Lorsque les cybercriminels lancent des attaques de phishing et de social engineering, leur principale méthode consiste à donner l’impression que l’attaque provient d’une source officielle. Les utilisateurs mal informés cliqueront sur n’importe quel lien dans un e-mail, même si le message semble suspect.
Les attaques récentes ont profité de la confiance des utilisateurs sur des sites populaires tels que Dropbox, Google Docs, Citrix, ShareFile, et Google Drive, pour n’en nommer que quelques-uns. Elles ont fait appel à l’authentification OAuth et utilisent souvent des messages qui vérifient l’accès à la ressource d’un utilisateur.
Comment fonctionne une attaque de phishing sur un site de partage de fichier ?
Il n’est pas rare que les utilisateurs ajoutent des plugins à leur navigateur pour demander l’accès à leur compte personnel. Par exemple, si vous accéder à un service à l’aide de votre compte Facebook, la plate-forme vous demande votre approbation et vous indique les ressources auxquelles le propriétaire du plugin souhaite accéder. Le plugin peut demander l’accès à l’email et au nom d’utilisateur, ou il peut demander à poster sur votre mur. Une fois que vous donnez accès à une ressource pour qu’elle puisse publier sur votre mur, vous donnez à un développeur anonyme la possibilité de publier n’importe quoi sur votre espace personnel.
La plupart des développeurs utilisent cette capacité d’accès aux ressources pour des raisons qui profitent à l’utilisateur. L’accès est accordé en utilisant un service nommé OAuth, et les utilisateurs peuvent révoquer l’accès à leur compte à tout moment. Cependant, la plupart des utilisateurs donnent indistinctement accès aux ressources. Grâce à cette autorisation, les pirates peuvent accéder à n’importe quel composant du compte personnel de l’utilisateur, répandre des malwares, voler des identifiants et mener d’autres attaques de phishing.
Les sites de partage de fichiers sont les vecteurs d’attaque de prédilection des cybercriminels parce que ces sites offrent aux utilisateurs la possibilité d’autoriser l’accès pour voir, ajouter et modifier des fichiers déjà stockés dans le cloud. Les pirates demandent d’abord aux utilisateurs de les autoriser à accéder à des ressources, et bien souvent, les utilisateurs n’hésitent pas à partager tout ce qui leur est demandé.
Une fois que l’utilisateur a autorisé la ressource à ajouter et à visualiser des fichiers, il peut maintenant visualiser tous les fichiers de la ressource de partage de fichiers et en ajouter de nouveaux. Ces nouveaux fichiers contiennent généralement des scripts malveillants qui peuvent diffuser des malwares dans l’ordinateur de l’utilisateur, voler des identifiants ou donner à l’attaquant la possibilité de contrôler à distance son périphérique. Dans ce cas, la suppression du fichier malveillant n’arrêtera pas l’attaque, car le pirate dispose désormais de la permission d’ajouter à nouveau le fichier.
La seule façon pour un utilisateur d’arrêter l’attaque est de révoquer l’accès, mais à ce moment-là, il est généralement trop tard. L’attaquant peut collecter des informations sur les fichiers et ajouter des fichiers que l’utilisateur pourra télécharger à l’avenir. De plus, les utilisateurs ne savent pas qu’ils peuvent révoquer l’accès à une ressource dans les paramètres de leur compte.
Comment les entreprises peuvent-elles protéger les utilisateurs contre ces attaques de social engineering ?
Bien que cette attaque puisse impliquer une gêne mineure telle que la divulgation de données des utilisateurs individuels, elle peut constituer un problème critique pour les entreprises qui utilisent le stockage dans le cloud pour partager des données et fichiers confidentiels. Avec cette attaque, tout ce qui est stocké dans l’espace cloud de l’utilisateur devient vulnérable. S’il est incapable de reconnaître les fichiers malveillants, le fichier malveillant peut y rester sans que l’administrateur en soit averti.
Les filtres de messagerie utilisant des antimalwares récents constituent le principal moyen pour les administrateurs de bloquer ces menaces et de s’attaquer à la racine aux attaques de phishing. Le blocage des e-mails de phishing empêche les utilisateurs de cliquer sur des liens malveillants, de sorte qu’un administrateur n’a pas besoin de limiter la fonctionnalité de partage de fichiers. Au lieu de cela, l’administrateur peut arrêter l’attaque avant qu’elle n’atteigne la boîte de réception de l’utilisateur.
La DMARC (Domain-based Message Authentication, Reporting, and Conformance) ou l’authentification, le reporting et la conformité des messages basés sur le domaine est le dernier système de défense contre le phishing basé sur les paramètres administrateur. Il utilise ensemble de règles qui exploitent le DNS pour empêcher le chiffrement par clé publique et privée. Il intègre le Sender Policy Framework (SPF) qui exige une entrée DNS de l’organisation afin que les serveurs de messagerie du destinataire puissent identifier si l’IP de l’expéditeur est autorisée à envoyer un e-mail au nom du propriétaire du domaine.
La norme d’authentification DomainKeys Identified Mail (DKIM) est également intégrée dans les règles de la DMARC. La DKIM ajoute une signature de chiffrement à clé publique qui ne peut être déchiffrée que par le serveur de messagerie de l’organisation qui contient la clé privée. En ajoutant une signature au message électronique, l’organisation sait que seuls les messages chiffrés avec sa clé publique peuvent arriver dans les boîtes de réception de vos employés. Le SPF bloque les messages isurpés et qui semblent provenir d’un expéditeur de confiance.
