Au cours des dernières années, nous avons constaté une augmentation spectaculaire du nombre de cas d’attaques de ransomwares, frappant à la fois les particuliers et les entreprises.
Récemment, Seyfarth Shaw, un cabinet d’avocats international ayant des bureaux en Australie, a déclaré être victime d’une attaque de malware agressif que l’on pense être un ransomware.
Le cabinet a déclaré dans un communiqué qu’il a été attaqué le 10 octobre dernier. Les pirates informatiques ont ciblé les employés et l’entreprise, dont la principale motivation était le gain financier.
Lorsqu’un utilisateur visite un site web infecté ou clique sur un lien dans un e-mail ou une fenêtre pop-up, le ransomware se télécharge sur son ordinateur et affiche des messages dans le but d’extorquer de l’argent.
Certains ransomwares affichent en permanence des fenêtres contextuelles de contenu inapproprié (par exemple, de la pornographie), tandis que d’autres, connus sous le nom de crypto-ransomware, chiffrent votre disque dur ou suppriment vos données.
Prévention des attaques de ransomware
Les ransomwares sont une réelle menace, car ils peuvent causer la destruction complète d’un ordinateur ou d’un réseau d’entreprise. Il est extrêmement difficile de récupérer les systèmes infectés par ce type de malware sans en payer le prix.
Il est donc préférable d’empêcher que le logiciel malveillant n’atteigne pas vos systèmes. Il existe de nombreux moyens de renforcer vos systèmes pour empêcher les attaques de ransomware.
Formation de sensibilisation à la sécurité
Toutes les entreprises, quelle que soit leur taille, devraient dispenser une formation de sensibilisation à la sécurité à leurs employés pour qu’ils puissent adopter les meilleures pratiques pour l’utilisation de l’Internet (par exemple, les moteurs de recherche, les médias sociaux et les sites de jeux).
Il est également important de les sensibiliser à la sécurité des e-mails et à l’utilisation des supports amovibles (USB, lecteurs externes).
Les meilleures pratiques consistent notamment à n’ouvrir que les pièces jointes des e-mails provenant d’expéditeurs connus et vérifiés à ne pas cliquer sur les pop-up et à ne pas s’aventurer sur des sites web liés à des plateformes de médias sociaux, quel que soit l’expéditeur.
Politiques de restriction des logiciels
Utilisez des outils (tels que CryptoPrevent) qui sont capables d’écrire des centaines de stratégies de groupe (GPO) dans le registre d’un système afin d’empêcher les ransomwares de se loger dans ces endroits.
Les GPO utilisent des politiques destinées à empêcher l’exécution des fichiers exécutables, ce qui permet à un administrateur système de verrouiller essentiellement des zones d’un système d’exploitation (ou l’ensemble du système d’exploitation) pour bloquer les ransomwares.
Filtrage du spam
Les services externes de filtrage du spam tels que Exchange Online Protection ou Manage Protect sont capables de rechercher les malwares dans le contenu des e-mails, les pièces jointes, les tentatives de phishing et les liens suspects intégrés dans les messages.
Les administrateurs système doivent utiliser au maximum les filtres antispam pour renforcer la sécurité de leur passerelle en configurant des règles et des politiques appropriées pour empêcher tout contenu malveillant d’arriver dans les boîtes de réception des utilisateurs finaux.
Gestion unifiée des menaces (UTM)
Les plates-formes de gestion unifiée des menaces fonctionnent mieux lorsqu’elles sont activées sur les périphériques, protégeant ainsi le périmètre de votre réseau.
Les pare-feu de nouvelle génération équipés d’un système UTM sont capables d’effectuer le filtrage de contenu, de prévenir et de détecter les intrusions (plutôt que de mettre en place des dispositifs IDS/IPS séparés) et de filtrer les spams.
Au lieu de se contenter de lire les métadonnées des paquets du réseau, l’UTM effectue une inspection approfondie. Le contenu des paquets est donc inspecté à la recherche de fichiers ou de contenus malveillants.
Disposer de logiciels de sécurité sur les serveurs et les postes de travail.
Un double antivirus devrait être intégré sur les points d’extrémité et les points d’entrée du réseau (y compris le courrier électronique et les passerelles réseau) afin de fournir plusieurs couches de protection.
Les meilleures pratiques consistent à utiliser des systèmes différents, c’est-à-dire un antivirus pour la messagerie électronique et un autre pour les points d’extrémité/réseaux afin de fournir plusieurs couches de protection.
Les services comprennent une protection supplémentaire contre le phishing et l’analyse des requêtes pour bloquer les demandes malveillantes.
