Le rapport X-Force IBM de de cette année souligne que les attaquants savent que les informations d’identification sont les clés des environnements cloud et qu’elles sont très recherchées sur les marchés du dark web. Les attaquants ont souvent recours au phishing pour les récupérer par le biais d’attaques de type AITM (« adversary-in-the-middle »)
C’est pourquoi les attaquants ont recours au phishing, au keylogging, au watering hole et aux attaques par force brute pour récupérer les informations d’identification. En outre, les recherches menées sur le dark web mettent en évidence la popularité des infostealers, qui sont utilisés pour voler des informations d’identification spécifiques à des plateformes et à des services cloud, affirme Austin Zeizel, Strategic Cyber Threat Analyst chez IBM.
D’autres conclusions du rapport révèlent des méthodes d’attaque sophistiquées et des moyens d’exploiter les environnements cloud. Le phishing est le principal vecteur d’accès initial. Au cours des deux dernières années, le phishing a été à l’origine de 33 % des incidents liés au cloud, les attaquants ayant souvent recours au phishing pour récupérer des informations d’identification par le biais d’attaques de type AITM (« adversary-in-the-middle »). Les attaques de compromission des e-mails professionnels (BEC : Business Email Compromise) visent les informations d’identification. Les attaques BEC, dans lesquelles les attaquants usurpent des comptes de messagerie en se faisant passer pour un membre de l’organisation victime ou d’une autre organisation de confiance, ont représenté 39 % des incidents au cours des deux dernières années. Les acteurs malveillants exploitent généralement les informations d’identification recueillies lors d’attaques par phishing pour prendre le contrôle de comptes de messagerie et mener d’autres activités malveillantes.
La demande est continue pour des informations d’identification xloud sur le dark web, malgré la saturation du marché. L’obtention d’un accès par le biais d’informations d’identification xloud compromises est le deuxième vecteur d’accès initial le plus courant (28 %), malgré les plateformes SaaS qui sont mentionnées sur les places de marché du dark web, qui ont diminué de 20 % par rapport à 2023.
Le phishing AITM
Austin Zeizel, Strategic Cyber Threat Analyst chez IBM, explique qu’il entraîne la compromission de la messagerie professionnelle et la collecte d’informations d’identification.
“Le phishing AITM est une forme plus sophistiquée d’attaque par phishing dans laquelle les attaquants se positionnent entre la victime et une entité légitime pour intercepter ou manipuler les communications. Ce type d’attaque est particulièrement dangereux car il permet de contourner certaines formes d’authentification multifacteur, ce qui en fait un outil puissant pour les cybercriminels.
Une fois dans l’environnement de la victime, les acteurs malveillants cherchent à atteindre leurs objectifs. Deux des actions les plus fréquemment observées par X-Force sont les attaques BEC (39 %) et la collecte d’informations d’identification (11 %). Par exemple, après qu’un attaquant ait compromis une plateforme de messagerie hébergée dans le Cloud, il peut effectuer plusieurs tâches telles que l’interception de communications sensibles, la manipulation de transactions financières ou l’utilisation d’emails professionnels compromis pour mener d’autres attaques.
L’exploitation des renseignements sur les menaces de sécurité pour alimenter les programmes de formation des employés de l’entreprise peut s’avérer essentielle pour contribuer à atténuer toutes les formes d’attaques par phishing, y compris l’AITM. Les employés doivent être formés à reconnaître et à signaler les techniques de phishing, les emails frauduleux et les liens suspects à leurs équipes informatiques ou de sécurité. Le déploiement d’outils avancés de filtrage et de protection des emails qui exploitent l’IA pour détecter et bloquer les tentatives de phishing, les liens et les pièces jointes malveillants avant qu’ils n’atteignent les utilisateurs finaux est également une stratégie d’atténuation efficace. Enfin, les options d’authentification sans mot de passe, telles que le QR code ou l’authentification FIDO2, peuvent contribuer à la protection contre les attaques de phishing AITM.“