Les attaques OAuth sont courantes, et il suffit d’une seule erreur d’un utilisateur pour donner à un attaquant l’accès à un système de stockage dans le cloud de son entreprise. Avec DMARC et les bons filtres de messagerie, une organisation peut empêcher un attaquant d’atteindre la boîte de réception d’un utilisateur ciblé.
Pour en savoir plus sur le fonctionnement de la DMARC et de la DKIM dans SpamTitan, contactez-nous dès aujourd’hui.
Les images CAPTCHA de Google sont utilisées pour vérifier que l’utilisateur qui soumet un formulaire n’est pas un bot. Ces systèmes arrêtent les requêtes automatisées et protègent les utilisateurs d’installer une application de spamming.
De nombreux utilisateurs sont familiers avec ce système, et c’est pour cette raison que les pirates informatiques se servent souvent des CAPTCHA pour lancer des attaques de phishing.
L’attaque de phishing qui utilise les CAPTCHA est souvent couronnée de succès pour plusieurs raisons. Mais la principale d’entre elles est que les victimes pensent souvent qu’elles visitent un site web fiable, car elles voient des contrôles de vérification qui ne se trouvent que sur des sites web inoffensifs.
Que sont les CAPTCHA ?
Les CAPTCHA – pour « Completely Automated Public Turing test to tell Computers and Humans Apart » – sont souvent utilisés par les sites web dans le but de déterminer et de tester les internautes qu’ils soient des humains ou des robots.
Il ne s’agit pas d’un contrôle d’authentification, mais de la méthode d’authentification les plus courantes utilisées par les services web et les sites web. En réalité, les CAPTCHA sont destinés à protéger les services en ligne contre les programmes malveillants et les scripts automatisés.
Les CAPTCHA peuvent être classés en différentes catégories, mais en général, ils sont entièrement basés sur l’hypothèse qu’il existe des différences entre la capacité intellectuelle d’un programme informatique et celui d’un être humain, malgré l’évolution des recherches concernant l’intelligence artificielle. Pour faire simple, les CAPTCHA sont conçus pour être plus facile à maîtriser par un utilisateur humain, mais insoluble pour les robots d’indexation (également appelés « crawlers »).
Sans pouvoir être exhaustif, il existe actuellement quatre types de CAPTCHA, à savoir :
le CAPTCHA traditionnel ;
le CAPTCHA audio ;
le CAPTCHA image ;
le reCAPTCHA.
Le CAPTCHA traditionnel
Il s’agit d’un CAPTCHA textuel, c’est-à-dire un système d’authentification qui utilise un texte déformé et difficile à lire. Souvent, l’utilisateur doit recopier ce texte dans une case spéciale prévue à cet effet dans la page web. C’est la forme la plus ancienne de vérification humaine sur le formulaire d’un site web. Le brouillage partiel du CAPTCHA implique plusieurs étapes au cours desquelles les caractères individuels des mots de la solution présentée sont associés à d’autres éléments graphiques.
CAPTCHA audio
Les internautes qui souhaitent accéder à la ressource protégée doivent identifier correctement le texte qui s’affiche. Comme les malvoyants ne peuvent pas résoudre ces problèmes, le CAPTCHA audio a été développé dans ce sens. Cette alternative est souvent combinée dans la même interface qu’un CAPTCHA visuel. Pour ce type de test, l’internaute doit écouter une voix brouillée et identifier les mots ou les chiffres qui sont prononcés.
Les CAPTCHA textuels et audio sont les deux des premières solutions utilisées par les développeurs informatiques. Pourtant, ils se sont révélés inadéquats pour protéger les systèmes et les services. D’autres solutions comme le CAPTCHA basé sur l’image ont été introduites pour pallier les limites de ces méthodes.
Le CAPTCHA image
Il s’agit d’une alternative aux CAPTCHA textuels. Dans ce cas, les lettres et les chiffres sont remplacés par des images s’appuyant sur des éléments graphiques faciles à identifier. Souvent, les développeurs de sites Internet utilisent plusieurs motifs qui sont présentés côte à côte à l’internaute. Ce dernier doit ensuite spécifier les motifs identiques ou cliquer sur un certain type de motif.
Le reCAPTCHA
Actuellement, c’est le type CAPTCHA le plus fréquemment utilisé. Le concept est simple : il suffit de cocher une case afin de prouver que l’internaute est vraiment un être humain. Dès que la plate-forme en ligne a des doutes, un second test à résoudre apparaît immédiatement.
La majorité des internautes perçoivent l’utilisation des CAPTCHA comme une perte de temps, voire même une nuisance. Cependant, ils représentent de véritables atouts pour les propriétaires de sites Internet, et ce, pour plusieurs raisons. En voici quelques-unes :
Ils permettent de distinguer les faux trafics et les trafics réels ;
Les développeurs peuvent les utiliser pour diminuer la quantité de spams sur un formulaire intégré à leurs sites web.
Ces derniers peuvent par exemple vous inviter à cliquer sur les parties qui comportent des images de bouche d’incendie, de vélo, ou sur une grille comportant une image particulière.