WebTitan Cloud applique des règles de sécurité à travers le réseau de votre entreprise pour une application cohérente des règles de sécurité.
Il permet également de bloquer des pages web et offre la possibilité d’entrer des codes de contournement si nécessaire.
Des mécanismes de sécurité en cas de catastrophe
Outre les mesures préventives, il est absolument vital que tous les systèmes informatiques et les dispositifs de réseau soient protégés au cas où un ransomware passerait par tous vos contrôles préventifs.
La meilleure façon de récupérer un système sans payer la rançon est de créer des sauvegardes fiables et à jour pour toutes les données (fichiers opérationnels, de développement, de configuration, etc.).
Les sauvegardes peuvent être créées pour restaurer un système à un point, par exemple, avant l’infection par un ransomware. Ceci minimise la perte de données et les dommages causés à vos appareils informatiques.
En outre, les grandes organisations ont commencé à envisager des solutions appelées « air-gapped », dans lesquelles des sauvegardes continues sont créées et inspectées, avant d’être stockées dans une sorte de « chambre forte ».
Cette solution permet de restaurer immédiatement vos systèmes en cas de besoin, tout en analysant toutes les données entrant pour vérifier l’absence de malwares ou d’activités malveillantes.
Les ransomwares peuvent être préjudiciables aux particuliers comme aux entreprises s’ils s’introduisent dans vos systèmes.
Bien que les pirates informatiques aient perfectionné leurs méthodes d’attaque, si vous investissez du temps et de ressources dans une stratégie de sécurité, vous pourrez considérablement durcir votre réseau et vous débarrasser de nombreuses vulnérabilités.
Les mesures de prévention et de sécurité sont extrêmement importantes pour protéger vos données, et les efforts supplémentaires que vous déployez dans votre approche de la sécurité vous apporteront une grande tranquillité d’esprit.
Sauvegarde 3-2-1 : comment ça marche ?
Pour garantir des sauvegardes fiables, vous avez besoin de redondance, ce qui est le but de la sauvegarde 3-2-1 traditionnelle. La topologie de la sauvegarde 3-2-1 est la suivante :
Avoir au moins 3 copies de vos données,
Utiliser deux formats de médias différents pour stocker vos données,
L’une des copies doit être sauvegardée hors site.
Trois copies de vos données signifient qu’une copie est l’original des données et elle doit être supportée par deux autres copies de sauvegarde séparées.
Vos données doivent résider sur deux supports distincts, comme un partage de réseau, un lecteur SSD sur un quelconque type de matrice de stockage.
Il peut également s’agir d’un support traditionnel sur bande magnétique qui semble si ancien aujourd’hui, mais qui est suffisamment intéressant, car vous pouvez l’emporter hors site, dans un endroit sûr comme un site séparé ou même un coffre-fort dans une banque locale.
Une solution possible, qui satisfait à la fois aux conditions de deux types de supports et d’un emplacement distant, est l’utilisation de la fonction d’instantanéité de votre infrastructure SAN.
En sauvegardant vos données à intervalles réguliers tout au long de la journée dans un environnement identique sur un site de reprise après sinistre, vous pouvez facilement vous remettre d’une attaque sur un serveur hôte virtuel.
N’oubliez pas toutefois de réaliser des tests réguliers de restauration de vos données afin de s’assurer qu’elles peuvent être récupérées intactes en cas de besoin.
Il convient de mentionner que les ransomwares peuvent se développer en tant que forme de malware et donc évoluer vers de nouvelles formes qui peuvent s’étendre au-delà des connexions physiques directes.
La seule certitude que l’on puisse avoir concernant les ransomwares est que le maintien d’une solution de sauvegarde bien conçue et fonctionnelle constituera une mesure efficace contre les impacts des ransomwares, quelle que soit leur évolution future.
Pour toute question, adressez-vous à un spécialiste ou envoyez-nous un courriel à info@titanhq.com.
Tout comme les escrocs d’autrefois qui utilisaient l’arnaque pour tromper des passants innocents et leur faire remettre de l’argent qu’ils ont durement gagné, les fraudeurs modernes utilisent également la confiance inhérente pour nous tromper.
La dernière escroquerie de phishing démontre très bien la psychologie de la cybercriminalité, mais avec quelques astuces.
Dans cette récente attaque de phishing, qui aurait débuté le 21 septembre 2020, les escrocs ont réutilisé leur marque favorite : Office 365. L’escroquerie tire parti de la confiance des utilisateurs dans le test CAPTCHA.
Comment fonctionne l’attaque de phishing contre Office 365
Le phishing est un outil important pour les cybercriminels. Cette technique est à l’origine de 90 % des violations de données.
