Une nouvelle attaque de phishing sur PayPal a été détectée. Elle utilise des alertes d’activités inhabituelles comme appât pour inciter les utilisateurs à se connecter à PayPal afin de sécuriser leur compte. Il s’agit d’une tactique courante qui a déjà été utilisée pour voler des identifiants PayPal, mais cette campagne est différente, car les attaquants cherchent faire table rase.
Outre le fait de voler des informations d’identification PayPal, les pirates cherchent également à obtenir les données de carte de crédit, les adresses email, les mots de passe de leurs victimes, ainsi que les questions/réponses concernant la sécurité informatique.
L’escroquerie de phishing sur PayPal est l’une des plus dangereuses à ce jour en termes de préjudice financier qu’elle pourrait causer. En effet, elle permet aux attaquants de vider les comptes PayPal de leurs victimes, d’utiliser au maximum leurs cartes de crédit, de voler des informations sensibles sur les comptes de messagerie électronique et d’utiliser ensuite ces comptes de messagerie électronique pour mener d’autres attaques de phishing sur les membres de leurs familles, leurs amis et leurs contacts.
L’escroquerie de phishing sur PayPal commence par un avertissement destiné à inciter le destinataire du message malveillant à prendre des mesures immédiates pour sécuriser son compte. Il est informé que son compte PayPal a été consulté à partir d’un nouveau navigateur ou appareil. Il est informé que les contrôles de sécurité de PayPal ont été activés et que, par conséquent, il doit se connecter à son compte pour confirmer son identité et supprimer les limitations qui ont été imposées au compte.
L’email souligne que PayPal n’a pas pu déterminer s’il s’agissait d’une tentative légitime d’accéder à leur compte à partir d’un nouveau navigateur ou d’un nouveau dispositif, ou s’il s’agissait d’une tentative frauduleuse. Dans les deux cas, une action est nécessaire pour confirmer l’identité de la victime. Un lien est intégré au message pour lui permettre de faire cette confirmation.
Si l’utilisateur clique sur ce lien, il sera dirigé vers un faux site PayPal où il devra se connecter pour restaurer son compte. Au cours de cette première étape, les pirates peuvent obtenir les informations d’identification de son compte. Il sera ensuite dirigé vers une nouvelle page où on lui demande de mettre à jour son adresse de facturation. En plus de son adresse, il devrait également entrer sa date de naissance et son numéro de téléphone.
La page suivante lui demande son numéro de carte de crédit, son code de sécurité et sa date d’expiration pour qu’il n’ait plus besoin de saisir à nouveau ces informations lorsqu’il utilise de nouveau le service PayPal. Lors de la seconde étape, l’utilisateur doit confirmer ces informations pour s’assurer qu’aucune erreur n’a été commise lors de la saisie des informations relatives à sa carte de crédit. Enfin, il est dirigé vers une autre page où il est invité à saisir son adresse électronique et son mot de passe pour le relier à son compte PayPal. Une fois que toutes les informations ont été saisies, on lui indique que le processus est terminé et que son compte a été sécurisé et restauré avec succès.
Toutes ces pages de phishing ont l’apparence des véritables pages web de PayPal, avec des logos et des pieds de page authentiques du fournisseur de services. Les domaines utilisés pour l’escroquerie sont naturellement faux, mais ils ont un certain rapport avec PayPal. De plus, les noms de domaines ont des certificats SSL authentiques et affichent le cadenas vert dans le navigateur.
Bien entendu, vous devez prendre au sérieux tout avertissement de sécurité que vous recevez, mais ne prenez pas les avertissements au pied de la lettre. Google, PayPal et d’autres fournisseurs de services envoient souvent des avertissements de sécurité pour prévenir les utilisateurs d’une activité suspecte. Cette escroquerie de phishing sur PayPal montre que ces avertissements ne sont pas toujours authentiques et que vous devez toujours faire preuve de prudence.
La règle d’or est de ne jamais cliquer sur les liens contenus dans les emails. Visitez toujours le site du fournisseur de services en saisissant les informations correctes dans votre navigateur web pour vous connecter. Et surtout, vérifiez toujours et soigneusement le nom de domaine avant de fournir des informations d’identification.
C’est une chose importante, car il y a eu une augmentation des attaques de typosquattage, où les cybercriminels profitent des utilisateurs qui orthographient mal les noms de domaine dans la barre d’adresse de leur navigateur lorsqu’ils cherchent à consulter un site web particulier.
La majorité des entreprises ont subi une attaque de phishing au cours de l’année passée et, selon une enquête sur les PME aux États-Unis, 72 % d’entre elles ont subi une attaque de phishing au cours des trois derniers mois.
Dans le secteur de la santé, le phishing est la principale cause de fuites de données. En novembre 2019, 17 cas de violations de données sur 33 ont été signalés comme liées au phishing au Bureau des droits civils (OCR ou Official Rights Bureau) du Département de la santé et des services sociaux.
Si on considère que l’OCR ne rend public que les rapports de violation ayant entraîné l’exposition de 500 enregistrements ou plus, le nombre total d’attaques de phishing pourrait encore être plus élevé.
Les attaques de phishing sont en augmentation. La raison est simple : le phishing est le moyen le plus simple d’attaquer une organisation pour diffuser des malwares ou pour obtenir des informations sensibles. En effet, le phishing cible le maillon le plus faible d’une organisation, c’est-à-dire les employés.
