RESSOURCES

Toutes les ressources

Arnaque au président

Description

Le saviez-vous ?

Il existe une méthode de piratage qui permet de contourner les sécurités les plus perfectionnées et qui ne demande que peu de compétences techniques : le phishing.
Le phishing exploite la vulnérabilité « humaine » de la chaîne de cybersécurité.
Dans cet article nous détaillerons la technique dite de « l’arnaque au président ». L’objectif de cette attaque est de faire payer à la victime une fausse facture en usurpant l’identité d’une personne haut placée dans la hiérarchie (en général le PDG de l’entreprise cible).
 

Article AP QDS

Phase préparatoire : Recueil d’information
La première étape de l’attaque consiste en une phase de reconnaissance. Pour ce faire le cybercriminel va utiliser les sources d’information publiques (« OSINT » dans notre jargon, pour Open Source INTelligence). Il va se concentrer notamment sur les informations, le profil et les dernières publications sur les réseaux sociaux de sa cible. Cela va lui permettre de déterminer les personnes en charges de la communication dans l’entreprise. Dans notre scénario, le cybercriminel a pu déterminer que 3 personnes sont en charge de la communication dans l’entreprise ciblée.
Le pirate va maintenant étudier ces profils. Cela lui permet de mettre en lumière une information en apparence anodine : un jeune employé vient d’arriver dans ce service, un certain « Philippe ».
L’étude de son parcours scolaire, révèle qu’il s’agit d’un jeune diplômé venant de trouver son premier travail dans la communication d’entreprise.
Ces informations révèlent plusieurs points de pressions possibles, tels que le besoin de faire ses preuves ou encore le désir de vouloir satisfaire les espoirs attenants à son nouveau travail.


Création d’un prétexte pour entrer en contact avec Philippe
À partir de sa reconnaissance, le cybercriminel à identifier un vecteur d’attaque possible avec pour objectif de gagner la confiance de Philippe afin de lui soutirer ses informations de connexions. Il va, pour cela, créer un faux problème et ensuite y apporter une solution « miracle » et s’inspirer de l’actualité. En ce moment il y a la crise sanitaire qui pousse de plus en plus de gens à faire du télétravail régulièrement.
De plus, la semaine passée, une vulnérabilité permettant de faire un DOS (Deny Of Service) sur un service VPN a été révélée. Au vu de la nouveauté de la faille, il est très probable que le service IT de l’entreprise de Philippe n’a pas encore eu le temps de déployer le patch correctif pour tous ses employés. Cette faille a été étudiée par beaucoup de chercheurs en cybersécurité qui ont mis en ligne des Proof Of Concept (des outils pour démontrer une vulnérabilité) qu’il pourra utiliser.

Phase de social engineering : Le problème et la solution
Pour initier le contact avec Philippe, notre pirate va fabriquer un email en usurpant le nom d’expéditeur pour un nom proche de celui du service IT de l’entreprise cible. Ce mail indique que « si une personne rencontre des problèmes pour se connecter au VPN de l’entreprise, il doit contacter le service IT au numéro de téléphone suivant : 0506070809 ». Puis, il lance l’attaque technique le samedi afin qu’elle ne soit pas détectée par le service IT de l’entreprise.

Phase d’exploitation
Le lundi suivant, comme prévu le VPN ne fonctionne pas. Philippe prend son téléphone et compose le numéro spécifié dans le mail et explique son problème au prétendu technicien qui lui répond. Ce dernier le rassure, expliquant que ce problème est connu et qu’il est assez simple de le corriger, mais qu’il va avoir besoin, pour cela, d’avoir les identifiants de Philippe. Cela semble un peu étrange à Philippe, mais il se dit que ce se doit être une procédure normale et que les techniciens du service support doivent savoir ce qu’ils font.
Le temps de réaliser la manipulation, le technicien entame la conversation « informelle » avec Philippe. Après 15 minutes, le technicien annonce que la réparation est faite et demande à Philippe d’essayer de se connecter. Philippe va enfin pouvoir reprendre ses activités.
Si le pirate prend le temps de discuter avec Philippe ce n’est pas par hasard. Le premier objectif est de solidifier la relation de confiance avec ce dernier, afin par exemple de lui soustraire d’autres informations par la suite. La seconde raison est ce qu’on appelle la technique du dernier quart d’heure. Cela consiste à combler le dernier quart d’heure de conversations avec des sujets qui n’ont pas de lien direct avec la requête originelle du pirate afin de dissimuler le véritable objectif que poursuit ce dernier.

