Récemment, les nouveaux chiffres du FBI ont confirmé que les escroqueries aux compromis d’e-mails d’affaires étaient la principale cause de pertes en matière de cybercriminalité.
Une nouvelle cyberattaque massive contre une agence gouvernementale de Porto Rico a été révélée.
Les cybercriminels avaient obtenu l’accès au compte de messagerie électronique d’un employé, censé travailler dans le cadre du système de retraite des employés de Porto Rico.
Le compte de messagerie électronique compromis a été utilisé pour envoyer des demandes à d’autres agences gouvernementales afin que des changements soient apportés aux comptes bancaires standards pour les virements.
Comme le compte de messagerie utilisé était fiable, les modifications ont été apportées aux comptes bancaires. Les paiements ont alors été effectués normalement et des millions d’euros ont été transférés sur des comptes bancaires contrôlés par des pirates.
La société de développement industriel de Porto Rico – une société d’État qui stimule le développement économique du pays – a été l’une des plus touchées. Des e-mails ont été reçus pour demander des changements dans les comptes bancaires et deux paiements ont été effectués. Le premier paiement de plus de 54 000 euros a été effectué en décembre et un autre de plus de 2,2 millions d’euros en janvier.
D’autres ministères ont également été visés, notamment une société de tourisme. Cette dernière a effectué un paiement de plus de 1,3 million d’euros.
Au total, les pirates ont tenté de voler environ 4,13 millions d’euros.
L’escroquerie a été découverte lorsque ces paiements n’ont pas été reçus par les bons destinataires. Des mesures rapides ont alors été prises pour bloquer les transferts et certains des paiements ont été gelés, mais le gouvernement n’a pas été en mesure de récupérer environ 2,6 millions de dollars des fonds volés.
Une enquête approfondie a été lancée pour déterminer comment les attaquants ont eu accès au compte de messagerie électronique pour monter l’arnaque.
Bien que la méthode utilisée n’ait pas été confirmée, les attaques de BEC commencent généralement par un e-mail de spear phishing.
Un e-mail de phishing est envoyé à une personne d’intérêt pour lui demander de prendre des mesures urgentes afin de résoudre un problème. Un lien est fourni dans l’e-mail qui dirige l’utilisateur vers un site web qui lui demande les informations d’identification de son compte de messagerie électronique. Le compte peut alors être consulté par l’attaquant.
Les attaquants mettent souvent en place des redirections des e-mails pour recevoir une copie de chaque e-mail envoyé vers et depuis le compte. Cela leur permet de se renseigner sur l’entreprise et les paiements typiques et de construire des e-mails d’escroquerie très convaincants.
Une fois que l’accès à un compte de messagerie électronique d’entreprise est obtenu, l’escroquerie BEC (« Business E-mail Compromise » ou Compromission d’E-mail d’Entreprise) est beaucoup plus difficile à identifier et à bloquer. La meilleure défense consiste à s’assurer que les premiers e-mails de phishing ne sont pas envoyés, et c’est un domaine dans lequel TitanHQ peut apporter son aide.
Le 11 février est le Safer Internet Day 2020. Plus précisément, il s’agit de la journée où l’utilisation sûre et positive des technologies numériques est encouragée dans le monde entier.
Le Safer Internet Day a été mise en place dans le cadre du projet européen SafeBorders en 2004, mais est devenu un événement mondial auquel participent plus de 150 pays. L’objectif étant de contribuer à la création d’un internet meilleur et plus sûr, en donnant à chacun les moyens d’utiliser les technologies de manière responsable, respectueuse, critique et créative.
Le thème de cette année est « Un internet meilleur : comment prendre soin de soi et des autres ? ».
Chacun a un rôle à jouer pour faire de l’internet un environnement plus positif et plus sûr, qu’il s’agisse de rechercher des occasions positives de créer et de se connecter avec d’autres, d’être aimable et respectueux envers les autres en ligne, ou de signaler les contenus illégaux et inappropriés.
