Une nouvelle attaque de phishing sur PayPal a été détectée. Elle utilise des alertes d’activités inhabituelles comme appât pour inciter les utilisateurs à se connecter à PayPal afin de sécuriser leur compte. Il s’agit d’une tactique courante qui a déjà été utilisée pour voler des identifiants PayPal, mais cette campagne est différente, car les attaquants cherchent faire table rase.
Outre le fait de voler des informations d’identification PayPal, les pirates cherchent également à obtenir les données de carte de crédit, les adresses email, les mots de passe de leurs victimes, ainsi que les questions/réponses concernant la sécurité informatique.
L’escroquerie de phishing sur PayPal est l’une des plus dangereuses à ce jour en termes de préjudice financier qu’elle pourrait causer. En effet, elle permet aux attaquants de vider les comptes PayPal de leurs victimes, d’utiliser au maximum leurs cartes de crédit, de voler des informations sensibles sur les comptes de messagerie électronique et d’utiliser ensuite ces comptes de messagerie électronique pour mener d’autres attaques de phishing sur les membres de leurs familles, leurs amis et leurs contacts.
L’escroquerie de phishing sur PayPal commence par un avertissement destiné à inciter le destinataire du message malveillant à prendre des mesures immédiates pour sécuriser son compte. Il est informé que son compte PayPal a été consulté à partir d’un nouveau navigateur ou appareil. Il est informé que les contrôles de sécurité de PayPal ont été activés et que, par conséquent, il doit se connecter à son compte pour confirmer son identité et supprimer les limitations qui ont été imposées au compte.
L’email souligne que PayPal n’a pas pu déterminer s’il s’agissait d’une tentative légitime d’accéder à leur compte à partir d’un nouveau navigateur ou d’un nouveau dispositif, ou s’il s’agissait d’une tentative frauduleuse. Dans les deux cas, une action est nécessaire pour confirmer l’identité de la victime. Un lien est intégré au message pour lui permettre de faire cette confirmation.
Si l’utilisateur clique sur ce lien, il sera dirigé vers un faux site PayPal où il devra se connecter pour restaurer son compte. Au cours de cette première étape, les pirates peuvent obtenir les informations d’identification de son compte. Il sera ensuite dirigé vers une nouvelle page où on lui demande de mettre à jour son adresse de facturation. En plus de son adresse, il devrait également entrer sa date de naissance et son numéro de téléphone.
La page suivante lui demande son numéro de carte de crédit, son code de sécurité et sa date d’expiration pour qu’il n’ait plus besoin de saisir à nouveau ces informations lorsqu’il utilise de nouveau le service PayPal. Lors de la seconde étape, l’utilisateur doit confirmer ces informations pour s’assurer qu’aucune erreur n’a été commise lors de la saisie des informations relatives à sa carte de crédit. Enfin, il est dirigé vers une autre page où il est invité à saisir son adresse électronique et son mot de passe pour le relier à son compte PayPal. Une fois que toutes les informations ont été saisies, on lui indique que le processus est terminé et que son compte a été sécurisé et restauré avec succès.
Toutes ces pages de phishing ont l’apparence des véritables pages web de PayPal, avec des logos et des pieds de page authentiques du fournisseur de services. Les domaines utilisés pour l’escroquerie sont naturellement faux, mais ils ont un certain rapport avec PayPal. De plus, les noms de domaines ont des certificats SSL authentiques et affichent le cadenas vert dans le navigateur.
Bien entendu, vous devez prendre au sérieux tout avertissement de sécurité que vous recevez, mais ne prenez pas les avertissements au pied de la lettre. Google, PayPal et d’autres fournisseurs de services envoient souvent des avertissements de sécurité pour prévenir les utilisateurs d’une activité suspecte. Cette escroquerie de phishing sur PayPal montre que ces avertissements ne sont pas toujours authentiques et que vous devez toujours faire preuve de prudence.
La règle d’or est de ne jamais cliquer sur les liens contenus dans les emails. Visitez toujours le site du fournisseur de services en saisissant les informations correctes dans votre navigateur web pour vous connecter. Et surtout, vérifiez toujours et soigneusement le nom de domaine avant de fournir des informations d’identification.
C’est une chose importante, car il y a eu une augmentation des attaques de typosquattage, où les cybercriminels profitent des utilisateurs qui orthographient mal les noms de domaine dans la barre d’adresse de leur navigateur lorsqu’ils cherchent à consulter un site web particulier.
