Essai gratuit
Obtenez l'accès complet
Connexion

Listes combinées et Dark Web : comprendre les informations d'identification divulguées

Picture of Flare
Flare
  • Reading time: 4 min
Fond bleu dégradé. Il y a un ovale orange clair avec le texte blanc "BLOG" à l'intérieur. En dessous, il y a du texte blanc : "Listes combinées et le Web sombre : comprendre les informations d'identification divulguées." Il y a un texte blanc sous celui qui dit "En savoir plus" avec une flèche orange clair pointant vers le bas.

Dans le monde interconnecté et basé sur le cloud d'aujourd'hui, les informations d'identification des utilisateurs sont les clés qui permettent d'accéder à la maison qui stocke le trésor numérique d'une organisation. Tout comme les cambrioleurs crochetent la serrure d'une maison physique, les cybercriminels utilisent des informations d'identification volées pour obtenir un accès non autorisé aux systèmes et réseaux d'une entreprise. De même, les cybercriminels peuvent acheter de gros volumes d'identifiants volés sur le dark web, tout comme les voleurs peuvent acheter des outils de crochetage. 

En achetant des listes combinées sur le dark web, les acteurs malveillants peuvent acheter toutes les informations d'identification divulguées nécessaires pour perpétrer leurs attaques. 

Qu'est-ce qu'une liste combinée de mots de passe ?

Une liste combinée est une collection de noms d'utilisateur compromis et de leurs mots de passe associés que les acteurs malveillants utilisent pour remplir leurs outils automatisés de force brute. Comme pour tout ensemble de données volumineux, les listes combinées ont plus de valeur lorsqu'elles regroupent plus d'informations d'identification, incorporant généralement des données provenant de plusieurs violations. Ils n'ont pas de format standardisé, comprenant souvent à la fois des formats hachés et en texte clair, et peuvent être organisés par région géographique, secteur ou domaine de premier niveau.

Lors de la détermination de la valeur d'une liste combinée, les attaquants se concentrent sur :

  • À quel service les informations d'identification sont liées
  • Depuis combien de temps les informations d'identification ont été volées
  • Combien de violations sont combinées dans un seul package/liste

Comment les auteurs de menaces utilisent-ils les listes combinées ?

Étant donné que les attaquants traitent la cybercriminalité comme une entreprise, ils souhaitent optimiser leur investissement financier dans les listes combinées en les utilisant de différentes manières. 

Attaques basées sur les informations d'identification

Avec les listes combinées, les attaquants peuvent automatiser les méthodes d'attaque basées sur les informations d'identification telles que :

  • Forçage brutal
  • Pulvérisation de mot de passe
  • Bourrage de Credential
  • Prise de contrôle de compte

À l'aide d'outils achetés sur le dark web ou d'autres forums illicites, les attaquants testent les informations d'identification volées sur divers sites Web et applications, dans l'espoir de trouver une correspondance et d'obtenir un accès non autorisé à des données sensibles. 

Étant donné que les gens réutilisent souvent leurs mots de passe sur plusieurs services, cette approche « pulvériser et prier » réussit souvent. Même si quelqu'un réinitialise le mot de passe d'un service qui a subi une violation de données, il se peut qu'il n'ait pas réinitialisé le mot de passe pour tous les services. Par exemple, quelqu'un peut réutiliser son mot de passe de messagerie d'entreprise pour accéder à un outil de gestion de la relation client (CRM), à un outil de planification des ressources d'entreprise (ERP) ou à un portail de ressources humaines. Les attaquants utilisent l'automatisation pour essayer les informations d'identification de messagerie dans les services commerciaux critiques. S'ils obtiennent un accès direct à un service, ils élèvent les privilèges du compte, obtiennent un accès supplémentaire aux données sensibles, puis les volent. 

Attaques d'ingénierie sociale ciblées

Les adresses e-mail ont leur propre valeur unique. Les acteurs malveillants peuvent utiliser la liste combinée pour déployer des attaques d'ingénierie sociale contre les utilisateurs. Étant donné que les adresses e-mail d'entreprise incluent le domaine de l'entreprise, elles peuvent trier les listes pour envoyer des attaques de phishing ciblées. Avec une petite recherche sur les réseaux sociaux, ils peuvent trouver les noms de :

  • La haute direction 
  • Membres de l'équipe informatique
  • Personnel des ressources humaines
  • Employés du service des finances

Avec cette recherche et les adresses e-mail de la liste combinée, ils peuvent créer des attaques de harponnage. Selon un rapport, les attaques de spear phishing basées sur la réponse qui demandent un virement bancaire ont augmenté de 59 % au T3 2022 par rapport au T2. 

Cyber-extorsion 

Au cours des dernières années, les attaques de rançongiciels à double extorsion sont devenues la variante prédominante. Les criminels organisent désormais des campagnes à plusieurs niveaux, avec un article notant que 63% des attaques de ransomware incluent le chantage. Avec le d'informations d'identification divulguées contenus dans des listes combinées, les acteurs malveillants peuvent "prouver" qu'ils accèdent au système ou au réseau et inciter les entreprises à les payer, même s'ils n'ont pas déployé d'attaque de ransomware. 

Comment atténuer les risques découlant des listes combinées

Comme pour tout le reste de la cybersécurité, la protection de votre organisation contre les risques associés aux listes combinées nécessite une approche à plusieurs volets entre les personnes, les processus et les technologies. 

Mettre en œuvre et appliquer les meilleures pratiques de mot de passe

Dans un monde de travail à distance, vos utilisateurs sont votre première ligne de défense. Vous devriez fournir à vos employés une formation de base sur la sensibilisation à la cybersécurité qui aborde les principes fondamentaux d'un mot de passe ou d'une phrase de passe fort :

  • Quelque chose d'unique pour l'utilisateur
  • Quelque chose de plus de 12 caractères
  • Une combinaison de lettres, de chiffres et de caractères spéciaux

De plus, votre formation devrait rappeler aux gens d'utiliser un mot de passe unique pour chaque application personnelle et professionnelle. 

