Tech

« Je m’introduit par effraction dans les immeubles et je fais semblant d’être le méchant » • The Register

Harold Fortieril y a 4 heuresDernière mise à jour: septembre 30, 2024
« Je m’introduit par effraction dans les immeubles et je fais semblant d’être le méchant » • The Register

Entretien Un pirate informatique est entré dans un immeuble d’une « très grande ville » un mercredi matin sans clés de portes ni d’ascenseurs, déterminé à voler des données sensibles en pénétrant à la fois dans l’espace physique et dans le réseau Wi-Fi de l’entreprise.

Il s’avère qu’elle n’a pas du tout eu besoin de s’introduire par effraction.

Elle a pris l’ascenseur jusqu’à l’étage de la réception sans avoir besoin de badge de sécurité, a trouvé la porte du bureau bien ouverte, est passée devant un agent de sécurité assis à un bureau et est entrée directement dans une salle de conférence.

« Nous avions déjà configuré un appareil malveillant », a-t-elle déclaré. Le registre. « Nous avions trouvé les informations d’identification de leur réseau Wi-Fi d’entreprise dans la poubelle, lors d’une fouille dans les poubelles la nuit précédente. Nous avons installé l’appareil derrière le téléviseur dans la salle de conférence, l’avons connecté au réseau et nous avons pu exfiltrer les données. de l’entreprise sur son propre réseau Wi-Fi d’entreprise pendant plus d’une semaine sans que personne ne soit au courant. »

Dans ce cas, le serveur de commande et de contrôle se trouvait être contrôlé par l’équipe rouge d’une société de sécurité qui avait été embauchée par le propriétaire de l’immeuble à locataires multiples qui craignait que les habitants soient « un peu trop détendus » en matière de sécurité des bureaux – donc ces données volées n’étaient pas envoyées au C2 d’un criminel.

Rencontrez Aléthe Denis

Le pirate informatique, Aléthe Denisest consultante principale en sécurité chez Bishop Fox et sa spécialité est l’évaluation de la sécurité physique. Ou, comme le dit Denis : « Je m’introduit par effraction dans les immeubles ».

Elle est également lauréate du DEF CON Social Engineering Capture the Flag avec sa propre place dans le camp d’été des hackers Black Badge Hall of Fame. En tant que testeur d’intrusion dans un magasin de cybersécurité offensive, le travail de Denis implique de nombreuses attaques d’ingénierie sociale, généralement par téléphone et par courrier électronique. « Nous pouvons faire semblant d’être les méchants », a-t-elle déclaré.

Mon type d’ingénierie sociale préféré est le face-à-face… Cela me permet de créer des personnages vraiment convaincants.

Mais « ce que je préfère en matière d’ingénierie sociale, c’est le face-à-face », a-t-elle admis. C’est en partie parce que cela lui permet de réaliser son rêve de devenir actrice. « Mais cela me permet aussi de créer des personnages vraiment convaincants, d’interagir avec les gens et de créer des prétextes plus élaborés. »

Cela implique souvent de se faire passer pour des employés passés ou actuels, ou des fournisseurs qui travaillent dans ou autour de l’entreprise qui a embauché Denis et son équipe pour pénétrer par effraction dans leur immeuble. Leur objectif est généralement de se connecter au réseau de l’entreprise et de voler quelque chose auquel seul un cadre supérieur devrait pouvoir accéder.

« Notre travail consiste à usurper l’identité d’un ancien employé qui a été licencié, et ils nous donnent un badge mais il est désactivé », a-t-elle déclaré, à titre d’exemple d’engagement spécifique impliquant « un ancien employé mécontent essayant de retourner dans le bâtiment et de causer des problèmes ». une sorte de perturbation. »

« Habituellement, la raison pour laquelle ils nous embauchent est qu’ils ont beaucoup investi dans leurs contrôles de sécurité physique, et que les anciens employés mécontents constituent des menaces internes », a ajouté Denis.

