VAP, ça veut dire quoi? C’est un gibier à plumes ou à poils? Ni l’un ni autre. Les VAP (Very Attacked People) constituent la cible privilégiée des cybercriminels. Idéologiques, financières, stratégiques ou même industrielles, les motivations des attaquants sont variées. Mais quels que soient leurs ressorts, ils limitent leurs risques et leurs efforts. Fini le temps où des geeks passaient tout leur temps à chercher des failles dans le code des applications. Désormais les cybercriminels ciblent leurs proies avec intelligence et économisent leurs efforts. Il faut admettre que les temps ont bien changé. La cybercriminalité est devenue une véritable industrie avec une organisation digne des meilleures entreprises.
Avant, les cybercriminels affectionnaient tout particulièrement les VIP (Very Important People). C’est ainsi qu’on pourrait dénommer les cadres dirigeants des entreprises. C’était particulièrement vrai lors de leurs déplacements. J’ai ailleurs eu l’occasion de publier un article sur ce même blog : Voyageurs, une cible de choix pour les hackers. Mais ça, c’était avant, au temps de l’ancien monde. Tout change très vite, y compris les cybercriminels qui s’adaptent rapidement. Iils sont désormais passé des VIP aux VAP comme le confirme le récent rapport « The Human Factor 2019 Report » publié par Proofpoint.
Alors VAP, qu’est-ce ça veut dire? En fait il s’agit d’un acronyme pour « Very Attacked People« . Mais cela correspond aussi à la conjonction de Vulnérabilité, Attaque et Privilège. Nous allons essayer dans cet article d’expliquer pourquoi ce sont les nouvelles cibles privilégiées des hackers. Une raison s’impose, ils font tout le travail pour les cybercriminels. Ceux-ci n’ont plus alors qu’à frapper.
La cybercriminalité se focalise sur les failles humaines
Les cybercriminels continuent d’affiner les techniques qui ciblent les personnes plutôt que les infrastructures. Les attaques reposent désormais davantage sur les interactions humaines et moins sur les exploits automatisés.
Sur la base des données recueillies dans le cadre du rapport et de l’analyse de plus d’un milliard de messages par jour, le constat est le suivant :
- Les personnes très attaquées (VAP) ne sont généralement plus des personnalités importantes des organisations (hauts dirigeants par exemple). Les personnes les plus attaquées sont souvent des identités faciles à découvrir ou des «cibles d’opportunités».
- L’ingénierie sociale est omniprésente, qu’il s’agisse de schémas de « sextorsion » généralisés, de compromission de messagerie électronique d’entreprise, d’hameçonnage des informations d’identification ou d’autres attaques qui s’attaquent à la nature et à l’erreur humaine.
- La fraude au nom de domaine joue un rôle clé dans la légitimité conférée aux attaques.
En tout état de cause, un constat s’impose. Plus de 99% des attaques observées nécessitent une interaction humaine pour aboutir. Et cela entraîne l’installation de logiciels malveillants, la fraude électronique, la divulgation involontaire de données, et plus encore.
Les enseignements du rapport
Les vulnérabilités du système sont responsables de moins de 1% des cyber-attaques observées. Une analyse accablante révèle que les erreurs humaines sont responsables de 99% des cas. Les criminels ciblent de plus en plus fréquemment les personnes vulnérables avec des tactiques d’ingénierie sociale.
En dépit de l’augmentation du nombre d’attaques de compromission des entreprises par courrier électronique ciblées sur les membres de la direction – le FBI américain a récemment déclaré que ce problème était devenu un problème de 26 milliards $ US au cours des trois dernières années – le rapport Human Factor Report 2019 de Proofpoint a révélé que « les personnes très attaquées » ( Les VAP) n’étaient souvent pas des dirigeants d’entreprise.
Le courrier électronique reste le principal vecteur d’attaque. Les menaces vont des spams malveillants qui bloquent les boîtes de réception et provoquent le gaspillage de ressources aux attaques par imposteurs qui peuvent coûter des millions de dollars aux organisations et aux personnes.
Les acteurs de la menace attaquent les applications cloud, exploitent des logiciels malveillants polyvalents de plus en plus robustes et recherchent de nouveaux moyens de voler directement de l’argent et des données.
Ce sont donc les principales conclusions de la recherche menée par Proofpoint durant l’année 2018 et le premier semestre 2019. Ces résultats, fondés sur des données recueillies auprès de la clientèle mondiale de l’entreprise et de l’analyse de milliards de messages par jour et de centaines de millions de domaines, soulignent les manières dont les acteurs exploitent de plus en plus «le facteur humain».
Une évolution dans les cibles des attaques
Ce sont des personnes «tendant soit à avoir des identités faciles à découvrir, soit qui sont des cibles d’opportunités telles que des comptes publics partagés».
En tout, 36% des identités associées à une violation peuvent être trouvées en ligne simplement en numérisant des sites Web d’entreprise, des comptes de médias sociaux, des publications et d’autres documents. À partir de là, des campagnes d’ingénierie sociale détaillées et très efficaces peuvent être lancées. Et elles se révèlent si efficaces que les cybercriminels les considèrent plus faciles à exécuter et à gérer que les logiciels malveillants.
«Les cybercriminels ciblent les personnes avec agressivité. En effet, envoyer des courriels frauduleux, dérober des informations d’identification et charger des pièces jointes malveillantes dans des applications en nuage est plus facile et beaucoup plus rentable que l’exploitation coûteuse d’une faille technique prenant beaucoup de temps », a déclaré Kevin Epstein, vice-président. président de Threat Operations for Proofpoint.