La majorité des entreprises ont subi une attaque de phishing au cours de l’année passée et, selon une enquête sur les PME aux États-Unis, 72 % d’entre elles ont subi une attaque de phishing au cours des trois derniers mois.
Dans le secteur de la santé, le phishing est la principale cause de fuites de données. En novembre 2019, 17 cas de violations de données sur 33 ont été signalés comme liées au phishing au Bureau des droits civils (OCR ou Official Rights Bureau) du Département de la santé et des services sociaux.
Si on considère que l’OCR ne rend public que les rapports de violation ayant entraîné l’exposition de 500 enregistrements ou plus, le nombre total d’attaques de phishing pourrait encore être plus élevé.
Les attaques de phishing sont en augmentation. La raison est simple : le phishing est le moyen le plus simple d’attaquer une organisation pour diffuser des malwares ou pour obtenir des informations sensibles. En effet, le phishing cible le maillon le plus faible d’une organisation, c’est-à-dire les employés.
Les employés s’améliorent dans l’identification des emails de phishing grâce à des formations de sensibilisation à la sécurité. Mais les cybercriminels sont aussi conscients de ce fait et ont réagi, en créant désormais des attaques de phishing très sophistiquées et beaucoup plus difficiles à identifier pour les employés.
Qu’est-ce qu’une attaque de spear-phishing ?
On constate également une augmentation des attaques de spear-phishing. Il s’agit d’une forme de phishing beaucoup plus ciblée. Au lieu d’envoyer des millions d’emails dans le cadre d’une campagne, les pirates n’en envoient qu’une poignée à des cibles très précises. Les messages sont rédigés de manière à maximiser les chances de succès et sont généralement personnalisés.
Le spear-phishing est une tentative qui vise essentiellement à voler des informations sensibles comme des identifiants de connexion ou des informations financières à une victime spécifique.
Comment fonctionne le spear-phishing ?
Les attaques de spear-phishing peuvent sembler simples à réaliser, mais ce n’est pas le cas. Au cours des dernières années, les pirates doivent s’efforcer d’améliorer leurs tactiques lorsqu’ils rédigent leurs e-mails pour augmenter leurs chances de réussite. Ainsi, les messages malveillants sont devenus très difficiles à détecter si vous n’avez pas de connaissances préalables en matière de protection contre le spear-phishing.
Les attaquants ciblent les victimes qui mettent des informations personnelles sur Internet. En parcourant un site de réseau social, ils peuvent par exemple consulter des profils individuels et connaître la ville natale de leurs cibles, leurs contacts, leurs employeurs ou encore les produits qu’elles ont récemment achetés en ligne.
Les pirates peuvent alors se faire passer pour une entité familière ou un ami et envoyer des e-mails convaincants mais frauduleux à leurs cibles. Ces messages renferment souvent des explications urgentes sur la raison pour laquelle les pirates ont besoin de ces informations.
Ensuite, les victimes sont invitées à cliquer sur un lien intégré à l’e-mail, qui les redirige vers un site web usurpé ou à ouvrir une pièce jointe malveillante. Dans d’autres cas, elles sont invitées à fournir leurs numéros de compte ou leurs codes PIN.
Un pirate qui se fait passer pour un ami peut aussi demander des noms d’utilisateur et des mots de passe pour diverses plateformes en ligne – comme Facebook ou Zoom – afin de pouvoir accéder aux photos que ses victimes ont publiées. Ces mots de passe lui permettront d’accéder à différents sites web contenant des informations confidentielles comme des informations sur les cartes de crédit ou des numéros de sécurité sociale. Grâce à cela, les criminels peuvent accéder aux comptes bancaires de leurs victimes, voire créer une nouvelle identité en utilisant les informations qu’il a collectées.
Enfin, une attaque de spear-phishing peut consister à une incitation des utilisateurs du web à télécharger des malwares ou des codes malveillants lorsque ces derniers ouvrent des pièces jointes ou cliquent sur des liens fournies dans les messages malveillants.
Les 3 principaux catégories de spear-phishing
Pour résumer, on peut subdiviser les attaques de spear-phishing en trois grandes catégories, notamment :
Le clone phishing,
La compromission d’emails professionnels (Business Email Compromise – BEC),
Le whaling.