Même les pros sont punkés

L’équipe rouge ne réussit pas toujours. Dans le cadre d’un emploi récent, Denis a été chargé de s’introduire dans un fournisseur de logiciels. Elle et ses coéquipiers ont décidé de se faire passer pour des entrepreneurs informatiques sur place pour effectuer une étude du site et réaliser une estimation des coûts pour mettre à niveau le système de caméras de surveillance interne de l’entreprise.

« Parce que si nous pouvions accéder à chaque endroit où se trouve une caméra de surveillance, nous pourrions alors entrer dans la salle des serveurs et installer un appareil, ce qui était l’objectif de l’évaluation », a-t-elle déclaré.

La préparation a duré environ un mois, l’équipe rouge ayant créé une fausse société de vente, dotée d’un numéro de téléphone, d’un service de réponse et d’un bon de travail pour le système de surveillance. « Sachant que nous étions là pour faire une estimation signifiait qu’ils ne vérifieraient pas que nous étions un véritable fournisseur – nous étions encore en train d’essayer de le devenir », a noté Denis.

Le jour de l’effraction prévue, l’un des responsables de la sécurité de l’entreprise se trouvait à la réception.

« Nous avons présenté nos arguments pour entrer dans le bâtiment, et elle a immédiatement contacté le responsable des opérations de sécurité mondiale, que j’ai nommé sur le bon de travail. »

Il s’est avéré qu’il s’agissait d’un ancien membre de l’équipe rouge des Forces de défense israéliennes qui avait également écrit un livre sur la surveillance et la détection secrètes.

« C’est l’une des fois où nous avons été punkés », a déclaré Denis. « Il a écouté notre histoire, nous a appelés à notre mascarade et nous a renvoyés faire nos valises. Je l’ai laissé nous expulser, il nous a laissé repartir avec notre dignité. »

Il n’y a pas que l’IA et les deepfakes

Malgré le buzz autour de l’ingénierie sociale assistée par l’IA et des deepfakes, les conversations humaines – par téléphone, électroniquement ou en personne – restent les tactiques d’ingénierie sociale les plus couramment utilisées et les plus efficaces pour les escrocs qui cherchent à gagner de l’argent avec leurs victimes. .

« Leurs tactiques sont très différentes de celles évoquées dans les formations de sensibilisation à la sécurité ou dans les présentations des fournisseurs concernant les outils permettant de prévenir le phishing et ce genre de choses », a déclaré Denis. « À l’heure actuelle, les nouveautés brillantes sont pour la plupart connectées à l’IA et associées à des mots-clés. »

Même si certains escrocs utilisent des outils d’ingénierie sociale assistés par l’IA et qu’il existe un potentiel « d’attaques très perturbatrices » utilisant des deepfakes, en général, cette technologie n’a pas le retour sur investissement élevé que souhaitent la plupart des cybercriminels, a-t-elle ajouté.

« J’ai des amis et des relations dans des agences à trois lettres, et ces gens me disent que les États-nations détournent leur attention de la création de deepfakes et reviennent à des méthodes plus traditionnelles de phishing vocal par téléphone », a déclaré Denis. .

Et ceux qui sont victimes d’un ingénieur social hautement qualifié « ne seront même pas capables de discerner qu’ils sont la cible d’un agresseur », a-t-elle noté.

« C’est ce que nous avons vu dans la plupart des cas ces dernières années lorsqu’il y a eu une violation importante, ou un accès accordé à quelqu’un qui n’aurait pas dû avoir accès : la personne qui a dialogué avec l’attaquant est devenue la menace interne involontaire », Denis a continué.

« L’attaquant a fait un excellent travail pour établir cette confiance, en se faisant passer pour un employé interne ou une personne ayant droit à cet accès », a-t-elle déclaré. « Et la personne à qui ils parlaient n’en avait aucune idée – il n’y avait aucun moyen pour elle d’identifier que quelque chose n’allait pas – et c’est véritablement un échec du processus. »

Astuces de phishing de l’équipe rouge

Les équipes rouges se faisant passer pour les méchants utilisent ces mêmes techniques et outils pour contourner les produits de sécurité censés détecter et arrêter les e-mails de phishing.

