Phishing

Comment le piratage d’un seul compte e-mail du SANS Institute a causé le vol de 28’000 données?

Organisme dédié à la recherche et à l'éducation en cybersécurité, le SANS Institute a subi un hameçonnage ayant exposé 28’000 données personnelles. La pirate est parvenu à obtenir plus de 500 e-mails.

Le pirate a compromis le compte e-mail d’un employé en l’incitant à installer une extension malveillante pour Office 365. (Source: SANS Institute)
Le pirate a compromis le compte e-mail d’un employé en l’incitant à installer une extension malveillante pour Office 365. (Source: SANS Institute)

Le SANS Institute a beau s’investir dans la recherche et l'éducation en cybersécurité, l’organisme n’est toutefois pas à l’abris d’attaques informatiques. L'institut a en effet été victime d’un vol de données. Découverte le 6 août, la brèche a exposé pas moins de 28’000 données personnelles. Pas de mot de passe ou de données financières, mais des adresses e-mail et postales, des noms et prénoms, ou encore des fonctions professionnelles et identités de l’employeur.

Une seule tentative de hameçonnage (phishing) réussie a permis de mettre la main sur ces près de 30’000 données. Pour y parvenir, le pirate a compromis le compte e-mail d’un employé en l’incitant à installer une extension malveillante pour Office 365. L’opération a entraîné la configuration d'une règle de transfert sur le compte de la victime, explique le SANS Institute. Résultat: 513 courriels ont été transférés vers une adresse électronique externe inconnue. Plus précisément, la règle ironiquement baptisée «Anti Spam Rule» a provoqué le transfert des e-mails contenant au moins un mot clé parmi une dizaine d’un champ lexical bancaire et financier, dont «Banque», «BIC», «Swift», «Paiement» ou encore «dividende».

Sur le site spécialisé SCmagazine, Salvatore Stolfo, Professeur d'informatique à l'Université de Columbia, estime que ce vol de données doit servir de piqûre de rappel: «Les hameçonneurs et les escrocs d'aujourd'hui sont tout simplement bons. Suffisamment bons pour tromper l'œil le plus professionnel.» Le SANS Institute n’a pas précisé si la victime du phishing est un expert de la cybersécurité ou non. Mais l’on peut imaginer que tous les collaborateurs de cet institut renommé qui forme et certifie des spécialistes en la matière sont particulièrement sensibilisés aux risques d’un hameçonnage.

Webcode
DPF8_186513