Une fois que l’internaute a réussi le test reCAPTCHA, il est redirigé vers une page d’accueil légitime (ou une page de phishing).
Qu’est-ce que le phishing ?
Le phishing est une tactique utilisée par les cybercriminels pour obtenir des informations personnelles des internautes. Ils se font généralement passer pour des organisations légitimes, ou des entreprises dont les internautes ont déjà entendu parler, et utilisent un e-mail, un appel téléphonique ou un message texte pour contacter une cible. Ensuite, le destinataire est encouragé à visiter un faux site web, ou à cliquer sur un lien dans le message texte ou l’e-mail qui peut le conduire à un faux site web.
Le site web a souvent l’air légitime, et l’utilisateur sera sollicité à entrer ses données de connexion. De là, le cybercriminel peut accéder à son compte et peut vendre les informations, les utiliser pour accéder à d’autres comptes ou installer un malware sur son appareil. Le malware peut ensuite recueillir plus d’informations. Dans les cas où le cybercriminel représente une banque, il peut voler de l’argent aux particuliers.
Dans certains cas, le but du phishing est l’installation d’un malware sur l’appareil de la victime, ce qui l’empêche d’accéder à ses documents et fichiers si celle-ci ne paye pas le cybercriminel.
Souvent, le phishing vise les utilisateurs du système d’exploitation Microsoft 365 et, dans ce cas, il cible généralement les entreprises. Les employés qui cliquent sur le lien contenu dans un e-mail malveillant sont redirigés vers une page web où ils sont invités à cliquer sur trois écrans CAPTCHA, avant d’être finalement invitées à fournir leurs informations de connexion à Microsoft 365.
Les variantes de cette forme d’escroquerie sont énormes pour les entreprises. Parfois, le phishing permet à un cybercriminel d’accéder à un compte Microsoft 365 et de compromettre à la fois la sécurité de l’employé et celle de tous les autres employés de l’entreprise. Et même les données clients stockées dans les serveurs de l’entreprise peuvent être compromises ou volées.
Vulnérabilités à deux facteurs par SMS
L’utilisation des CAPTCHA dans le cadre d’une attaque de phishing n’est pas un phénomène nouveau. Les pirates informatiques l’ont utilisé pour piéger les utilisateurs et les amener à installer des malwares déguisés en fausses mises à jour d’Adobe Flash.
L’attaque la plus récente cible les Smartphones, en particulier les utilisateurs d’Android. Une application (APK) malveillante est téléchargée sur le dispositif Android d’un utilisateur afin d’intercepter les codes PIN à deux facteurs qui lui sont envoyés pendant l’authentification.
Cette technique vise à permettre aux pirates d’accéder aux informations d’identification des utilisateurs même si des procédures multifactorielles supplémentaires sont utilisées pour augmenter la sécurité informatique.
L’utilisation des SMS dans le cadre d’une authentification à deux facteurs a récemment fait l’objet de critiques, car elle présente certaines failles de sécurité. Le protocole SS7 utilisé pour l’envoi de messages SMS est un ancien système qui montre certaines failles. Grâce à l’ingénierie sociale, les pirates peuvent par exemple tromper un représentant des télécommunications en lui attribuant un autre numéro de téléphone à sa propre carte SIM. Cette attaque s’appelle le détournement de carte SIM. Elle a été utilisée pour vider des comptes bancaires et pour voler des millions d’euros en crypto-monnaie. Cette dernière attaque utilise une APK malveillante dans le but d’intercepter les codes PIN du Smartphone d’un utilisateur.
Avec l’accès au code PIN et au mot de passe d’un utilisateur, un pirate informatique peut contourner l’authentification à deux facteurs. Cette méthode lui permet d’accéder à des comptes bancaires ou à des données médicales et professionnelles sensibles. Elle peut également constituer une première étape pour accéder à d’autres comptes ou informations confidentielles.
Voler des codes PIN par SMS à l’aide du phishing utilisant le CAPTCHA
La dernière attaque de CAPTCHA a commencé par un email de phishing. L’utilisateur reçoit un lien qui le redirige vers une page contrôlée par l’attaquant, en utilisant le langage PHP. La page PHP affiche un faux reCAPTCHA Google, avec des images qui semblent légitimes. Contrairement à ceux des reCAPTCHA officiels, les contrôles sonores ne fonctionnent pas et les images restent statiques, c’est-à-dire qu’elles ne changent pas lorsque l’utilisateur entre le mauvais code. Bien entendu, l’utilisateur peut cliquer sur n’importe quelle image, ce qui le soumet à la page PHP. De ce fait, il lance la prochaine étape de l’attaque.
La requête se sert de l’agent utilisateur – une APK cliente utilisée avec un protocole réseau particulier- fourni par le navigateur pour déterminer le type de fichier qui sera téléchargé sur l’appareil ciblé. Si l’agent utilisateur est Android, alors le pirate peut par exemple envoyer un fichier APK malveillant.
L’APK téléchargé sera utilisé pour intercepter les codes PIN par SMS. Avec ces codes, un attaquant peut avoir un niveau d’accès beaucoup plus élevé qu’avec les sites qui utilisent simplement un nom d’utilisateur et un mot de passe pour l’authentification. Il peut même voler l’adresse e-mail d’un utilisateur pour vérifier ses comptes et pour réinitialiser ses mots de passe. Ainsi, il sera en mesure d’accéder à d’autres comptes.