Un employé sur trois clique sur un lien dans un e-mail de phishing, tandis qu’un employé sur huit consulte un site d’usurpation d’identité.
Cependant, il suffit qu’un pirate parvienne à obtenir un identifiant de connexion pour lancer une cyberattaque contre votre réseau d’entreprise.
En général, le phishing repose sur la manipulation du comportement humain. L’une des façons dont les êtres humains interagissent avec les ordinateurs consiste à utiliser un comportement inhérent connu sous le nom de « biais cognitif ».
Nous utilisons tous des préjugés dans nos décisions quotidiennes. Cela nous aide à faire des choix rapides. Ce comportement est également utilisé par des entreprises.
Par exemple, » l’’effet d’ancrage » (une forme de biais) est utilisé pour encourager les choix de vente. Les clients sont « ancrés » par un seul aspect d’un produit à l’exclusion des autres, et les vendeurs en tirent grand profit.
Le système CAPTCHA est utilisé sur de nombreux sites web pour vérifier que c’est bien un être humain (plutôt qu’un robot automatisé) qui saisit les informations dans des formulaires.
Ce système existe depuis de nombreuses années et nous sommes tous habitués à ce qu’il apparaisse, nous demandant de sélectionner les cellules d’une image qui montre une bouche d’incendie, une voiture, un vélo, etc.
Le biais cognitif s’installe lorsque nous interagissons de façon répétée avec les CAPTCHAS.
La dernière escroquerie de phishing « CAPTCHA » qui vise Office 365 utilise notre biais cognitif et notre confiance dans ce système comme contrôle de sécurité, ainsi que quelques autres astuces.
Voici pourquoi la dernière arnaque de phishing contre Office 365 fonctionne très bien
Une triple arnaque de phishing utilisant Office 365
Cette dernière arnaque de phishing d’Office 365 comporte plusieurs éléments qui, ensemble, en font une cyberattaque très difficile à détecter et à prévenir. Cette arnaque de phishing d’Office 365 comporte trois éléments essentiels, à savoir :
Déjouer les détecteurs
Ce qui est particulièrement astucieux dans cette attaque, c’est qu’elle utilise le système de sécurité pour réussir. Le site d’usurpation présente trois niveaux de système CAPTCHA.
Le premier est une simple case à cocher « Je suis un humain ». Le CAPTCHA suivant demande de choisir n’importe quelle case qui contient un objet spécifique, par exemple un vélo.
Les outils de recherche de malwares sont bloqués lors de la première vérification CAPTCHA et ne parviennent jamais au site qui contrôle le malware.
En fait, le site n’est accessible qu’une fois que l’utilisateur a passé avec succès le CAPTCHA numéro 3. En d’autres termes, seuls les utilisateurs humains peuvent accéder au site frauduleux.
Détection des adresses IP
L’arnaque de phishing est conçue de manière à ce que seules des plages de propriété intellectuelle spécifiques et choisies puissent accéder au site d’usurpation.
Si une tentative de détection automatique (ou manuelle) se situe en dehors de la plage d’adresses IP d’intérêt (c’est-à-dire les adresses IP de l’entreprise, victime), la tentative de détection sera redirigée vers le véritable site d’Office 365.
Cette procédure est également étendue à la vérification de la géolocalisation de la victime. C’est un moyen très efficace de prévenir la détection.
Piéger l’utilisateur
Le biais cognitif est parfait pour que le cybercriminel puisse en tirer profit, et il l’utilise intelligemment dans cette forme d’escroquerie.
Le site d’usurpation semble réel, et il utilise le système CAPTCHA.
Si un utilisateur reçoit des alertes de sécurité, telle que CAPTCHA, associées à un site d’apparence réaliste, il est plus probable qu’il ait un biais intégré qui lui permettra de se sentir suffisamment à l’aise pour entrer ses identifiants de connexion.
Selon un nouveau rapport de Microsoft, les acteurs de la menace ont rapidement gagné en sophistication au cours de l’année dernière, utilisant des techniques qui les rendent plus difficiles à repérer et qui menacent même les utilisateurs les plus avertis.
Cette arnaque de phishing en est la preuve. Les cybercriminels à l’origine de l’escroquerie utilisent des couches de protection et de la ruse pour réaliser leur objectif de vol d’identifiants de connexion ou d’installer des malwares.
Un rapport de Check Point pour le troisième trimestre 2020 a montré que Microsoft était la marque la plus utilisée par les cybercriminels pour duper les utilisateurs.
