Le terme « usurpation” peut avoir une implication comique dans certains contextes, mais ce n’est pas une blague en matière de sécurité de l’information. En fait, c’est un sujet d’un chapitre entier distinct dans le manuel d’un cybercriminel chevronné. Il comprend une multitude de techniques visant à camoufler un acteur ou un appareil malveillant comme quelqu’un ou autre chose., L’objectif est de feindre la confiance, de prendre pied dans un système, de mettre la main sur des données, de voler de l’argent ou de distribuer des logiciels prédateurs.
Qu’est-ce que les chapeaux noirs peuvent essayer de forger pour faire éclater leurs attaques? Une tonne de choses: une adresse IP, un numéro de téléphone, une page Web, un formulaire de connexion, une adresse e – mail, un message texte, une position GPS, son visage-vous le nommez. Certains de ces canulars tiraillent sur la crédulité humaine, tandis que d’autres tirent profit de l’exploitation de défauts matériels ou logiciels., Parmi tous les scénarios infâmes qui correspondent au moule d’une attaque par usurpation, les 11 types suivants ont un impact croissant pour l’enterprise ces jours-ci.
-
l’Usurpation ARP
celui-ci est une source commune de man-in-the-middle attaques. Pour l’exécuter, un cybercriminel inonde un réseau local avec des paquets falsifiés du protocole ARP (Address Resolution Protocol) afin d’altérer le processus normal de routage du trafic. La logique de cette interférence se résume à lier l’adresse MAC de l’adversaire avec l’adresse IP de la passerelle LAN par défaut de la cible., À la suite de cette manipulation, tout le trafic est redirigé vers l’ordinateur du malfaiteur avant d’atteindre sa destination prévue. Pour couronner le tout, l’attaquant peut être en mesure de déformer les données avant de les transmettre au destinataire réel ou d’arrêter toute communication réseau. Comme si ces effets indésirables ne suffisaient pas, l’usurpation d’ARP peut également servir de tremplin pour les attaques DDoS.
-
MAC Spoofing
En théorie, chaque carte réseau intégrée à un périphérique connecté devrait avoir une adresse MAC (Media Access Control) unique qui ne sera pas rencontrée ailleurs., En pratique cependant, un hack intelligent peut renverser cet état de choses. Un attaquant peut exploiter les imperfections de certains pilotes matériels pour modifier ou usurper l’adresse MAC. De cette façon, le criminel fait passer son appareil pour un inscrit dans un réseau cible pour contourner les mécanismes traditionnels de restriction d’accès. À partir de là, il peut se faire passer pour un utilisateur de confiance et orchestrer des fraudes telles que le compromis de messagerie professionnelle (BEC), voler des données ou déposer des logiciels malveillants dans l’environnement numérique.,
-
Usurpation d’adresse IP
Pour effectuer cette attaque, l’adversaire envoie des paquets de Protocole Internet qui ont une fausse adresse de la source. C’est un moyen d’obscurcir l’identité en ligne réelle de l’expéditeur du paquet et de se faire ainsi passer pour un autre ordinateur. L’usurpation d’adresse IP est souvent utilisée pour déclencher des attaques DDoS. La raison en est qu’il est difficile pour l’infrastructure numérique de filtrer de tels paquets frauduleux, étant donné que chacun semble provenir d’une adresse différente et que, par conséquent, les escrocs feignent le trafic légitime de manière assez convaincante., En outre, cette technique peut être utilisée pour contourner les systèmes d’authentification qui utilisent l’adresse IP d’un périphérique comme identifiant critique.
-
DNS Cache Poisoning (DNS Spoofing)
Chaque utilisateur technophile connaît le wiki du serveur de noms de domaine (DNS): il mappe les noms de domaine à des adresses IP spécifiques afin que les gens tapent des URL faciles à mémoriser dans le navigateur plutôt que d’entrer les chaînes IP sous-jacentes. Les acteurs de la menace peuvent être en mesure de contorsionner cette logique de mappage en piggybacking sur les failles connues de mise en cache du serveur DNS., À la suite de cette interférence, la victime court le risque d’aller à une réplique malveillante du domaine prévu. Du point de vue d’un cybercriminel, c’est une base parfaite pour les canulars de phishing qui ont l’air vraiment vrais.