Dans le cas d’attaques ciblées, les détails du compte de l’entreprise pourraient faire l’objet de fuites, ce qui donnerait au cybercriminels un accès aux autres ressources de l’organisation.
Un Trojan-SMS peut aussi déjouer les CAPTCHA
Récemment, nous avons découvert le malware dénommé Trojan-SMS.AndroidOS.Podec. Il s’agit d’un cheval de Troie qui utilisait un système de protection puissant contre l’analyse et la détection. Heureusement, ces mesures de protection ont été déjouées, et la version complète du Trojan-SMS.AndroidOS.Podec a été interceptée.
Cette nouvelle version du cheval de Troie était remarquable, car elle était dotée d’une fonction d’envoi de messages à des numéros surfacturés par le biais des mécanismes de contournement du système « Advice of Charge ». Il s’agit d’une notification envoyée à l’utilisateur sur le coût du système et qui demande ensuite la confirmation du paiement. Elle est également dotée d’une autre fonction qui permet d’inscrire la victime à des services payants, en contournant le système CAPTCHA. C’était Kaspersky Lab qui a découvert pour la première fois ce genre de fonctionnalité dans un Trojan.
Cette version du Trojan est répandue en Russie et chez ses voisins comme le Kazakhstan, l’Ukraine et la Biélorussie.
En fait, les escrocs utilisaient un jeu piraté distinct ou un ensemble de jeux piratés. Ils essayaient d’attirer l’attention de leurs victimes potentielles et qui étaient intéressées par l’utilisation gratuite d’un contenu payant très recherché.
La plupart des messages sur le mur du groupe de cybercriminels contenaient des liens vers des sites qui contenaient des prétendus jeux et d’autres applications pour Android. En réalité, l’unique objectif des sites malveillants était de propager différentes versions du Trojan-SMS.AndroidOS.Podec.
L’organisation et la mise en page de ces sites (par exemple, l’utilisation de mots clés au lieu de descriptions, avalanche de messages simples et généraux créés par des bots, outre la publication de liens vers de faux sites qui se ressemblent les uns des autres permettent d’affirmer que la propagation du malware a été créée par des spécialistes. Les astuces susmentionnées permettent d’améliorer le classement des sites dans les résultats des recherches et d’augmenter la probabilité de recevoir des visites.
Toutes ces communautés sont administrées par un utilisateur de « Vkontakte » – un site de réseautage social russe qui est similaire à Facebook – et qui utilise le pseudonyme « kminetti ». Son profil contient des publicités pour les communautés susmentionnées. Le compte était actif depuis le 12 octobre 2011, mais des messages contenant des liens vers les sites et les communautés qui diffusent des malwares pour les utilisateurs ont été publiées depuis 2012. Avant cela, le compte était utilisé en tant que bot qui plaçait des liens sur des ressources en ligne dans le but d’augmenter la popularité de la plateforme.
Un simple survol du code exécutable du malware a mis en évidence le nombre élevé de fonctions pour HTTP et HTML. Outre les fonctions standard pour ce genre de cheval de Troie (à savoir l’envoi et l’interception de SMS, la possibilité de réaliser des appels et de manipuler les journaux des SMS et des appels), Trojan-SMS.AndroidOS.Podec était doté de fonctions d’accès qui peuvent être configurées à des pages Internet et transférer leur code au serveur des individus malintentionnés. Mais ce qui distingue vraiment ce malware, c’est la fonction de lecture des images CAPTCHA.
Protection des utilisateurs contre le phishing
Le début de la plupart des attaques CAPTCHA est un email de phishing. Pour réussir, l’attaquant doit être capable d’amener un utilisateur à ouvrir une page qui affiche un faux test reCAPTCHA. La page peut être une page PHP locale qui s’exécute dans une hôte web ou sur un serveur distant qu’il contrôle.
Pour se protéger d’une telle menace, les entreprises peuvent d’abord offrir des documents aux utilisateurs ou bien les former à identifier les attaques de phishing. Cette première étape a été prouvée pour réduire les attaques de phishing réussies, mais ce n’est pas suffisant. Les administrateurs doivent également mettre en place des systèmes de cybersécurité et des programmes de détection efficaces pour bloquer les menaces sur le web.
Les filtres de contenu facilitent l’accès à des sites web distants, tandis que le filtrage basé sur le DNS peut arrêter les attaques lorsque le navigateur effectue une requête de domaine. En effet, les utilisateurs ne peuvent pas accéder au domaine qui héberge des contenus malveillants. Ils sont tout simplement bloqués et des notifications sont envoyées aux administrateurs réseau. Ces notifications peuvent aider ces derniers à déterminer à quel moment une attaque de phishing tente de cibler leur organisation.
Usurpation de l’adresse e-mail de l’expéditeur original
Certaines attaques de phishing usurpent l’adresse e-mail d’un expéditeur légitime. Les utilisateurs peuvent cliquer sur les liens d’expéditeurs d’e-mails reconnaissables, mais ils ne savent pas comment vérifier les en-têtes d’e-mails dans le but de reconnaître si un message est frauduleux ou non.