Un rapport de la société de sécurité Barracuda a révélé que 83 % des attaques de spear-phishing reposent sur le clone phishing, une tactique qui vise l’usurpation d’identité. Dans le cadre d’une telle attaque, les escrocs créent une réplique presque identique d’un message électronique authentique dans le but de faire croire aux victimes qu’il est légitime. En général, le message semble provenir d’une adresse électronique réelle, car il utilise un domaine typosquatté ou une fausse URL donnant l’impression que l’e-mail est valide. Cependant, le message contient une pièce jointe ou un lien hypertexte qui renvoie la victime vers un site web cloné avec un domaine usurpé, où elle sera invitée à communiquer ses informations sensibles.
Quant à l’attaque de type BEC, ou littéralement la compromission de l’email professionnel, elle permet aux cybercriminels d’usurper le compte de messagerie d’un cadre supérieur, comme le PDG d’une société. Une fois que les pirates obtiennent l’accès au compte, ils vont l’utiliser pour demander des informations de connexion, de l’argent et d’autres informations sensibles à ses subalternes (cadres supérieurs, responsables informatiques, etc.). Une attaque BEC réussie permet au pirate d’obtenir un accès illimité au compte de la victime, ce qui peut avoir des effets très néfastes et entraîner d’énormes pertes financières pour son organisation.
Lors d’une attaque de whaling (également appelée « la chasse à la baleine »), les pirates informatiques ciblent les hauts responsables pour voler les informations les plus précieuses de leur entreprise. Étant donné que les PDG et les directeurs ont souvent beaucoup de pouvoir au sein de leur organisation, ils ont aussi accès aux des données les plus sensibles. Les cybercriminels préfèrent donc cibler ces « baleines » plutôt que d’hameçonner les petits « poissons » de l’entreprise. A titre d’exemple, un pirate peut envoyer un e-mail qui accuse un haut responsable d’avoir téléchargé ou visionné du contenu à caractère sexuel puis le convaincre de verser de l’argent à son compte. Dans ce cas, il peut menacer sa victime de divulguer le contenu compromettant à ses contacts au cas où il ne paie pas la rançon. A noter que les attaques de whaling ne visent pas seulement les dirigeants d’entreprises, mais aussi les personnes célèbres comme les stars et les hommes politiques.
Ces trois types d’attaques sont des exemples parfaits de spear-phishing. Ce qui les caractérise, c’est que leur mise en œuvre nécessite plus de temps et d’efforts de la part des pirates informatiques que les attaques de phishing ordinaires.
Conseils à donner aux employés pour éviter d’être victime d’une attaque de spear-phishing
Malheureusement, il n’existe pas de solution miracle. Les entreprises doivent adopter une approche de défense en profondeur pour améliorer de manière significative leur résistance aux attaques de phishing.
Faites attention avant de divulguer vos données personnelles sur Internet. S’il y a certaines informations que vous ne voulez pas qu’un pirate potentiel voie, ne les publiez pas. Si vous devez le faire, assurez-vous au moins que vous avez configuré les paramètres de confidentialité de la plate-forme en ligne utilisé pour limiter ce que les autres peuvent voir.
L’autre chose importante à retenir est de ne pas utiliser un seul mot de passe (ou des variations d’un mot de passe) pour chaque compte que vous possédez. Si vous le faites, et au cas où un pirate parviendrait à déchiffrer l’un de vos mots de passe, il aura effectivement accès à tous vos comptes. Comme astuce, utilisez des mots de passe composés de chiffres, de phrases, de caractères spéciaux et de lettres aléatoires.
Mettez également vos logiciels à jour : dès que votre fournisseur de logiciels publie une nouvelle mise à jour, appliquez-la immédiatement pour vous aider à vous protéger contre les attaques courantes.
Ne cliquez pas sur les liens dans les emails : si une organisation qui vous semble familière – comme votre banque – vous invite à cliquer sur un lien, ne le faites pas. Le mieux serait de lancer votre navigateur et de vous rendre directement sur le site officiel de votre banque au lieu de cliquer sur le lien lui-même. Il est dans votre intérêt de vérifier la destination du lien en le survolant simplement avec votre souris. Si l’URL qui s’affiche ne correspond pas au texte d’ancrage du lien ou à la destination indiquée dans le message électronique, il est fort probable que le lien soit malveillant. Attention toutefois, car de nombreux pirates qui utilisent le spear-phishing peuvent brouiller les destinations des liens en utilisant un texte d’ancrage ressemblant à une URL légitime.
