Les atteintes à la protection des données ont mis les données de milliards de personnes entre les mains de cybercriminels. Des atteintes majeures comme celles qui se sont produites chez Equifax, JP Morgan, Target et Home Depot, et les milliers d’atteintes plus petites (et moins petites) qui ne font pas les manchettes, ont mis des milliards de personnes à risque d’attaque. Il est effrayant d’imaginer l’impact en aval des atteintes à la protection des données et comment elles permettent une toute nouvelle génération d’attaques d’hameçonnage.

Vous avez donc été touché par une violation de données

L’impact en aval de la plus grande violation de données en nombre absolu d’enregistrements, la violation massive de 3 milliards d’enregistrements par Yahoo!, aurait en théorie pu être atténuée par un changement de mot de passe, en supposant que 1) votre compte n’a pas été consulté et 2) le contenu n’a pas été téléchargé. Avec d’autres atteintes comme Equifax ou JPM, vous pourriez prendre des mesures défensives comme la surveillance du crédit, l’annulation des cartes de crédit et l’ajout d’outils de sécurité qui limitent la compromission d’un plus grand nombre d’informations financières. Pourtant, il devrait y avoir une crainte légitime découlant des attaques d’ingénierie sociale qui peuvent suivre.

Le marché noir des données du « Dark Web » accorde plus de valeur à un ensemble de données plus il est riche, ou à des types d’information spécifiques. Les cotes de crédit et les dossiers de santé (qui sont plus durables) peuvent tous coûter des prix plus élevés. Avec un dossier comprenant un numéro de sécurité sociale, les criminels peuvent tirer un profit important en faisant de fausses déclarations à l’IRS en leur nom. De même, avec les cartes de crédit, il existe plusieurs façons simples pour les criminels d’encaisser. Les cartes de crédit vérifiées avec une bonne cote de crédit peuvent exiger une prime. Il existe même un marché pour les cartes de crédit mortes.

Heureusement pour les consommateurs, dans bien des cas, la plupart des données peuvent devenir obsolètes et moins utiles aux criminels. Les conséquences les plus dangereuses en aval d’une violation sont atténuées en grande partie par une détérioration rapide de la valeur des données, ce qui rend le temps nécessaire aux grandes entreprises et aux marques pour divulguer les violations d’autant plus inquiétant.

Deux tendances dangereuses entrent en collision

La mise en garde ici est que deux tendances majeures pourraient se croiser avec des conséquences désastreuses. Plus les mauvais acteurs disposent de données, plus les attaques d’ingénierie sociale ont de chances d’être menées avec succès. L’ingénierie sociale ouvre plus de possibilités aux criminels de monétiser les données compromises, principalement parce qu’ils peuvent intégrer les données d’une victime dans une attaque, ce qui rend l’attaque plus légitime et amène la victime à ignorer les soupçons.

L’ingénierie sociale ne doit pas nécessairement être une fraude complexe à plusieurs facteurs du PDG. Il est possible que de plus en plus d’ingénierie sociale de courrier en masse commence à circuler, ce qui n’est possible que grâce à des violations de données, qui mettent des quantités massives de données riches sur le dark web.

En général, l’hameçonnage a été exécuté avec un objectif très ciblé ou une très grande portée. Il existe une menace réelle d’une attaque d’hameçonnage exécutée à la suite d’une atteinte à la protection des données qui pourrait exposer votre utilisateur moyen, et en particulier les personnes âgées, occupées ou moins conscientes du numérique, à un risque beaucoup plus élevé. Les attaques qui étaient autrefois du gros courrier de fusil de chasse peuvent s’enrichir d’autres informations qui donnent une sensation plus « personnalisée ».

La crainte est que, compte tenu de certains éléments d’information, une approche de « pulvérisation et de prière » au fusil de chasse puisse être mise à l’échelle vers une méthode plus ciblée avec plus de chances d’attraper une victime. Que se passe-t-il lorsque des menaces ciblées sont lancées à une échelle croissante?