La technologie DMARC (Domain-based Message Authentication, Reporting & Conformance) est une technologie plus récente qui combine le chiffrement et les entrées DNS pour s’assurer que l’expéditeur est légitime. La sécurité DMARC met tout d’abord en quarantaine les e-mails afin que l’administrateur puisse les examiner puis supprimer les messages suspects, ou bien renvoyer les e-mails sains dans la boîte de réception du destinataire.
Ces trois solutions de cybersécurité devraient être mises en place pour éviter les attaques de phishing réussies. La formation aide les utilisateurs à identifier les messages malveillants, mais les filtres DMARC et DNS les protègent s’ils ne sont pas en mesure d’identifier une attaque.
Pour en savoir plus sur le fonctionnement de la DMARC dans SpamTitan, contactez-nous dès aujourd’hui ou consultez nos informations techniques anti-phishing SpamTitan.
FAQs
Le captcha suffit-il à empêcher toutes les attaques de phishing ?
Non, le captcha n’empêche pas les internautes de répondre plusieurs fois à une requête. Vous devez envisager d’utiliser d’autres moyens d’authentification et, si possible, un filtre antispam tiers et fiable pour empêcher les tentatives multiples de la part d’une même personne d’accéder à votre site internet.
Pourquoi le captcha n’est-il pas fiable ?
Vous pouvez mettre en place un système captcha, mais à mesure que la technologie et les pirates informatiques deviennent plus avancés, ces derniers développent aussi des tactiques d’escroquerie encore plus sophistiquées. Un cybercriminel peut par exemple en intégrer un à un site web malveillant afin de rendre plus crédible.
Quelles sont les différentes applications du captcha ?
En bref, il permet d’assurer la sécurité des sites web et des utilisateurs. Entre autres, ces applications comprennent la protection des adresses électroniques, la protection des enregistrements de sites web, la protection des sondages en ligne, la protection contre les virus lancés via la messagerie électronique et les spams.
Doit-on utiliser différents captchas pour plusieurs sites web ?
Vous devriez même le faire, car si vous utilisez un captcha unique pour tous vos sites, les pirates pourraient s’en apercevoir et créer des robots capables de contourner ce test. Il est également recommandé de changer de temps en temps le type de captcha.
Le protocole DMARC est-il destiné aux PME ou aux grandes entreprises ?
En fait, ce protocole est nécessaire pour toute entreprise qui se soucie de la sécurité de son réseau, de sa réputation et de son service de messagerie électronique, qu’elle soit grande ou petite.
La faillite du voyagiste britannique Thomas Cook a impliqué l’annulation des réservations de milliers de vacanciers et la perte d’emploi de 9 000 employés. L’agence, et d’autres entreprises britanniques de son groupe, ont été mises en liquidation judiciaire et les cybercriminels ont rapidement profité de cette situation pour en tirer profit. Des dizaines de noms de domaines liés à Thomas Cook ont été créés à la suite de l’effondrement de l’entreprise et plusieurs attaques de phishing ont été détectées.
Pour rappel, des remboursements ou une autre forme de compensation ont été promis à de nombreux clients de Thomas Cook suite à l’annulation de leurs projets de vacances pour lesquels ils avaient déjà payé. Mais les escrocs ont sauté sur la situation, dans l’espoir d’arnaquer les vacanciers sans méfiance. En réalité, ils ont lancé des attaques de phishing pour obtenir des informations sur les comptes bancaires et les cartes de crédit de leurs victimes.
Les clients qui ont réservé des vacances auprès de Thomas Cook sont protégés par le système ATOL et les remboursements sont en cours de traitement par la Civil Aviation Authority (CAA). Cet organisme a créé un sous-domaine sur son site web (thomascook.caa.co.uk) où les clients peuvent soumettre leurs demandes de remboursement.
Plus de 360 000 vacances ont été réservées par plus de 800 000 vacanciers. Dès le premier jour de la création du portail en ligne, plus de 60 000 clients ont soumis des formulaires de demande de remboursement. Selon la CAA, il fallait 60 jours pour que les remboursements soient effectués.
Les personnes qui n’ont pas encore soumis leur demande doivent faire preuve de prudence, car de nombreuses escroqueries de phishing ont été lancées par des pirates. Ces derniers affirment qu’ils offrent des remboursements pour les vacances annulées, le remboursement de dépenses personnelles que les clients ont effectuées et de fausses mises à jour de leur statut de demande de remboursement. Tout e-mail que vous recevez et qui est lié à l’agence Thomas Cook doit être considéré comme une menace potentielle.
Les escroqueries peuvent être menées dans le but de répandre des malwares ou des ransomwares. Un code malveillant est intégré dans les pièces jointes aux e-mails de phishing. L’ouverture de la pièce jointe peut déclencher le téléchargement de malwares.
Le message peut également contenir des hyperliens qui redirigent les victimes vers des sites web malveillants. Ces sites web les incitent à saisir des informations sensibles comme leur numéro de carte de crédit et de compte bancaires.
Les escrocs savent très bien que pour duper leurs victimes, ils devaient créer des formulaires de phishing utilisant de faux domaines de l’agence Thomas Cook.
Bien que les e-mails ne soient pas authentiques, certaines escroqueries de phishing de Thomas Cook sont pratiquement impossibles à distinguer des communications légitimes. De plus, les banques ont avisé leurs clients par e-mail, ce qui a donné aux fraudeurs encore plus d’occasions de tromper leurs cibles.
On a également signalé que d’anciens employés ont été la cible d’arnaqueurs qui leur offraient une rémunération.