Ils utilisent également des produits de type logiciel en tant que service pour diffuser de faux phishing conçus pour donner l’impression qu’ils proviennent d’un fournisseur tiers, tel qu’un fournisseur d’enquêtes sur l’engagement des employés ou un responsable RH ou informatique interne.

Même si la plupart des gens ont été bien formés pour ne pas tomber dans le piège du phishing en utilisant la politique, la religion ou les sujets d’actualité comme leurres, il existe d’autres problèmes liés au travail que les escrocs peuvent utiliser pour susciter une réponse émotionnelle similaire.

« Cela ressemble à un lien vers une politique qui doit être revue afin de répondre à une question d’enquête », a déclaré Denis. « Le sujet peut être le code vestimentaire, le retour au bureau ou les appareils fournis par l’entreprise. Des choses ordinaires, mais aussi des choses qui passionnent vraiment les gens : combien de temps ils veulent passer au bureau ou ce que les gens veulent porter. travail. Ce qu’ils pensent de leur ordinateur portable fourni par l’entreprise, parce que tout le monde les déteste.

Ce que l’ingénieur social veut faire, c’est déclencher cette réponse émotionnelle

Denis et l’équipe enverront un e-mail avec un lien vers un PDF prétendant être la politique qui doit être révisée pour répondre aux questions de l’enquête. En réalité, le document constitue la charge utile malveillante et il s’exécute lorsque l’employé clique sur le faux PDF de la politique.

« Ce que l’ingénieur social veut faire, c’est déclencher cette réponse émotionnelle », a déclaré Denis. « Ils veulent contourner les parties logiques du cerveau qui traitent la pensée et s’appuyer sur cette réponse animale, au niveau de l’intestin. Ensuite, nous détournons l’amygdale et emmenons la personne avec nous à la première question de l’enquête, lui demandons de cliquer sur ce lien. et à ce stade, je les envoie vers une page de destination de collecte d’informations d’identification.

L’objectif est généralement d’obtenir un accès de niveau administrateur sur une machine compromise, d’élever les privilèges et de voir à quoi l’équipe rouge peut accéder dans le système informatique de l’organisation. Si le courrier électronique seul ne suffit pas, décrocher le téléphone est également très efficace du point de vue du pirate informatique.

« J’essaie de les exploiter ensemble », a déclaré Denis. « Je vais appeler et dire : ‘Hé, je t’ai envoyé un e-mail la semaine dernière, as-tu reçu cet e-mail ?’ Les gens diront généralement : « Non, je ne l’ai jamais compris. » Bien sûr, ils ne l’ont pas fait parce que je n’en ai jamais envoyé. »

Mais à ce stade, la victime a déjà l’impression d’avoir fait une erreur en manquant un e-mail la semaine dernière, et elle se sent désormais redevable envers l’attaquant. « Ils ont l’impression qu’ils me le doivent. Ensuite, je peux leur dire : « Pendant que nous sommes au téléphone en ce moment, est-ce que je peux vous le renvoyer ? Pouvez-vous continuer et faire cette seule chose ? »

La meilleure chose que l’on puisse faire pour éviter d’être victime de ce type d’attaques de phishing vocal est de poser des questions, ce qui déstabilisera généralement suffisamment l’attaquant pour qu’il raccroche et passe à la cible suivante, a-t-elle déclaré.

Et même si l’objectif de Denis en tant que testeur d’intrusion est de mettre fin à l’appel en ayant accès à l’organisation cible – et sans que la personne à l’autre bout du fil sache qu’elle a été trompée – les attaquants réels sont loin d’être aussi gentils. .

« Les escrocs ne se soucient pas de ce que vous ressentez à la fin », a-t-elle déclaré. « Ils vont droit sur la jugulaire. » ®

Source link

Harold Fortieril y a 4 heuresDernière mise à jour: septembre 30, 2024