Les entreprises qui fournissent un accès Wi-Fi à leurs clients ont également la responsabilité de veiller à ce que leur point d’accès Wi-Fi ne fasse pas l’objet d’abus et ne puisse pas être utilisé pour accéder à des contenus préjudiciables, en particulier par des mineurs. Le moyen le plus simple d’y parvenir est de mettre en place une solution de filtrage web, et le Safer Internet Day est le jour idéal pour commencer.
Protéger son Wi-Fi avec un filtre DNS
La solution de filtrage web la plus facile à mettre en œuvre et la plus rentable est un filtre DNS. Il permet de contrôler le contenu au stade de la recherche DNS de l’accès à l’internet, lorsque le nom de domaine légitime d’un site web est converti en une adresse IP. Un ordinateur peut ensuite être utilisé pour trouver le serveur qui héberge ce site.
Cette méthode de filtrage web ne nécessite aucun achat de matériel ou le téléchargement d’un logiciel. Il vous suffit de modifier votre enregistrement DNS pour qu’il pointe vers votre fournisseur de services de filtrage DNS. Vous accédez alors à une interface web où vous pourrez préciser les catégories de contenu auxquelles vos clients ne sont pas autorisés à accéder.
La mise en route d’un filtre DNS ne prend que quelques minutes. Comme tout le filtrage a lieu au niveau du DNS avant le téléchargement de tout contenu, cette solution de sécurité a une latence presque nulle, ce qui signifie qu’elle n’affecte pas le débit de connexion Internet.
WebTitan Cloud for WiFi, le filtre WiFi idéal
Avec WebTitan Cloud for Wi-Fi, vous pouvez décider du contenu auquel vous ne voulez pas que les gens accèdent et vous pouvez utiliser les cases à cocher de votre interface utilisateur pour bloquer des catégories de contenu web en un clic de souris.
Pour rendre l’internet plus convivial pour la famille, vous pouvez cocher la case « Contenu pour adultes ». Ainsi, vous pouvez vous assurer qu’aucun matériel pornographique n’est accessible via votre réseau Wi-Fi. Vous pouvez également bloquer l’accès à des sites web illégaux pour protéger votre entreprise, tels que les sites de torrents pouvant télécharger de la musique, de logiciels et des films qui violent les droits d’auteur.
D’autres types de contrôles peuvent également être appliqués pour limiter l’accès à des sites web de torrents afin d’économiser la bande passante de votre connexion Wi-Fi et pour s’assurer que tout le monde puisse profiter des vitesses rapides de l’internet.
WebTitan classe plus de 500 millions de sites web en 53 catégories, y compris les sites web les plus populaires comme Alexa et d’autres contenus web en 200 langues. Vous pouvez définir des contrôles de contenu Internet pour différents lieux et pour différents groupes d’utilisateurs, et vous pouvez gérer plusieurs lieux par le biais d’un seul portail.
Les listes noires sont un moyen utile de s’assurer que les contenus inappropriés ou illégaux ne soient pas accessibles par les utilisateurs, notamment vos employés. L’une des principales listes noires est gérée par l’Internet Watch Foundation. Elle référencie les pages web et les sites web connus pour héberger de la pornographie enfantine et les contenus liés aux violences contre les enfants.
Les listes noires protègent également les utilisateurs Wi-Fi contre les contenus malveillants, tels que les sites web de phishing et les sites hébergeant des malwares et de ransomwares, ce qui peut vous aider à protéger vos utilisateurs contre les attaques en ligne ainsi que la réputation de votre entreprise.
WebTitan Cloud for Wi-Fi est parfaitement adapté à toutes les entreprises qui fournissent un accès Wi-Fi, telles que :
Les fournisseurs d’accès Internet(FAI)
Les fournisseurs de services managés (MSP) et autres fournisseurs de services Wi-Fi
Les cafés et les restaurants
Les points de vente au détail et les centres commerciaux
Les écoles et les universités
Les établissements de santé et les hôpitaux
Les hôtels
Les bureaux
Les bibliothèques
Les aéroports
Les réseaux de transports en commmun.
