Le groupe de cybercriminalité ShinyHunters attire l’attention mondiale après que Google ait demandé à 2,5 milliards d’utilisateurs de renforcer leur sécurité suite à une violation de données via Salesforce, une plateforme de gestion de la relation client.
Contrairement aux violations de données classiques où les hackers pénètrent directement dans des bases de données contenant des informations précieuses, ShinyHunters – ainsi que d’autres groupes – cible récemment de grandes entreprises par le biais de techniques de manipulation vocale, souvent désignées sous le terme « vishing » (phishing vocal).
La manipulation sociale consiste à tromper quelqu’un pour qu’il divulgue des informations ou effectue des actions qu’il ne ferait pas autrement.
Dans ce cas, pour accéder à des systèmes protégés, un criminel se ferait passer pour un membre du service d’assistance informatique de l’entreprise ciblée afin de convaincre un employé de partager des mots de passe ou des codes d’authentification multifactoriels. Bien que le vishing ne soit pas une nouvelle méthode, l’utilisation de deepfakes et de l’intelligence artificielle générative pour cloner des voix rend ce type d’ingénierie sociale plus difficile à détecter.
Cette année, des entreprises comme Qantas, Pandora, Adidas, Chanel, Tiffany & Co. et Cisco ont toutes été ciblées avec des tactiques similaires, touchant des millions d’utilisateurs.
Qui sont ShinyHunters ?
ShinyHunters a fait son apparition en 2020 et revendique avoir attaqué avec succès 91 victimes jusqu’à présent. Ce groupe est principalement motivé par des intérêts financiers, mais n’hésite pas à causer des dommages à la réputation de ses cibles. En 2021, ShinyHunters a annoncé qu’il vendait des données volées de 73 millions de clients AT&T.

Bleeping Computer
ShinyHunters a préalablement ciblé des entreprises en exploitant des vulnérabilités dans des applications cloud et des bases de données de sites web. En ciblant des fournisseurs de gestion de la relation client comme Salesforce, les cybercriminels peuvent accéder à des ensembles de données riches provenant de plusieurs clients en une seule attaque.
La nouvelle approche employée par ShinyHunters en matière de techniques d’ingénierie sociale est considérée comme relativement innovante. Ce changement est attribué à leurs liens avec d’autres groupes similaires.
Mi-août, ShinyHunters a annoncé sur Telegram qu’ils collaboraient avec des acteurs de la menace connus comme Scattered Spider et Lapsus$ pour viser des entreprises telles que Salesforce et Allianz Life. Le canal a été supprimé par Telegram quelques jours après son lancement. Le groupe a rendu publiques les données de Salesforce liées à Allianz Life, incluant 2,8 millions de dossiers de clients individuels et de partenaires commerciaux.
Le groupe récemment renommé Scattered Lapsus$ Hunters a annoncé qu’il proposait des services de rançongiciel. Cela signifie qu’ils lancent des attaques par rançongiciel pour le compte d’autres groupes prêts à les payer.
Ils affirment que leur service est plus performant que celui proposé par d’autres groupes de cybercriminalité comme LockBit et Dragonforce. Plutôt que de négocier directement avec les victimes, le groupe publie souvent des messages d’extorsion en public.

FalconFeeds.io
Qui sont tous ces cybercriminels ? Il est probable qu’il existe un chevauchement significatif entre les membres de ShinyHunters, Scattered Spider et Lapsus$. Tous ces groupes sont internationaux, avec des membres opérant sur le dark web en provenance de différentes régions du monde.
Pour ajouter à la confusion, chaque groupe est connu sous plusieurs noms. Par exemple, Scattered Spider a été désigné comme UNC3944, Scatter Swine, Oktapus, Octo Tempest, Storm-0875 et Muddled Libra.
Comment se protéger du vishing ?
En tant qu’utilisateurs quotidiens et clients de grandes entreprises technologiques, il y a peu de choses que nous pouvons faire face à des groupes de cybercriminalité organisés. Se protéger personnellement des escroqueries nécessite une vigilance constante.
Les tactiques d’ingénierie sociale peuvent être très efficaces car elles exploitent les émotions humaines et le désir de faire confiance et d’aider.
Cependant, les entreprises peuvent également agir de manière proactive pour réduire le risque d’être la cible de tactiques de vishing.
Les organisations peuvent sensibiliser à ces tactiques et intégrer des formations basées sur des scénarios dans les programmes de formation des employés. Elles peuvent aussi adopter des méthodes de vérification supplémentaires, comme des contrôles en vidéo où un employé montre une carte professionnelle ou une pièce d’identité émise par le gouvernement, ou en posant des questions dont les réponses ne peuvent pas être facilement trouvées en ligne.
Enfin, les organisations peuvent renforcer la sécurité en utilisant des applications d’authentification qui nécessitent une authentification multifactorielle résistante au phishing, comme la correspondance de numéros ou la vérification géographique. La correspondance de numéros demande à une personne de saisir des chiffres provenant de la plateforme d’identité dans l’application d’authentification pour valider la demande d’authentification. La vérification géographique utilise l’emplacement physique d’une personne comme facteur d’authentification supplémentaire.
Points à retenir
- Le vishing est une forme d’ingénierie sociale ciblant les employés via des appels vocaux frauduleux.
- Les cybercriminels utilisent des technologies avancées, comme les deepfakes, pour rendre leurs attaques plus crédibles.
- La collaboration entre groupes de cybercriminalité accroît l’efficacité de leurs attaques.
- Une formation adéquate des employés ainsi que des méthodes de vérification rigoureuses peuvent réduire les risques.
- Les utilisateurs doivent rester vigilants face aux demandes d’information sensibles.
En somme, la lutte contre le vishing repose non seulement sur la vigilance individuelle mais aussi sur l’éducation collective au sein des organisations. Alors que la technologie continue d’évoluer, il sera crucial de s’adapter aux nouvelles méthodes utilisées par les cybercriminels. Quelles seraient les prochaines étapes pour renforcer la sécurité des données dans nos entreprises ?