La règle d’or pour éviter d’être victime de ce type d’escroquerie est de ne jamais répondre à une demande dans un e-mail non sollicité. Il ne faut jamais ouvrir les pièces jointes ou cliquer sur les hyperliens dans les messages. Au lieu d’utiliser les coordonnées incluses dans le corps du message, vous devriez consulter les canaux de communication officiels tels que le site web de la CAA et communiquer directement avec votre banque ou votre compagnie d’assurance voyage en utilisant des coordonnées vérifiées.
Une nouvelle campagne de phishing va Stripe a été détectée. Elle utilise de faux avertissements pour aviser les utilisateurs d’un compte invalide afin de les inciter à divulguer des informations sur leurs justificatifs d’identité et leurs comptes bancaires.
Stripe est un outil utilisé par de nombreuses entreprises sur leurs sites de commerce électronique pour accepter les paiements de leurs clients. Mais à cause de cela, elles deviennent une cible parfaite pour l’usurpation d’identité. En réalité, la plupart des gens savent que l’entreprise traite les paiements et n’hésitent pas à fournir leurs justificatifs d’identité et les informations sur leurs comptes bancaires pour que les paiements soient traités.
L’escroquerie commence par un e-mail de phishing censé provenir du service d’assistance Stripe. Le message informe le client que les informations associées à son compte sont actuellement invalides. Le message est envoyé à titre d’avis de courtoisie, avertissant l’utilisateur que son compte sera mis en attente jusqu’à ce que le problème soit corrigé. L’utilisateur est invité à revoir les informations qui lui concernent pour corriger le problème. Pour ce faire, il doit cliquer sur un bouton inclus dans l’e-mail.
Les messages contiennent des fautes d’orthographe et une grammaire douteuse. Les individus vigilants n’auront donc aucune difficulté à les identifier comme suspects. De plus, les entreprises leur fournissent souvent des formations de sensibilisation à la sécurité pour qu’ils sachent survoler un hyperlien avec leur curseur dans le but de connaître l’URL réelle.
Le problème est que, dans cette campagne, cette méthode ne fonctionne pas. Les attaquants ont ajouté un titre à la balise HTML de l’hyperlien. Il y est incorporé, de sorte que lorsque le curseur de la souris se trouve sur le bouton « Revoir vos détails », c’est un texte qui s’affiche, plutôt qu’un URL.
Si l’utilisateur clique sur le bouton, il sera dirigé vers une page de connexion Stripe apparemment légitime. Mais la boîte de connexion n’est qu’un clone de la page de connexion réelle. Une série de boîtes s’affichent donc, chacune nécessitant des informations différentes à saisir, y compris les informations de compte bancaire et de contact.
Lorsque l’utilisateur est tenu d’entrer son mot de passe, peu importe le mot saisi, il sera avisé qu’il a entré un mot de passe incorrect et on lui demandera de le saisir de nouveau. L’utilisateur est alors dirigé vers la page d’ouverture de session légitime de Stripe pour faire croire qu’il a toujours été sur le bon site web de Stripe.
Des tactiques similaires sont utilisées dans d’innombrables autres campagnes de phishing ciblant d’autres entreprises bien connues. La présence de fautes d’orthographe et d’erreurs grammaticales dans les messages devrait avertir les utilisateurs finaux que l’e-mail est une tentative de phishing. Mais trop souvent, les utilisateurs finaux ne remarquent pas ces erreurs et cliquent sur le bouton, divulguant ainsi leurs informations sensibles.
L’un des problèmes est le manque de formation en matière de cybersécurité sur le lieu de travail. Si les employés ne sont pas formés à identifier les e-mails de phishing, il est inévitable que certains finissent par tomber dans le piège de ces arnaques et divulguent leurs titres de compétences. Ces informations d’identification peuvent être utilisées pour accéder à des comptes bancaires ou à des comptes de messagerie électronique. Ces derniers étant souvent utilisés pour mener d’autres attaques de phishing contre leurs entreprises. En effet, une seule brèche dans un compte de messagerie suffit pour qu’un pirate informatique puisse exploiter des douzaines de brèches.
Par exemple, une attaque de phishing contre un fournisseur de soins de santé américain a commencé avec un seul e-mail de phishing. Cela a entraîné la compromission de 73 comptes de messagerie.
Quant à la formation de sensibilisation à la cybersécurité, elle est souvent inexistante. Une étude récente portant sur 2 000 employés au Royaume-Uni a révélé que les trois-quarts d’entre eux n’avaient reçu aucune formation en matière de cybersécurité dans leur milieu de travail.
Vous pensez que vous êtes protégé par la solution anti-phishing de Microsoft Office 365 ? Vous en êtes sûr ?
Le saviez-vous ? Un e-mail sur 99 est un e-mail de phishing. Il est donc important de vous assurer que vos défenses sont capables de bloquer ces messages. De nombreuses entreprises croient à tort qu’elles sont protégées contre ces messages malveillants par les contrôles anti-phishing de Microsoft Office 365.
Bien que ces solutions bloquent les spams et certains messages de phishing, une étude récente d’Avanan a révélé que 25 % des attaques de phishing échappent aux défenses d’Office 365 et sont envoyées dans des boîtes de réception des utilisateurs finaux. Pour une entreprise moyenne, cela signifie que plusieurs e-mails de phishing parviendront chaque jour dans leurs boîtes de réception. Pour assurer la protection de votre entreprise contre ces attaques, des contrôles anti-phishing supplémentaires sont requis en plus d’Office 365.