Cette « Journée pour un internet plus sûr » fut le moment idéal pour mettre en œuvre une solution de filtrage DNS afin de rendre votre réseau Wi-Fi (ou câblé) beaucoup plus sûr pour tous les utilisateurs.
Pour en savoir plus sur WebTitan Cloud pour Wi-Fi et WebTitan Cloud pour les réseaux filaires, ou encore pour bénéficier d’un essai gratuit, contactez TitanHQ dès aujourd’hui.
Les cybercriminels peuvent désormais avoir accès à de grandes quantités de données personnelles volées à des prix de plus en plus bas.
Le prix moyen des données d’identification volées sur les sites de commerce électronique et bancaires populaires n’est que d’environ 4,6 euros. Un numéro de carte de crédit avec son CVV correspondant ne coûte qu’environ 11 euros, souvent, moins.
Ce prix monte à près de 23 euros pour les données de carte de crédit associées à la date de naissance et au numéro d’identité bancaire du titulaire de la carte.
Bien que vos informations d’identification individuelles puissent ne pas valoir autant, le préjudice financier que vous pourriez subir peut être important si celles-ci tombent entre les mains d’une personne aux intentions malveillantes.
La fourniture de justificatifs d’identité volés est époustouflante
Une étude menée en 2017 par Google et l’Université de Californie à Berkeley a révélé que des milliards de noms d’utilisateurs et de mots de passe sont en danger. L’équipe de recherche a suivi plusieurs marchés noirs où des identifiants volés sont vendus. Ces identifiants ont été compromis par le biais de violations de données et par quelques 25 000 outils de piratage.
Une analyse plus approfondie a montré que 788 000 références ont été volées par des enregistreurs de frappe, 12 millions de références par le phishing et 3,3 milliards par des violations de données par des tiers. À noter que ces données datent de plus de deux ans.
Selon un article du magazine Forbes, en février 2019, plus de 617 millions de détails de comptes en ligne volés via 16 sites web piratés étaient vendus pour environ 18 000 euros en Bitcoin.
Un analyste en matière de cybersécurité rapporte également que les noms d’utilisateurs et les mots de passe volés ont été échangés comme des cartes Pokémon.
Prix actuels des informations d’identification volées
Pour ceux qui ont un accès au dark web, l’achat des informations d’identifications volées est devenu une aubaine.
Les sites de vente au détail fournissent le nom du site web concerné, le prix de vente et le stock actuel. Voici quelques exemples concrets de ce que vous pouvez trouver sur l’un de ces sites :
Abercrombie.com
9,25 euros
40 disponibles
Advanceautoparts.com
9,25 euros
29 disponibles
Airbnb.com
13,87 euros
32 disponibles
Amazon.com
9,25 euros
Stock actuellement épuisé
Americanexpress.com
9,25 euros
31 disponibles
Apple.com
11,09 euros
29 disponibles
AT&T
9,25 euros
112 disponibles
En réalité, nous n’avons inclus que les plus grands noms de sites dont le nom commence par un A. Beaucoup de ces sites vendent plus que des informations d’identification.
Par exemple, vous pouvez acheter l’identité de personnes inconnues et indexée selon la notation de crédit FICO. Une identité avec un score presque parfait, à savoir supérieur à 840, peut valoir jusqu’à plus de 138 euros.
Des rapports de crédit complets sont également en vente sur des millions d’Américains auprès des trois bureaux de crédit. Ils peuvent coûter environ 32 euros. Vous pouvez même acheter des diplômes pour environ 92 à 370 euros. Les passeports, quant à eux, sont très chers, dont les prix peuvent aller jusqu’à plus de 1850 euros.
