Les contribuables et les professionnels de l’impôt sont ciblés par des escrocs qui se font passer pour l’IRS (Internal Revenue Service). L’objectif de cette nouvelle attaque de phishing est de diffuser des malwares qui volent des informations. Le logiciel malveillant récolte des informations d’identification qui sont ensuite utilisées pour accéder à des comptes financiers et les vider.
La campagne utilise au moins deux lignes d’objet pour les e-mails : « Electronic Tax Return Reminder » et « Automatic Income Tax Reminder ». Les e-mails contiennent un hyperlien qui dirige l’utilisateur vers un site web qui ressemble de près à IRS.gov. Les e-mails comprennent un mot de passe unique que la personne ciblée peut utiliser pour ouvrir une session afin de soumettre une demande de remboursement d’impôt.
Lorsque l’utilisateur ouvre une session sur le site, le message l’informe qu’il doit télécharger un fichier afin de soumettre son remboursement. En réalité, le fichier contient un malware enregistreur de frappe qui enregistre les frappes sur un ordinateur infecté, permettant ainsi aux attaquants de soutirer des informations sensibles concernant leurs cibles.
Des avertissements ont été émis après que plusieurs contribuables et professionnels de l’impôt aient signalé les e-mails de phishing à l’IRS. Des efforts ont été menés dans le but de perturber la campagne, mais l’IRS note que des douzaines de sites web compromis et d’URL malveillantes sont utilisés par les escrocs.
L’IRS a déjà contacté les sociétés d’hébergement web pour qu’elles ferment les sites malveillants, mais le nombre d’URL utilisées rend la tâche très difficile. Dès qu’une URL est supprimée, d’autres apparaissent.
Les arnaqueurs misent sur l’offre de remboursement d’impôt ou la menace d’une action en justice pour des questions fiscales. C’est ce qui a incité de nombreuses personnes à cliquer sur les liens malveillants contenus dans les messages, sans avoir préalablement évalué le contenu du message et la légitimité de la demande.
Le conseil de l’IRS est de ne jamais cliquer sur un lien contenu dans un e-mail non sollicité prétendant provenir de l’IRS. L’IRS ne prend jamais l’initiative de communiquer avec les contribuables par e-mail, par message texte ou par les médias sociaux, et aucune demande de renseignements personnels n’est jamais envoyée via ces canaux.
Le dernier avertissement survient quelques mois seulement après que l’IRS et les partenaires du Security Summit aient rappelé que tous les préparateurs de déclarations de revenus professionnels sont tenus par la loi « FTC Safeguards Rule » et doivent mettre en œuvre un plan écrit de sécurité des informations pour s’assurer que les informations fiscales de leurs clients sont correctement protégées.
Ce rappel a été émis parce qu’il était devenu évident que de nombreux professionnels de l’impôt n’étaient pas conscients de leurs obligations de mettre en œuvre un plan de sécurité pour protéger les données fiscales de leurs clients.
Le plan de sécurité de l’information doit comporter plusieurs éléments :
Désigner un ou plusieurs employés pour coordonner le plan de sécurité de l’information
Effectuer une analyse des risques afin de déterminer les risques pour la confidentialité des données des clients
Évaluer l’efficacité des mesures de protection actuelles
Mettre en œuvre, surveiller et mettre à l’essai le programme de garanties
Opter uniquement pour des fournisseurs de services qui peuvent maintenir des mesures de protection appropriées et superviser le traitement des données des clients
Évaluer et mettre à jour le programme de sécurité, s’il y a lieu, en fonction des changements apportés aux pratiques commerciales et aux opérations
Les exigences relatives au plan de sécurité de l’information sont souples. Par exemple, les préparateurs de déclarations peuvent choisir les mesures de protection à mettre en œuvre en fonction de leur propre situation et des résultats de leurs analyses de risque.
Les deux principales mesures de protection qui protègent les entreprises contre le phishing et les attaques de malwares sont un filtre anti-spam et un filtre web. Le filtre anti-spam protège le système de messagerie en identifiant et en bloquant les messages malveillants tels que les e-mails de phishing et les spams, tandis qu’un filtre web bloque les attaques sur le web et les téléchargements de malwares. Ces deux solutions sont très efficaces pour bloquer le phishing et les attaques de malwares, tout en étant peu coûteuses à mettre en œuvre.