Mais il y a aussi DHL, PayPal et Apple. Cette escroquerie est peut-être axée sur Office 365, mais les cybercriminels changent de tactique, et le mois prochain, il pourrait s’agir d’un autre portail de collaboration en ligne très populaire.
Les entreprises ne doivent plus compter sur le fait que les utilisateurs soient conscients de la sécurité lorsqu’ils utilisent l’Internet.
Les cybercriminels utilisent notre propre comportement inhérent contre nous et font appel à de multiples techniques pour échapper à la détection par des solutions conventionnelles comme les pare-feu.
Elles doivent s’attendre à ce que d’autres types d’escroquerie de phishing de plus en plus astucieuse apparaisse.
Des solutions intelligentes telles que le filtrage de contenu web permettent d’empêcher vos employés à accéder à des sites web dangereux, réduisant ainsi la probabilité de violations des données de votre entreprise et d’autres cyberattaques.
Filtrage de contenu avec WebTitan Cloud
WebTitan Cloud est une solution de filtrage de contenu web basée sur le DNS qui offre une protection complète contre les virus, les malwares, les ransomwares, les attaques de phishing et un filtrage complet du contenu.
WebTitan Cloud est une solution qui ne requiert aucune maintenance et qui peut être configurée en cinq minutes pour empêcher vos utilisateurs d’accéder à des contenus inappropriés en ligne.
Notre moteur intelligent de catégorisation de contenu en temps réel, piloté par l’Intelligence artificielle, combine un antivirus de pointe et une architecture basée dans le cloud.
Cela fait de WebTitan Cloud une solution idéale pour les organisations qui ont besoin d’une protection maximale et d’une maintenance minimale.
Contactez notre équipe dès aujourd’hui et découvrez comment nos puissants outils de filtrage de contenu web peuvent aider votre entreprise.
Les escrocs du phishing savent vraiment tirer profit d’une situation, comme la pandémie du Covid-19. Les changements survenus dans le monde des affaires pendant cette période ont été sans précédent.
Les employés sont rapidement transférés vers le travail à domicile, ce qui est facilité par l’utilisation des technologies numériques.
Cela a créé une opportunité parfaite dont les escrocs du phishing ont profité. Le résultat : une augmentation de 30 000 % des menaces basées sur le Covid-19, aidée par des sites web armés et d’e-mails de phishing.
Les sites web malveillants ont contribué à ce fait, mais surtout les plateformes de collaboration à distance que les entreprises utilisent.
Au cours du premier semestre 2020, SharePoint, OneDrive et d’autres portails se sont révélés être un moyen idéal pour améliorer le taux de réussite d’une campagne de phishing.
Sécuriser les portails de collaboration en ligne
L’évolution du phishing est, bien sûr, conforme à l’évolution de la technologie.
Jusqu’à une date assez récente, une méthode typique utilisée dans les e-mails de phishing pour installer un malware sur un appareil consistait à télécharger un malware sous forme de pièce jointe infectée, généralement un document Office ou PDF.
Cette méthode correspondait à l’utilisation des e-mails par les employés pour partager des documents. Elle a été couronnée de succès et se poursuit encore jusqu’à maintenant.
Cependant, comme les entreprises se tournent de plus en plus vers l’utilisation de portails de collaboration en ligne, les employés sont moins susceptibles de partager des documents via la messagerie électronique.
En réponse à ce changement, les cybercriminels modifient leurs tactiques.
Au lieu d’envoyer des e-mails contenant des documents infectés par des malwares, ils se servent du fonctionnement des portails de collaboration en ligne.
En fait, ils envoient des e-mails contenant des liens partagés vers des documents ou d’autres fichiers.
Toutes ces plates-formes risquent d’être utilisées à mauvais escient par des campagnes de phishing via des liens malveillants dans des courriers électroniques dont l’apparence est celle du portail authentique.
Sachez toutefois que ces escroqueries de phishing se concentrent actuellement sur SharePoint et OneDrive.
Comment fonctionne l’escroquerie de phishing de SharePoint et OneDrive ?
Proofpoint a alerté le monde sur les dernières escroqueries visant son portail de collaboration, impliquant SharePoint et OneDrive. L’un des aspects les plus inquiétants de ces campagnes de phishing était le taux de réussite élevé.
En réalité, Proofpoint a constaté que les utilisateurs avaient 7 fois plus de chances de cliquer sur un lien malveillant SharePoint ou OneDrive. Il y a des raisons essentielles à cela, qui sont au cœur du fonctionnement de ce type d’escroquerie.
Le phishing est autant une question de comportement humain que de technologie. Les cybercriminels savent que le fait de piéger les utilisateurs pour qu’ils accomplissent une action peut effectivement faire le travail à leur place.