Fournir un gestionnaire de mots de passe

Selon rechercher, on s'attend à ce qu'une personne moyenne se souvienne de 100 mots de passe. De plus, ce nombre a augmenté de 25 % entre 2019 et 2020. Pour soutenir vos initiatives de sécurité, vous devez proposer aux employés une technologie de gestion des mots de passe afin qu'ils puissent créer et utiliser des phrases secrètes sécurisées de manière cohérente. 

Mettre en œuvre et appliquer l'authentification multifacteur (MFA)

Avec MFA, vous placez une couche supplémentaire autour des connexions. MFA est une combinaison de deux ou plusieurs des éléments suivants :

  • Quelque chose qu'une personne connaît (mot de passe/phrase de passe)
  • Quelque chose qu'une personne possède (jeton, appareil)
  • Quelque chose qu'une personne est (biométrique comme une empreinte digitale ou un identifiant facial)

Lier les informations d'identification d'un utilisateur à quelque chose qu'il possède ou qu'il est empêche les acteurs malveillants de se lancer dans des attaques basées sur les informations d'identification, car ils ne peuvent pas passer cette couche de sécurité supplémentaire.

Surveiller le Web clair et sombre

Bien que vous sachiez peut-être que votre entreprise a subi une violation de données, vous ne connaissez peut-être pas tous les différents sites Web et services que vos employés utilisent pour en faire l'expérience. De plus, vous n'avez peut-être pas de visibilité sur les endroits où vos employés utilisent leur adresse e-mail professionnelle. 

Pour atténuer ces risques, vous devez vous engager dans des surveillance du dark web pour identifier les informations d'identification divulguées. Des acteurs malveillants vendent les listes combinées sur le dark web. Avec une solution de surveillance automatisée, vous pouvez cibler vos recherches pour obtenir des alertes pour le domaine principal et les sous-domaines de votre entreprise, vous donnant une visibilité sur les données divulguées que vous ne trouveriez peut-être pas autrement. 

Une fois que vous avez trouvé les informations d'identification compromises, vous pouvez travailler avec les employés qui présentent un risque pour réinitialiser leurs mots de passe dans tous les services. De cette façon, vous atténuez les risques liés aux mots de passe réutilisés. 

Flare Systems : Atténuation des risques grâce à la surveillance automatisée du dark web

Avec la plate-forme de Flare, vous pouvez mettre en œuvre des stratégies de surveillance Web sombres et claires qui atténuent les risques associés aux informations d'identification divulguées. Grâce à notre système de collecte de données basé sur l'IA, vous pouvez définir des termes de recherche et recevoir des alertes ciblées qui réduisent le bruit et permettent une sécurité plus robuste. La plate-forme de Flare réduit les processus manuels afin que vous puissiez identifier de manière proactive les informations d'identification de compte divulguées ou volées sur les forums Web sombres, les canaux Telegram illicites et les référentiels open source. 

Grâce à la large couverture et à la surveillance automatisée de Flare, vous pouvez réduire considérablement le temps et les coûts associés à la surveillance Web sombre et claire tout en améliorant votre posture de sécurité. 

Essayez un essai gratuit et démarrez en seulement quinze minutes.

Partager cet article
Afficher les messages

Flare

Contenu similaire

Using CTI to Help Predict Vulnerability Exploitability

En savoir plus
, ,

AlphaLock, Threat Actor Branding, and the World of Cybercrime Marketing

En savoir plus

Ransomware in Context: 2024, A Year of Tumultuous Change

En savoir plus

« Ce qui prenait environ 1500 heures peut désormais être réalisé en une semaine. Flare me permet d'habiliter des analystes débutants à mener des enquêtes sur le Web clandestin qui étaient auparavant impossibles, libérant ainsi de la bande passante. »

Spécialiste principal en cybersécurité chez un prestataire de services en gestion des cybermenaces (MSSP)

« D'autres solutions nous auraient présenté des milliers de fuites potentielles avec lesquelles il était impossible de travailler pour notre petite équipe. Flare était le seul à pouvoir filtrer et prioriser avec succès les fuites de données avec leur système de notation à 5 points. »

Directeur du renseignement sur les cybermenaces (CTI) dans une grande banque nord-américaine

« Flare nous permet de réagir rapidement lorsque des cybermenaces sont rendues publiques, ce qui nous aide à protéger notre marque et nos ressources financières contre les brèches de données. »

Responsable de la sécurité des systèmes d'information (RSSI) dans une grande banque nord-américaine

« Nous avons audité des dizaines de solutions différentes et Flare était le seul à rendre le renseignement sur les cybermenaces facile et compréhensible pour tous, avec les bonnes données. »

Conseiller cadre dans une entreprise de technologies de l'information

Commencez votre essai gratuit dès aujourd'hui

Faites l'expérience de Flare par vous-même et découvrez pourquoi Flare est utilisé par des organisations telles que des agences de sécurité publique, des sociétés du Fortune's 50, des institutions financières et des jeunes entreprises.

COMMENCEZ L'ESSAI GRATUIT
Flare logo
Démo
Essai gratuit
LinkedIn Twitter Facebook Youtube
Droits d'auteur 2024 Flare Systems, Inc.
1751 Rue Richardson, Unité 3.108, Montréal, Québec, H3K 1G6

Siège social de Flare

société de cybersécurité soc 2
Flare logo
Essai gratuit
Obtenez l'accès complet
Connexion