«Plus de 99% des cyberattaques reposent sur l’interaction humaine. C’est ce qui permet aux utilisateurs individuels de devenir la dernière ligne de défense. Pour réduire considérablement les risques, les entreprises ont besoin d’une approche globale de la cybersécurité centrée sur le personnel. Et ceci doit inclure une formation efficace à la sensibilisation à la sécurité et des défenses en couches offrant une visibilité sur les VAP (utilisateurs les plus attaqués). «
Des secteurs de l’industrie particulièrement visés
Les cibles de l’immobilier, de la construction, du gouvernement et de l’assurance sont le plus souvent attaquées, selon les évaluations de Proofpoint Attack Index – une mesure combinée d’acteur, de ciblage et de type de menace – qui a également révélé que l’éducation, les loisirs / médias, l’automobile, la construction, etc. les industries de l’ingénierie et de la santé présentaient la plus forte concentration de VAP.
Les attaques d’imposteurs étaient le plus souvent ciblées sur les entreprises d’ingénierie et d’automobile, en grande partie à cause de la «complexité de la chaîne d’approvisionnement facilement exploitable», ainsi que des établissements d’enseignement en raison de la forte concentration de VAP et des vulnérabilités des utilisateurs dans ce secteur.
Les services numériques les plus ciblés
Alors que la collecte de comptes de messagerie génériques fournissait des cibles pour près de 25% des schémas de phishing de l’année dernière, en 2019, elle a été supplantée par des campagnes basées sur la collecte d’informations d’identification Microsoft Office 365.
Les services de stockage cloud, DocuSign et les services cloud Microsoft sont devenus de plus en plus populaires au cours du premier semestre de 2019, reflétant le degré élevé d’acceptation des utilisateurs du partage de fichiers en ligne et des outils de collaboration.
Les attaquants affinent sans cesse l’angle de leurs campagnes de phishing, avec des thèmes «très variables selon l’acteur et la cible visée». Cependant, la nourriture, le logement, l’amour et l’argent sapparaissent comme les «éternels favoris».
Les attaquants brouillent les objectifs de l’hameçonnage en établissant une relation avec leur cible. Ils utilisent alors plusieurs points de contact et en créent un sentiment d’urgence. La fraude au nom de domaine reste également populaire. Les pirates utilisent des techniques telles que les domaines similaires et les certificats sécurisés légitimes pour dissiper les soupçons des VAP.
Selon l’analyse de Proofpoint, de nombreux utilisateurs non seulement cliquaient sur les courriels d’hameçonnage, mais les partageaient également avec leurs amis. Les courriels d’hameçonnage liés au botnet de collecte de cartes de crédit Brain Food sont cliqués en moyenne 1,6 fois chacun.
Les attaques de phishing ciblant le système de gestion d’école Blackboard, le service de partage de fichiers WeTransfer et la base de données de contacts d’entreprise Zoominfo ont également fait l’objet d’un large clic.
Nos recommandations
Les menaces actuelles exigent une approche centrée sur les personnes pour assurer la sécurité des utilisateurs. Nous recommandons les points suivants comme point de départ.
Adoptez une posture de sécurité centrée sur l’être humain
Les attaquants ne voient pas le monde sous forme de diagramme de réseau. Déployez une solution vous donnant une visibilité sur les personnes attaquées, la manière dont elles sont attaquées et sur quoi elles ont cliqué. Considérez le risque individuel de chaque utilisateur. Cela comprend la façon dont ils sont ciblés, les données auxquelles ils ont accès et s’ils ont tendance à être la cible d’attaques.
Formez les utilisateurs à détecter et à signaler les courriels malveillants
Un entraînement régulier et des attaques simulées peuvent enrayer de nombreuses attaques et aider à identifier les personnes particulièrement vulnérables. Les meilleures simulations imitent des techniques d’attaque réelles. Recherchez des solutions qui correspondent aux tendances actuelles et aux dernières informations sur les menaces.
Trouvez une solution qui détecte et bloque les menaces de courrier entrant en amont
Supposons que les utilisateurs cliquent éventuellement sur certain liens. Les attaquants trouveront toujours de nouveaux moyens d’exploiter la nature humaine. Trouvez une solution qui détecte et bloque les menaces de courrier entrant visant les employés avant qu’ils n’atteignent la boîte de réception. Isolez les URL suspectes et non vérifiées dans un courrier électronique. Et arrêtez les menaces extérieures qui utilisent votre domaine pour cibler les clients.
Construisez une défense robuste contre la fraude par courrier électronique
La fraude par courrier électronique peut être difficile à détecter avec les outils de sécurité conventionnels. Investir dans une solution permet de gérer le courrier électronique en fonction de stratégies de quarantaine et de blocage personnalisées.
Protégez la réputation de votre marque et de vos clients par des canaux que vous ne possédez pas
Combattez les attaques qui ciblent vos clients par le biais des médias sociaux, de la messagerie électronique et du Web. Suivez en particulier les faux comptes imitant votre marque. Isolez la navigation personnelle et la messagerie Web des utilisateurs de votre environnement. Et recherchez une solution complète de sécurité des médias sociaux analysant tous les réseaux sociaux et signalant les activités frauduleuses.
Etablissez un partenariat avec un fournisseur d’informations sur les menaces
Des attaques ciblées nécessitent des informations avancées sur les menaces. Choisissez une solution combinant des techniques statiques et dynamiques pour détecter de nouveaux outils d’attaque, tactiques et ciblés. Et surtout, tirez-en les enseignements.