Un certain nombre de facteurs déterminent le prix des informations d’identification volées, à savoir :
Le type de données dont il s’agit
L’offre et la demande de ces données au moment où la vente est effectuée
Le temps écoulé depuis le vol du titre de créance jusqu’à sa vente
Le solde disponible des comptes.
Magasins automatisés des informations d’identification
Le concept de « magasins automatisés » a permis de créer un marché pratique pour les informations d’identifications volées. Vous pouvez les considérer comme un détaillant d’eBay ou d’Amazon.
En effet, de simples vendeurs indépendants peuvent vendre leurs marchandises partout dans le monde par l’intermédiaire d’un seul détaillant mondial. Ces boutiques automatisées donnent aux cybercriminels un moyen de vendre les justificatifs qu’ils ont volés.
Aujourd’hui, le vol d’identifiants ne nécessite pas une grande expérience en matière de cybercriminalité ou de programmation. Les cybercriminels les plus novices peuvent acheter des kits permettant le vol d’identité pour environ 508 euros sur le dark web. Ils peuvent bénéficier d’un retour sur investissement 20 fois supérieur. Les boutiques automatisées avec cet investissement initial, grâce à une commission de 10 à 15 % pour chaque vente d’une information d’identification.
Le processus de vente pour les informations d’identification volées
Vous devriez savoir que les processus établis par lesquels les produits proposés par les commerces au détail passent depuis leur fabrication jusqu’au moment où un consommateur peut les acheter chez un détaillant de premier niveau, ou dans un magasin à prix réduit des mois plus tard. Imaginez alors que la vente d’informations d’identifications volées passe également par un processus défini jusqu’à ce que celles-ci arrivent dans les magasins automatisés en ligne. La première étape étant l’inventaire des données.
Les pirates vont d’abord trier leurs fichiers journaux pour déterminer le type de données qu’ils ont récemment capturées. Ils mettent ensuite ces données en corrélation afin de regrouper les informations personnelles et pour compléter les profils de données.
Une fois que les données volées sont annexées avec des noms, des adresses, des numéros de téléphone, des adresses électroniques, etc., elles ont plus de valeur.
Les données de grande valeur, comme les données personnelles des fonctionnaires ou des militaires, sont mises de côté. Celles-ci seront ensuite vendues sous forme de profils, tandis que les données d’identification sans correspondance seront vendues directement sur le dark web.
Finalement, sachez que certaines données n’ont aucune valeur pour les pirates. Ainsi, les justificatifs d’identité volés d’un certain âge peuvent par exemple être reconditionnés dans des listes en vrac et être vendus à des prix réduits pendant des années.
Pourquoi la protection web multicouche est plus importante que jamais ?
Comme vous pouvez le constater, la vente des informations d’identifications volées est une affaire sérieuse. C’est pourquoi toutes les entreprises, organisations et les particuliers doivent prendre ce problème à la légère.
Vous devez être proactif en matière de protection web afin d’éviter toute atteinte à la protection des données. Il est essentiel est d’adopter une approche à plusieurs niveaux, car il n’existe pas de solution unique à la cybersécurité.
Votre organisation est constamment soumise à des menaces d’attaques et les cybercriminels ne cesseront de chercher de nouvelles manières d’attaquer votre organisation. Leurs méthodes seront de plus en plus sophistiquées pour contourner les nouvelles solutions et normes de sécurité.
Alors que les auteurs de malwares modifient leurs techniques pour échapper à la détection, la sécurité par couches devient plus importante. Elle réduit considérablement la probabilité d’une attaque réussie et peut bloquer une attaque même si un élément de vos défenses échoue.
La mise en œuvre d’une protection web multicouche n’est pas toujours simple. Elle nécessite une planification et une expertise. S’appuyer sur une seule couche de sécurité n’est plus judicieux dans le paysage actuel des menaces. Grâce à la sécurité multicouche, vous pourrez vous conformer aux normes en vigueur ; vos clients vous seront reconnaissants et vous allez constater que son déploiement aura un impact conséquent sur vos résultats financiers.