Faites preuve de logique lorsque vous ouvrez un e-mail. Lorsque vous recevez un message de la part de l’un de vos contacts et qui vous demande des informations personnelles, vérifiez toujours que l’adresse email est une adresse que vous avez déjà utilisée ou vue par le passé. Une entreprise réelle ne vous enverrait pas un message qui vous demande votre mot de passe ou votre nom d’utilisateur, entre autres. En cas de doute, contactez la personne ou l’entreprise qui vous a envoyé le message via d’autres moyens comme le téléphone ou le site web officiel de l’entreprise pour vous assurer que c’est bien elle qui vous a contacté.
Comment une entreprise peut-elle améliorer ses défenses contre le phishing et le spear-phishing ?
Les employés constituent le maillon faible souvent visé par les cybercriminels. Vous devez donc vous assurer qu’ils soient formés à la reconnaissance des emails de phishing. Vous devez leur dispenser régulièrement une formation de sensibilisation afin de développer une culture de sensibilisation à la sécurité dans votre organisation. Avec le temps, vos employés seront capables de réagir correctement et de signaler les menaces de phishing à l’équipe de sécurité.
Effectuez également des exercices de simulation de phishing pour vous assurer que la formation a été efficace. Si un ou plusieurs employés ne réussissent pas à la simulation de phishing, vous pourrez donc les identifier et leur dispenser une formation complémentaire.
Si toutes les défenses ci-dessus échouent, il existe encore une autre couche que vous pouvez mettre en place pour assurer la protection de votre entreprise : l’authentification à facteurs multiples. L’authentification à facteurs multiples exige qu’un autre facteur soit utilisé avant de pouvoir accéder à un compte de messagerie ou à un autre système.
Si les identifiants de connexion d’un employé sont divulgués lors d’une attaque de phishing, l’authentification à facteurs multiples devrait empêcher un cybercriminel d’utiliser uniquement ces informations pour accéder à des comptes de messagerie électronique et à d’autres systèmes.
Dans la mesure du possible, il est vital pour les organisations de veiller à activer les mises à jour automatiques de leurs logiciels. Elles se protègent ainsi des dernières attaques en ligne. Cela permet également aux clients de messagerie, aux outils de sécurité et aux navigateurs web d’avoir les meilleures chances d’identifier les attaques de spear-phishing et de minimiser les dommages potentiels. Veillez également à ce qu’un programme de protection des données et une technologie de prévention des pertes de données soient mis en place au sein de votre organisation afin de protéger les données contre le vol et les accès non autorisés.
N’oubliez pas de mettre en place un programme de protection des données dans votre entreprise. Un programme de protection des données doit inclure la formation des utilisateurs aux meilleures pratiques en matière de sécurité des données et de cyberhygiène.
Le filtrage du spam, la solution idéale pour se protéger du spear-phishing ?
Le meilleur point de départ est la mise en place d’une solution de sécurité avancée pour la messagerie électronique. Le phishing nécessite une certaine forme d’action manuelle de la part de vos employés pour réussir.
Si vous empêchez les emails de phishing d’atteindre leurs boîtes de réception, ils ne pourront pas cliquer sur les liens dans ces messages malveillants ou télécharger des malwares. En effet, une solution avancée de sécurité des emails peut donc bloquer la grande majorité des emails de phishing avant qu’ils n’atteignent votre système de messagerie.
Vous avez sans doute déjà mis en place une solution de filtrage du spam, mais est-elle efficace ? Des emails de phishing arrivent-ils toujours dans votre boîte de réception ou celles de vos employés ?
Une erreur courante des PME est de croire que leur environnement Office 365 est bien protégé par défaut, alors qu’en réalité, l’EOP (Exchange Online Protection) fournie avec Office 365 ne parvient pas à bloquer de nombreuses tentatives de phishing.
Une étude a montré que 25% des emails de phishing n’étaient pas bloqués par EOP. Si vous souhaitez améliorer vos défenses contre le phishing, vous devriez donc utiliser une solution antispam et antiphishing tierce en plus de l’EOP.
L’une des solutions efficaces que vous pouvez adopter en guise de complément de l’EOP et qui offre une meilleure protection web est SpamTitan.
Si vous parvenez à bloquer les emails de phishing, votre sécurité sera bien meilleure, mais vous ne devez pas vous arrêter là. Force est de constater qu’il n’existe aucune solution qui pourra bloquer toutes les menaces de phishing à tout moment. Il suffit que l’un de vos employés clique sur un email de phishing pour qu’une violation de données se produise. Vous devez donc ajouter une autre couche à vos défenses.
