Les attaques BitB agissent comme une extension des détournements de clic existants ou de l’altération de l’interface utilisateur qui modifie l’apparence des navigateurs et des pages Web pour inciter les utilisateurs à contourner les contrôles de sécurité. Avec cette technique, une réplique entièrement fabriquée est créée un utilisateur pense qu’il voit la vraie fenêtre contextuelle, mais elle est simplement falsifiée dans la page.
« Très peu de gens remarqueraient les légères différences entre les deux », selon le rapport. « Une fois qu’il a atterri sur le site Web appartenant à l’attaquant, l’utilisateur sera à l’aise lorsqu’il tapera ses informations d’identification sur ce qui semble être le site Web légitime. »
Julia O’Toole, fondatrice et PDG de MyCena Security Solutions, affirme que les entreprises devraient éliminer le danger présenté par les attaques de phishing BitB en veillant à ce que les employés ne puissent plus créer, voir ou taper les mots de passe d’accès à l’entreprise. Cela revient à reprendre le contrôle de leurs accès et supprimer les risques d’erreur humaine du processus d’accès au réseau.
« Pour l’œil non averti, ce qui signifie la majorité des travailleurs, ce type d’attaques de phishing est dangereux mais impossible à repérer. Il suffit qu’un employé fasse une erreur pour compromette l’ensemble du réseau. »
« Des attaques comme celles-ci ne sont pas destinées à des gains financiers rapides. Les acteurs restent à l’intérieur de votre système et attendent les moments les plus opportuns pour agir et causer le plus de dégâts. Pendant tout ce temps, l’utilisateur continue de travailler sans se rendre compte qu’il a involontairement donné ses informations d’accès. »
« Ce type d’attaques a déjà été utilisés dans le passé. En 2020, les cybercriminels ont utilisé des techniques BitB similaires sur le service de distribution numérique de jeux vidéo Steam pour accéder aux informations de connexion des consommateurs. Bien que cela puisse causer des dommages aux individus, nous voyons maintenant une attaque plus agressive au niveau organisationnel. »
Bien que certains aient recommandé l’utilisation d’un gestionnaire de mots de passe et de l’authentification unique (SSO) pour contourner le problème, car ils saisissent automatiquement les mots de passe sans tomber dans les fenêtres de réplication, cela présente toujours des problèmes majeurs.
« Comme nous l’avons vu récemment, la centralisation des accès derrière un mot de passe n’empêche pas le vol des accès. Elle ne fait que centraliser les informations d’accès pour les pirates en cas d’infraction. Ce fut le cas du groupe de pirates Lapsus$ qui en infiltrant le réseau d’Okta, a pu facilement trouver un document Excel rempli des mots de passe maitres de Lastpass pour accéder aux comptes administrateurs domaine de leurs clients. »
« Les gestionnaires de mots de passe et les outils d’accès unique peuvent fournir une couche superficielle de commodité pour les utilisateurs, mais aussi offrir les clés du royaume de leur entreprise sur un plateau d’argent en cas d’infraction. Au contraire, la segmentation des accès et la distribution de mots de passe chiffrés est une solution plus efficace qui élimine complètement la menace potentielle de faute ou fraude humaine de l’équation et protège l’intégrité des accès. »
« Les entreprises pourraient voir l’attrait d’utiliser des méthodes d’authentification multi-facteur (MFA) par mesure de précaution. Mais leur perte initiale de contrôle des accès signifie que même le MFA ne peut garantir la légitimité ou l’intégrité des accès. Les attaquants cyber ont trouvé de nombreuses façons de les infiltrer, comme nous l’avons vu récemment à travers les vulnérabilités connues dans les protocoles MFA. S’appuyer sur le MFA signifie simplement reporter une brèche inévitable des accès, plutôt que sécuriser votre cybersécurité et votre cyber-résilience. »
« Les cyber-attaquants sont plus intelligents et implacables lorsqu’il s’agit de techniques de phishing modernes. S’appuyer sur des approches de sécurité traditionnelles ne suffit plus. »
« En reprenant le contrôle et en remettant la segmentation et la sécurité des accès du côté organisationnel, les employés n’ont plus besoin de créer, de voir ou de taper de mots de passe du tout. L’utilisation d’un processus sécurisé -de la réception, stockage à l’utilisation des informations de connexion chiffrées -signifie qu’ils n’ont plus à s’inquiéter de les divulguer accidentellement à des cyber-attaquants. »