Les entreprises peuvent protéger leurs comptes Office 365 contre le phishing en superposant SpamTitan à Office 365. SpamTitan est une solution avancée qui offre une protection supérieure contre le phishing, les malwares, le spear phishing et les attaques de type « zero-day » .
Des règles heuristiques sont utilisées pour analyser les en-têtes de messages et celles-ci sont constamment mises à jour pour inclure les dernières menaces. L’analyse bayésienne et l’heuristique sont utilisées pour vérifier le contenu des messages et, parallèlement aux techniques de l’apprentissage machine, les nouvelles menaces sont bloquées et empêchées d’atteindre les boîtes de réception des utilisateurs finaux. Des tests sont également utilisés pour évaluer les pièces jointes aux e-mails afin de détecter les codes malveillants utilisés pour installer les nouveaux malwares, en plus du moteur antivirus qui peut bloquer les malwares connus.
Grâce à ces mesures avancées, les boîtes de réception d’Office 365 sont protégées et votre organisation peut empêcher efficacement les attaques de phishing, de spear phishing et de malwares.
Alors que le phishing et les ransomwares sont toujours considérés comme les cyber-attaques les plus importantes, une nouvelle tendance en matière de malwares implique des attaques « sans fichier ». Les fichiers utilisés dans ces attaques ne peuvent pas exécuter une charge utile significative par eux-mêmes, mais utilisent plutôt une technique appelée « Living off the Land Binaries » ou LOLBins.
En effet, les fichiers ont besoin de systèmes binaires pour livrer leurs charges utiles. L’attaque utilise plusieurs étapes pour télécharger les exécutables nécessaires pour fonctionner, impliquant généralement des outils natifs de shell et de script pour extraire le contenu malveillant d’Internet vers le périphérique local.
Campagnes Nodersok et Node.js : les malwares à surveiller en 2020
L’attaque sans fichier la plus importante est celle de Nodersok. Ce malware incite les utilisateurs à télécharger un fichier HTA. Les fichiers HTA sont d’anciennes applications HTML Windows utilisées pour envelopper des pages web personnalisées dans une instance Internet Explorer. L’avantage était que l’utilisateur pouvait exécuter VBScript et d’autres fichiers locaux dans un navigateur. Ces applications sont relativement dépassées, mais Nodersok profite de la propension des utilisateurs à télécharger des fichiers avec des extensions qui semblent inoffensives.
Une fois le fichier HTA téléchargé, Nodersok effectue plusieurs étapes d’une manière élaborée pour éviter les systèmes antimalware. Il utilise JavaScript dans l’application HTA pour télécharger des fichiers supplémentaires, puis utilise l’application Windows PowerShell pour éventuellement télécharger Node.exe. Node.exe est la variante Windows du framework Node.js.
Le framework Node.js transforme n’importe quelle machine en proxy, ce qui est le but du Nodersok. Après une infection réussie, ce malware utilise ses capacités proxy pour réaliser des clics frauduleux. Une fois que les utilisateurs cliquent sur les publicités des annonceurs, le créateur de malwares gagne de l’argent grâce à ces clics frauduleux, mais qui semblent constituer un trafic valide sur le réseau publicitaire.
L’utilisation d’outils natifs est ce qui fait de cette dernière attaque de malware sans fichier une nouvelle tendance innovante pour les cybercriminels. Il rend la détection de l’attaque beaucoup plus difficile pour les applications anti-malware en raison de la nature « inoffensive » du fichier original téléchargé par l’utilisateur. De plus, Nodersok utilise PowerShell pour désactiver les applications antivirus afin d’éviter toute détection.
Microsoft rapporte que la plupart des attaques se concentrent sur les consommateurs, et la dernière vague de campagne cible principalement les appareils aux États-Unis et en Europe.
Protection des périphériques d’entreprise
Comme Nodersok désactive les outils anti malwares locaux, il est difficile pour les entreprises de contrôler les infections étendues des périphériques. La première étape de l’attaque consiste à arnaquer les utilisateurs, en les incitant à télécharger le fichier HTA malveillant. La formation des utilisateurs aide à stopper ces attaques et fournit aux utilisateurs la formation adéquate pour identifier les attaques et avertir le personnel informatique, mais il suffit qu’un utilisateur soit dupé pour répandre le malware sur plusieurs périphériques d’entreprise.
Comme le malware utilise des techniques avancées sans fichier, il est difficile de le détecter via des solutions antivirus traditionnelles basées sur les signatures.
Utiliser le filtrage DNS pour se protéger contre Novter
Pour se protéger de ce malware, la solution la plus simple et de mettre en place un système de filtrage de contenu web basé sur DNS. Un tel système empêchera les utilisateurs d’accéder aux sites qui contiennent des fichiers HTA malveillants en fonction d’une politique de contenu établie par les administrateurs. Les filtres de contenu web basés sur le DNS sont supérieurs aux anciens systèmes qui vérifiaient simplement le nom de domaine par rapport à une liste de sites restreints. Au lieu de cela, un utilisateur est incapable d’accéder ou de télécharger du contenu en fonction d’une liste de politiques établies pour bloquer pendant le processus de recherche DNS.