Phase de reconnaissance interne : exfiltration d’informations sensibles et phishing ciblé
À partir de maintenant, le cybercriminel ayant récupéré les informations de connexion de Philippe, il va explorer la boîte mail de sa victime afin d’effectuer une seconde phase de reconnaissance sur cette nouvelle source d’information. Son objectif est de récupérer toutes les informations utiles pour justifier sa future requête de paiement auprès du service comptabilité (tampon, signature, exemple de facture, nom des fournisseurs, etc.).
En parallèle, il va utiliser cet accès sur le SI pour mener une campagne de phishing très ciblée (Spear phishing) envers les cadres dirigeant de l’entreprise. Cette campagne à de grandes chances de réussir car le pirate va se faire passer pour Philippe. Les personnes cibles seront moins méfiantes car il s’agit d’une communication interne de l’entreprise donc a priori sans danger.

Phase de rebond : Usurpation du président
Le pirate envoie donc une série de mails à caractère financier aux dirigeants. Ce mail contient une charge virale qui permet de prendre le contrôle à distance de la personne ouvrant la pièce jointe. Le PDG va se laisser duper par cette campagne ciblée et permettre au pirate de récupérer ses informations de connexion. Quelques semaines plus tard, lorsque le PDG est en vacances, le cybercriminel va utiliser ses accès pour écrire un émail virulent à destination du service comptabilité au sujet d’une facture impayée qui aurait échappé à leur vigilance et qu’il faut régler ce problème au plus vite car il en va de la réputation de l’entreprise. Le message se termine par une note expliquant que le PDG est en vacances et qu’en cas de problème il faut joindre son assistant au numéro de téléphone précisé.
Le responsable de la comptabilité, trouve cela étrange, il appelle donc le numéro et demande confirmation concernant l’ordre de paiement.
Vous l’avez deviné, l’interlocuteur qui répondra à l’appel du responsable du service comptabilité n’est autre que le pirate qui lui confirme la demande. 
Rassuré dans sa démarche, le responsable comptabilité déclenche le paiement de la facture.

 

Article AP QDS - 3

Du côté du cybercriminel...

Notre cyber criminel vient, avec quelques informations obtenues à partir d’internet, le manque d’expérience de Philippe et quelques techniques de manipulations (dernier quart d’heure, soumission à l’autorité, urgence de la demande, etc.) de récupérer une certaine somme d’argent.
Si l’on reprend les actions effectuées une par une, on se rend compte qu’aucune ne peut à elle seule permettre le piratage. C’est la combinaison de plusieurs faiblesses qui va permettre au cybercriminel d’arriver à ses fins.
L’exemple utilisé dans ce scénario est ce que l’on nomme une « arnaque au président ». Le pirate a choisi de mener cette attaque de phishing car c’est une attaque qui ne demande pas beaucoup de compétences techniques. Elle s’appuie principalement sur les vulnérabilités humaines de la chaîne de cybersécurité. Il n’a pas eu besoin de développer de nouvelles techniques d’attaques encore inconnues publiquement (zérodays).
 

COMMENT S'EN PROTEGER ?

Pour que ce scénario ne se déroule pas au sein de votre entreprise, il est important de :

  • Sensibiliser le personnel au phishing (techniques et récurrence des attaques)
  • Mettre en place une relation de confiance entre votre personnel et leurs managers

Sensibiliser
Le point important ici, est d’avoir dans un premier temps une sérénité dans la réaction afin de prendre des décisions rationnelles qui pourront être justifiées par la suite.
Avoir été confronté à ce genre de situation permettra aux collaborateurs de prendre plus sereinement les bonnes décisions.
Autoriser le doute concernant les demandes des supérieures hiérarchiques est un bon moyen de responsabiliser ses collaborateurs mais aussi de leur permettre d’exposer plus d’idées et de devenir force de proposition. Il faut, aussi, inciter les employés à demander une confirmation par un autre moyen de communication, il est important de pouvoir vérifier l’identité du demandeur.
Responsabiliser ses collaborateurs c’est aussi leur faire comprendre l’importance que peuvent avoir certaines informations a priori banales. L’objectif étant que les réseaux sociaux ne soient une manne d’information pour les pirates lorsqu’ils tenteront de mettre en place ce type d’attaque.
La facilité de mise en place de ce type d’attaque a pour conséquence que les cibles de ces attaques sont très variées. Elles vont de la petite PME, aux grands groupes du CAC40.

Avec la responsabilisation vient aussi le devoir de chaque employé à être méfiant envers des demandes extravagantes et conscient des reproches qui peuvent lui être adressés en cas de manquement.

 

La relation de confiance
Impliquer vos collaborateurs dans la chaîne cyberdéfense et les former à réagir correctement à une attaque de phishing est la première barrière mais aussi la plus efficace.

Avoir une relation de confiance avec ses collaborateurs est un point capital afin que lorsqu’une attaque de ce type est découverte, des mesures soient prises pour en circonscrire l’impact le plus rapidement possible.
On peut tous se faire duper, mais cela est plus difficile lorsque l’on est sensibilisé. Par ailleurs, oser et savoir comment le signaler permettra de limiter les impacts et l’extension de l’attaque.

