Il y a eu récemment une vague d’attaques de phishing si précises et bien exécutées qu’elles ont réussi à tromper certaines des personnes les plus averties travaillant dans l’industrie de la cybersécurité. Lundi, mardi et mercredi, le fournisseur d’authentification à deux facteurs Twilio, le réseau de diffusion de contenu Cloudflare et le fabricant d’équipements réseau Cisco ont déclaré que les hameçonneurs en possession de numéros de téléphone appartenant aux employés et aux membres de la famille des employés avaient trompé leurs employés pour qu’ils révèlent leurs informations d’identification. Les hameçonneurs ont eu accès aux systèmes internes de Twilio et Cisco. Les clés matérielles 2FA de Cloudflare ont empêché les hameçonneurs d’accéder à ses systèmes.
Les hameçonneurs étaient persistants, méthodiques et avaient clairement fait leurs devoirs. En une minute, au moins 76 employés de Cloudflare ont reçu des SMS utilisant diverses ruses pour les inciter à se connecter à ce qu’ils croyaient être leur compte professionnel. Le site Web de phishing a utilisé un domaine (cloudflare-okta.com) qui avait été enregistré 40 minutes avant l’afflux de messages, contrecarrant un système utilisé par Cloudflare pour être alerté lorsque les domaines utilisant son nom sont créés (probablement parce qu’il faut du temps pour que les nouvelles entrées peupler). Les hameçonneurs avaient également les moyens de vaincre les formes de 2FA qui reposent sur des mots de passe à usage unique générés par des applications d’authentification ou envoyés par SMS.
Créer un sentiment d’urgence
Comme Cloudflare, Twilio et Cisco ont reçu des SMS ou des appels téléphoniques qui ont également été envoyés en partant du principe qu’il y avait des circonstances urgentes – un changement soudain d’horaire, un mot de passe expirant ou un appel sous le couvert d’une organisation de confiance – nécessitant que la cible agit rapidement.
Mercredi, c’était mon tour. À 15 h 54, heure du Pacifique, j’ai reçu un e-mail prétendant provenir de Twitter, m’informant que mon compte Twitter venait d’être vérifié. J’ai immédiatement eu des soupçons parce que je n’avais pas fait de demande de vérification et que je ne le voulais pas vraiment. Mais les en-têtes montraient que l’e-mail provenait de twitter.com, le lien (que j’ai ouvert dans Tor sur une machine sécurisée) menait au vrai site Twitter.com, et rien dans l’e-mail ou la page liée ne me demandait de fournir des informations. J’ai aussi remarqué qu’une coche était soudainement apparue sur ma page de profil.
Satisfait que l’e-mail était authentique, j’ai noté ma surprise sur Twitter à 3h55.
Que diable. Twitter vient de vérifier mon compte, même si j’ai toujours refusé de leur donner mon identifiant ou toute autre information. Je me demande pourquoi.
—Dan Goodin (@dangoodin001) 10 août 2022
Quelques secondes plus tard, à 3h56, j’ai reçu un message direct prétendant provenir du service de vérification de Twitter. Il indiquait que pour que ma vérification devienne permanente, je devais répondre au message avec mon permis de conduire, mon passeport ou une autre pièce d’identité émise par le gouvernement.
J’ai des sentiments forts sur le caractère inapproprié de Twitter – une entreprise qui a été piratée au moins trois fois et a admis avoir abusé des numéros de téléphone des utilisateurs – demandant ce type de données. J’étais fou. C’était vers la fin de ma journée de travail. J’étais toujours surpris par le don inattendu et non truqué par Twitter d’une coche que je n’avais pas demandée. Donc, sans lire attentivement le DM, j’en ai tweeté une capture d’écran, accompagnée d’un commentaire cynique sur le fait que Twitter n’était pas digne de confiance.
J’ai parlé trop tôt. Pardon, @Twitter, vous n’êtes pas digne de confiance. Allez-y et supprimez la coche bleue. Vous n’obtenez pas mon identifiant uniquement pour pouvoir vous faire pirater à nouveau ou l’utiliser à des fins de marketing. pic.twitter.com/dimLCLagdU
—Dan Goodin (@dangoodin001) 10 août 2022
Le truc, c’est que le DM a utilisé un anglais approximatif; le pseudonyme de l’utilisateur s’appelait Support, suivi d’un tas de chiffres ; le compte était bloqué. Le DM est un exemple classique d’hameçonnage, avec toutes les caractéristiques d’une arnaque. Alors pourquoi ma première impression était-elle que ce message était authentique ? Il y a quelques raisons.