Pour en savoir plus sur la façon dont les filtres anti-spam et les filtres web peuvent protéger votre entreprise et vous aider à assumer vos responsabilités légales, contactez TitanHQ dès aujourd’hui.
UCEProtect est un DNSBL (DNS Black Listing) public.
Il s’agit d’une méthode qui permet de consulter la liste noire des émetteurs d’e-mails en utilisant le protocole DNS. Il répertorie les adresses IP qui envoient du spam à leurs pièges à spam (adresses e-mail non valides conçues pour identifier les abus).
Certaines adresses qui figurent dans les listes noires peuvent, et vont probablement, causer des dommages collatéraux à des utilisateurs innocents lorsqu’elles sont utilisées pour bloquer leurs systèmes de messagerie électronique. Et lorsque ces derniers voudront retirer leur adresse IP de la liste noire, UCEProtect facturera les frais de radiation.
TitanHQ avertit les administrateurs de la messagerie électronique de ne pas utiliser la liste noire d’UCEProtect et d’éviter de payer pour le service de radiation. En effet, la liste noire d’UCEProtect applique des politiques de listage agressives. Pour cette raison, et parce que cette liste noire est rarement utilisée, nous ne voyons que très peu d’impact réel sur le flux d’e-mails.
À propos d’UCEProtect et de Backscatterer.org
Les deux entités appartiennent à la même organisation. UCEProtect et Backscatterer ont pour rôle de dresser la liste des adresses IP qui envoient du spam et/ou de la rétrodiffusion (rebondissements mal dirigés).
UCEProtect est un DNSBL public qui répertorie les adresses IP qui envoient du spam dans leurs pièges à spam. La rétrodiffusion se produit lorsqu’un message de rebond est envoyé à un utilisateur innocent, c’est-à-dire un utilisateur qui n’est pas à l’origine du spam.
Ce dernier reçoit donc un message retourné pour des e-mails qu’il n´a jamais envoyés. Ce problème peut devenir frustrant et parfois perturbant pour l’utilisateur, car la rétrodiffusion peut entraîner une augmentation de la charge des flux d’e-mails entrants.
La rétrodiffusion peut être évitée en mettant en place une vérification du destinataire et une validation de l’étiquette d’adresse de rebond (Bounce Address Tag Validation – BATV).
Que faire ensuite ?
TitanHQ vous recommande de ne pas tenir compte lorsqu’UCEProtect exige le paiement pour le service de radiation de sa liste noire.
Le modèle de paiement pour la radiation n’est pas très respecté dans le domaine de la messagerie électronique, car UCEProtect a une portée très limitée. De nombreux pays ont déjà bloqué le serveur UCEProtect à l’échelle mondiale, ce qui signifie que les serveurs de messagerie ne peuvent pas l’utiliser.
Pour plus d’informations sur le fonctionnement des DNSBL de confiance, veuillez consulter l’équipe technique de TitanHQ.
Chaque fois qu’un événement majeur attire l’attention des médias, les cybercriminels sont toujours là pour en profiter.
Il n’est donc pas surprenant que des avertissements soient émis à propos des attaques de phishing contre Travelex.
L’attaque de ransomware contre Travelex, qui a frappé la veille du Nouvel An, impliquait une variante du ransomware appelée Sodinokibi. L’auteur de la menace est l’un des groupes cybercriminels les plus prolifiques utilisant des ransomwares.
Les attaques ont été très ciblées et visaient à chiffrer des réseaux entiers et les demandes de rançon reflètent l’ampleur du chiffrement. Initialement, le groupe de pirates a demandé une rançon de plus de 2,7 millions d’euros à Travelex.
Ce montant a rapidement doublé pour atteindre plus de 5,4 millions d’euros lorsque le paiement n’a pas été effectué dans les délais impartis.
Les retombées de l’attaque ont été immenses, ce qui n’est pas surprenant étant donné que Travelex est le plus grand fournisseur de services de change dans le monde. De nombreuses banques et détaillants comptent sur cette société pour assurer leurs services de change.