Pour amener un utilisateur à faire quelque chose, il faut de la « confiance ». C’est cet élément de confiance que les escrocs utilisent lorsqu’ils usurpent des marques connues, telles que SharePoint et OneDrive.
Au cours des premier et deuxième trimestres de 2020, 5,9 millions d’e-mails contenant des liens malveillants vers SharePoint et OneDrive ont été détectés.
Cela peut sembler beaucoup, mais cela ne représente que 1 % du nombre total des e-mails de phishing malveillants envoyés chaque jour dans le monde.
Un point important, cependant, est que ce 1 % représente 13 % des clics des utilisateurs, entraînant ainsi le téléchargement de liens malveillants.
En fait, les utilisateurs cliquent sur ces liens, car ils croient qu’il s’agit d’un e-mail légitime qui leur demande de collaborer à un travail.
L’objectif de ces e-mails de phishing est la prise de contrôle du compte d’un utilisateur. Proofpoint a pu utiliser ses recherches pour analyser le cycle de vie du phishing, qui est décomposé ci-dessous en plusieurs étapes :
Étape 1 : Un compte dans le cloud est compromis. Ceci peut être réalisé en utilisant un e-mail de spear-phishing.
Étape 2 : Un fichier malveillant est téléchargé sur le compte compromis. Les autorisations de partage sont définies sur « Public » et le lien anonyme est généré et partagé.
Voici plusieurs exemples de fichiers malveillants fournis par Proofpoint :
Exemple 1 : Un fichier PDF qui se présente comme une facture. La facture exige de l’utilisateur qu’il clique sur un lien. Celui-ci l’amène ensuite à une page de connexion OneDrive usurpée qui vole les informations d’identification saisies dans les champs de connexion.
Exemple 2 : Un fichier de messagerie vocale OneNote hébergé sur SharePoint. Le fichier OneNote contient un malware. Tout utilisateur qui ouvre le fichier pour écouter le message vocal pourrait être infecté par le malware.
Étape 3 : Le lien est envoyé à des cibles internes et externes. Ce lien est généralement une URL de redirection et est difficile à détecter à l’aide de méthodes conventionnelles.
Étape 4 : Le destinataire ouvre le courrier électronique et s’il clique sur le lien, il est dirigé vers une page de connexion SharePoint/OneDrive d’apparence douteuse, mais légitime. Le processus recommence alors, à l’infini.
Proofpoint a trouvé 5 500 utilisateurs qui avaient un compte compromis, ce qui représente une grande partie de la clientèle de Microsoft.
Une fois les identifiants de connexion volés, les pirates peuvent les utiliser pour accéder aux comptes réels des victimes sur SharePoint ou OneDrive et voler des informations sur leur entreprise, compromettre d’autres comptes et même réaliser d’autres escroqueries, notamment le Business Email Compromise (BEC).
Comment éviter que votre organisation ne soit victime d’une escroquerie à un portail de collaboration en ligne ?
Les recherches d’un consortium composé de Google, PayPal, Samsung et l’Université d’État de l’Arizona ont examiné les niveaux de menace du phishing. Le rapport qui en résulte fait une observation importante.
Les attaques réussies font appel à une ingénierie sociale très sophistiquée, complétée par des techniques de détection et d’évasion.
Le rapport note également que les 5 % des attaques les plus importantes sont responsables de 78 % des clics réussis vers un site malveillant. Pour dire les choses simplement, les escroqueries par phishing sont de plus en plus difficiles à prévenir.
La sensibilisation à la sécurité ne suffit pas à empêcher les utilisateurs de cliquer sur des liens malveillants et d’être manipulés pour entrer des données de connexion et d’autres informations sensibles.
Les escrocs du phishing sont passés maîtres dans l’art de la manipulation comportementale intelligente. Comme toutes les approches visant à atténuer les menaces pour la sécurité, une approche proactive et à plusieurs niveaux est la plus efficace.
Les entreprises doivent renforcer la formation à la sensibilisation à la sécurité en utilisant des outils puissants et intelligents qui empêchent un utilisateur d’être dirigé vers un site web frauduleux même s’il clique sur un lien malveillant.
Ces outils devraient inclure l’utilisation d’une plateforme de filtrage de contenu web. Celle-ci empêche les employés de naviguer sur des sites web dangereux et réduit les risques de violation des données de l’entreprise et d’autres cyberattaques.
Comme de nombreux employés travaillent actuellement à domicile, les cybercriminels ont modifié leur tactique en créant des e-mails de phishing, de façon à ce qu’ils ressemblent à de nombreux outils de collaboration sur le marché.
L’une de ces attaques vise les entreprises qui utilisent Microsoft Teams.
