Une nouvelle affaire de cybercriminalité a fait couler beaucoup d’encre ces derniers jours. Une campagne massive d’hameçonnage a ciblé plus de 130 entreprises avec parmi elles de grands noms comme Twilio, Cloudflare et probablement Signal.
Le 25 août 2022, Group-IB a rendu public un rapport d’analyse pointant cette affaire baptisée « 0ktapus ». Le but de la campagne : récupérer les identifiants et les authentifications à deux facteurs des utilisateurs d'Okta, une plateforme qui permet aux collaborateurs, clients et partenaires d’une entreprise de se connecter aux ressources et aux outils de cette dernière.
Un hack simple, mais redoutablement efficace
Les victimes de cette attaque ont été ciblées à l’aide d’un SMS contenant un lien pointant vers un site de phishing, ressemblant à la page d’authentification d’Okta. Sur cette page, les cibles devaient indiquer leurs informations de connexion et envoyer le formulaire.
À la suite de la validation du formulaire, les données étaient envoyées directement sur un canal Telegram, géré par les hackers. Une fois ces identifiants en possession des pirates, ils pouvaient se connecter et voler les données sensibles d’une entreprise. Les sociétés ciblées lors de cette attaque sont variées, on en compte dans le monde entier, et issues de divers domaines : logiciel, finance, télécom, éducation, etc.
Une attaque jugée comme « peu compliquée » à mettre en œuvre et qui montrait quelques failles dans sa configuration, comme le soulignent les mots de Roberto Martinez, analyste senior chez Group-IB : « L'analyse du kit d'hameçonnage a révélé qu'il était mal configuré et la façon dont il a été développé a permis d'extraire les informations d'identification volées pour en faire une analyse plus approfondie ».
Comment se protéger de ce type d’attaque
Malgré cette relative simplicité évoquée, 0ktapus, lancé en mars 2021, aurait récupéré jusqu’à présent près de 9 931 identifiants. La liste pourrait être plus longue si l’on en croit les entreprises citées comme cibles par Group-IB, mais pas encore reconnues comme victimes : Microsoft, Riot Games, Coinbase, AT&T, ou encore Epic Games.
Comme le montre cette affaire, il est toujours important d'adopter de bonnes pratiques pour se prémunir de ce genre d'attaque. Il est capital de toujours vérifier soigneusement l’URL sur laquelle nous saisissons nos informations de connexions. Par exemple, parmi les 169 URL utilisées dans le cas de cette attaque, la majorité d'entre elles étaient identifiables comme suspectes (« vzw-corp.net »; « mailgun-okta.com »).
De même, vérifiez la source d'où provient le lien, si cette dernière est suspecte, transmettez-la à l’équipe informatique de votre entreprise (si vous en avez une).
Finalement, si vous pensez avoir été victime d’une de ses attaques et que vos paramètres d’identification sont potentiellement corrompus, changez de mot de passe, puis déconnectez-vous de toutes les sessions actives. Si vous êtes en entreprise, signalez cela au responsable de la sécurité informatique.
