La célèbre chaîne de casinos MGM Resorts a-t-elle joué avec les données de ses clients ? C’est une question que beaucoup de ces clients se posent probablement maintenant, quelques jours après une cyberattaque qui a détruit de nombreux systèmes de MGM. Et tout a peut-être commencé par un appel téléphonique, si l’on en croit les informations citant les pirates eux-mêmes.

MGM, qui possède plus de deux douzaines d’hôtels et de casinos dans le monde ainsi qu’une branche de paris sportifs en ligne, signalé Lundi, un « problème de cybersécurité » affectait certains de ses systèmes, qu’il a fermés pour « protéger nos systèmes et nos données ». Au cours des jours suivants, des rapports ont indiqué que tout, depuis les clés numériques des chambres d’hôtel jusqu’aux machines à sous, ne fonctionnait pas. Même les sites Web de ses nombreuses propriétés ont été mis hors ligne pendant un certain temps. Les clients se sont retrouvés à faire la queue pendant des heures pour s’enregistrer et obtenir les clés physiques de leur chambre ou pour obtenir des reçus manuscrits pour les gains du casino alors que l’entreprise passait en mode manuel pour rester aussi opérationnelle que possible. MGM Resorts n’a pas répondu à une demande de commentaire et n’a publié que de vagues références à un « problème de cybersécurité » sur Twitter/X, rassurer les invités il s’efforçait de résoudre le problème et que ses stations étaient rester ouvert.

Ces attaques montrent que même les organisations que l’on pourrait s’attendre à être particulièrement verrouillées et protégées contre les attaques de cybersécurité – par exemple, d’énormes chaînes de casino qui rapportent des dizaines de millions de dollars chaque jour – restent vulnérables si le pirate informatique utilise le bon vecteur d’attaque. Et c’est presque toujours un être humain et une nature humaine. Dans ce cas, il semble que les informations accessibles au public et le comportement téléphonique persuasif aient suffi à donner aux pirates informatiques tout ce dont ils avaient besoin pour pénétrer dans les systèmes de MGM et créer ce qui risque d’être des dégâts très coûteux qui nuiront à la fois à la chaîne de villégiature et à bon nombre de ses invités.

Les araignées et les chats revendiquent la responsabilité de l’attaque

Un groupe connu sous le nom de Scattered Spider serait responsable de la violation de MGM et aurait utilisé un ransomware créé par ALPHV, ou BlackCat, une opération de ransomware en tant que service. Scattered Spider est spécialisé dans l’ingénierie sociale, dans laquelle les attaquants manipulent les victimes pour qu’elles effectuent certaines actions en se faisant passer pour des personnes ou des organisations avec lesquelles la victime a une relation. On dit que les pirates sont particulièrement doués pour le « vishing », c’est-à-dire pour accéder aux systèmes via un appel téléphonique convaincant plutôt que par phishing, qui se fait via un e-mail.

On pense que les membres de Scattered Spider sont entre la fin de l’adolescence et le début de la vingtaine, basés en Europe et peut-être aux États-Unis, et parlant couramment l’anglais – ce qui rend leurs tentatives de vishing beaucoup plus convaincantes que, disons, un appel d’une personne avec un accent russe et seulement une connaissance pratique de l’anglais. Dans ce cas, il semble que les pirates aient trouvé les informations d’un employé sur Linkedin et a usurpé leur identité lors d’un appel au service d’assistance informatique de MGM pour obtenir les informations d’identification permettant d’accéder et d’infecter les systèmes.

Quelqu’un prétendant être un représentant du groupe a déclaré au Financial Times qu’il avait volé et crypté les données de MGM et exigeait un paiement en crypto pour les libérer. C’était le plan de secours ; le groupe avait initialement prévu de pirater les machines à sous de l’entreprise, mais n’y est pas parvenu, a affirmé le représentant.