Microsoft Teams est un outil de collaboration très prisé par les entreprises, et les récents e-mails de phishing incitent les utilisateurs à divulguer leurs identifiants système via cette plateforme.
L’attaque est dévastatrice pour les entreprises, car Microsoft Teams stocke des informations sur les utilisateurs et la propriété intellectuelle qui pourraient causer des dommages à l’entreprise si elles tombent entre les mains des cybercriminels.
Comment les cybercriminels s’attaquent aux comptes Microsoft Teams ?
Si vous connaissez Microsoft Teams, vous savez que l’activité sur la plateforme déclenche l’envoi d’un message aux utilisateurs.
Lorsqu’un message est envoyé à un utilisateur particulier, celui-ci reçoit un e-mail pour l’avertir qu’il a reçu un message. L’utilisateur peut cliquer directement sur un lien dans l’e-mail ou répondre au message dans Microsoft Teams.
Pour ce dernier cas, lorsque l’utilisateur clique sur le lien, le site de Microsoft Teams s’ouvre et il peut se connecter à son compte afin de répondre au message.
Pour la nouvelle attaque utilisant Microsoft Teams, les cybercriminels envoient un e-mail à l’utilisateur ciblé avec un message qui dit « There’s new activity in Teams » et qui fait apparaître le message comme une notification automatisée de Microsoft Teams.
Il informe ensuite l’utilisateur que ses coéquipiers essaient de le joindre et l’invite à cliquer sur le lien « Reply in Teams ». En faisant cela, l’utilisateur ouvre une page contrôlée par l’attaquant qui l’incite à entrer ses informations d’identification.
Il est facile d’être victime d’une telle attaque, car la page de phishing est conçue pour ressembler à la page de connexion officielle de Microsoft Teams.
Les utilisateurs qui ne regardent pas l’URL dans leur navigateur web vont rapidement entrer leurs informations d’identification, et à ce stade, il sera trop tard.
Une fois que les informations d’identification sont envoyées à l’attaquant, celui-ci peut alors les utiliser pour se connecter à d’autres comptes, y compris au réseau d’entreprises.
Si l’utilisateur se rend rapidement compte de l’erreur, les informations d’identification peuvent être modifiées, mais pour les entreprises, cela peut nécessiter un appel au support informatique afin de s’assurer que les autres zones du réseau sont protégées contre les éventuelles menaces.
Jusqu’au moment où les informations d’identification et les comptes sont sécurisés, l’attaquant peut déjà compromettre le réseau informatique de l’organisation.
Comment mettre fin aux attaques de phishing utilisant Microsoft Teams ?
Les utilisateurs de cet outil en ligne doivent savoir qu’une nouvelle attaque de Microsoft Teams vise les comptes de messagerie des entreprises, mais même les utilisateurs éduqués pourraient être victimes d’une attaque bien conçue.
Il est préférable de ne pas se connecter à un site web après avoir cliqué sur un lien dans un e-mail. Saisissez plutôt le domaine dans le navigateur et entrez les informations d’identification à cet endroit.
Les utilisateurs peuvent également prendre note du domaine dans l’URL pour s’assurer que le site web est bien le domaine officiel de Microsoft.
Les entreprises ne devraient pas compter uniquement sur les utilisateurs pour reconnaître les attaques de phishing.
Même les utilisateurs qui connaissent bien les attaques de phishing et leurs drapeaux rouges peuvent être occupés un jour, cliquer sur un lien dans un e-mail et être trop distraits pour se rendre compte qu’ils sont redirigés vers un site malveillant.
Au lieu de se fier uniquement aux utilisateurs, les administrateurs peuvent utiliser la cybersécurité des e-mails pour bloquer les sites de phishing et bien d’autres qui envoient des pièces jointes malveillantes.
La cybersécurité de la messagerie électronique empêche les e-mails de phishing d’arriver dans la boîte de réception des utilisateurs finaux.
Les attaquants utilisent des adresses électroniques d’expéditeurs usurpées, et cette tactique ne fonctionne pas lorsque l’organisation met en œuvre des enregistrements SPF (Sender Policy Framework) sur son serveur DNS.
Un enregistrement SPF indique au serveur du destinataire de rejeter ou de mettre en quarantaine les messages qui proviennent d’un serveur d’e-mail qui n’est pas répertorié sur le serveur DNS.
Les messages qui ne passent pas le protocole SPF peuvent être mis en quarantaine, complètement abandonnés, ou ils vont dans la boîte à spam de l’utilisateur.