Les employés s’améliorent dans l’identification des emails de phishing grâce à des formations de sensibilisation à la sécurité. Mais les cybercriminels sont aussi conscients de ce fait et ont réagi, en créant désormais des attaques de phishing très sophistiquées et beaucoup plus difficiles à identifier pour les employés.
Qu’est-ce qu’une attaque de spear-phishing ?
On constate également une augmentation des attaques de spear-phishing. Il s’agit d’une forme de phishing beaucoup plus ciblée. Au lieu d’envoyer des millions d’emails dans le cadre d’une campagne, les pirates n’en envoient qu’une poignée à des cibles très précises. Les messages sont rédigés de manière à maximiser les chances de succès et sont généralement personnalisés.
Le spear-phishing est une tentative qui vise essentiellement à voler des informations sensibles comme des identifiants de connexion ou des informations financières à une victime spécifique.
Comment fonctionne le spear-phishing ?
Les attaques de spear-phishing peuvent sembler simples à réaliser, mais ce n’est pas le cas. Au cours des dernières années, les pirates doivent s’efforcer d’améliorer leurs tactiques lorsqu’ils rédigent leurs e-mails pour augmenter leurs chances de réussite. Ainsi, les messages malveillants sont devenus très difficiles à détecter si vous n’avez pas de connaissances préalables en matière de protection contre le spear-phishing.
Les attaquants ciblent les victimes qui mettent des informations personnelles sur Internet. En parcourant un site de réseau social, ils peuvent par exemple consulter des profils individuels et connaître la ville natale de leurs cibles, leurs contacts, leurs employeurs ou encore les produits qu’elles ont récemment achetés en ligne.
Les pirates peuvent alors se faire passer pour une entité familière ou un ami et envoyer des e-mails convaincants mais frauduleux à leurs cibles. Ces messages renferment souvent des explications urgentes sur la raison pour laquelle les pirates ont besoin de ces informations.
Ensuite, les victimes sont invitées à cliquer sur un lien intégré à l’e-mail, qui les redirige vers un site web usurpé ou à ouvrir une pièce jointe malveillante. Dans d’autres cas, elles sont invitées à fournir leurs numéros de compte ou leurs codes PIN.
Un pirate qui se fait passer pour un ami peut aussi demander des noms d’utilisateur et des mots de passe pour diverses plateformes en ligne – comme Facebook ou Zoom – afin de pouvoir accéder aux photos que ses victimes ont publiées. Ces mots de passe lui permettront d’accéder à différents sites web contenant des informations confidentielles comme des informations sur les cartes de crédit ou des numéros de sécurité sociale. Grâce à cela, les criminels peuvent accéder aux comptes bancaires de leurs victimes, voire créer une nouvelle identité en utilisant les informations qu’il a collectées.
Enfin, une attaque de spear-phishing peut consister à une incitation des utilisateurs du web à télécharger des malwares ou des codes malveillants lorsque ces derniers ouvrent des pièces jointes ou cliquent sur des liens fournies dans les messages malveillants.
Les 3 principaux catégories de spear-phishing
Pour résumer, on peut subdiviser les attaques de spear-phishing en trois grandes catégories, notamment :
Le clone phishing,
La compromission d’emails professionnels (Business Email Compromise – BEC),
Le whaling.
Un rapport de la société de sécurité Barracuda a révélé que 83 % des attaques de spear-phishing reposent sur le clone phishing, une tactique qui vise l’usurpation d’identité. Dans le cadre d’une telle attaque, les escrocs créent une réplique presque identique d’un message électronique authentique dans le but de faire croire aux victimes qu’il est légitime. En général, le message semble provenir d’une adresse électronique réelle, car il utilise un domaine typosquatté ou une fausse URL donnant l’impression que l’e-mail est valide. Cependant, le message contient une pièce jointe ou un lien hypertexte qui renvoie la victime vers un site web cloné avec un domaine usurpé, où elle sera invitée à communiquer ses informations sensibles.
Quant à l’attaque de type BEC, ou littéralement la compromission de l’email professionnel, elle permet aux cybercriminels d’usurper le compte de messagerie d’un cadre supérieur, comme le PDG d’une société. Une fois que les pirates obtiennent l’accès au compte, ils vont l’utiliser pour demander des informations de connexion, de l’argent et d’autres informations sensibles à ses subalternes (cadres supérieurs, responsables informatiques, etc.). Une attaque BEC réussie permet au pirate d’obtenir un accès illimité au compte de la victime, ce qui peut avoir des effets très néfastes et entraîner d’énormes pertes financières pour son organisation.
Lors d’une attaque de whaling (également appelée « la chasse à la baleine »), les pirates informatiques ciblent les hauts responsables pour voler les informations les plus précieuses de leur entreprise. Étant donné que les PDG et les directeurs ont souvent beaucoup de pouvoir au sein de leur organisation, ils ont aussi accès aux des données les plus sensibles. Les cybercriminels préfèrent donc cibler ces « baleines » plutôt que d’hameçonner les petits « poissons » de l’entreprise. A titre d’exemple, un pirate peut envoyer un e-mail qui accuse un haut responsable d’avoir téléchargé ou visionné du contenu à caractère sexuel puis le convaincre de verser de l’argent à son compte. Dans ce cas, il peut menacer sa victime de divulguer le contenu compromettant à ses contacts au cas où il ne paie pas la rançon. A noter que les attaques de whaling ne visent pas seulement les dirigeants d’entreprises, mais aussi les personnes célèbres comme les stars et les hommes politiques.
