Comment attaquer votre propre service desk

En 2020, les cybercriminels ont lancé une attaque de spear phishing contre Twitter qui a réussi à arnaquer les victimes sur 180 000 $ de Bitcoin.

L’attaquant a utilisé une arnaque d’ingénierie sociale par téléphone contre des employés de Twitter afin d’accéder à des comptes privilégiés. L’agresseur a ensuite utilisé ces comptes pour accéder à divers comptes de célébrités et a envoyé des tweets promettant à ses abonnés que s’ils faisaient don de Bitcoin, ils recevraient le double de ce montant en retour sous forme de soulagement COVID.

L’attaque contre Twitter n’est pas un incident isolé. Des attaques similaires ont depuis été perpétrées contre des dizaines d’autres entreprises. Ces attaques illustrent collectivement les dommages qui peuvent être causés par les attaques d’ingénierie sociale.

Pourquoi les helpdesks sont vulnérables

Alors qu’un cybercriminel peut en théorie lancer une attaque d’ingénierie sociale contre n’importe quelle partie d’une organisation, de telles attaques ciblent souvent le service d’assistance. Les attaquants savent que s’ils réussissent à tromper le personnel du service d’assistance, ils peuvent facilement accéder à des comptes privilégiés.

Tout ce que l’attaquant a à faire est de se faire passer pour un utilisateur légitime et de demander une réinitialisation du mot de passe. Ce faisant, le technicien donnera littéralement à l’attaquant un mot de passe qu’il pourra utiliser pour accéder à un compte privilégié.

Déjà en 2017, « l’ingénierie sociale représentait 38 % des attaques contournant les défenses de l’entreprise » (la source).

Aujourd’hui, ce nombre est probablement encore plus élevé puisque l’attaque de Twitter a servi à enhardir d’autres personnes qui auraient pu envisager un tel exploit. Ceci, combiné à la provenance du travail à distance, a fait du service d’assistance une cible de plus en plus tentante pour les attaquants.

Adopter une approche offensive pour l’attaque du centre d’assistance

Il est clairement dans l’intérêt d’une organisation de contrecarrer à tout prix ces types d’attaques d’ingénierie sociale, mais il peut parfois être difficile de savoir par où commencer.

L’une des meilleures options consiste à attaquer votre propre centre de services dans le cadre d’un exercice de l’équipe rouge. Les exercices de l’équipe rouge, parfois appelés exercices de l’équipe rouge / équipe bleue ou exercices de l’équipe rouge / équipe blanche, sont essentiellement un événement au cours duquel le personnel de sécurité d’une organisation et / ou une société de conseil en sécurité externe lancent une attaque contre les cyberdéfenses d’une organisation.

Ceci est fait comme un moyen de déterminer si l’organisation est vulnérable aux attaques. Si une équipe bleue (parfois appelée équipe blanche) est impliquée, son rôle est d’essayer de détecter l’attaque en cours et de tenter de l’empêcher de réussir.

Un exercice Red Team est différent d’un test d’intrusion. Alors qu’un test d’intrusion évalue essentiellement une série d’éléments de la liste de contrôle, un exercice de l’équipe rouge ressemble davantage à une attaque dans le monde réel. L’équipe rouge ne se contente pas de rechercher les vulnérabilités du réseau, elle essaie en fait d’atteindre certains objectifs (comme contraindre le personnel du service d’assistance à leur donner accès à des comptes privilégiés).

Première étape de l’équipe rouge : définissez vos paramètres

Les exercices de l’équipe rouge nécessitent une planification minutieuse. L’une des premières choses qu’une organisation doit faire avant de mener un exercice d’équipe rouge est de définir les objectifs que l’équipe rouge essaie d’atteindre. Ces objectifs (qui sont parfois appelés drapeaux) ont tendance à être très spécifiques. Dans le cas d’un exercice dirigé contre le service d’assistance, les objectifs peuvent consister à inciter un technicien à réinitialiser un mot de passe, à accéder à un compte privilégié, puis à accéder à une ressource sensible.

Une autre considération est que les organisations établissent presque toujours des règles de base pour les exercices de l’équipe rouge. Ces règles de base concernent généralement les techniques que l’équipe rouge est et n’est pas autorisée à utiliser lors de son attaque.

L’objectif est de garder les attaques réalistes et représentatives de ce qui pourrait se passer dans le monde réel, tout en évitant de faire quoi que ce soit qui pourrait nuire à l’organisation. Par exemple, une règle de base peut stipuler que toutes les interactions avec le service d’assistance doivent se faire par téléphone ou par e-mail (et non en personne).

Il est important de définir des attentes claires quant à la fin de l’exercice (afin qu’il ne se poursuive pas indéfiniment) et quelles devraient être les conséquences de l’exercice. N’oubliez pas que l’objectif est d’apprendre de l’exercice, il est donc important d’établir dès le départ que personne ne devrait perdre son emploi si l’attaque de l’équipe rouge réussit.