Sans accès à ces services en ligne, les services de change ont cessé de fonctionner. Il a fallu deux semaines à Travelex pour commencer à remettre certains de ses services en ligne, mais son site Web était resté en panne, sans compter les perturbations que cela a engendrées.
Les attaquants ont affirmé avoir volé de grandes quantités de données clients à Travelex. Ils ont menacé de publier ou de les vendre si la rançon n’était pas payée. Cette tactique est de plus en plus prisée par pirates pour attaquer les organisations via des ransomwares.
Dans ce cas, le groupe derrière Sodinokibi a prétendu avoir eu accès aux systèmes Travelex 6 mois auparavant et a déclaré avoir volé des données client, notamment des noms, des informations de carte de paiement, des numéros de sécurité sociale et des numéros d’assurance nationale.
Il affirmait également avoir récemment attaqué la société informatique américaine Artech Systems et avait publié 337 Mo de données volées lors de cette attaque, ceci afin de démontrer que ce n’était pas une menace vide de sens.
Travelex a soutenu qu’aucune donnée client n’avait été volée, mais cela reste à confirmer.
Avertissement émis à propos des attaques de phishing contre Travelex
Les clients de Travelex doivent naturellement faire preuve de prudence et surveiller leurs comptes pour détecter tout signe d’utilisation frauduleuse de leurs informations. Force est toutefois de constater qu’il existe d’autres risques d’une attaque comme celle-ci.
Travelex a émis un avertissement à ses clients, leur recommandant d’être vigilants à propos des attaques de phishing par e-mail et par téléphone. Les escrocs profitent souvent d’événements majeurs tels que celui-ci, comme ce fut le cas lors d’une atteinte à la protection de données contre la société TalkTalk.
Ces escroqueries par phishing sont susceptibles d’être plus efficaces sur les clients de Travelex qui ont perdu de l’argent à la suite de l’attaque. En effet, les pirates peuvent proposer une offre d’indemnisation ou de remboursement, en utilisant ce leurre pour duper leurs victimes.
Pour les consommateurs, le conseil est de ne jamais ouvrir les pièces jointes aux e-mails ou de cliquer sur les liens dans les e-mails non sollicités. Les entreprises doivent également prendre des mesures pour protéger leurs réseaux contre les malwares et les attaques de phishing.
Les entreprises devraient adopter une stratégie de défense en profondeur pour se protéger contre les escroqueries par phishing et les attaques de malwares.
Une solution de sécurité des e-mails avancée telle que SpamTitan doit être utilisée pour protéger les comptes Office 365. SpamTitan améliore la protection contre les malwares du type « zero day » et les menaces de phishing et bloque les menaces au niveau de la passerelle.
Une solution de filtrage Web telle que WebTitan doit être utilisée pour bloquer le composant web des campagnes de phishing, les malwares envoyés par e-mails, et empêcher les utilisateurs finaux de visiter des sites web malveillants. La formation des utilisateurs finaux est également indispensable.
Il est important d’enseigner aux employés comment identifier les e-mails de phishing et ceux qui sont susceptibles de diffuser des malwares, puis de les former à la façon de répondre aux e-mails suspects qu’ils reçoivent.
Les clients des banques canadiennes ont été ciblés par des cybercriminels dans le cadre d’une vaste campagne de phishing qui s’est déroulé depuis au moins deux ans, selon Check Point Research qui a découvert la campagne.
Comme pour beaucoup d’autres escroqueries de phishing financier, les attaquants usurpent le site web d’une banque connue, en créant une copie virtuelle de la page d’accueil et en utilisant un domaine ressemblant, qui ne diffère souvent du nom de domaine authentique que par une ou deux lettres.
Un lien vers le site frauduleux est ensuite envoyé dans le cadre d’une campagne de spam de masse à des adresses électroniques sur le domaine de premier niveau du pays où la banque opère. Ces emails invitent les utilisateurs à visiter le site web de la banque et à se connecter, généralement sous le couvert d’une alerte de sécurité.
Lorsque l’utilisateur clique sur le lien contenu dans le courriel, il est dirigé vers le site usurpé et peut ne pas remarquer que le nom de domaine n’est pas tout à fait correct. Il saisit alors ses identifiants de connexion qui sont capturés par les escrocs. Ces informations sont ensuite utilisées pour effectuer des virements électroniques frauduleux vers des comptes contrôlés par les pirates.