Ces trois types d’attaques sont des exemples parfaits de spear-phishing. Ce qui les caractérise, c’est que leur mise en œuvre nécessite plus de temps et d’efforts de la part des pirates informatiques que les attaques de phishing ordinaires.
Conseils à donner aux employés pour éviter d’être victime d’une attaque de spear-phishing
Malheureusement, il n’existe pas de solution miracle. Les entreprises doivent adopter une approche de défense en profondeur pour améliorer de manière significative leur résistance aux attaques de phishing.
Faites attention avant de divulguer vos données personnelles sur Internet. S’il y a certaines informations que vous ne voulez pas qu’un pirate potentiel voie, ne les publiez pas. Si vous devez le faire, assurez-vous au moins que vous avez configuré les paramètres de confidentialité de la plate-forme en ligne utilisé pour limiter ce que les autres peuvent voir.
L’autre chose importante à retenir est de ne pas utiliser un seul mot de passe (ou des variations d’un mot de passe) pour chaque compte que vous possédez. Si vous le faites, et au cas où un pirate parviendrait à déchiffrer l’un de vos mots de passe, il aura effectivement accès à tous vos comptes. Comme astuce, utilisez des mots de passe composés de chiffres, de phrases, de caractères spéciaux et de lettres aléatoires.
Mettez également vos logiciels à jour : dès que votre fournisseur de logiciels publie une nouvelle mise à jour, appliquez-la immédiatement pour vous aider à vous protéger contre les attaques courantes.
Ne cliquez pas sur les liens dans les emails : si une organisation qui vous semble familière – comme votre banque – vous invite à cliquer sur un lien, ne le faites pas. Le mieux serait de lancer votre navigateur et de vous rendre directement sur le site officiel de votre banque au lieu de cliquer sur le lien lui-même. Il est dans votre intérêt de vérifier la destination du lien en le survolant simplement avec votre souris. Si l’URL qui s’affiche ne correspond pas au texte d’ancrage du lien ou à la destination indiquée dans le message électronique, il est fort probable que le lien soit malveillant. Attention toutefois, car de nombreux pirates qui utilisent le spear-phishing peuvent brouiller les destinations des liens en utilisant un texte d’ancrage ressemblant à une URL légitime.
Faites preuve de logique lorsque vous ouvrez un e-mail. Lorsque vous recevez un message de la part de l’un de vos contacts et qui vous demande des informations personnelles, vérifiez toujours que l’adresse email est une adresse que vous avez déjà utilisée ou vue par le passé. Une entreprise réelle ne vous enverrait pas un message qui vous demande votre mot de passe ou votre nom d’utilisateur, entre autres. En cas de doute, contactez la personne ou l’entreprise qui vous a envoyé le message via d’autres moyens comme le téléphone ou le site web officiel de l’entreprise pour vous assurer que c’est bien elle qui vous a contacté.
Comment une entreprise peut-elle améliorer ses défenses contre le phishing et le spear-phishing ?
Les employés constituent le maillon faible souvent visé par les cybercriminels. Vous devez donc vous assurer qu’ils soient formés à la reconnaissance des emails de phishing. Vous devez leur dispenser régulièrement une formation de sensibilisation afin de développer une culture de sensibilisation à la sécurité dans votre organisation. Avec le temps, vos employés seront capables de réagir correctement et de signaler les menaces de phishing à l’équipe de sécurité.
Effectuez également des exercices de simulation de phishing pour vous assurer que la formation a été efficace. Si un ou plusieurs employés ne réussissent pas à la simulation de phishing, vous pourrez donc les identifier et leur dispenser une formation complémentaire.
Si toutes les défenses ci-dessus échouent, il existe encore une autre couche que vous pouvez mettre en place pour assurer la protection de votre entreprise : l’authentification à facteurs multiples. L’authentification à facteurs multiples exige qu’un autre facteur soit utilisé avant de pouvoir accéder à un compte de messagerie ou à un autre système.
Si les identifiants de connexion d’un employé sont divulgués lors d’une attaque de phishing, l’authentification à facteurs multiples devrait empêcher un cybercriminel d’utiliser uniquement ces informations pour accéder à des comptes de messagerie électronique et à d’autres systèmes.
Dans la mesure du possible, il est vital pour les organisations de veiller à activer les mises à jour automatiques de leurs logiciels. Elles se protègent ainsi des dernières attaques en ligne. Cela permet également aux clients de messagerie, aux outils de sécurité et aux navigateurs web d’avoir les meilleures chances d’identifier les attaques de spear-phishing et de minimiser les dommages potentiels. Veillez également à ce qu’un programme de protection des données et une technologie de prévention des pertes de données soient mis en place au sein de votre organisation afin de protéger les données contre le vol et les accès non autorisés.
N’oubliez pas de mettre en place un programme de protection des données dans votre entreprise. Un programme de protection des données doit inclure la formation des utilisateurs aux meilleures pratiques en matière de sécurité des données et de cyberhygiène.
Le filtrage du spam, la solution idéale pour se protéger du spear-phishing ?
Le meilleur point de départ est la mise en place d’une solution de sécurité avancée pour la messagerie électronique. Le phishing nécessite une certaine forme d’action manuelle de la part de vos employés pour réussir.