Deuxième étape de l’équipe rouge : prenez vos découvertes à cœur

Lorsqu’une organisation conclut son exercice d’équipe rouge, il est important d’envisager les prochaines étapes. Si, par exemple, l’équipe rouge réussit à compromettre le service d’assistance de l’organisation, comment l’organisation peut-elle utiliser ces informations pour empêcher qu’une telle attaque ne réussisse à l’avenir ?

La formation des employés est un bon début, mais il est également important de mettre en place des contrôles qui empêcheront le service d’assistance d’être à nouveau compromis. Cela peut être particulièrement difficile pour ceux qui essaient de se défendre contre les attaques d’ingénierie sociale. Alors que de nombreux produits de cybersécurité traitent des vulnérabilités techniques, relativement peu sont capables de se défendre contre les attaques d’ingénierie sociale.

Comment Specops pourrait vous aider

Bureau de service sécurisé Specops est un excellent outil pour protéger un service d’assistance contre les attaques d’ingénierie sociale. Bien que Specops Secure Service Desk offre de nombreuses fonctionnalités, trois fonctionnalités sont particulièrement utiles pour contrecarrer les attaques d’ingénierie sociale.

Secure Service Desk permet aux utilisateurs de réinitialiser en toute sécurité leurs propres mots de passe et de déverrouiller leurs propres comptes.

Cela devrait réduire considérablement le nombre d’appels au service d’assistance liés au mot de passe (ce qui présente l’avantage supplémentaire de réduire les coûts). Comme le volume d’appels est réduit, tout appel lié au mot de passe que le service d’assistance reçoit sera tout naturellement soumis à un examen plus minutieux qu’auparavant.

Fournit les outils du service d’assistance pour vérifier positivement l’identité d’un appelant, garantissant ainsi que le personnel du service d’assistance n’effectue pas de réinitialisation du mot de passe pour un attaquant qui se fait passer pour un utilisateur légitime.

Le processus de vérification de l’identité de l’utilisateur n’est pas basé sur la capacité de l’utilisateur à répondre à des questions basées sur la connaissance (par exemple, quel est votre numéro d’identification d’employé). Au lieu de cela, l’identité d’un utilisateur peut être vérifiée en envoyant un code à usage unique sur son smartphone ou en demandant à l’utilisateur de s’authentifier à l’aide d’un service d’authentification tel que Okta Verify, PingID, Duo Security ou Symantec VIP.

Il est impossible pour un technicien de réinitialiser le mot de passe d’un utilisateur à moins que l’utilisateur n’ait terminé le processus de vérification.

Cela empêche un attaquant de faire en sorte qu’un technicien se sente désolé pour lui afin que le technicien enfreigne les règles et réinitialise un mot de passe. Il n’y a pas d’exception pour les amis de travail, les collègues qui se connaissent depuis des années ou même le PDG. Une approche robotique enlève le blâme et la responsabilité du personnel informatique.

Tu peux testez gratuitement Specops Secure Service Desk dans votre Active Directoryà toute heure.

Sponsorisé par Forces spéciales

Comment attaquer votre propre service desk

Pourquoi les helpdesks sont vulnérables

Adopter une approche offensive pour l’attaque du centre d’assistance

Première étape de l’équipe rouge : définissez vos paramètres

Deuxième étape de l’équipe rouge : prenez vos découvertes à cœur

Comment Specops pourrait vous aider

Vulnérabilité critique F5 BIG-IP ciblée par des attaques destructrices

Le centre de cybersécurité britannique a envoyé 33 millions d’alertes aux entreprises

GitHub annonce une expérience 2FA améliorée pour les comptes npm

Microsoft corrige le nouveau relais NTLM zero-day dans toutes les versions de Windows

Microsoft May 2022 Patch Tuesday corrige 3 zero-days et 75 failles

Le gouvernement britannique publie un outil gratuit pour vérifier les risques de cybersécurité des e-mails

Les AirPods Pro 2 débarquent à 150 $, l’Apple Watch SE 2 à partir de 189 $, les bracelets officiels, plus

Ubiquiti lance la nouvelle Dream Machine Pro Max pour servir de grands déploiements avec des milliers d’appareils

Sonos dévoile une refonte de son application avec un écran d’accueil personnalisable, une recherche dans tous les services, etc.

Les lunettes Ray-Ban Meta intègrent désormais Apple Music avec les commandes vocales

MagSafe Monday : le support pour ordinateur portable OneTap de Spigen offre un moyen simple de regarder MLB.TV à votre bureau

Proton ajoute une surveillance détaillée du Dark Web pour les forfaits payants

Raccourci iPhone pour activer/désactiver les services de localisation

Les écouteurs antibruit causent-ils des maux de tête ?

Voyant vert clignotant sur votre étui Airpods ? Apprenez à résoudre