Une nouvelle campagne utilisant le cheval de Troie bancaire dénommé Ursnif a été identifiée. Les pirates derrière cette campagne utilisent une nouvelle tactique pour diffuser le malware plus rapidement.
Le cheval de Troie bancaire Ursnif est l’un des chevaux de Troie les plus souvent signalés.
Comme les autres chevaux de Troie bancaires, son but est de voler des informations d’identification telles que les identifiants de connexion aux sites web bancaires, les coordonnées bancaires des entreprises et les informations relatives aux cartes de crédit. Les pirates peuvent ensuite utiliser les données volées pour effectuer des transactions financières.
Il n’est pas rare que les comptes soient vidés avant que les transactions ne soient découvertes, après quoi l’argent est retiré par les pirates et le compte fermé. Souvent, il est impossible de recouvrer les fonds volés.
L’infection entraîne le vol d’un large éventail de données sensibles par le malware, lequel saisira ensuite les informations d’identification au fur et à mesure qu’elles seront saisies dans un navigateur.
Ursnif effectue également des captures d’écran de l’appareil infecté et enregistre les frappes au clavier. Les informations d’identification vont alors être partagées avec le serveur C2 du pirate, à l’insu de la victime.
Les chevaux de Troie bancaires peuvent être mis en place de plusieurs façons. Ils sont souvent installés sur des sites web où ils sont téléchargés lors d’attaques par drive-by. Le trafic est envoyé vers les sites web malveillants par le biais de campagnes de publicités malveillantes ou de spams contenant des hyperliens.
Les sites web légitimes sont compromis par des méthodes par bruteforce, et des kits d’exploitation peuvent être installés sur les sites visités par les utilisateurs qui ne maintiennent pas leurs logiciels à jour. Dans de nombreux cas, les logiciels sont cachés dans des pièces jointes et partagés à l’aide de spams.
Le spam a déjà été utilisé pour partager le cheval de Troie bancaire Ursnif. La dernière campagne est similaire, mais elle fait aussi appel à une nouvelle tactique pour augmenter les risques d’infection et pour propager les infections plus rapidement et plus largement. Les institutions financières ont été la principale cible d’Ursnif, mais grâce à la nouvelle méthode qu’il utilise, les attaques sont beaucoup plus répandues.
Ursnif va d’abord scanner la liste de contacts de l’utilisateur et envoyer des e-mails de spear phishing à chacun de ses contacts. Étant donné que les messages proviennent d’un compte de messagerie électronique de confiance, les chances que les messages soient ouverts sont considérablement accrues.
Le simple fait d’ouvrir un e-mail n’entraînera pas d’infection. Pour que cela se produise, le destinataire doit cliquer sur la pièce qui y est jointe. Et là encore, comme le message provient d’une personne de confiance, il est fort probable que la victime le fasse.
Les pirates derrière cette dernière campagne ont une autre astuce pour faire en sorte que leurs messages semblent plus légitimes et pour s’assurer que leur charge utile soit lancée. Les e-mails de spear phishing contiennent des fils de messages qui font suite à des communications que la victime a engagées avec leurs contacts, et contiennent les détails concernant les échanges antérieurs.
Le message inclut une courte ligne de texte pour inciter le destinataire à ouvrir la pièce jointe qui est un document Word comprenant une macro malveillante. Cette macro doit être autorisée à s’exécuter, car les macros ne sont pas généralement configurées pour s’exécuter automatiquement. Si la victime active la macro, celle-ci va lancer des commandes PowerShell, téléchargeant le cheval de Troie. Ursnif commence alors à enregistrer l’activité sur le dispositif infecté et envoie d’autres e-mails de spear phishing aux contacts de la nouvelle victime.