Si vous empêchez les emails de phishing d’atteindre leurs boîtes de réception, ils ne pourront pas cliquer sur les liens dans ces messages malveillants ou télécharger des malwares. En effet, une solution avancée de sécurité des emails peut donc bloquer la grande majorité des emails de phishing avant qu’ils n’atteignent votre système de messagerie.
Vous avez sans doute déjà mis en place une solution de filtrage du spam, mais est-elle efficace ? Des emails de phishing arrivent-ils toujours dans votre boîte de réception ou celles de vos employés ?
Une erreur courante des PME est de croire que leur environnement Office 365 est bien protégé par défaut, alors qu’en réalité, l’EOP (Exchange Online Protection) fournie avec Office 365 ne parvient pas à bloquer de nombreuses tentatives de phishing.
Une étude a montré que 25% des emails de phishing n’étaient pas bloqués par EOP. Si vous souhaitez améliorer vos défenses contre le phishing, vous devriez donc utiliser une solution antispam et antiphishing tierce en plus de l’EOP.
L’une des solutions efficaces que vous pouvez adopter en guise de complément de l’EOP et qui offre une meilleure protection web est SpamTitan.
Si vous parvenez à bloquer les emails de phishing, votre sécurité sera bien meilleure, mais vous ne devez pas vous arrêter là. Force est de constater qu’il n’existe aucune solution qui pourra bloquer toutes les menaces de phishing à tout moment. Il suffit que l’un de vos employés clique sur un email de phishing pour qu’une violation de données se produise. Vous devez donc ajouter une autre couche à vos défenses.
Se protéger du phishing avec une solution de filtrage internet DNS
Une solution de filtrage DNS offre une meilleure protection web contre les attaques de phishing. Au cas où un employé cliquerait sur un lien dans un email et s’il sera dirigé vers une fausse page de connexion d’Office 365 ou vers un site où un malware pourrait être téléchargé, la tentative d’accès au site malveillant est bloquée.
Un filtre DNS bloque les tentatives d’accès aux sites de phishing avant le téléchargement de tout contenu web. Si une tentative d’accès à un site de phishing se produit, l’employé sera dirigé vers une page de blocage avant qu’un quelconque préjudice ne soit causé. Les filtres DNS peuvent également bloquer les téléchargements de malwares provenant de sites qui ne sont pas encore connus pour être malveillants.
Les administrateurs savent bien que lorsqu’on parle de filtres DNS, il faut également parler des protocoles DKIM, SPF et DMARC, lesquels peuvent contribuer à réduire les violations de données, les pertes financières et plusieurs autres menaces en ligne.
Le protocole DKIM
DKIM, ou « DomainKeys Identified Mail » est un protocole de vérification cryptographique des e-mails. Il peut être utilisé pour bloquer les l’usurpation d’identité. Il peut également être utilisé pour garantir l’intégrité des e-mails, ou pour s’assurer que les messages n’ont pas été modifié à partir du moment où il quitte le serveur de messagerie d’origine jusqu’à ce qu’il arrivé au vôtre.
Pour les messages entrants, lorsque le serveur récepteur voit qu’un message a été signé par DKIM, il récupère la clé publique dans les enregistrements DNS du serveur expéditeur, puis compare cette clé à la signature cryptographique du message pour en déterminer la validité.
Si le message entrant ne peut être vérifié, le serveur récepteur saura donc qu’il contient une adresse usurpée ou qu’il a été altéré ou modifié. Un message qui échoue à ce test peut alors être rejeté ou accepté, mais son score de spam peut être modifié.
Le protocole SPF
Il s’agit d’un autre protocole qui permet d’éviter l’usurpation d’identité. Le SPF ou « Sender Policy Framework » permet aux propriétaires de domaines de publier des enregistrements DNS, ou enregistrements SPF, afin d’identifier les emplacements qui seront autorisés à envoyer des messages pour leur domaine.
En effectuant une recherche SPF sur les messages entrants, il est possible de déterminer si le serveur d’envoi est autorisé ou non à distribuer des messages pour le domaine d’envoi supposé et pour déterminer si l’adresse de l’expéditeur a été usurpée ou falsifiée.
Pour protéger votre serveur contre les attaques de spear-phishing qui tentent d’usurper votre propre domaine, il est donc recommandé de configurer un enregistrement SPF dans votre serveur DNS.
Le protocole DMARC
Créé conjointement par Google, PayPal, Microsoft et Yahoo, le protocole DMARC, ou « Domain-based Message Authentication, Reporting and Conformance », donne aux organisations un aperçu et un contrôle de leur serveur de messagerie. Il protège les marques contre l’utilisation du phishing et d’autres attaques de spear-phishing.
Lorsque ce protocole est mis en œuvre dans votre enregistrement DNS, l’enregistrement DMARC d’un expéditeur indiquera au destinataire les actions à effectuer, à savoir accepter, mettre en quarantaine ou rejeter un e-mail qui prétend provenir d’un expéditeur suspect.
En fait, l’utilisation de ces trois protocoles est plus que recommandée aujourd’hui. C’est devenu une norme pour la sécurisation de la messagerie électronique.
Le mot de la fin
Toutes les couches de sécurité susmentionnées sont nécessaires pour bloquer les menaces de phishing sophistiquées d’aujourd’hui. Cela peut sembler très coûteux, mais les mesures anti-phishing ci-dessus ne doivent pas l’être.
