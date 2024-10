Microsoft utilise des tactiques trompeuses contre les acteurs du phishing en créant des locataires de pots de miel réalistes ayant accès à Azure et en attirant les cybercriminels pour recueillir des renseignements à leur sujet.

Grâce aux données collectées, Microsoft peut cartographier les infrastructures malveillantes, mieux comprendre les opérations de phishing sophistiquées, perturber les campagnes à grande échelle, identifier les cybercriminels et ralentir considérablement leur activité.

Cette tactique et ses effets néfastes sur l’activité de phishing ont été décrits lors de la conférence BSides Exeter par Ross Bevington, ingénieur principal en logiciels de sécurité chez Microsoft, se faisant appeler « responsable de la tromperie » de Microsoft.

Bevington a créé un « pot de miel hybride à haute interaction » sur le système, aujourd’hui à la retraite. code.microsoft.com pour collecter des renseignements sur les menaces sur des acteurs allant des cybercriminels moins qualifiés aux groupes d’États-nations ciblant l’infrastructure Microsoft.

Illusion de succès du phishing

Actuellement, Bevington et son équipe luttent contre le phishing en tirant parti de techniques de tromperie utilisant des environnements locataires Microsoft entiers comme pots de miel avec des noms de domaine personnalisés, des milliers de comptes d’utilisateurs et des activités telles que les communications internes et le partage de fichiers.

Les entreprises ou les chercheurs mettent généralement en place un pot de miel et attendent que les acteurs malveillants le découvrent et agissent. En plus de détourner les attaquants de l’environnement réel, un pot de miel permet également de collecter des informations sur les méthodes utilisées pour pirater les systèmes, qui peuvent ensuite être appliquées sur le réseau légitime.

Bien que le concept de Bevington soit en grande partie le même, il diffère en ce sens qu’il confie le jeu aux attaquants au lieu d’attendre que les acteurs menaçants trouvent un moyen d’y pénétrer.

Dans sa présentation BSides Exeter, le chercheur explique que l’approche active consiste à visiter les sites de phishing actifs identifiés par Defender et à saisir les identifiants des locataires du honeypot.

Étant donné que les informations d’identification ne sont pas protégées par une authentification à deux facteurs et que les locataires contiennent des informations réalistes, les attaquants ont un moyen facile d’entrer et commencent à perdre du temps à chercher les signes d’un piège.

Microsoft affirme surveiller environ 25 000 sites de phishing chaque jour, alimentant environ 20 % d’entre eux avec les informations d’identification du pot de miel ; les autres sont bloqués par CAPTCHA ou d’autres mécanismes anti-bot.

Une fois que les attaquants se connectent aux faux locataires, ce qui se produit dans 5 % des cas, le système active une journalisation détaillée pour suivre chaque action qu’ils entreprennent, apprenant ainsi les tactiques, techniques et procédures des acteurs malveillants.

Les renseignements collectés incluent les adresses IP, les navigateurs, l’emplacement, les modèles de comportement, s’ils utilisent des VPN ou des VPS, et les kits de phishing sur lesquels ils s’appuient.

De plus, lorsque des attaquants tentent d’interagir avec de faux comptes dans l’environnement, Microsoft ralentit autant que possible les réponses.

La technologie de tromperie fait actuellement perdre 30 jours à un attaquant avant qu’il ne se rende compte de la violation d’un faux environnement. Depuis le début, Microsoft collecte des données exploitables qui peuvent être utilisées par d’autres équipes de sécurité pour créer des profils plus complexes et de meilleures défenses.

Bevington mentionne que moins de 10 % des adresses IP collectées de cette manière peuvent être corrélées avec des données contenues dans d’autres bases de données de menaces connues.

La méthode permet de collecter suffisamment de renseignements pour attribuer les attaques à des groupes motivés par des raisons financières ou même à des acteurs parrainés par l’État, tels que le groupe menaçant russe Midnight Blizzard (Nobelium).

Bien que le principe de tromperie pour défendre les actifs ne soit pas nouveau et que de nombreuses entreprises s’appuient sur des pots de miel et des objets canari pour détecter les intrusions et même suivre les pirates informatiques, Microsoft a trouvé un moyen d’utiliser ses ressources pour traquer les acteurs de la menace et leurs méthodes à grande échelle.