-
Usurpation d’adresse e-mail
Les protocoles de messagerie de base ne sont pas impeccables et peuvent donner plusieurs options à un attaquant pour déformer certains attributs de message. L’un des vecteurs communs de cet abus se résume à modifier l’en-tête de l’e-mail., Le résultat est que l’adresse de l’expéditeur (affichée dans le champ « De”) semble correspondre à une adresse légitime tout en provenant d’une source entièrement différente. L’attaquant peut profiter de cette incohérence pour se faire passer pour une personne de confiance telle qu’un collègue, un cadre supérieur ou un entrepreneur. Les escroqueries BEC mentionnées ci-dessus s’appuient fortement sur cette exploitation, ce qui fait que les efforts d’ingénierie sociale tirent les bonnes ficelles pour que la victime donne le feu vert à un virement bancaire frauduleux sans une seconde pensée.,
-
Usurpation de site Web
Un escroc peut essayer de duper les employés d’une organisation cible pour qu’ils visitent une « copie carbone” d’un site Web qu’ils utilisent régulièrement pour leur travail. Malheureusement, les chapeaux noirs sont de plus en plus habiles à imiter la mise en page, l’image de marque et les formes de connexion des pages Web légitimes. Associez cela à l’astuce d’usurpation DNS mentionnée ci – dessus-et le combo sommaire devient extrêmement difficile à identifier. Cependant, simuler un site Web est une tactique à moitié cuite à moins qu’il ne soit soutenu par un e-mail de phishing qui incite le destinataire à cliquer sur un lien malveillant., Les criminels tirent généralement parti d’un tel stratagème à plusieurs volets pour voler des détails d’authentification ou distribuer des logiciels malveillants qui leur fournissent un accès par porte dérobée à un réseau d’entreprise. L’usurpation d’URL / site Web peut également entraîner un vol d’identité.
-
Usurpation d’identité de l’appelant
Bien qu’il s’agisse d’un schéma old school, il est toujours vivant de nos jours. Pour le retirer, des individus mal intentionnés exploitent des failles dans le fonctionnement des équipements de télécommunications pour fabriquer les détails de l’appelant que vous voyez sur l’écran de votre téléphone. Évidemment, les cas d’utilisation ne sont pas isolés pour les appels de farce., L’attaquant peut usurper un identifiant d’appelant pour se faire passer pour une personne que vous connaissez ou comme un représentant d’une entreprise avec laquelle vous faites affaire. Dans certains cas, les détails des appels entrants affichés sur l’écran d’un smartphone comprendront le logo d’une marque réputée et l’adresse physique pour augmenter les chances de répondre au téléphone. Le but de ce type d’attaque par usurpation est de vous tromper en divulguant des informations personnelles ou en payant des factures inexistantes.
-
Usurpation de message texte
Contrairement à l’usurpation d’identité de l’appelant, cette technique n’est pas nécessairement utilisée à des fins douteuses., L’une des façons dont les entreprises modernes interagissent avec leurs clients est par le biais de messages texte où l’entité d’origine est reflétée sous forme de chaîne alphanumérique (comme le nom de l’entreprise) plutôt qu’un numéro de téléphone. Malheureusement, les escrocs peuvent armer cette technologie en un clin d’œil. Un scénario typique d’une attaque d’usurpation de message texte est où un escroc remplace l’ID de l’expéditeur SMS avec un nom de marque auquel le destinataire fait confiance. Cette chicane d’usurpation d’identité peut devenir un tremplin pour le spear phishing, le vol de données et les escroqueries de plus en plus prolifiques sur les cartes-cadeaux.,
-
Usurpation d’extension
Chaque utilisateur Windows est conscient du fait que le système d’exploitation garde les extensions de fichier hors de vue par défaut. Bien que cela soit fait pour une meilleure expérience utilisateur, cela peut également alimenter les activités frauduleuses et la distribution de logiciels malveillants. Pour déguiser un binaire nuisible en objet bénin, il suffit d’utiliser une double extension. Par exemple, un élément nommé de la Réunion.docx.exe ressemblera à un document Word régulier et aura même la bonne icône. C’est en fait un fichier exécutable si., La bonne nouvelle est que toute solution de sécurité grand public alertera l’utilisateur chaque fois qu’il tentera d’ouvrir un fichier comme celui-ci.
-
Spoofing GPS
Alors que les utilisateurs comptent de plus en plus sur les services de géolocalisation pour atteindre une destination ou éviter les embouteillages, les cybercriminels peuvent essayer de manipuler le récepteur GPS d’un appareil cible pour signaler des allées et venues inexactes. Quelle est la logique derrière cela? Eh bien, les États-nations peuvent utiliser l’usurpation de GPS pour contrecarrer la collecte de renseignements et même saboter les installations militaires d’autres pays., Cela étant dit, l’entreprise n’est pas vraiment en marge de ce phénomène. Voici un exemple hypothétique: un auteur peut interférer avec le système de navigation intégré dans le véhicule d’un PDG pressé d’une réunion importante avec un partenaire commercial potentiel. En conséquence, la victime prendra un mauvais virage, seulement pour rester coincée dans la circulation et être en retard pour la réunion. Cela pourrait saper le futur accord.
-
Visage de l’Usurpation d’
la reconnaissance Faciale est au cœur de nombreux systèmes d’authentification de nos jours et il est rapidement étendre sa portée., Mis à part l’utilisation de cette technologie pour déverrouiller des appareils électroniques tels que les smartphones et les ordinateurs portables, le visage peut devenir un facteur d’authentification critique pour signer des documents et approuver les virements bancaires à l’avenir. Les cybercriminels ne manquent jamais de tels trains de battage médiatique, ils vont donc certainement rechercher et exploiter les maillons faibles de la chaîne de mise en œuvre de face ID. Malheureusement, cela peut être assez facile à faire. Par exemple, les analystes de sécurité ont démontré un moyen de tromper la fonction de reconnaissance faciale Windows 10 Hello au moyen d’une photo imprimée modifiée de l’utilisateur., Les escrocs disposant de suffisamment de ressources et de temps peuvent sans aucun doute déterrer et utiliser des imperfections similaires.