De plus, face à la crise de la COVID-19, qui affecte également l’univers de la communication numérique, les pirates informatiques trouvent de nouvelles tactiques pour augmenter les chances de réussite de leurs campagnes de phishing et de spear-phishing. Par conséquent, le fait de sécuriser et d’authentifier les e-mails entrants et sortants est devenu plus que nécessaire si vous voulez éviter de vous faire pirater.
Même si TitanHQ ne peut pas former vos employés à devenir des titans de la sécurité, la marque vous propose des solutions fiables pour le filtrage des contenus web et des e-mails. Grâce à SpamTitan et au filtre DNS de WebTitan, vous bénéficierez des meilleures protections anti-phishing du marché.
Une nouvelle campagne de spam vient d’être détectée. Elle s’appuie sur la popularité de Greta Thunberg et utilise le nom de la militante écologiste afin d’inciter les individus à installer le cheval de Troie bancaire Emotet.
Emotet est l’une des menaces de malwares les plus actives. Il a été détecté pour la première fois en 2014. À l’origine, ce cheval de Troie a été utilisé pour voler les informations d’identification bancaires en ligne des utilisateurs de Windows en interceptant le trafic internet.
Au fil des ans, il a fait l’objet de plusieurs mises à jour pour permettre aux pirates d’ajouter de nouvelles fonctionnalités. Un module de spam malveillant a été ajouté, ce qui lui permet d’envoyer des copies de lui-même par email aux contacts d’un utilisateur. Emotet comprend également un téléchargeur de malwares qui lui permet de télécharger une série d’autres variantes de malwares comme d’autres chevaux de Troie bancaires et des ransomwares.
Les malwares sont utilisés dans les attaques contre les particuliers, les entreprises et les organismes gouvernementaux, mais ces deux derniers sont les principales cibles des pirates. Emotet est principalement diffusé par le biais des emails non sollicités, et si les kits d’exploitation ne sont pas utilisés pour infecter d’autres appareils sur le réseau – à l’exemple d’EternalBlue – d’autres variantes de malwares téléchargés par Emotet peuvent le faire, comme TrickBot.
La campagne de spam Greta Thunberg vise à inciter les utilisateurs à ouvrir une pièce jointe Word malveillante et à activer son contenu. Si cela se produit, Emotet sera téléchargé en silence sur l’appareil de l’utilisateur. Les pirates peuvent alors voler des informations bancaires sensibles et télécharger d’autres malwares.
La campagne s’est déroulée pendant les vacances et a utilisé divers leurres sur le thème de Noël pour inciter les utilisateurs à ouvrir la pièce jointe à l’email. D’autres emails ne contenaient pas de pièce jointe et utilisaient plutôt un lien hypertexte qui dirige l’utilisateur vers un site web où le document malveillant pouvait être téléchargé.
L’un des emails souhaitait un joyeux Noël à son destinataire et l’exhorte à considérer l’environnement en cette période de Noël et à se joindre à une manifestation pour protester contre le manque d’action des gouvernements pour lutter contre la crise climatique. Le message prétendait que les détails concernant l’heure et le lieu de la manifestation étaient inclus dans le document Word. Il demandait également au destinataire d’envoyer immédiatement l’email à tous ses collègues, ses amis et ses parents afin d’obtenir leur soutien. Plusieurs variantes d’attaques sur ce thème ont été détectées.
Afin d’augmenter la probabilité que le destinataire active le contenu lorsque le document est ouvert, l’email affiche un avertissement qui semble avoir été généré par Microsoft Office. L’utilisateur est informé que le document a été créé dans OpenOffice et qu’il est nécessaire d’activer d’abord l’édition puis le contenu. Cette dernière opération activera les macros qui lanceront le processus d’infection.
Les emails sont bien écrits et ont été conçus pour obtenir une réponse émotionnelle, ce qui augmente la probabilité que l’utilisateur exécute l’action demandée. Les emails ont été envoyés en plusieurs langues dans de nombreux pays différents.
Chaque fois qu’un événement d’actualité important survient, tel qu’un tournoi sportif populaire ou tout autre événement suscitant un intérêt mondial, les cybercriminels en profitent. Quel que soit le thème de l’email, s’il est non sollicité et s’il vous demande de cliquer sur un lien ou d’ouvrir une pièce jointe, il est préférable de supposer qu’il est malveillant.
Les entreprises peuvent protéger leurs réseaux contre de telles menaces en mettant en œuvre une solution avancée de filtrage du spam telle que SpamTitan. SpamTitan identifiera les menaces comme les attaques de phishing et empêchera les messages d’atteindre les boîtes de réception des utilisateurs finaux. SpamTitan comprend également deux moteurs anti-virus qui lui permettent de détecter les malwares connus et les techniques d’apprentissage machine. Par ailleurs, cette solution intègre le « sandboxing » qui permet d’identifier et de bloquer les malwares de type « zero-day ».
Pour plus d’informations sur la façon dont SpamTitan peut protéger votre entreprise contre les menaces de ce type, contactez TitanHQ dès aujourd’hui.
Les clients des banques canadiennes ont été ciblés par des cybercriminels dans le cadre d’une vaste campagne de phishing qui se poursuit depuis au moins deux ans, selon Check Point Research qui a découvert la campagne.
Comme pour beaucoup d’autres escroqueries par phishing financier, les attaquants utilisent le nom de domaine d’un site web d’une banque connue pour créer une copie malveillante de sa page d’accueil. Le nom de domaine malveillant ne diffère souvent de celui du site authentique de la banque légitime que par une ou deux lettres.