Se protéger du phishing avec une solution de filtrage internet DNS
Une solution de filtrage DNS offre une meilleure protection web contre les attaques de phishing. Au cas où un employé cliquerait sur un lien dans un email et s’il sera dirigé vers une fausse page de connexion d’Office 365 ou vers un site où un malware pourrait être téléchargé, la tentative d’accès au site malveillant est bloquée.
Un filtre DNS bloque les tentatives d’accès aux sites de phishing avant le téléchargement de tout contenu web. Si une tentative d’accès à un site de phishing se produit, l’employé sera dirigé vers une page de blocage avant qu’un quelconque préjudice ne soit causé. Les filtres DNS peuvent également bloquer les téléchargements de malwares provenant de sites qui ne sont pas encore connus pour être malveillants.
Les administrateurs savent bien que lorsqu’on parle de filtres DNS, il faut également parler des protocoles DKIM, SPF et DMARC, lesquels peuvent contribuer à réduire les violations de données, les pertes financières et plusieurs autres menaces en ligne.
Le protocole DKIM
DKIM, ou « DomainKeys Identified Mail » est un protocole de vérification cryptographique des e-mails. Il peut être utilisé pour bloquer les l’usurpation d’identité. Il peut également être utilisé pour garantir l’intégrité des e-mails, ou pour s’assurer que les messages n’ont pas été modifié à partir du moment où il quitte le serveur de messagerie d’origine jusqu’à ce qu’il arrivé au vôtre.
Pour les messages entrants, lorsque le serveur récepteur voit qu’un message a été signé par DKIM, il récupère la clé publique dans les enregistrements DNS du serveur expéditeur, puis compare cette clé à la signature cryptographique du message pour en déterminer la validité.
Si le message entrant ne peut être vérifié, le serveur récepteur saura donc qu’il contient une adresse usurpée ou qu’il a été altéré ou modifié. Un message qui échoue à ce test peut alors être rejeté ou accepté, mais son score de spam peut être modifié.
Le protocole SPF
Il s’agit d’un autre protocole qui permet d’éviter l’usurpation d’identité. Le SPF ou « Sender Policy Framework » permet aux propriétaires de domaines de publier des enregistrements DNS, ou enregistrements SPF, afin d’identifier les emplacements qui seront autorisés à envoyer des messages pour leur domaine.
En effectuant une recherche SPF sur les messages entrants, il est possible de déterminer si le serveur d’envoi est autorisé ou non à distribuer des messages pour le domaine d’envoi supposé et pour déterminer si l’adresse de l’expéditeur a été usurpée ou falsifiée.
Pour protéger votre serveur contre les attaques de spear-phishing qui tentent d’usurper votre propre domaine, il est donc recommandé de configurer un enregistrement SPF dans votre serveur DNS.
Le protocole DMARC
Créé conjointement par Google, PayPal, Microsoft et Yahoo, le protocole DMARC, ou « Domain-based Message Authentication, Reporting and Conformance », donne aux organisations un aperçu et un contrôle de leur serveur de messagerie. Il protège les marques contre l’utilisation du phishing et d’autres attaques de spear-phishing.
Lorsque ce protocole est mis en œuvre dans votre enregistrement DNS, l’enregistrement DMARC d’un expéditeur indiquera au destinataire les actions à effectuer, à savoir accepter, mettre en quarantaine ou rejeter un e-mail qui prétend provenir d’un expéditeur suspect.
En fait, l’utilisation de ces trois protocoles est plus que recommandée aujourd’hui. C’est devenu une norme pour la sécurisation de la messagerie électronique.
Le mot de la fin
Toutes les couches de sécurité susmentionnées sont nécessaires pour bloquer les menaces de phishing sophistiquées d’aujourd’hui. Cela peut sembler très coûteux, mais les mesures anti-phishing ci-dessus ne doivent pas l’être.
De plus, face à la crise de la COVID-19, qui affecte également l’univers de la communication numérique, les pirates informatiques trouvent de nouvelles tactiques pour augmenter les chances de réussite de leurs campagnes de phishing et de spear-phishing. Par conséquent, le fait de sécuriser et d’authentifier les e-mails entrants et sortants est devenu plus que nécessaire si vous voulez éviter de vous faire pirater.
