Compromis des applications commerciales et l'évolution de l'art de l'ingénierie sociale

L’ingénierie sociale n’est pas un concept nouveau, même dans le monde de la cybersécurité. Les escroqueries par phishing existent depuis près de 30 ans, les attaquants trouvant constamment de nouvelles façons d'inciter les victimes à cliquer sur un lien, à télécharger un fichier ou à fournir des informations sensibles.

Business email compromise (BEC) attacks iterated on this concept by having the attacker gain access to a legitimate email account and impersonate its owner. Attackers reason that victims won’t question an email that comes from a trusted source — and all too often, they’re right.

But email isn’t the only effective means cybercriminals use to engage in social engineering attacks. Modern businesses rely on a range of digital applications, from cloud services and VPNs to communications tools and financial services. What’s more, these applications are interconnected, so an attacker who can compromise one can compromise others, too. Organizations can’t afford to focus exclusively on phishing and BEC attacks — not when business application compromise (BAC) is on the rise.

Cibler l'authentification unique

Businesses use digital applications because they’re helpful and convenient. In the age of remote work, employees need access to critical tools and resources from a wide range of locations and devices. Applications can streamline workflows, increase access to critical information, and make it easier for employees to do their jobs. An individual department within an organization might use dozens of applications, while theune entreprise moyenne en utilise plus de 200. Unfortunately, security and IT departments don’t always know about — let alone approve of — these applications, making oversight a problem.

L'authentification est un autre problème. Créer (et mémoriser) des combinaisons uniques de nom d'utilisateur et de mot de passe peut être un défi pour quiconque utilise des dizaines d'applications différentes pour faire son travail. L’utilisation d’un gestionnaire de mots de passe est une solution, mais elle peut être difficile à mettre en œuvre pour le service informatique. Au lieu de cela, de nombreuses entreprises rationalisent leurs processus d'authentification grâce à des solutions d'authentification unique (SSO), qui permettent aux employés de se connecter une seule fois à un compte approuvé pour accéder à toutes les applications et services connectés. Mais comme les services SSO permettent aux utilisateurs d’accéder facilement à des dizaines (voire des centaines) d’applications professionnelles, ils constituent des cibles de grande valeur pour les attaquants. Les fournisseurs de SSO disposent bien sûr de fonctionnalités et de capacités de sécurité qui leur sont propres, mais l’erreur humaine reste un problème difficile à résoudre.

Ingénierie sociale, évoluée

Many applications — and certainly most SSO solutions — have multifactor authentication (MFA). This makes it more difficult for attackers to compromise an account, but it’s certainly not impossible. MFA can be annoying to users, who may have to use it to sign into accounts multiple times a day — leading to impatience and, sometimes, carelessness.

Some MFA solutions require the user to input a code or show their fingerprint. Others simply ask, “Is this you?” The latter, while easier for the user, gives attackers room to operate. An attacker who already obtained a set of user credentials might try to log in multiple times, despite knowing that the account is MFA-protected. By spamming the user’s phone with MFA authentication requests, attackers increase the victim’s alert fatigue. Many victims, upon receiving a deluge of requests, assume IT is attempting to access the account or click “approve” simply to stop the flood of notifications. People are easily annoyed, and attackers are using this to their advantage.

À bien des égards, cela rend le BAC plus facile à réaliser que le BEC. Les adversaires qui s’engagent dans le BAC n’ont qu’à harceler leurs victimes pour qu’elles prennent une mauvaise décision. Et en ciblant les fournisseurs d’identité et de SSO, les attaquants peuvent accéder à potentiellement des dizaines d’applications différentes, notamment les services de ressources humaines et de paie. Les applications couramment utilisées comme Workday sont souvent accessibles via SSO, ce qui permet aux attaquants de se livrer à des activités telles que le dépôt direct et la fraude à la paie qui peuvent canaliser des fonds directement vers leurs propres comptes.

This kind of activity can easily go unnoticed — which is why it’s important to have in-network detection tools in place that can identify suspicious behavior, even from an authorized user account. In addition, businesses should prioritize the use of Clés de sécurité Fast Identity Online (FIDO) résistantes au phishing
lors de l’utilisation de MFA. Si les facteurs FIDO uniquement pour MFA sont irréalistes, la meilleure chose à faire est de désactiver les e-mails, les SMS, la voix et les mots de passe à usage unique (TOTP) basés sur le temps en faveur des notifications push, puis de configurer les politiques MFA ou du fournisseur d'identité pour restreindre l'accès. aux appareils gérés comme couche de sécurité supplémentaire.

Donner la priorité à la prévention de l’alcoolémie

Articles de la recherche indique
that BEC or BAC tactics are used in 51% of all incidents. While lesser known than BEC, successful BAC grants attackers access to a wide range of business and personal applications associated with the account. Social engineering remains a high-return tool for today’s attackers — one that’s evolved alongside the security technologies designed to stop it.

Les entreprises modernes doivent éduquer leurs employés, leur apprendre à reconnaître les signes d’une escroquerie potentielle et à où la signaler. Alors que les entreprises utilisent de plus en plus d'applications chaque année, les employés doivent travailler main dans la main avec leurs équipes de sécurité pour aider les systèmes à rester protégés contre des attaquants de plus en plus sournois.