Les voleurs convoitent votre salaire. Mais au lieu d'utiliser un masque et une arme, ils sont assis derrière un clavier et un téléphone.
Okta Threat Intelligence a récemment publié un avis de menace soulignant une autre méthode utilisée par les acteurs malveillants pour obtenir un accès non autorisé aux applications de paie.
Dans un groupe d'activités de menace suivi par Okta sous le nom de O-UNC-034, des cybervoleurs ont utilisé l'ingénierie sociale, appelant le personnel du service d'assistance par téléphone et tentant de les tromper pour qu'ils réinitialisent le mot de passe d'un compte utilisateur. Ces attaques ont eu un impact sur de multiples secteurs, notamment l'éducation, la fabrication et le commerce de détail, et font suite à des attaques similaires sur les systèmes de paie plus tôt cette année, qui ont exploité la publicité malveillante et le phishing d'identifiants pour l'accès initial.
« Il est intéressant de voir des acteurs de la fraude salariale rejoindre le nombre croissant de groupes d'acteurs malveillants ciblant les professionnels du service d'assistance pour accéder aux comptes utilisateurs », déclare Brett Winterford, vice-président de Threat Intelligence chez Okta. « Cette situation souligne l'importance de fournir au personnel de support informatique les outils nécessaires pour vérifier l'identité des appelants entrants et leur offrir des options de récupération de compte qui limitent la capacité d'un appelant malveillant à prendre le contrôle d'un compte. »
Les attaques à petite échelle passent inaperçues
Pourquoi cibler les chèques de paie individuels plutôt que, par exemple, de déployer des ransomwares ou de se livrer à l'extorsion de données pour des gains financiers potentiels nettement plus élevés ?
« À première vue, une campagne en plusieurs étapes comme celle-ci semble demander beaucoup d'efforts pour un détournement ponctuel d'un chèque de paie », explique Winterford. « Ce n'est qu'à l'échelle que l'économie fonctionne. Il ne serait pas difficile non plus, avec un peu de reconnaissance, d'optimiser l'attaque pour les personnes à revenus plus élevés ou pour celles qui sont sur le point de recevoir un plan de départ. »
Une autre théorie est que cibler des individus aide les attaquants à rester sous le radar, évitant ainsi l'attention indésirable des forces de l'ordre.
O-UNC-034 n'est qu'un exemple d'activité de menace ciblant les applications RH et de paie. Plus tôt cette année, Okta Threat Intelligence a suivi une campagne de malvertising (O-TA-54) utilisant le même thème.
Ces attaques de type « pirate de la paie » exploitaient principalement des campagnes de « malvertising » (publicité malveillante ou de compromission) pour diffuser des publicités malveillantes qui se faisaient passer pour des sites Web de services gouvernementaux et d'entreprises légitimes, apparaissant souvent comme des résultats « sponsorisés » en haut des résultats de recherche. Si un employé sans méfiance recherchant un portail RH cliquait sur ces publicités, il serait redirigé vers des sites de phishing, qui utilisent de fausses pages de connexion conçues pour tromper les victimes en leur faisant saisir leurs identifiants et d'autres informations financières sensibles. Ces données sont ensuite interceptées par le cybercriminel, ce qui lui permet de prendre le contrôle du compte de la victime.
La différence ici avec O-UNC-034 est le ciblage des employés du service d'assistance par téléphone, une tactique également employée par des groupes de menaces tels que UNC3944 (« Scattered Spider », « Muddled Libra »).
Dans les attaques O-UNC-034, le stratagème commence par un appel téléphonique au service d'assistance demandant une réinitialisation du mot de passe au nom d'un utilisateur connu. Si la demande est accordée, les attaquants tenteront d'enregistrer leur propre authentificateur d'authentification multifacteur pour le compte compromis. En cas de succès, le cybercriminel tente d’accéder aux applications de paie telles que Workday, Dayforce HCM et ADP, et utilise cet accès pour manipuler les coordonnées bancaires du compte compromis.
Comment les responsables de la sécurité devraient se préparer
À la lumière de ces types d’attaques, il est essentiel pour les dirigeants d’entreprise d’établir un processus normalisé pour vérifier l’identité des utilisateurs distants qui contactent le personnel de support, déclare Winterford. Okta recommande également aux organisations d’inscrire les utilisateurs à des authentificateurs forts, tels que Okta FastPass, FIDO2 WebAuthn et les cartes à puce, et d’appliquer la résistance au phishing dans leurs politiques.
« Nous recommandons de ne pas donner à votre première ligne de professionnels du centre de services les autorisations nécessaires pour modifier les facteurs d'authentification des utilisateurs », dit-il. « Au lieu de cela, ils devraient avoir la possibilité d'émettre des codes d'accès temporaires, et seulement après que la personne a vérifié avec succès son identité. »
« Nous recommandons aux administrateurs de restreindre l’accès aux applications sensibles aux terminaux qui sont surveillés et protégés par des outils de gestion des terminaux », poursuit-il. « Pour les demandes d’accès provenant de réseaux rarement utilisés, ils devraient envisager d’exiger un niveau d’assurance d’identité plus élevé ou de refuser purement et simplement la demande. »
Les clients peuvent utiliser les zones réseau Okta (Okta Network Zones) pour contrôler l'accès par emplacement, numéro de système autonome, IP et type d'IP. Il poursuit en ajoutant que les évaluations du comportement et des risques d'Okta (Okta Behavior and Risk) identifient les demandes d'accès qui s'écartent des modèles d'activité utilisateur établis précédemment.
« Le social engineering ne fera que progresser à mesure que les attaquants utilisent la technologie deepfake et l’IA pour se faire passer pour des victimes », déclare Winterford. « La sensibilisation aux types d'appâts qui existent sera un élément essentiel de la défense de toute organisation. » La formation de sensibilisation à la sécurité doit suivre le rythme des menaces, et les employés doivent être habilités à signaler les activités suspectes le plus facilement possible. »
Les clients d’Okta peuvent en savoir plus sur les attaques dans un avis de menace détaillé concernant O-UNC-034. Pour plus d’informations sur la protection de votre environnement contre les attaques de phishing et l’ingénierie sociale, consultez nos conseils sur la façon de construire un pare-feu humain contre les attaques sophistiquées.
