Voici à quelle vitesse un mot de passe divulgué sur le Web sera testé par les pirates

Des chercheurs en cybersécurité ont planté de faux mots de passe sur le Web. Ils ont découvert que les attaquants étaient extrêmement rapides pour tester si les noms d’utilisateur et les mots de passe fonctionnaient.

La moitié des comptes compromis par des attaques de phishing sont accessibles manuellement dans les 12 heures suivant la fuite du nom d’utilisateur et du mot de passe, car les cybercriminels cherchent à exploiter les informations d’identification volées le plus rapidement possible.

Les chercheurs en cybersécurité d’ Agari ont planté des milliers d’informations d’identification – qui étaient censées appartenir à de vrais utilisateurs, mais étaient en fait sous le contrôle des chercheurs – sur des sites Web et des forums populaires pour le dumping de noms d’utilisateur et de mots de passe volés.

Les fausses informations d’identification – semées au cours de six mois – ont été conçues pour ressembler à des connexions compromises pour des applications logicielles cloud bien connues

Les chercheurs ont découvert que les comptes sont activement consultés dans les heures suivant la mise en ligne des identifiants de connexion sur les sites Web et les forums de phishing .

« Environ la moitié des comptes ont été consultés dans les 12 heures suivant le lancement des sites. 20 % sont consultés dans l’heure et 40 % dans les six heures. Cela vous montre vraiment à quelle vitesse un compte compromis est exploité », a déclaré Crane Hassold, directeur principal de la recherche sur les menaces chez Agari, a déclaré à ZDNet.

Presque tous les comptes ont été consultés manuellement. Cela peut être une tâche banale, mais cela s’avère finalement utile pour les cybercriminels car ils peuvent tester avec précision si les informations d’identification fonctionnent vraiment.

« C’est un processus assez fastidieux, j’en suis sûr de leur côté, mais ils en tirent beaucoup de bonnes informations et ils utilisent les comptes de différentes manières pour différents types d’activités malveillantes », a déclaré Hassold.

Par exemple, en accédant à un compte, un attaquant peut tenter de trouver des informations sensibles dans les boîtes de réception des personnes, ou même dans leur logiciel de stockage en nuage, qui pourraient être volées et utilisées pour aider à d’autres attaques ou revendues.

Il est également possible que les attaquants utilisent les comptes compromis pour mener d’autres attaques, telles que des attaques de phishing ou de compromission des e-mails professionnels (BEC), en utilisant le compte compromis afin de lancer d’autres campagnes.

Un attaquant a tenté d’utiliser un compte compromis pour mener des attaques BEC contre le secteur immobilier, lançant des e-mails qui auraient tenté de rediriger les victimes vers un site Web pour voler les informations de connexion des sociétés immobilières. Cependant, dans ce cas, parce que les fausses informations d’identification étaient contrôlées par les chercheurs, aucun des e-mails tentés n’est réellement arrivé à leurs destinations prévues.

Cependant, il montre comment les cybercriminels prennent des informations d’identification compromises et tentent de les exploiter afin d’accéder à des comptes supplémentaires.

« Lorsque vous avez du phishing d’identifiants, cela conduit à un compte compromis, ce qui conduit à davantage de campagnes de phishing d’identifiants, ce qui conduit à davantage de comptes compromis et ainsi de suite », a déclaré Hassold.

Bien que les comptes compromis soient accessibles rapidement, la recherche a révélé qu’ils sont souvent abandonnés après environ une semaine – bien qu’à ce stade, il soit probable que les attaquants soient passés à d’autres comptes, peut-être après avoir utilisé le compte initial comme tremplin pour y arriver. .

Les entreprises peuvent prendre des précautions pour défendre leurs utilisateurs, leurs applications cloud et le réseau au sens large contre le phishing et autres attaques. L’une d’entre elles consiste à mettre en place des défenses appropriées, comme un logiciel antivirus ou un filtre anti-spam.

Pendant ce temps, l’utilisation de l’authentification multifacteur peut aider à empêcher l’exploitation des comptes compromis, car elle rend l’utilisation beaucoup plus difficile pour un attaquant, tout en alertant la victime que quelque chose ne va pas.