Dans le cadre de cette campagne, les emails comprennent une pièce jointe en format PDF. Les fichiers PDF ont tendance à être plus fiables que les documents Word et les feuilles de calcul, que les utilisateurs finaux ont généralement reçu pour instruction de traiter comme des documents suspects.
Le fichier PDF comprend un lien hypertexte que l’utilisateur est invité à cliquer. Comme l’hyperlien se trouve dans le document plutôt que dans le corps du message, il est moins susceptible d’être détecté par les solutions de sécurité des emails et a plus de chances d’être livré dans les boites de réceptions des victimes.
L’utilisateur est informé qu’il doit mettre à jour son certificat numérique pour continuer à utiliser le service bancaire en ligne. Le fichier PDF comprend le logo de la banque et un code de sécurité qu’il doit entrer lorsqu’il se connecte. Le code est inclus dans la pièce jointe du PDF plutôt que dans le corps du message pour des raisons de sécurité.
Comme pour la plupart des attaques de phishing, le message semble urgent. Le destinataire est informé que le code expire dans 2 jours et qu’il doit s’inscrire dans ce délai pour éviter de voir son compté bloqué.
Les pages d’atterrissage des sites web malveillants sont identiques à celles utilisées par les banques, car les attaquants ont simplement pris une capture d’écran de la page d’atterrissage de la banque légitime. Des zones de texte ont été ajoutées où le nom d’utilisateur, le mot de passe et le numéro de jeton doivent être saisis. Les utilisateurs sont ensuite invités à confirmer les détails qu’ils ont saisis pendant que les attaquants tentent d’accéder à leur compte en temps réel et d’effectuer un transfert frauduleux.
Ces tactiques ne sont pas nouvelles. Les escroqueries de ce type sont monnaie courante. Ce qui est surprenant, c’est la durée pendant laquelle la campagne n’a pas été détectée. Les escrocs ont pu opérer sans être détectés en enregistrant de nombreux domaines similaires qui sont utilisés pendant une courte période. Des centaines de domaines différents ont été enregistrés et utilisés dans l’arnaque. Au moins 14 grandes banques canadiennes ont vu leurs pages de connexion usurpées, dont TD Canada Trust, la Banque Scotia, la Banque royale du Canada et la BMO Banque de Montréal.
Tous les sites web utilisés dans l’escroquerie ont maintenant été démantelés, mais il est pratiquement garanti que d’autres domaines similaires seront enregistrés et que d’autres escroqueries seront menées.
En juillet 2019, une brèche a été découverte dans la société mondiale d’hôtellerie Choice Hotels.
La brèche impliquait une base de données MongoDB hébergée par un fournisseur qui fournit des services à la société. Comme beaucoup d’autres brèches, elle est passée complètement inaperçue du personnel interne, mais a été découverte par un consultant en sécurité externe qui scanne périodiquement Internet à la recherche de connexions ouvertes.
La base de données a été exposée au monde extérieur par le biais d’une connexion ouverte qui ne nécessitait aucun mot de passe ou d’autres moyens d’authentification pour y accéder. Lors de la découverte de la brèche, le consultant a trouvé une carte de visite numérique. Le pirate a annoncé qu’il était en possession de la base de données client, et demandait une rançon de 3900 euros.
L’intrus avait l’intention de chiffrer la base de données, mais la tentative a échoué. La base de données volée était donc restée intacte, car la société l’a sécurisée et a fermé la connexion dans les quatre jours suivant la découverte.
Fuite de données dans l’hôtellerie : 700 000 invités ont vu leurs données personnelles exposées
La base de données contenait 5,7 millions d’enregistrements, bien que Choice Hotels ait déclaré que la plupart d’entre eux étaient des enregistrements tests et que seulement 700 000 étaient des clients réels.
Les enregistrements de ces anciens clients comprenaient des informations personnelles :
Noms complets
Adresses
Numéros de téléphone
emails
Statuts de consentement.
La direction de l’entreprise a insisté sur le fait qu’aucune information relative aux paiements, aux mots de passe ou aux réservations n’était compromise.
Ils ont également déclaré que l’entreprise contacterait les clients concernés dans les jours à venir.