Comment Repousser les Attaques d’Usurpation?
Les conseils suivants aideront votre organisation à minimiser le risque d’être victime d’une attaque d’usurpation d’identité:
- Pensez à reconstruire votre organigramme. C’est bien quand les opérations informatiques font rapport au RSSI. L’architecture, les applications, la gestion et la stratégie restent au service informatique, mais le fait de les faire rapport au RSSI permet de s’assurer que leurs priorités restent axées sur la sécurité.
- Profitez des tests de pénétration et du red teaming., Il est difficile de penser à un moyen plus efficace pour une organisation d’évaluer sa posture de sécurité à partir de zéro. Un pentester professionnel qui pense et agit comme un attaquant peut aider à découvrir les vulnérabilités du réseau et donner au personnel informatique des informations exploitables sur ce qui doit être amélioré et comment hiérarchiser son travail. Dans le même temps, les exercices red teaming assureront une préparation continue de l’équipe de sécurité pour détecter et résister à de nouvelles attaques.
- Obtenez une visibilité sur toutes les plateformes. Aujourd’hui, il existe une large diffusion de données provenant d’applications, de services cloud, etc., Le nombre croissant de sources peut avoir une incidence sur la visibilité du RSSI. Pour résoudre tous les problèmes de sécurité, vous devez être en mesure de surveiller les serveurs cloud, mobiles et sur site et avoir un accès instantané à tous afin d’être toujours à l’affût d’éventuels incidents et de corréler toutes les activités.
- Dites « Non” aux relations de confiance. De nombreuses organisations réduisent l’authentification de leur appareil aux seules adresses IP. Cette approche est connue sous le nom de relations de confiance et, évidemment, peut être parasitée par des escrocs via une attaque d’usurpation d’adresse IP.
- Tirer parti du filtrage des paquets., Ce mécanisme est utilisé pour analyser intensivement des paquets du trafic pendant qu’ils errent à travers un réseau. C’est une excellente contre-mesure pour les attaques d’usurpation d’adresse IP, car elle identifie et bloque les paquets avec des détails d’adresse source non valides. En d’autres termes, si un paquet est envoyé de l’extérieur du réseau mais a une adresse source interne, il est automatiquement filtré.
- Utilisez un logiciel anti-spoofing. Heureusement, il existe différentes solutions qui détectent les types courants d’attaques par usurpation, y compris l’usurpation ARP et IP., En plus d’identifier de telles tentatives, un logiciel anti-usurpation les arrêtera dans leurs traces.
des Précautions Supplémentaires pour de Personnel
Gardez à l’esprit que la sécurité d’un réseau est aussi forte que son maillon le plus faible. Ne laissez pas le facteur humain être ce lien. Investir dans un programme de formation de sensibilisation à la sécurité vaut vraiment les ressources dépensées. Il aidera chaque employé à comprendre son rôle dans le bien-être numérique de l’organisation., Assurez-vous que vos employés connaissent les signes révélateurs d’une attaque par usurpation d’identité et respectez les recommandations suivantes:
- Examinez les e-mails pour détecter les fautes de frappe et les erreurs de grammaire. Ces inexactitudes dans l’objet et le corps d’un e-mail peuvent être un cadeau dans un scénario de phishing.
- Recherchez une icône de cadenas à côté d’une URL. Chaque site Web digne de confiance dispose d’un certificat SSL valide, ce qui signifie que l’identité du propriétaire a été vérifiée par une autorité de certification tierce. Si le symbole du cadenas est manquant, cela indique très probablement que le site est usurpé et que vous devez immédiatement vous éloigner., Le revers de la médaille est qu’il existe des solutions de contournement permettant aux malfaiteurs d’obtenir des certificats de sécurité frauduleux, de sorte que vous feriez mieux d’effectuer des vérifications supplémentaires en cas de doute.
- Évitez de cliquer sur les liens dans les e-mails et les médias sociaux. Un e-mail qui vous demande de cliquer sur un lien intégré est potentiellement malveillant. Si vous en recevez un, assurez-vous d’examiner le reste du contenu et de vérifier le nom et l’adresse de l’expéditeur., De plus, recherchez quelques phrases du message dans un moteur de recherche – il est probable que cela fasse partie d’une campagne de phishing en cours qui a été signalée par d’autres utilisateurs.
- Confirmez les demandes suspectes en personne. Si vous avez reçu un e-mail, soi-disant de votre patron ou collègue, vous demandant de compléter d’urgence une transaction de paiement, n’hésitez pas à appeler cette personne et à confirmer que la demande est réelle.
- Rendre visibles les extensions de fichier. Windows obscurcit les extensions sauf configuration contraire., Pour éviter l’astuce de la double extension, cliquez sur l’onglet” Afficher « dans l’Explorateur de fichiers et cochez la case” Extensions de nom de fichier ».