Si tout cela vous fait penser que nous sommes au milieu d’un remake de Océan 13, vous devez également savoir qu’il se peut qu’il ne soit pas exact. ALPHV/BlackCat est nier certaines parties de ces rapports, en particulier la tentative de piratage de la machine à sous. Le groupe a publié jeudi soir un message revendiquant la responsabilité de l’attaque, mais niant qu’elle ait été perpétrée par des adolescents aux États-Unis et en Europe ou que quiconque ait tenté de falsifier les machines à sous. Il également critiqué ce qu’il a dit était des rapports inexacts sur le piratage et a déclaré qu’il n’avait officiellement parlé à personne du piratage et qu’il ne le ferait « très probablement » pas à l’avenir. Le message indiquait que des données avaient été volées à MGM, qui a jusqu’à présent refusé de dialoguer avec les pirates informatiques ou de payer une quelconque rançon.

Il semble que MGM n’ait pas été la seule chaîne de casino touchée par une récente cyberattaque. Caesars Entertainment a payé des millions de dollars aux pirates informatiques qui ont violé ses systèmes à peu près au même moment que MGM et a pu poursuivre ses opérations normalement. Caesars a admis la violation dans un dossier déposé jeudi auprès de la Securities and Exchange Commission, dans lequel il a déclaré qu’un « fournisseur de support informatique externalisé » avait été victime d’une « attaque d’ingénierie sociale » qui a abouti à la divulgation de données sensibles sur les membres de son programme de fidélisation de la clientèle. volé. Bien que la méthode soit très similaire à celles qui auraient été utilisées par Scattered Spider et que l’attaque ait eu lieu presque en même temps que celle de MGM, le représentant présumé du groupe a déclaré au Financial Times qu’il n’en était pas derrière. Bien que, encore une fois, un autre groupe semble nier que Scattered Spider ait commis l’une des attaques, ou du moins, la façon dont les événements ont été rapportés n’est pas exacte.

Pourquoi le vishing fonctionne

Bien que nous n’ayons pas encore la confirmation de qui a attaqué MGM ni même comment, la méthode présumée, le vishing, est une menace de cybersécurité connue contre laquelle de nombreuses organisations ne se sont pas suffisamment protégées. Un mélange de « voix » et de « phishing », le vishing, comme toutes les techniques d’ingénierie sociale, cible ce qui est généralement le maillon le plus faible de la chaîne de cybersécurité : nous. Plus de 90 % des cyberattaques commencent par du phishing, qui constitue également l’un des moyens les plus courants de pénétration des organisations. Et le vishing est une voie d’attaque particulièrement efficace : un rapport IBM de 2022 a révélé que les attaques de phishing ciblées incluant des appels téléphoniques étaient trois fois plus efficaces que celles qui n’en incluaient pas.

« Il y a toujours une petite porte dérobée, et toutes les meilleures défenses et tous les outils coûteux peuvent être trompés par une bonne attaque d’ingénierie sociale », a déclaré à Vox Peter Nicoletti, responsable mondial de la sécurité de l’information chez la société de cybersécurité Check Point Software.

Les attaques de ransomware ne sont pas inhabituelles de nos jours. Ils ont fermé les principaux gazoducs, les banques, les hôpitaux, les écoles, les producteurs de viande, les gouvernements et les médias. À ce stade, il est difficile de trouver une industrie ou un secteur qui n’a pas été touché par une attaque de ransomware. Le « vishing », en revanche, est une méthode qui n’a pas encore retenu autant d’attention, mais nous pourrions bien en voir beaucoup plus.

« Ce que nous constatons, en particulier dans la nouvelle ère de l’intelligence artificielle, c’est que les attaquants exploitent non seulement les informations piratées qu’ils trouvent sur vous, mais également toutes les informations de votre profil social », a déclaré Nicoletti.

Stephanie Carruthers, « hacker en chef » chez IBM, utilise l’ingénierie sociale pour tester les systèmes des organisations clientes afin de détecter des vulnérabilités potentielles. Cela inclut le vishing, qui lui donne une place au premier rang sur la façon dont il peut être utilisé pour accéder à une cible.