 

Article AP QDS - 2

En conclusion
Dans un premier temps il est important de sensibiliser ses collaborateurs aux différentes techniques de phishing. Cela inclut notamment les collaborateurs dont l’informatique n’est pas le cœur de métier (service comptabilité, service réception, etc.)
Ensuite, Il n’y a pas de meilleure préparation que d’être confronté à ce type d’attaque dans un environnement contrôlé. L’idéal est d’organiser des campagnes de phishing régulières, et de partager les résultats avec les collaborateurs. Cette mise en situation permet de mesurer l’impact des campagnes de sensibilisation et de mettre en lumière les axes d’améliorations. Elle implique également les collaborateurs dans le rôle important qu’ils tiennent dans la chaîne de cyberdéfense.
 

Télécharger l'infographie

Mentions légales

Informations générales

  • Dénomination ou raison sociale : Vialis
  • Adresse et numéro de téléphone du siège social : 64 rue de Miromesnil, 75008 Paris - FRANCE - Tél.+33 (0)1 55 06 11 91
  • Inscription RCS ou chambre des métiers : RCS PARIS B 509 081 006
  • Directeur de la publication : Roland Mor, DP

Hébergement et réalisation du site

Droits de propriété intellectuelle et industrielle

La structure générale, ainsi que les logiciels, textes, images, informations, documents, services et tout autre élément composant ce site sont protégés notamment au titre du droit d'auteur par les dispositions du Code de la Propriété Intellectuelle ou toute autre réglementation relative à la propriété intellectuelle. Toute représentation et/ou reproduction totale ou partielle de ce site (ou de l'un quelconque des éléments qui le composent) par quelque procédé que ce soit, sans l'autorisation expresse préalable de Vialis est interdite et peut constituer un acte de contrefaçon pénalement sanctionné.Tous documents téléchargeables sont également protégés par le droit d'auteur, leur utilisation est limitée à la seule prestation de service assurée par l'éditeur via le site transformation.quodagis.fr/ Egalement, les marques et/ou logos figurant sur ce site sont des marques déposées et/ou des créations protégées, propriété exclusive de Vialis.Toute reproduction ou représentation totale ou partielle de ces marques et/ou de ces logos, sans l'autorisation expresse préalable de l'éditeur est interdite et peut constituer un acte de contrefaçon pénalement sanctionné.

Protection des informations

Google Analytics utilise des cookies, qui sont des fichiers texte placés sur votre ordinateur, pour aider le site internet à analyser l'utilisation du site par ses utilisateurs.Les données générées par les cookies concernant votre utilisation du site (y compris votre adresse IP) seront transmises et stockées par Google sur des serveurs situés aux Etats-Unis.Google utilisera cette information dans le but d'évaluer votre utilisation du site, de compiler des rapports sur l'activité du site à destination de son éditeur et de fournir d'autres services relatifs à l'activité du site et à l'utilisation d'Internet.Google est susceptible de communiquer ces données à des tiers en cas d'obligation légale ou lorsque ces tiers traitent ces données pour le compte de Google, y compris notamment l'éditeur de ce site.Google ne recoupera pas votre adresse IP avec toute autre donnée détenue par Google.Vous pouvez désactiver l'utilisation de cookies en sélectionnant les paramètres appropriés de votre navigateur. Cependant, une telle désactivation pourrait empêcher l'utilisation de certaines fonctionnalités de ce site.En utilisant ce site internet, vous consentez expressément au traitement de vos données nominatives par Google dans les conditions et pour les finalités décrites ci-dessus.

Informatique et liberté | Données Personnelles

L’utilisateur est informé que les informations qu’il communique par les formulaires présents sur le site de Vialis groupe QUODAGIS sont nécessaires pour répondre à sa demande et sont destinées aux services en charge de répondre à sa demande à des fins de suivi de cette demande. Les informations recueillies font également l’objet d’un traitement destiné à communiquer sur des évènements, des offres promotionnelles, des actualités ou tout autre document de communication. Vos données ne sont pas partagées avec des tiers.
Conformément aux articles 38, 39, 40, 41 et 42 de la loi Informatique et liberté du 6 janvier 1978, chaque utilisateur ayant déposé des informations nominatives le concernant sur le site, dispose des droits d'opposition, d'accès et de rectification de ces données. Ainsi, il peut exiger que soient rectifiées, complétées, clarifiées, mises à jour ou effacées les informations le concernant qui sont inexactes, incomplètes, équivoques, périmées, ou dont la collecte ou l'utilisation, la communication ou la conservation est interdite. Chaque utilisateur peut exercer ses droits en écrivant à Vialis groupe QUODAGIS, 64 rue de Miromesnil, 75008 PARIS - FRANCE.