Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur www.xmco.fr et testez-le gratuitement .
Le développeur de jeux vidéos Activision et la plateforme d’échange de cryptomonnaie Coinbase ont été respectivement victimes, en décembre 2022 et février 2023, de campagnes mêlant phishing au SMS (ou SMiShing) et ingénierie sociale. Ces campagnes permettaient de contourner l’authentification multifactorielle (MFA).
SMiShing ou le phishing par SMS
Selon l’Anti-Phishing Working Group, une organisation qui lutte contre le phishing et d’autres formes de cybercriminalité, plus d’un million d’attaques de phishing auraient été observées au cours du deuxième trimestre de 2022, dont une augmentation de 70% du nombre d’attaques par SMS. Comme pour le phishing par email, les acteurs malveillants cherchent à inciter leurs victimes à suivre un lien malveillant envoyé par SMS, ou à divulguer des informations personnelles.
Dans le cas de Coinbase, plusieurs employés ont reçu des SMS leur demandant de se connecter d’urgence à leur compte afin d’accéder à un message important. Le SMS contenait un lien frauduleux qui permettait aux acteurs malveillants de récupérer l’identifiant et le mot de passe de la victime.
Selon le CISO de Coinbase, cette campagne de phishing est liée à une campagne précédente qui a ciblé l’entreprise Okta.
Le groupe à l’origine de cette attaque, baptisé Oktapus, aurait compromis plus de 130 organisations en 2022, dont Twilio, Cloudflare, Digital Ocean et DoorDash.
Contournement de la MFA
Une fois que la victime a révélé son identifiant et son mot de passe, les acteurs malveillants utilisent des techniques d’ingénierie sociale pour contourner la MFA et tenter de se connecter au compte.
Dans le cas de Coinbase, la victime était appelée sur son téléphone par l’acteur malveillant 20 minutes après avoir reçu le SMS de phishing. Celui-ci se faisait passer pour un employé de la sécurité informatique de Coinbase, invitant la victime à révéler le code MFA. Une fois le code MFA obtenu, l’acteur malveillant pouvait accéder au compte de la victime.
Ces cas démontrent les limites du MFA face aux campagnes de phishing couplées à une ingénierie sociale de plus en plus persistante et soulignent le besoin de sensibilisation des employés à ces risques.
Références :
Découvrir d'autres articles
-
Cyber Threat IntelligenceTakedown : Un moyen essentiel pour lutter contre la cybercriminalité
Lire l'article -
Cyber Threat IntelligenceRetour sur les opérations hacktivistes ciblant la France en marge du conflit israélo-palestinien
Lire l'article -
Cyber Threat IntelligenceTactiques et techniques d’évasion des APT associées à la Chine
Lire l'article