L’économie de la menace par courriel

Pour simplifier les raisons pour lesquelles ces préoccupations sont importantes, faisons le calcul. Du point de vue d’un agresseur, imaginez que :

Gains potentiels de la campagne d’attaque :

(Revenus estimés par attaque réussie * Tentatives d’attaques) * Taux d’efficacité du vecteur d’attaque – Coût par campagne = Le « retour sur investissement » d’une attaque

Coût par campagne = Coûts d’acquisition de données + Coûts variables (et certains coûts fixes) + Coût du temps et de l’énergie nécessaires pour « convertir » la cible

Les coûts en temps et en énergie d’un Attaque d’hameçonnage très ciblée, comme une compromission de courriels d’entreprise ou une fraude au PDG, sont assez élevés par rapport à une attaque de courrier en masse. Ils nécessitent beaucoup de recherches avant d’être lancés, ainsi qu’un entretien et un suivi intensifs. Pour qu’une telle attaque soit efficace, elle doit être exécutée sans faille, ou presque, et des dizaines de tentatives peuvent être nécessaires avant qu’une attaque ne réussisse à produire le gain à 5 à 6 chiffres que de nombreux attaquants recherchent. L’approche alternative de pulvérisation et de prière aura un faible taux d’efficacité, mais le coût par campagne est assez faible, avec un coût marginal très faible. (Si cela commence à ressembler à une analyse de rentabilisation sophistiquée, eh bien, les pourriels et la cybercriminalité représentent un milliard ou même un billion de dollars.)

Ce qui est très effrayant, c’est que plus l’attaque est adaptée, plus elle a de chances de réussir. Le niveau de ciblage existe sur une échelle. Pour chaque élément qui rend la campagne plus personnelle ou apparemment en possession d’informations qui créent un sentiment de familiarité avec le sujet, la probabilité d’un « succès » augmente, ou oserais-je dire de conversion. Utiliser le bon « prénom » est un début, mais facilement ignoré.

Dans une fraude par PDG, un escroc peut décrocher le téléphone pour faire le suivi d’un courriel, ce qui crée une énorme confiance ou du moins assez pour semer un certain degré de confiance. Mais dans l’attaque ciblée de milieu de gamme, si un courriel contient 3 éléments ou indices importants, par exemple le prénom, les 4 derniers chiffres de mon numéro de compte, et sait que le destinataire a été piraté? Cela aura certainement un taux de réussite effrayant.

Si un escroc se rend sur le Dark Web et achète la base de données de JPM avec des noms d’utilisateur et toute autre information disponible, il peut augmenter considérablement l’efficacité d’une campagne de « réinitialisation de votre mot de passe » avec le même coût de lancement et avec un coût d’acquisition de données légèrement plus élevé que ce qui était disponible auparavant. En comparaison, essayer d’amener un utilisateur à réinitialiser son mot de passe sans connaître ses informations bancaires, et il est clair que plus vous en saurez sur une cible et l’utiliserez, les attaques seront beaucoup plus efficaces. Que se passe-t-il si le nombre de victimes d’une campagne de pourriel passe de 1 sur 1 000 000 à 1 sur 100 000 avec seulement une légère augmentation du coût des données sur le marché noir?

Hameçonnage des justificatifs d’identité après des atteintes à la vie privée

Une caractéristique malheureuse d’une attaque par réinitialisation de mot de passe est qu’elle semble encore plus efficace à la suite d’une attaque qui fait les manchettes. Pensez-y : si vous appreniez qu’Equifax s’est fait pirater et que vous receviez ensuite un courriel d’Equifax vous demandant de reposer votre mot de passe sur un compte sur l’une de ses plateformes sans savoir si l’expéditeur était l’expéditeur, dans quelle mesure seriez-vous plus susceptible de suivre ce processus? Qu’en est-il de votre mot de passe Yahoo!? Ou si vous recevez un message sur le fait de vous joindre à une poursuite contre Target parce qu’ils ont perdu votre carte de crédit?

Les escrocs ont probablement vos données, et maintenant?

Compte tenu du nombre d’atteintes à la protection des données à grande échelle que nous avons observées au cours de la dernière décennie, il est raisonnable de dire qu’il existe des données assez riches sur presque tous les ménages en Amérique du Nord sur le dark web. L’hameçonnage au fusil de chasse pourrait devenir beaucoup plus ciblé – et c’est très effrayant.