Les messages mis en quarantaine peuvent être examinés par les administrateurs pour s’assurer qu’il ne s’agit pas d’un faux positif, mais une avalanche d’e-mails de phishing pourrait signifier que l’organisation est attaquée par un cybercriminel.
L’avantage de l’utilisation de la sécurisation des e-mails avec une fonction de mise en quarantaine est qu’elle aide les administrateurs à identifier les attaques et à alerter les utilisateurs et à éviter les frustrations dues aux faux positifs.
Une autre fonction de cybersécurité des e-mails est le DMARC (Domain-based Message Authentication, Reporting & Conformance).
Le SPF fait partie des normes DMARC, mais votre cybersécurité des e-mails devrait inclure les règles DMARC. Ces règles indiqueront au serveur ce qu’il doit faire lorsqu’un e-mail suspect est reçu.
Les administrateurs utilisent le protocole DMARC pour mettre fin aux e-mails de phishing ainsi qu’à ceux contenant des pièces jointes malveillantes qui pourraient être utilisées pour compromettre le dispositif local de l’utilisateur.
Les règles DMARC et SPF sont la base d’une bonne sécurité des e-mails, et elles bloqueront les e-mails de phishing, y compris l’attaque des équipes Microsoft, et elles bloqueront les e-mails de phishing, y compris l’attaque des équipes Microsoft.
Les utilisateurs devraient toujours être formés à la détection de ces attaques, mais le fait de bloquer les e-mails pour qu’ils n’atteignent pas la boîte de réception du destinataire est le meilleur moyen d’empêcher votre organisation de devenir la prochaine victime d’une violation de données.
Vous avez sans doute déjà mis en place une solution de filtrage du spam, mais est-elle efficace ? Les courriers électroniques de phishing sont-ils toujours délivrés ?
Une erreur courante des PME est de croire que leur environnement Office 365 est bien protégé par défaut, alors qu’en réalité la protection Exchange Online Protection (EOP) fournie avec Office 365 ne parvient pas à bloquer de nombreuses tentatives de phishing.
Une étude a montré que 25 % des e-mails de phishing n’étaient pas bloqués par l’EOP.
Si vous souhaitez améliorer vos défenses contre le phishing, vous devriez utiliser une solution antispam et antiphishing tierce en plus de l’EOP, mais qui offre une meilleure protection, comme SpamTitan.
Si vous bloquez davantage d’e-mails de phishing, la sécurité de votre réseau sera bien meilleure, mais vous ne devriez pas vous arrêter là.
Aucune solution antiphishing ne pourra bloquer toutes les attaques de phishing, 100% du temps.
Il suffit qu’un utilisateur clique sur un e-mail de phishing pour qu’une violation de données se produise. Vous devez ajouter une autre couche à vos défenses.
Lorsqu’un employé clique sur un lien dans un e-mail et est dirigé vers une fausse page de connexion d’Office 365 ou vers un site où un malware est téléchargé, toute tentative d’accès au site sera bloquée.
Un filtre DNS bloque les tentatives d’accès aux sites de phishing au stade de la consultation du DNS, avant le téléchargement de tout contenu web.
Si un employé tente d’accéder à un site de phishing, il sera dirigé vers une page de blocage avant qu’un quelconque préjudice ne se produise.
Les filtres DNS peuvent également bloquer le téléchargement de malwares à partir de sites qui ne sont pas encore connus pour être malveillants.
La mise en œuvre d’une solution efficace pour la cybersécurité des e-mails n’est pas toujours simple et elle nécessite de la planification et de l’expertise.
S’appuyer sur une seule couche de sécurité n’est plus judicieux face à la recrudescence des menaces en ligne.
De plus, les organisations doivent se concentrer sur les données qu’elles protègent et mettre en place des couches de sécurité autour de celles-ci. Vos clients vous en remercieront et vos résultats seront meilleurs.
Si vous souhaitez savoir comment TitanHQ peut vous permettre de mettre en œuvre une approche globale de la sécurité contre les menaces en ligne pour vos employés et vos clients, contactez-nous dès aujourd’hui.
Les applications de visioconférence sont d’une valeur inestimable pendant la pandémie de coronavirus.
Elles ont aidé les entreprises à poursuivre leurs activités pendant une période extrêmement difficile et ont contribué à soutenir une main-d’œuvre en grande partie éloignée.
Le nombre d’utilisateurs des plates-formes telles que Zoom, Skype et Microsoft Teams a monté en flèche à la suite de l’imposition du confinement, et cela s’est poursuivi, même si le confinement s’est relâché.
La popularité de ces plateformes n’a pas échappé aux cybercriminels et ils ont conçu de nombreuses campagnes de phishing qui ciblent leurs utilisateurs.