« Du point de vue de l’attaquant, le vishing est facile », a-t-elle déclaré à Vox. « Avec le phishing, je dois mettre en place une infrastructure, je dois rédiger un e-mail et effectuer toutes ces tâches techniques supplémentaires. Mais avec le vishing… il s’agit de décrocher le téléphone, d’appeler quelqu’un et de demander une réinitialisation du mot de passe. C’est assez simple.

L’une des clés du succès d’une attaque de vishing consiste à en savoir suffisamment sur un système, une entreprise ou un employé pour réussir l’usurpation d’identité. Vous pouvez en apprendre beaucoup sur les personnes et les organisations simplement à partir de ce qui est accessible au public, notamment sur les cibles à forte valeur ajoutée des entreprises.

« Cela rend le travail d’un attaquant beaucoup plus facile », a déclaré Carruthers. « Des choses comme LinkedIn et différents types de moteurs de recherche de personnes, c’est la première étape pour réussir un projet. » À partir de là, l’attaquant peut utiliser d’autres techniques d’ingénierie sociale, comme ajouter un sentiment d’autorité ou d’urgence à une requête. Les organisations dont les processus de vérification sont inadéquats pour prouver que l’appelant est bien celui qu’il prétend être sont particulièrement vulnérables. « C’est quelque chose que nous voyons se produire tout le temps », a ajouté Carruthers.

Le fait que les entreprises négligent souvent le vishing dans la formation de leurs employés en matière de cybersécurité n’aide pas, et elles ne demandent pas à des personnes comme Carruthers de tester les vulnérabilités au vishing, comme elles le font pour le phishing. Une attaque très médiatisée comme celle de MGM pourrait changer la donne. Mais cela pourrait également conduire à une augmentation des attaques par vishing, maintenant que d’autres pirates informatiques voient que cela donne des résultats.

Alors, que pouvez-vous faire pour vous protéger ? Lorsqu’il s’agit de tenter de vous viser personnellement, les mêmes règles générales concernant la prudence quant aux informations que vous partagez et avec qui s’appliquent. Ne divulguez pas vos identifiants de connexion et vos mots de passe, et faites également attention à vos données accessibles au public, car des attaques pourraient les utiliser contre vous (ou pour usurper votre identité pour tromper quelqu’un d’autre). Vérifiez que les gens sont bien ceux qu’ils prétendent être avant de dialoguer avec eux. Utilisez des mots de passe différents sur tous vos comptes, de sorte que si quelqu’un accède à l’un d’entre eux, il ne puisse pas accéder aux autres, et utilisez l’authentification multifacteur pour une autre couche de protection.

Dans ce cas, cependant, les gens ne peuvent pas faire grand-chose lorsqu’une entreprise à laquelle ils confient leurs données ne dispose pas de systèmes suffisants pour les protéger, ce qui n’est pas le cas de beaucoup d’entre eux. Mais ils peuvent prendre certaines mesures après coup pour minimiser les dommages possibles. Nicoletti affirme que les clients de MGM devraient vérifier leurs relevés bancaires au cas où leurs numéros de carte de débit seraient révélés lors de la violation, voire demander à leur banque une nouvelle carte entièrement. Il affirme également que les clients de MGM devraient se méfier particulièrement des courriels prétendant provenir de MGM, au cas où les pirates auraient obtenu les adresses électroniques des clients. Et surtout, ne cliquez sur aucun lien et ne fournissez aucun identifiant si cela vous est demandé.

Carruthers recommande aux clients de MGM d’être à l’affût des frais étranges sur leurs cartes de crédit. Elle leur recommande également d’envisager de geler leur crédit, ce qui est gratuit et facile à faire et empêche les éventuels voleurs d’identité de retirer des cartes de crédit à leur nom.