Menaces futures pour 700 000 clients
Ces 700 000 clients peuvent sans aucun doute exhaler un soupir de soulagement du fait qu’aucune information de paiement ou donnée hautement confidentielle n’était impliquée. Cependant, ce n’est pas parce qu’il n’y avait pas eu d’impacts financiers que ces personnes sont hors de danger.
C’est l’une des idées fausses concernant les fuites de données importantes.
Imaginez que vous êtes l’une des 700 000 personnes dont les informations ont été exposées. Un pirate possède maintenant l’accès à votre adresse électronique et possède votre numéro de téléphone portable. Il y a de fortes chances que vous soyez victime d’un nombre croissant d’attaques de phishing au cours des prochaines années, car le monde criminel sait désormais qu’il dispose d’une véritable adresse électronique fonctionnelle.
Même si l’auteur initial de la menace n’utilise pas l’adresse volée, il la vendra dans le cadre d’une transaction de masse portant sur des milliers d’adresses électroniques. Il en va de même pour le phishing par SMS.
Cela va au-delà du simple nombre croissant d’attaques potentielles de phishing. Les escrocs peuvent utiliser les données personnelles actuellement en leur possession pour rendre leurs attaques plus convaincantes.
Les futurs auteurs pourraient même se faire passer pour Choice Hotels et tenter d’obtenir des informations plus sensibles. Les conséquences sur le long terme d’une violation de données sont nombreuses et les malheureuses victimes pourraient être leurs prochaines cibles de pirates dans les années à venir.
Les leçons à tirer de cette fuites de données
De nombreuses entreprises se tournent actuellement vers le cloud pour garantir la sécurisation des données essentielles à leur activité. Ironiquement, l’un des principaux facteurs de motivation des pirates est lié à la sécurité.
Si le transfert d’applications web à un tiers peut être un moyen de répercuter le coût et la charge de la sécurisation de vos systèmes, il n’en demeure pas moins que vous ayez la responsabilité de protéger ces données. C’est pourquoi il est essentiel de contrôler tous vos fournisseurs.
Cela devrait inclure une demande formelle de vous fournir les mesures, contrôles et normes de sécurité informatique qu’ils ont mis en œuvre.
Cette brèche est un autre exemple de l’impact d’une connexion ouverte sur l’internet. En janvier 2017, les pirates informatiques ont ciblé près de 28 000 sites MongoDB non authentifiés. MongoDB a répondu que la plupart de ces attaques étaient dues à des paramètres mal configurés, à un manque d’application d’authentification et à des systèmes mal patchés.
Qu’il s’agisse de la base de données d’une grande entreprise ou d’une simple connexion RDP, l’ère des connexions ouvertes est révolue. Choice Hotels et son fournisseur ont tous deux eu la chance que seul un amateur les ait infiltrés. Un professionnel expérimenté aurait pu détourner le serveur et l’utiliser pour diffuser des malwares.
La dépendance continue des solutions de sécurité email
Il y a une autre conséquence cachée de cette fuite et d’autres fuites similaires qui sont menées à grande échelle. Il n’y a pas que les emails personnels qui ont été compromis. De nombreuses personnes font des réservations ou des transactions en ligne en utilisant leur compte de messagerie professionnel.
Cela signifie que leurs employeurs en subiront également les conséquences. Les cybercriminels peuvent s’introduire rapidement dans le serveur d’une organisation et lançant d’autres types d’attaques.
Une fois qu’ils arrivent à compromettre le réseau de l’entreprise, ils peuvent effectuer une reconnaissance pour connaître la culture communicative de l’organisation d’accueil et, plus important encore, qui contrôle les factures et la paie.
C’est à cause de la brèche dans la sécurité de Choice Hotels et de tant d’autres incidents de cybersécurité qui se produisent quotidiennement que toutes les entreprises doivent lutter avec diligence contre le phishing, le BEC (Business Email Compromise, ou arnaque au président) et d’autres types d’attaques via la messagerie électronique.
SpamTitan et son portefeuille de contrôles de sécurité tels que la double protection antivirus, le sandboxing, la prévention des fuites de données, le filtrage du contenu des emails et l’authentification DMARC peuvent garantir que votre entreprise et vos utilisateurs ne sont pas victimes de la négligence d’un tiers.
