veulent faire du bon travail. La formation doit souligner que la sécurité est tout aussi importante, sinon plus, que le service client. Une personne agacée peut être en colère contre vous pendant une courte période. Une victime de cybercriminalité n’oubliera jamais qui a permis l’attaque.