Même si TitanHQ ne peut pas former vos employés à devenir des titans de la sécurité, la marque vous propose des solutions fiables pour le filtrage des contenus web et des e-mails. Grâce à SpamTitan et au filtre DNS de WebTitan, vous bénéficierez des meilleures protections anti-phishing du marché.
Une nouvelle campagne de spam vient d’être détectée. Elle s’appuie sur la popularité de Greta Thunberg et utilise le nom de la militante écologiste afin d’inciter les individus à installer le cheval de Troie bancaire Emotet.
Emotet est l’une des menaces de malwares les plus actives. Il a été détecté pour la première fois en 2014. À l’origine, ce cheval de Troie a été utilisé pour voler les informations d’identification bancaires en ligne des utilisateurs de Windows en interceptant le trafic internet.
Au fil des ans, il a fait l’objet de plusieurs mises à jour pour permettre aux pirates d’ajouter de nouvelles fonctionnalités. Un module de spam malveillant a été ajouté, ce qui lui permet d’envoyer des copies de lui-même par email aux contacts d’un utilisateur. Emotet comprend également un téléchargeur de malwares qui lui permet de télécharger une série d’autres variantes de malwares comme d’autres chevaux de Troie bancaires et des ransomwares.
Les malwares sont utilisés dans les attaques contre les particuliers, les entreprises et les organismes gouvernementaux, mais ces deux derniers sont les principales cibles des pirates. Emotet est principalement diffusé par le biais des emails non sollicités, et si les kits d’exploitation ne sont pas utilisés pour infecter d’autres appareils sur le réseau – à l’exemple d’EternalBlue – d’autres variantes de malwares téléchargés par Emotet peuvent le faire, comme TrickBot.
La campagne de spam Greta Thunberg vise à inciter les utilisateurs à ouvrir une pièce jointe Word malveillante et à activer son contenu. Si cela se produit, Emotet sera téléchargé en silence sur l’appareil de l’utilisateur. Les pirates peuvent alors voler des informations bancaires sensibles et télécharger d’autres malwares.
La campagne s’est déroulée pendant les vacances et a utilisé divers leurres sur le thème de Noël pour inciter les utilisateurs à ouvrir la pièce jointe à l’email. D’autres emails ne contenaient pas de pièce jointe et utilisaient plutôt un lien hypertexte qui dirige l’utilisateur vers un site web où le document malveillant pouvait être téléchargé.
L’un des emails souhaitait un joyeux Noël à son destinataire et l’exhorte à considérer l’environnement en cette période de Noël et à se joindre à une manifestation pour protester contre le manque d’action des gouvernements pour lutter contre la crise climatique. Le message prétendait que les détails concernant l’heure et le lieu de la manifestation étaient inclus dans le document Word. Il demandait également au destinataire d’envoyer immédiatement l’email à tous ses collègues, ses amis et ses parents afin d’obtenir leur soutien. Plusieurs variantes d’attaques sur ce thème ont été détectées.
Afin d’augmenter la probabilité que le destinataire active le contenu lorsque le document est ouvert, l’email affiche un avertissement qui semble avoir été généré par Microsoft Office. L’utilisateur est informé que le document a été créé dans OpenOffice et qu’il est nécessaire d’activer d’abord l’édition puis le contenu. Cette dernière opération activera les macros qui lanceront le processus d’infection.
Les emails sont bien écrits et ont été conçus pour obtenir une réponse émotionnelle, ce qui augmente la probabilité que l’utilisateur exécute l’action demandée. Les emails ont été envoyés en plusieurs langues dans de nombreux pays différents.
Chaque fois qu’un événement d’actualité important survient, tel qu’un tournoi sportif populaire ou tout autre événement suscitant un intérêt mondial, les cybercriminels en profitent. Quel que soit le thème de l’email, s’il est non sollicité et s’il vous demande de cliquer sur un lien ou d’ouvrir une pièce jointe, il est préférable de supposer qu’il est malveillant.
Les entreprises peuvent protéger leurs réseaux contre de telles menaces en mettant en œuvre une solution avancée de filtrage du spam telle que SpamTitan. SpamTitan identifiera les menaces comme les attaques de phishing et empêchera les messages d’atteindre les boîtes de réception des utilisateurs finaux. SpamTitan comprend également deux moteurs anti-virus qui lui permettent de détecter les malwares connus et les techniques d’apprentissage machine. Par ailleurs, cette solution intègre le « sandboxing » qui permet d’identifier et de bloquer les malwares de type « zero-day ».
