Une campagne active de phishing vocal (vishing) est utilisée pour arnaquer les employés de nombreuses industries différentes qui travaillent actuellement à distance.
Lors de cette campagne, les pirates se font passer pour une entité de confiance et essayent de tirer parti de tactiques d’ingénierie sociale pour persuader leurs victimes de partager l’accès à leur réseau privé virtuel (VPN) d’entreprise.
Un avis commun sur cette arnaque a été publié par le Federal Bureau of Investigation (FBI) et l’Agence de cybersécurité et de sécurité des infrastructures (CISA) du DHS. Ces derniers temps, ce type d’attaque a gagné en popularité en raison de l’augmentation considérable du travail à distance pendant la pandémie du COVID-19.
Le vishing : une attaque bien organisée
Pour commencer, les pirates achètent et enregistrent des noms de domaines qui seront ensuite utilisés pour héberger des pages de phishing, prétendant être la page de connexion VPN interne de l’entreprise ciblée. Ils essaient également d’obtenir des certificats SSL pour les domaines afin de les faire apparaître comme réels et authentiques.
De nombreux systèmes de dénomination sont utilisés pour les domaines, comme [entreprise] — soutien, soutien — [entreprise] et employé — [entreprise], afin de les rendre plus vraisemblables. Grâce à ces tactiques, les cybercriminels pourront enfin être capables de recueillir des données sur les employés de l’entreprise ciblée.
Les informations recueillies comprennent les noms, les adresses, les numéros de téléphone personnels, les titres de poste des employés ainsi que la période pendant laquelle ils travaillent dans l’entreprise. Ces informations sont ensuite utilisées pour gagner la confiance du membre du personnel visé.
Lors de la phase suivante, les employés sont contactés à partir d’un numéro de voix sur IP (VOIP). Au départ, le numéro VOIP n’est pas révélé.
Plus tard, les pirates informatiques commencent à usurper le numéro pour faire croire que l’appel provenait d’un bureau de l’entreprise ou d’un autre membre du personnel au sein de l’entreprise.
Les employés sont alors informés qu’ils recevront un lien sur lequel ils devront cliquer pour se connecter à un nouveau système VPN. Ils sont également informés qu’ils devront répondre à toute communication d’authentification à deux facteurs (2FA) et de mot de passe unique (OTP) avec leur téléphone.
Ensuite, les attaquants saisissent les informations de connexion au fur et à mesure qu’elles sont entrées sur leur faux site web et les utilisent pour se connecter à la page VPN légitime de l’entreprise.
Les pirates utilisent également le SIM-swap pour contourner l’étape 2FA/OTP, en se servant des informations recueillies sur l’employé pour persuader leur fournisseur de téléphonie mobile de porter leur numéro de téléphone sur leur carte SIM. Cela permet de s’assurer que tout code 2FA est envoyé directement au pirate.
Enfin, ils utilisent ces informations pour accéder au réseau de l’entreprise ciblée afin de voler des données sensibles pour pouvoir les utiliser dans d’autres attaques.
Selon le FBI et la CISA, l’objectif ultime de cette arnaque est de tirer profit de l’accès au VPN d’entreprise.
Les recommandations du FBI et de la CISA pour se protéger du vishing
Le FBI et la CISA recommandent de limiter les connexions VPN aux périphériques gérés en utilisant des mécanismes tels que les vérifications matérielles ou les certificats téléchargés.
Cela permet de limiter les heures pendant lesquelles les VPN peuvent être utilisés pour accéder au réseau d’entreprise, utiliser des outils de surveillance de domaine ou gérer les applications Web, dans le but de protéger le réseau des accès non autorisés et de toute autre activité suspecte.
Par ailleurs, une procédure d’authentification formelle devrait être créée pour les communications d’employé à employé sur le réseau téléphonique public, où un second facteur est nécessaire pour authentifier l’appel téléphonique avant la divulgation de toute donnée sensible.
Pour finir, le FBI et la CISA soulignent que les données doivent permettre de surveiller l’accès et les activités des utilisateurs autorisés afin de repérer les activités suspectes.
Quant aux employés, ils doivent être informés de l’escroquerie et recevoir l’instruction de signaler tout appel suspect à leur service de sécurité informatique.