Il ne s’agit pas d’une tactique originale, mais elle est nouvelle pour Ursnif, et il est probable que les infections vont se propager beaucoup plus rapidement. En outre, le malware utilise un certain nombre de tactiques supplémentaires pour contourner les systèmes de détection de malwares, ce qui lui permet de voler des informations et de vider les comptes bancaires avant que l’infection ne soit découverte. De plus, le cheval de Troie peut s’effacer de lui-même une fois qu’il s’est exécuté.
Les malwares sont en constante évolution et de nouvelles tactiques sont constamment créées pour augmenter la probabilité d’infection. La campagne la plus récente montre à quel point il est important de bloquer les attaques lancées via la messagerie électronique avant qu’elles n’atteignent la boîte de réception des utilisateurs finaux.
Si vous utilisez un filtre antispam avancé comme SpamTitan, les e-mails malveillants peuvent être bloqués pour les empêcher d’atteindre les boîtes de réception des utilisateurs finaux, ce qui réduit considérablement le risque que représentent les infections par les malwares.
Une nouvelle campagne de phishing à base de coronavirus a été détectée. Elle utilise le coronavirus pour effrayer les utilisateurs et répandre le cheval de Troie Emotet.
L’Organisation mondiale de la santé a déclaré que l’épidémie de coronavirus de 2019, ou CoVid-19 était une urgence mondiale. Le nombre de cas a été multiplié par dix au cours de la semaine dernière, avec près de 90 000 cas confirmés en Chine et plus de 10 000 ailleurs dans le monde.
Il n’est donc pas surprenant que les cybercriminels tirent profit de l’inquiétude inhérente à cette épidémie et l’utilisent comme leurre dans une campagne de spam. Leur but étant d’effrayer les gens et de les inciter à ouvrir une pièce jointe à un e-mail et à autoriser l’exécution de son contenu.
La nouvelle campagne de phishing du coronavirus utilise un faux rapport sur l’épidémie pour inciter les destinataires des e-mails à ouvrir un document qui détaille les mesures à prendre pour prévenir l’infection. Ironiquement, en prenant les mesures détaillées dans l’e-mail, les victimes téléchargent un virus appelé Emotet.
La campagne de phishing du coronavirus a été identifiée par les chercheurs d’IBM X-Force. Elle vise les utilisateurs dans différentes préfectures japonaises et met en garde contre une augmentation du nombre de cas de coronavirus confirmés localement.
Les e-mails comprennent une pièce jointe au format Word contenant la notification ainsi que les mesures préventives à prendre. Si la victime ouvre la pièce jointe, elle est invitée à activer son contenu pour pouvoir lire le document. Cette action lancera le processus de téléchargement du cheval de Troie Emotet.
Emotet est également un téléchargeur d’autres variantes de malwares, d’autres types de chevaux de Troie bancaires et de ransomwares. Il peut envoyer des copies de lui-même aux contacts des victimes et infecter les appareils qu’ils utilisent.
Pour plus de crédibilité, les pirates derrière Emotet font croire que les e-mails ont été envoyés par un prestataire de services d’aide aux handicapés au Japon. Certains des messages comportent l’adresse correcte en bas de page.
À mesure que le coronavirus se répand et que de nouveaux cas sont signalés, il est probable que les pirates étendront cette campagne et commenceront à cibler de nombreux autres pays en utilisant des e-mails dans différentes langues. Le laboratoire Kaspersky a également déclaré qu’il a identifié des campagnes de spam liées au coronavirus et utilisant une variété de pièces jointes à des e-mails pour installer des malwares.
Les entreprises peuvent se protéger contre Emotet – l’une des variantes de malwares les plus dangereuses actuellement utilisées – en mettant en œuvre une solution de filtrage du spam telle que SpamTitan. Celle-ci intègre une sandbox où les documents malveillants peuvent être analysés en toute sécurité pour vérifier la présence d’actions malveillantes.
Pour plus d’informations sur la protection de votre système de messagerie électronique, contactez TitanHQ dès aujourd’hui.
