Toutes les entreprises sont guidées par une analyse coûts-avantages de leur travail. C’est la même chose pour les fraudeurs en ligne motivés par l’argent. Pour fonctionner de manière rentable, les cybercriminels doivent concevoir des systèmes qui rapportent plus d’argent qu’ils n’en dépensent pour mener les attaques.
A propos de l’auteur
Carlos Asuncion, directeur de l’ingénierie des solutions, Shape Security chez F5.
Deux facteurs clés influencent ce calcul : le coût des opérations et l’évolution du paysage de la cybersécurité. Et les coûts chutent rapidement, ce qui signifie que les pirates peuvent dépenser quelques centaines de dollars pour lancer des attaques avec le potentiel de retirer des millions de dollars.
En conséquence, nous voyons le bourrage d’informations d’identification devenir une méthode de fraude en ligne de plus en plus populaire et répandue. En effet, les recherches de F5 Labs et Shape Security ont récemment signalé que les incidents de fuite d’informations d’identification avaient presque doublé de 2016 à 2020.
Sommaire
Remplissage d’identifiants
Le bourrage d’informations d’identification implique que les pirates informatiques acquièrent des noms d’utilisateur et des mots de passe à des prix ultra bas (parfois gratuitement) à partir de sources faciles d’accès. Ils utilisent ensuite un logiciel personnalisé ou standard pour automatiser le processus de connexion sur des millions de comptes d’utilisateurs sur des centaines de sites Web.
Ils le font en espérant que, par exemple, le mot de passe Facebook de quelqu’un puisse doubler comme identifiant de compte de fournisseur de services Internet ou même identifiant de compte bancaire. Le trafic est distribué à l’échelle mondiale pour éviter les soupçons et, avec un autre petit investissement, les pirates peuvent également vaincre les défenses automatisées de base telles que le test CAPTCHA (Completely Automated Public Turing) en externalisant vers des plug-ins ou des services de résolution de CAPTCHA.
Chez Shape Security, nous estimons le coût de 100 000 tentatives de prise de contrôle de compte à environ 200 $, y compris les logiciels nécessaires, les proxys réseau et les identifiants volés. Les taux de réussite varient généralement de 0,2 à 2 %. Les prises de contrôle réussies sont ensuite vendues sur divers forums et marchés entre 2 $ et 150 $, ce qui équivaut à un rendement compris entre 100 et 150 000 %, voire plus. Cela représente un rendement financier compris entre 200 $ et 300 000 $ et plus.
Malheureusement, de nombreuses organisations se concentrent toujours fortement sur la lutte contre les attaques de bots en utilisant l’adresse IP ou le blocage de chaîne User-Agent, qui se transforme rapidement en un jeu anxiogène et futile de Whack-a-Mole. Au lieu de cela, l’accent devrait être mis sur l’élimination de la proposition de valeur permettant aux attaquants d’attaquer vos propriétés numériques.
Tarification des fraudeurs en faillite
Pour les entreprises, cela signifie améliorer leurs défenses à un point tel qu’il est trop coûteux pour les pirates de les battre. Un criminel du monde réel ciblera toujours une fenêtre ouverte plutôt que d’acheter des outils coûteux pour crocheter la serrure d’une porte solide. Les règles sont les mêmes pour les propriétés virtuelles.
La meilleure méthode consiste à déployer une série de mesures qui obligent les fraudeurs à revenir aux étapes coûteuses de leurs attaques. Si cela se produit trop souvent, l’analyse coûts-avantages s’en écarte et les dépenses finissent par l’emporter sur tout rendement potentiel. David Bianco a introduit un concept en 2013 appelé la Pyramide de la douleur et il est vrai lorsqu’il s’agit d’atténuer les attaques de bourrage d’informations d’identification avec une efficacité à long terme.
S’engager dans Whack-a-Mole avec des adresses IP et des chaînes User-Agent, qui se trouvent au bas de la pyramide, est futile. Il vaut mieux concentrer les efforts plus haut dans la pyramide et atténuer les outils et les TTP des fraudeurs (tactiques, techniques et procédures). En d’autres termes, frustrez continuellement votre adversaire et forcez-le à aller ailleurs.
Plan en trois points
Pour bien faire les choses, vous devez déterminer combien il en coûte réellement pour attaquer vos propriétés Web et mobiles. Si vous ne savez pas combien cela coûte, vous ne savez pas quel genre de friction et d’interdiction mettre en place. Une fois que vous avez fait cela, il est temps de lancer un plan en trois points.
Tout d’abord, corrigez les points faibles en vérifiant l’exposition de votre réseau pour supprimer tous les fruits à portée de main. Cela crée une barrière minimale que les attaquants doivent surmonter. Par exemple, analysez les pages d’authentification de vos applications Web et assurez-vous que vous ne fournissez pas de commentaires inutiles pouvant être utiles aux fraudeurs. Les pages de réinitialisation de mot de passe sont un exemple courant ici.
Dire quelque chose comme « désolé, ce compte n’existe pas, veuillez réessayer » aide en fait les fraudeurs. Il leur indique quels comptes sont valides sur votre site et lesquels ne le sont pas, améliorant ainsi la précision et l’efficacité de toute attaque ultérieure de bourrage d’informations d’identification. Un meilleur message de réponse serait « nous avons reçu votre demande de réinitialisation de mot de passe. Si ce compte existe, un e-mail de réinitialisation de mot de passe vous sera envoyé ».
Ensuite, effectuez des tests d’intrusion sur les applications Web et mobiles de votre propre organisation pour comprendre à quel point il est facile ou difficile de les compromettre pour commettre une fraude. Ce processus doit être guidé par des preuves et non par des intuitions. Cela vous aidera à créer une boîte à outils de défenses qui reflète les tentatives probables de vaincre vos mesures de sécurité.
N’oubliez pas que les poteaux de but sont toujours en mouvement. Les outils disponibles pour les criminels s’améliorant de jour en jour, la troisième étape consiste donc à mettre à jour et à mettre à niveau régulièrement vos contrôles de sécurité pour suivre le rythme de l’évolution constante du paysage des risques. Cela peut inclure des analystes de sécurité (internes ou contractuels) mettant leur chapeau rouge d’équipe afin de rester branchés sur les derniers vecteurs d’attaque et outils discutés sur le dark web et les forums de fraude. Les Bug Bounties peuvent également être une solution pour identifier les lacunes de contrôle ou de nouvelles façons de contourner les contrôles existants avant que les fraudeurs ne puissent les trouver et en abuser.
N’oubliez pas que le bourrage d’informations d’identification est bon marché et facile, il est donc très logique sur le plan économique pour les fraudeurs qui empochent des millions chaque année grâce au crime. Ne leur facilitez pas la tâche !