Pour plus d’informations sur la façon dont SpamTitan peut protéger votre entreprise contre les menaces de ce type, contactez TitanHQ dès aujourd’hui.
Les clients des banques canadiennes ont été ciblés par des cybercriminels dans le cadre d’une vaste campagne de phishing qui se poursuit depuis au moins deux ans, selon Check Point Research qui a découvert la campagne.
Comme pour beaucoup d’autres escroqueries par phishing financier, les attaquants utilisent le nom de domaine d’un site web d’une banque connue pour créer une copie malveillante de sa page d’accueil. Le nom de domaine malveillant ne diffère souvent de celui du site authentique de la banque légitime que par une ou deux lettres.
Un lien vers le site frauduleux est ensuite envoyé dans le cadre d’une campagne de spamming de masse aux adresses email sur le domaine de premier niveau du pays spécifique où la banque opère.
Ces emails invitent les utilisateurs à visiter le site web de la banque et à se connecter, généralement sous le couvert d’une alerte de sécurité. Lorsque l’utilisateur clique sur le lien contenu dans l’email, il est dirigé vers le site usurpé et il risque de ne pas remarquer que le nom de domaine n’est pas tout à fait correct.
Il saisit alors ses identifiants de connexion qui sont capturés par les escrocs. Ces informations sont ensuite utilisées pour effectuer des virements électroniques frauduleux vers des comptes contrôlés par les pirates.
Dans le cadre de cette campagne, les emails comprennent une pièce jointe en format PDF. Les fichiers PDF ont tendance à être plus fiables que les documents Word et les feuilles de calcul. En effet, les utilisateurs finaux ont généralement reçu pour instruction de traiter les documents Word et Excel comme des documents suspects.
Le fichier PDF comprend un lien hypertexte que l’utilisateur est invité à cliquer. Comme l’hyperlien se trouve dans le document plutôt que dans le corps du message, il est moins susceptible d’être scanné par les solutions de sécurité de la messagerie et a plus de chances d’être livré dans les boites de réception des utilisateurs finaux.
L’utilisateur est informé qu’il doit mettre à jour son certificat numérique pour continuer à utiliser le service bancaire en ligne. Le fichier PDF comprend le logo de la banque et un code de sécurité que l’utilisateur doit entrer lorsqu’il se connecte. Le code est inclus dans le PDF, plutôt que dans le corps du message.
Comme pour la plupart des escroqueries de phishing, les pirates mettent en avant l’urgence du message. Le destinataire est informé que le code expire dans 2 jours et qu’il doit s’inscrire dans ce délai pour éviter de voir son compte bloqué.
La page d’atterrissage du site web est identique à celle utilisée par la banque, car les attaquants ont simplement pris une capture d’écran de sa page d’atterrissage légitime. Pourtant, ils ont également ajouté des zones de texte où le nom d’utilisateur, le mot de passe et le numéro jeton électronique doivent être saisis. Les utilisateurs sont ensuite invités à confirmer les détails qu’ils ont saisis. Pendant ce temps, les attaquants tentent d’accéder à leur compte en temps réel et d’effectuer un transfert frauduleux.
Les escroqueries de ce type sont monnaie courante. Ce qui est surprenant, c’est la durée pendant laquelle la campagne visant les clients des banques canadiennes n’a pas été détectée. Les escrocs ont pu opérer sans être détectés et ont pu créer de nombreux domaines similaires qui ont été utilisés pendant une courte période.
En réalité, des centaines de domaines différents ont été créés et utilisés lors de cette arnaque. Au moins 14 grandes banques canadiennes ont vu leurs pages de connexion usurpées, dont TD Canada Trust, la Banque Scotia, la Banque royale du Canada et la BMO Banque de Montréal.
Tous les sites web utilisés dans l’escroquerie ont maintenant été démantelés, mais il est pratiquement certain que d’autres domaines similaires seront enregistrés et que d’autres escroqueries seront encore menées par d’autres pirates.
Les attaques de ransomware WannaCry, qui ont commencé le 12 mai 2017, ont été bloquées rapidement lorsqu’un « kill switch » a été identifié et activé. Mais combien d’argent les cybercriminels ont-ils gagné grâce à WannaCry pendant cette période ?
WannaCry était une cyberattaque mondiale dévastatrice, comme l’avaient prédit de nombreux professionnels de la cybersécurité. Et c’était vraiment le cas, car WannaCry était devenu le ransomware qui s’est répandu le plus rapidement dans le monde.