Un lien vers le site frauduleux est ensuite envoyé dans le cadre d’une campagne de spamming de masse aux adresses email sur le domaine de premier niveau du pays spécifique où la banque opère.
Ces emails invitent les utilisateurs à visiter le site web de la banque et à se connecter, généralement sous le couvert d’une alerte de sécurité. Lorsque l’utilisateur clique sur le lien contenu dans l’email, il est dirigé vers le site usurpé et il risque de ne pas remarquer que le nom de domaine n’est pas tout à fait correct.
Il saisit alors ses identifiants de connexion qui sont capturés par les escrocs. Ces informations sont ensuite utilisées pour effectuer des virements électroniques frauduleux vers des comptes contrôlés par les pirates.
Dans le cadre de cette campagne, les emails comprennent une pièce jointe en format PDF. Les fichiers PDF ont tendance à être plus fiables que les documents Word et les feuilles de calcul. En effet, les utilisateurs finaux ont généralement reçu pour instruction de traiter les documents Word et Excel comme des documents suspects.
Le fichier PDF comprend un lien hypertexte que l’utilisateur est invité à cliquer. Comme l’hyperlien se trouve dans le document plutôt que dans le corps du message, il est moins susceptible d’être scanné par les solutions de sécurité de la messagerie et a plus de chances d’être livré dans les boites de réception des utilisateurs finaux.
L’utilisateur est informé qu’il doit mettre à jour son certificat numérique pour continuer à utiliser le service bancaire en ligne. Le fichier PDF comprend le logo de la banque et un code de sécurité que l’utilisateur doit entrer lorsqu’il se connecte. Le code est inclus dans le PDF, plutôt que dans le corps du message.
Comme pour la plupart des escroqueries de phishing, les pirates mettent en avant l’urgence du message. Le destinataire est informé que le code expire dans 2 jours et qu’il doit s’inscrire dans ce délai pour éviter de voir son compte bloqué.
La page d’atterrissage du site web est identique à celle utilisée par la banque, car les attaquants ont simplement pris une capture d’écran de sa page d’atterrissage légitime. Pourtant, ils ont également ajouté des zones de texte où le nom d’utilisateur, le mot de passe et le numéro jeton électronique doivent être saisis. Les utilisateurs sont ensuite invités à confirmer les détails qu’ils ont saisis. Pendant ce temps, les attaquants tentent d’accéder à leur compte en temps réel et d’effectuer un transfert frauduleux.
Les escroqueries de ce type sont monnaie courante. Ce qui est surprenant, c’est la durée pendant laquelle la campagne visant les clients des banques canadiennes n’a pas été détectée. Les escrocs ont pu opérer sans être détectés et ont pu créer de nombreux domaines similaires qui ont été utilisés pendant une courte période.
En réalité, des centaines de domaines différents ont été créés et utilisés lors de cette arnaque. Au moins 14 grandes banques canadiennes ont vu leurs pages de connexion usurpées, dont TD Canada Trust, la Banque Scotia, la Banque royale du Canada et la BMO Banque de Montréal.
Tous les sites web utilisés dans l’escroquerie ont maintenant été démantelés, mais il est pratiquement certain que d’autres domaines similaires seront enregistrés et que d’autres escroqueries seront encore menées par d’autres pirates.
Les cybercriminels changent constamment de tactique et trouvent de nouvelles façons de tromper les gens pour qu’ils remettent leurs identifiants ou installent des malwares. De nouvelles campagnes sont lancées quotidiennement, avec des leurres éprouvés tels que de faux avis de livraison de colis, de fausses factures et de faux bons de commande, ainsi que des demandes de collaboration très courantes.
Récemment, un groupe de pirates a opté pour un leurre rarement vu, mais qui a le potentiel d’être très efficace. Il s’agit de fausses assignations à comparaître devant le tribunal. Les emails font appel à la peur et l’urgence, amenant ainsi les utilisateurs à paniquer et à les ouvrir rapidement.
Cette campagne est en cours depuis quelques semaines et vise les utilisateurs du Royaume-Uni, bien que l’arnaque puisse facilement être adaptée et utilisée dans des attaques contre des utilisateurs d’autres pays.
De nombreuses escroqueries de phishing ont pour but de voler des identifiants pour permettre d’accéder à des comptes de messagerie ou à des comptes Office 365. Pour ce cas précis, l’objectif était de diffuser malware voleur d’informations appelé « Predator the Thief ».
Les emails de phishing semblent avoir été envoyés par le ministère de la Justice du Royaume-Uni. Le champ expéditeur porte le nom du ministère de la Justice et les emails portent l’écusson du ministère de la Justice.
Les emails avertissent l’utilisateur qu’il a été assigné à comparaître en justice. Il reçoit un numéro de dossier et la date à laquelle il a été assigné à comparaître. Les messages comprennent également un hyperlien sur lequel l’utilisateur doit cliquer pour connaître les détails de l’accusation et les documents qu’il devra apporter avec lui au tribunal. Pour rendre le message encore plus urgent, les pirates ont ajouté un avertissement, mentionnant que le destinataire ne dispose que de 14 jours pour répondre à l’avis et que l’affaire se poursuivra sans lui s’il ne répond pas.
L’URL de l’email semble bénigne, car elle renvoie l’utilisateur à Google Docs – un site Web de confiance. En cliquant sur le lien, il sera d’abord dirigé vers Google Docs, puis redirigé vers OneDrive. Lorsqu’il arrive sur le site de OneDrive, un document est téléchargé. Ce document contient une macro malveillante qui lance une commande PowerShell, téléchargeant ensuite le malware « Predator the Thief ».
