Le spear phishing est une forme d'attaque combinant hameçonnage et ingénierie sociale, afin de cibler des personnes précises, comme le dirigeant ou l'équipe comptable. Des mails frauduleux personnalisés sont utilisés pour obtenir l'accès aux comptes de ces utilisateurs. Une étude menée par Barracuda et l'Université de Californie Berkeley a passé en revue 159 attaques de ce type afin de comprendre ce que les cybermalfaiteurs font avec les comptes qu'ils ont réussi à compromettre. Selon celle-ci, la plupart du temps les attaquants qui récupèrent des identifiants pour un compte dans le cloud accèdent uniquement à la messagerie de l'utilisateur (dans 78% des cas). Les auteurs émettent deux hypothèses pour expliquer ce comportement : soit les attaquants trouvent peu de données intéressantes dans les autres applications en ligne, soit ils n'ont pas encore de stratégie établie pour exploiter ces services. Par ailleurs, une fois l'accès à un premier compte obtenu, les malfaiteurs usurpent souvent l'identité de l'utilisateur pour envoyer d'autres mails de phishing dans l'entreprise, afin d'obtenir l'accès aux comptes souhaités.
Des cybercriminels qui se spécialisent
L'étude constate également que dans plus d'un tiers des cas (33%), les attaquants exploitent les comptes compromis depuis plus d'une semaine. La phase de réponse aux incidents nécessite donc un soin particulier, afin d'éviter la compromission de comptes supplémentaires. Un compte compromis sur cinq (20%) avait précédemment fuité lors de brèches ayant touché des services en ligne, confirmant que les cybercriminels profitent de la réutilisation d'identifiants sur différents services. Enfin, si dans la moitié des cas une seule organisation opère la compromission et l'exploitation des accès obtenus, dans 31% des attaques les comptes compromis sont revendus, reflétant une spécialisation accrue des cybercriminels : certains se concentrent sur la collecte d'identifiants et d'autres sur la monétisation des accès usurpés.
Commentaire