WannaCry utilisait un ransomware et un ver, ce qui lui permettait de se propager automatiquement et d’infecter un grand nombre d’appareils sur de nombreux réseau dans le monde. Le ransomware exploitait une vulnérabilité dans Windows Server Message Block (SMBv1) en utilisant un kit d’exploitation de la NSA appelé EternalBlue.
La faille exploitée par EternalBlue avait été signalée à Microsoft et un correctif a été publié en mars 2017, deux mois avant le début des attaques. Cependant, de nombreuses entreprises ont tardé à appliquer le correctif et étaient vulnérables aux attaques.
En quelques heures, environ 200 000 ordinateurs ont été infectés dans 150 pays. Il convient de noter que de nombreux postes ne sont toujours pas soingés deux ans et demi après la publication du correctif, malgré une large couverture médiatique sur la menace d’attaque et son coût énorme. WannaCry est toujours l’une des plus grandes menaces de ransomware et représente un pourcentage important de toutes les attaques de ransomware réussies en 2019.
WannaCry a été bloqué par un chercheur en sécurité britannique. Ce dernier a découvert que le ransomware avait vérifié un nom de domaine avant de chiffrer les données, mais que ce nom de domaine n’avait pas été enregistré. Il a acheté le nom de domaine, empêchant ainsi le chiffrement des fichiers.
Comme le ransomware s’est répandu très rapidement, il a réussi à infecter et à chiffrer de nombreux appareils pendant une courte période de temps. En effet, un grand nombre d’entreprises n’étaient pas protégées avant la désactivation du ransomware via le « kill switch » et beaucoup d’entre elles ont dû payer une rançon pour avoir la clé de déchiffrement de leurs fichiers.
Mais combien les pirates ont-ils vraiment gagné grâce aux attaques par le ransomware WannaCry ?
Le montant de la rançon était très faible, soit environ 270 euros par appareil infecté. Ce montant peut doubler et atteindre environ 541 euros si le paiement n’était pas effectué dans les 3 jours. Il est donc facile de comprendre pourquoi de nombreuses entreprises ont accepté de payer.
De plus, les transactions étaient détaillées dans la chaîne de blocage. Le bénéficiaire reste anonyme, mais ses victimes peuvent consulter les paiements s’ils le souhaitent.
Les trois adresses Bitcoin connues pour avoir été utilisées dans les attaques de WannaCry montrent actuellement que 430 paiements ont été effectués et que plus de 54 Bitcoins ont été envoyés sur ces comptes. La valeur du Bitcoin est quelque peu volatile et était beaucoup plus élevée à certains moments entre aujourd’hui et les attaques, mais au taux de change actuel, cela équivaut à environ 350 000 euros. La plupart des paiements ont maintenant été retirés des comptes, une fois que les attaquants les avaient encaissés. Pourtant, de nombreux autres paiements sont toujours effectués sur ces comptes.
Les derniers paiements à l’une des adresses ont été effectués en décembre 2019.
350 000 euros n’est peut-être pas un gros montant pour les pirates, compte tenu du nombre d’appareils infectés et des dommages causés par l’attaque. De plus, ils devront encore convertir ces cryptomonnaies en argent réel, et une somme considérable sera perdue dans ce processus. Le montant de leur paie était minuscule compte tenu de l’ampleur de l’attaque. Mais pour les entreprises, le coût des attaques était colossal.
Le Service national de santé du Royaume-Uni a été durement touché par WannaCry et le montant de l’opération de nettoyage et le coût des travaux liés à la reprise des activités après l’attaque étaient estimées à plus de 108 millions d’euros.
Ce n’était qu’une seule victime, mais la somme que les pirates ont obtenue était importante. Les estimations du coût total de WannaCry varient actuellement entre des centaines de millions et 3,6 milliards d’euros au niveau mondial.
La prochaine fois que vous tarderez à appliquer un correctif ou à mettre à jour un logiciel, prenez en compte les conséquences dévastatrices que peut causer WannaCry, ainsi que les éventuels coûts relatifs à la réparation de vos équipements et à la récupération de vos données sensibles.
Dans tous les cas ci-dessus – les 200 000 attaques et plus – l’application du correctif aurait permis d’éviter l’attaque et le coût énorme de la réparation des dommages que WannaCry aurait pu causer.
