L'équipe de recherche de CyberNews.com a récemment mené une expérience de piratage avec trois journalistes bénévoles du Royaume-Uni pour montrer à quel point il est facile pour les criminels d'exploiter les données personnelles. Voici comment ils ont procédé et comment éviter que cela ne vous arrive. Même si la plupart des gens savent que la cybercriminalité est en hausse, beaucoup d’entre nous restent vulnérables aux attaques. Une analyse récente suggère que les violations de données coûtent aux organisations près de 4 millions d'euros en moyenne, avec plus de 17,000 XNUMX euros perdus chaque minute dans le monde en raison des seules attaques de phishing. Une partie du problème réside dans le fait que de nombreuses personnes pensent qu’elles protègent déjà leurs données personnelles et que seules les attaques impliquant des méthodes sophistiquées et de haut niveau sont nuisibles. À propos de l'auteur Edvardas Mikalauskas est écrivain et chercheur principal chez CyberNews.com C'est faux : en fait, nous sommes tous vulnérables aux formes élémentaires d'attaque et nous pourrions faire davantage pour protéger nos données. Pour prouver ce point, nous avons récemment passé six semaines à tenter de pirater trois journalistes du Daily Mail, avec leur permission, bien sûr. Il s’agissait de journalistes expérimentés, mais nous avons pu démontrer qu’il était relativement facile d’exploiter leurs données accessibles au public. La source de données la plus utile pour les criminels sont les informations personnelles, qui peuvent être utilisées pour usurper votre identité en ligne ou décrypter vos identifiants de connexion. Les particuliers mettent souvent ces données à disposition gratuitement via des comptes de réseaux sociaux, des profils publics et même des pages de collecte de fonds antérieures. Nous sommes presque tous coupables de partage excessif. En plus de cela, les pirates peuvent également profiter des violations de données antérieures des services en ligne pour trouver les données dont ils ont besoin. D'après notre expérience, nous trouvons rapidement les numéros de téléphone, les détails du compte de messagerie, les adresses personnelles, les dates de naissance, les noms complets des membres de la famille, les noms d'animaux et les anciens mots de passe. . Certaines données, telles que les numéros de téléphone mobile, peuvent être collectées en réinitialisant les mots de passe de différents comptes. Par exemple, une réinitialisation de Facebook nous a donné les deux derniers chiffres du numéro de téléphone joint, PayPal fournit un total de six chiffres, et ainsi de suite. Ces données étaient plus que suffisantes pour lancer une attaque contre les journalistes. En combinant des efforts d'attaques de phishing, de réinitialisations de mots de passe par force brute, de campagnes de vishing et d'échange de cartes SIM, notre équipe d'enquête a tenté de violer la sécurité en ligne des trois journalistes grâce à des techniques de chapeau blanc.
À quoi ressemblent ces techniques en pratique ?
Le phishing est une méthode qui exploite notre confiance dans des organisations telles que le HMRC ou une banque. Les acteurs malveillants tentent d'obtenir frauduleusement des informations personnelles en usurpant l'identité de ces sources fiables, en utilisant des communications en ligne telles que des e-mails et des messages. Cette méthode dirige souvent les utilisateurs vers des sites Web frauduleux demandant aux internautes de saisir leurs informations de connexion et d’autres informations personnelles, qui sont ensuite volées par des pirates. La réinitialisation du mot de passe par force brute consiste à deviner un mot de passe en essayant des combinaisons possibles de caractères. Bien qu'il s'agisse d'une méthode assez lente, puisque l'acteur malveillant devrait connaître les paramètres du mot de passe (par exemple les caractères majuscules et minuscules, les symboles spéciaux, la longueur du mot de passe) pour affiner la recherche, c'est toujours un moyen viable pour pirater des comptes. Une méthode particulièrement inquiétante est le vishing, qui est le phishing vocal, dans lequel un pirate informatique usurpe l'identité d'une source fiable lors d'un appel téléphonique direct avec la cible. Les fraudeurs utiliseront très probablement l’usurpation de l’identité de l’appelant ou un système automatisé pour donner l’impression que le numéro est digne de confiance, ce qui le rendra difficile à suivre. Le but de la communication est d'obtenir des informations personnelles dans le but de voler une identité ou de l'argent. L'échange de carte SIM est un type d'arnaque et de piratage de compte qui cible les faiblesses de l'authentification à deux facteurs (2FA). Dans ce type de fraude, les acteurs exploitent les fournisseurs de services de téléphonie mobile et utilisent des données personnelles obtenues précédemment pour se faire passer pour la victime. Une fois les mesures de sécurité mises en place, les pirates informatiques demanderont qu’une carte SIM secondaire leur soit envoyée, ce qui les aidera à contourner l’authentification des comptes de réseaux sociaux, bancaires et de messagerie.
Comment pirater les journalistes ?
A partir du numéro de téléphone portable obtenu pour une cible, notre campagne de vishing a donné lieu à une conversation téléphonique directe entre un des journalistes et un de nos chercheurs se faisant passer pour un représentant PayPal : une tentative d'accès à leur compte. Le journaliste a eu des soupçons au dernier moment, et cette faille a finalement été déjouée juste avant de révéler les détails de son compte personnel. Lors de l'expérience d'échange de carte SIM, notre équipe s'est fait passer pour deux journalistes et a parlé à leur opérateur de téléphonie mobile pour commander une carte SIM secondaire, demandant une livraison à notre adresse. Cette méthode nous a pris plus de 20 tentatives de sécurisation car nous ne disposions pas de toutes les données personnelles nécessaires au contrôle de sécurité. Finalement, nous avons trouvé un employé du service client qui nous a fait confiance et a accepté de nous envoyer la carte SIM. En recevant et en utilisant cette carte SIM, notre équipe pourrait contourner l'authentification téléphonique pour rétablir les connexions à plusieurs comptes et y accéder rapidement. À l’heure actuelle, notre statut de hackers éthiques nous empêche d’utiliser d’autres méthodes privilégiées par les criminels. Nous sommes convaincus que les techniques criminelles courantes, telles que la vérification des antécédents et le chantage, auraient rapidement permis d’obtenir encore plus d’informations et auraient rendu relativement facile la tromperie de ces personnes. Alors, comment pouvez-vous réduire le risque d’une attaque entraînant l’exploitation de vos propres données ?
Comment mieux se protéger
L'action la plus importante consiste à activer l'authentification à deux facteurs (2FA) sur tous vos comptes, ce qui nécessite deux étapes d'approbation distinctes lors de l'accès à vos comptes. Cela peut être fait pour vos comptes sociaux sur Instagram, Facebook et Twitter, les plateformes de messagerie comme WhatsApp, ainsi que pour vos comptes bancaires personnels, de gestion de fichiers et de jeux. Tout compte sur lequel des données personnelles sont stockées doit disposer de 2FA. À moins que vous ne puissiez vous souvenir de mots de passe longs, individuels et uniques pour chacun de vos comptes, l'utilisation d'un gestionnaire de mots de passe réputé est indispensable pour garantir la sécurité. Les gestionnaires de mots de passe aident les utilisateurs à créer des mots de passe uniques et à les stocker en toute sécurité pour une efficacité et une confidentialité maximales. Enfin, une étape simple mais efficace pour protéger vos informations : gardez vos profils de réseaux sociaux privés. Comme nous l’avons constaté lors de cette expérience de piratage, plus il y aura de données personnelles disponibles gratuitement, plus il sera facile pour les pirates de les exploiter. En publiant librement des informations personnelles, aussi innocentes soient-elles sur le moment, vous augmentez les pièces du puzzle que les pirates peuvent collecter sur votre vie.