« Predator the Thief » est un voleur d’informations qui peut faire des captures d’écran et voler les informations d’identification des emails et des protocoles FTP, ainsi que les portefeuilles de devises cryptographiques et les informations du navigateur. Contrairement à de nombreux voleurs d’informations sur les navigateurs, cette variante de malware ne cible pas seulement les navigateurs principaux, mais une multitude de navigateurs moins populaires. Une fois les informations volées, le malware se nettoie et quitte le système, ce qui rend la détection de l’infection plus difficile.
Les escroqueries de phishing de ce type soulignent la nécessité d’une sécurité à plusieurs niveaux. Naturellement, une solution antispam avancée telle que SpamTitan doit être mise en œuvre pour bloquer ces menaces et garantir que les messages malveillants n’arrivent pas dans les boîtes de réception des utilisateurs finaux. SpamTitan comprend également une authentification DMARC des emails pour bloquer les tentatives d’usurpation d’identité et une sandbox où les pièces jointes des emails sont analysées pour détecter les actions malveillantes.
SpamTitan bloque plus de 99,9 % de tous les emails malveillants, mais il n’est pas possible de bloquer 100 % des menaces, quelle que soit la solution de sécurité de messagerie que vous utilisez. C’est là qu’une autre couche est nécessaire. WebTitan est une solution de filtrage DNS qui bloque les menaces de ce type au cas où une recherche DNS est effectuée. Cela permet de bloquer les sites web avant qu’un contenu malveillant ne soit téléchargé. WebTitan peut également être configuré pour bloquer les téléchargements de certains types de fichiers.
Avec ces deux solutions en place, votre entreprise sera bien protégée contre les emails de phishing et les téléchargements de malwares via le web.
Les intrusions cybercriminelles sont le plus souvent précédées d’attaques de phishing, en particulier d’attaques de spear phishing.
Ces derniers temps, les cabinets d’avocats sont devenus des cibles privilégiées.
Il y a des raisons impérieuses à cette situation. Brian Levine, de la Section de la criminalité informatique et de la propriété intellectuelle du Ministère de la Justice des États-Unis, a déclaré que les cabinets d’avocats sont perçus comme étant moins sécuritaires que les autres organisations.
Les cybercriminels les considèrent comme une porte dérobée, c’est-à-dire une véritable menace pour l’intégrité et la préservation de la confidentialité des données de leurs clients… Mais quel genre de données ?
Les cabinets d’avocats agissent en tant qu’entrepôts de données sur leurs clients et employés. Ils ne sont donc pas à l’abri des cyberattaques.
Ils sont, à bien des égards, les cibles parfaites. La plupart d’entre eux possèdent une grande quantité d’informations personnellement identifiables, que ce soit celles de leurs clients, de leurs employés ou de leurs parties et témoins dans les litiges. Il peut également s’agir d’informations sur les opérations en cours et les questions juridiques, de secrets commerciaux, d’informations privées sur les dirigeants d’entreprise, etc.
Ces données sont irrésistiblement attrayantes pour les cybercriminels du monde entier.
Les cabinets d’avocats plus sensibles aux attaques de phishing
Est-il vrai que la cybersécurité dans les cabinets d’avocats est plus laxiste ?
Voici donc un exemple !
Jusqu’à récemment, la plupart des employés des cabinets d’avocats accédaient régulièrement à leurs e-mails personnels pendant les heures de travail sur les ordinateurs de l’entreprise. Cette pratique est interdite depuis longtemps dans la plupart des entreprises financières.
Selon Keith Lee, chroniqueur qui travaille pour http://abovethelaw.com, les avocats ne sont pas aussi experts en technologie que ceux intervenant dans le secteur financier ou manufacturier. Cela peut les rendre plus vulnérables aux attaques de phishing.
La question de sécurité, et plus particulièrement celle liée aux attaques de phishing, est devenue un sujet important dans la communauté juridique.
En mars 2016, l’American Journal of Trial Advocacy a tenu un symposium intitulé « Practicing Law in the Age of Surveillance and Hackers: An Exploration of Privacy and Data Security.Exploration ». La récente conférence ABA TECHSHOW a également accueilli une table ronde intitulée « Security Awareness and Phishing ».
Exemples de phishing
1. En mars 2016, 13 des 15 cabinets d’avocats les plus prestigieux ont été ciblés par « Oleras », un gang cybercriminel basé en Ukraine. Le gang a planifié une campagne de spear phishing afin de recueillir des informations qui pouvaient être utilisées pour des délits d’initiés.
2. En mai 2016, des membres du Barreau de l’État de Floride ont été victimes de phishing entrainant le téléchargement de ransomwares. Un faux e-mail ayant pour objet « Florida Bar Association Past due Invoice » était envoyé par les pirates. Les avocats du Nevada ont ensuite reçu des e-mails de phishing qui faisaient référence à des cotisations impayées ou des avis de plainte disciplinaire. Selon l’ABA Journal, les membres du barreau de Californie, de Géorgie et d’Alabama ont été ciblés.
Les escrocs se font passer pour des cabinets d’avocats
Les cybercriminels ont sali la réputation de nombreux cabinet d’avocats.
En août 2016, la société Sidley Austin était l’expéditeur présumé d’un e-mail de phishing informant le destinataire d’un héritage.