Les plateformes de visioconférence sont utilisées comme services de messagerie instantanée par de nombreux travailleurs qui travaillent chez eux.
Ainsi, lorsqu’un message arrive dans leurs boîtes de réception, les informant que des personnes essaient de se connecter, qu’ils ont manqué une réunion ou qu’il y a un problème avec leur compte, ils sont susceptibles de répondre rapidement, souvent sans réfléchir à la légitimité de la demande.
À première vue, les emails de phishing semblent authentiques. La demande est crédible, les images et les logos sont légitimes, mais un examen plus attentif devrait révéler que les messages ne sont pas ce qu’ils semblent être.
Escroqueries de phishing via Microsoft Teams
L’une des dernières campagnes de phishing utilise la plateforme de visioconférence Microsoft Teams afin de cibler les utilisateurs d’Office 365.
Les messages informent le destinataire qu’il y a une nouvelle activité dans les Microsoft Teams et que ses collaborateurs essaient de le joindre sur cette plateforme.
L’email prétend que les messages sont en attente, et qu’il est nécessaire cliquer sur un lien pour se connecter.
En cliquant sur le lien, l’utilisateur sera dirigé vers une page web qui lui demandera de se connecter à son compte Microsoft. Tout ce qu’il voit sur la page semble normal, car la page de connexion usurpée a été copiée de Microsoft.
Cependant, un examen attentif de l’URL révélera une erreur de frappe. L’URL commence par « microsftteams » pour que la page web paraisse authentique, mais l’URL complète montre qu’il ne s’agit pas du nom de domaine légitime de Microsoft.
Si l’utilisateur saisit ses identifiants sur cette page, ils seront capturés et utilisés par les escrocs pour accéder à son compte.
C’est loin d’être la seule escroquerie de phishing visant les utilisateurs de Microsoft Teams pour obtenir des informations d’identification Microsoft Office.
De nombreuses autres escroqueries de phishing tentaient déjà d’obtenir des identifiants en utilisant des messages manqués de collaborateurs et d’autres leurres plausibles.
Les informations d’identification Microsoft Office sont extrêmement précieuses pour les escrocs
Les comptes peuvent être utilisés :
Pour accéder aux données de messagerie
Pour envoyer d’autres emails de phishing
Pour accéder à la propriété intellectuelle
Pour servir de rampe de lancement pour d’autres attaques contre une entreprise
En outre, les identifiants de connexion peuvent être vendus à d’autres cybercriminels.
Des escroqueries similaires ont visé les utilisateurs d’autres plateformes telles que Skype et Zoom.
Les utilisateurs de ces dernières ont été ciblés dans le cadre d’une campagne qui prétendait qu’une réunion avait été annulée en raison de la pandémie.
Les pirates utilisaient des objets tels que « Réunion annulée, pourrions-nous faire un appel sur Zoom ? ».
Un lien est inclus dans le courriel pour permettre à la victime de lancer un appel, mais une fois qu’elle clique dessus, il est redirigé vers un site où ses identifiants de connexion pourraient être récoltés par les pirates.
Comment éviter les escroqueries de phishing sur les plateformes de visioconférence ?
Comme pour les autres formes d’escroquerie de phishing, les employés doivent être vigilants. Les emails créent souvent un sentiment d’urgence et il peut y avoir une sorte de menace si aucune mesure n’est prise.
Le plus important est de prendre un peu du temps pour vérifier soigneusement l’email et pour analyser l’authenticité de la demande.
Vous ne devez pas ouvrir les pièces jointes ni cliquer sur les liens intégrés à des emails non sollicités, en particulier les messages envoyés à partir d’adresses électroniques inconnues.
Même si l’adresse électronique semble authentique, faites attention. Accédez à la plate-forme de visioconférence en utilisant votre méthode de connexion habituelle, sans jamais utiliser les liens contenus dans les emails.
Les entreprises peuvent protéger leurs travailleurs à distance en mettant en œuvre une solution de filtrage du spam avancée telle que SpamTitan pour bloquer ces emails malveillants à la source et pour s’assurer qu’ils n’atterrissent pas dans les boîtes de réception de leurs destinataires.
L’utilisation d’une solution de filtrage web telle que WebTitan est également conseillée, car elle bloquera les tentatives de visite de sites web malveillants.
Pour plus d’informations sur le filtrage du spam et le filtrage web et pour mieux protéger vos employés distants contre les attaques de phishing, appelez l’équipe de TitanHQ dès aujourd’hui.
Les deux solutions sont disponibles en essai gratuit pour vous permettre d’évaluer leur efficacité avant de prendre une décision.