En 2015, des e-mails de phishing provenant de la firme Baker & McKenzie affirmaient également que les destinataires étaient impliqués dans des dossiers de recouvrement de créances. Des e-mails de phishing similaires affirmaient que les destinataires étaient tenus de comparaître devant le tribunal.
Protégez votre entreprise et votre réputation
Sur le plan éthique, les cabinets d’avocats devraient faire de leur mieux pour protéger les données de leurs clients.
En outre, il existe de multiples règles types de l’American Bar Association (ABA) qui stipulent les règles concernant la protection des données des clients et, par extension, des infrastructures informatiques. Il y a eu une augmentation des avis consultatifs à cet effet de la part des comités d’éthique en Californie, à Washington et en Arizona, entre autres.
Certains experts estiment qu’il est temps que la sécurisation incorrecte des systèmes informatiques puisse être interprétée comme une faute professionnelle. Suite à cela, certains des plus grands cabinets d’avocats ont rejoint le Financial Services Information Sharing and Analysis Center, un groupe de partage d’information sur les cybercriminalités.
Mesures visant à empêcher les attaques de phishing
Les attaques de phishing ne cesseront tant qu’elles restent rentables pour les attaquants. Toutefois, il existe des mesures que vous pouvez prendre pour les contrer :
Tout d’abord, l’étape clé consiste à modifier le comportement des utilisateurs lorsqu’ils sont confrontés à un e-mail de phishing. Le conseil évident est de ne pas cliquer sur des liens étranges dans les e-mails. Le problème est que les e-mails de phishing sont de plus en plus convaincants. Selon le rapport de Verizon, 30 % des gens tombent dans le piège du phishing par e-mail.
La formation des utilisateurs sur le phishing et l’ingénierie sociale en général serait utile pour réduire le nombre d’e-mails qui pourraient mener à des cyberattaques. À cet égard, il existe un certain nombre de sites web prêts à l’emploi qui offrent une formation sur le phishing. Il suffit de taper « formation au phishing » pour obtenir une liste et s’informer davantage à ce sujet.
Pourquoi ne pas récompenser vos employés pour une « prise du jour » ? Demandez-leur de faire suivre des e-mails de phishing aux responsables informatiques. Chaque semaine, vous pouvez remettre un prix au lauréat ; faire connaître la tentative et sensibiliser vos employés pour qu’ils puissent rester toujours vigilants.
Soyez prudent lorsque vous affichez des informations concernant les activités de vos employés sur votre site web ou sur les médias sociaux. Les cybercriminels peuvent passer ces sites au peigne fin pour obtenir des renseignements dans le but de rendre leurs e-mails plus réels.
Neuf mesures pour prévenir une atteinte à la sécurité
Étant donné que les attaquants changent constamment de tactique, il est impossible de prévenir toutes les attaques. Plusieurs mesures peuvent néanmoins être prises pour réduire les risques, comme la mise à jour des logiciels antivirus, la mise en place de filtres web et de pare-feux. Une approche par couches est aussi essentielle. Pour vous aider à prévenir une brèche de sécurité, l’approche devrait inclure les étapes suivantes :
Effectuez une évaluation des risques qui peut souvent être facilitée par les services de fournisseurs de solutions informatiques compétents, objectifs et indépendants.
Utilisez la technologie de chiffrement appropriée des serveurs, des ordinateurs de bureau, des ordinateurs portables et de tout appareil mobile.
Limitez l’accès aux systèmes informatiques, à la messagerie électronique et aux répertoires aux seuls utilisateurs connus et dignes de confiance. Mettez en œuvre et respectez les politiques appropriées en matière de mots de passe.
Élaborez et suivez une politique de conservation et de destruction des données afin que les données personnelles ne soient pas en danger. Les cabinets d’avocats devraient analyser soigneusement où celles-ci vont être stockées et limiter le nombre d’endroits où elles sont conservées.
Maintenez à jour les logiciels de sécurité antispam et antivirus en appliquant régulièrement les correctifs recommandés.
L’arsenal de sécurité de l’entreprise devrait inclure une passerelle de messagerie sécurisée, des filtres antispam avancés, de multiples moteurs antivirus, une protection antiphishing et une protection avancée contre les menaces.
Sensibilisez vos employés à la protection des données sensibles ; à l’utilisation et à la protection des mots de passe.
Mettez en œuvre et suivez une politique d’utilisation écrite, expliquant comment l’accès et l’utilisation d’Internet devraient être effectués sur les ordinateurs de l’entreprise. Cette politique doit aussi, et tout particulièrement, déterminer les limites de son utilisation.
Enfin, élaborez un plan complet de préparation à l’atteinte à la protection des données afin de prendre des mesures décisives et d’éviter la paralysie opérationnelle si un tel incident venait à se produire.
En réfléchissant bien et en planifiant soigneusement, les cabinets d’avocats peuvent réduire considérablement leur exposition à une attaque de phishing et à une éventuelle atteinte à la protection des données. Sinon, ils risquent de subir de pertes financières directes. Cela portera également une grave atteinte à la réputation de l’entreprise.
Vous êtes un professionnel de l’informatique dans un cabinet d’avocats et vous voulez vous assurer que les données et les appareils sensibles de vos clients et de vos employés soient protégés ? Parlez à un de nos spécialistes de la sécurité web ou envoyez-nous un e-mail à info@titanhq.com pour toute question.