De simples filtres de contenu Web avaient des portes dérobées et des moyens de contourner les filtres, mais les filtres basés sur le DNS ne peuvent être évités en raison de la nature du fonctionnement d’Internet. Chaque fois que l’utilisateur clique sur un lien ou tape un domaine dans un navigateur, une requête DNS est effectuée. Pendant le processus de recherche, un système tel que WebTitan Cloud effectue une recherche supplémentaire sur la politique de contenu Web du réseau. Les politiques peuvent être définies sur des domaines spécifiques et leurs adresses IP associées, mais les administrateurs réseau peuvent également catégoriser les recherches et bloquer les contenus inappropriés. L’utilisateur reçoit un message lui indiquant que son accès au site a été bloqué et les administrateurs reçoivent des notifications l’informant qu’un site de la politique a été interrogé.
Le DNS n’est pas seulement utilisé dans les requêtes du navigateur où l’utilisateur tape un nom de domaine dans la barre d’adresse. Le DNS est également utilisé dans d’autres applications, même en arrière-plan pour les services qui utilisent Internet. Les attaques sans fichier utilisent des applications en mémoire déjà disponibles sur l’appareil local, de sorte qu’un filtre de contenu web basé sur DNS bloquerait toutes les attaques qui utilisent ces outils locaux pour accéder à des sites malveillants. Tout processus qui nécessite un DNS (c’est-à-dire toute requête basée sur Internet) serait bloqué par les filtres de contenu Web.
En choisissant les filtres basés dans le cloud, votre entreprise n’a pas besoin d’investir dans des équipements coûteux pour héberger le système. Les administrateurs lient le DNS local aux filtres où tous les traitements, les notifications et la journalisation s’exécutent dans le cloud.
Voici un autre article qui explique les 6 principales raisons pour lesquelles la sécurité DNS est plus rapide et plus efficace pour tuer les attaques. Il pourrait peut-être vous intéresser.
Les créateurs de malwares continuent de créer de nouvelles façons d’échapper à la détection, et les attaques sans fichier sont la dernière tendance qui pourrait mener à de grandes brèches en 2020. Sachez que des milliers de terminaux aux Etats-Unis et en Europe ont été infectés par ce malware sans fichier au cours des dernières semaines. En se concentrant sur la réduction de la surface d’attaque, cette menace peut être atténuée grâce à de solides contrôles de sécurité. Votre entreprise peut devancer ces attaques en implémentant des filtres DNS comme WebTitan qui détecte les fichiers malveillants, les scripts et qui bloque l’accès aux URL malveillantes.
Une campagne de phishing réussie nécessite certains éléments, et l’un d’entre eux consiste à convaincre les destinataires que les messages proviennent d’une organisation légitime.
La plupart des e-mails malveillants incitent les utilisateurs à divulguer des informations sensibles ou les convainquent de cliquer sur un lien qui mène à un site contrôlé par un attaquant. D’autres trompent les utilisateurs pour que les destinataires puissent télécharger une pièce jointe avec un contenu malveillant.
Les étudiants sont les cibles les plus récentes d’une campagne de phishing qui contient des messages prétendant provenir de la bibliothèque de l’université et mentionnant que les étudiants doivent renouveler leur carte pour continuer à l’utiliser.
Enseignement supérieur et attaques de phishing
Selon le dernier rapport Verizon sur les fuites de données en 2019, le secteur de l’éducation est le cinquième secteur le plus ciblé par les cybercriminels, et cette tendance continue de s’accentuer. Ce ciblage massif est dû aux nombreux points de données disponibles pour les attaquants après une campagne de phishing réussie. Les étudiants sont moins susceptibles d’être éduqués et formés pour identifier les attaques de phishing. Sans aucune formation, les utilisateurs sont plus vulnérables aux attaques de phishing et à la divulgation d’informations sensibles.
L’e-mail de la campagne de phishing susmentionnée, ainsi que la page d’atterrissage malveillante, demandent aux étudiants d’entrer leurs coordonnées personnelles et un mot de passe pour accéder au faux site web de l’université. Dans de nombreux cas, les étudiants et les autres utilisateurs utilisent le même mot de passe pour plusieurs comptes.
Après avoir obtenu le mot de passe de l’utilisateur, l’attaquant tentera de l’utiliser avec son compte de messagerie pour corrompre d’autres comptes. Grâce à cela, il peut accéder à des comptes bancaires, à des informations financières ou à des données personnelles supplémentaires.
Comme pour la plupart des e-mails de phishing, le message tente d’obliger l’utilisateur à cliquer sur un lien qui y est intégré et à saisir rapidement l’information, sinon le compte sera annulé.
Le message se présente comme suit :
« Votre compte de bibliothèque a expiré, vous devez donc le réactiver immédiatement sinon il sera fermé automatiquement. Si vous avez l’intention d’utiliser ce service à l’avenir, vous devez agir immédiatement ! »
Les attaquants ont déployé des efforts dans le cadre de cette campagne de phishing en cours et apposent un nom et l’adresse de l’université comme signature. L’adresse de l’e-mail est personnalisée en fonction de l’université de l’étudiant, ce qui la rend plus légitime aux yeux de son destinataire. Les élèves sont invités à cliquer sur un lien intégré et à entrer leurs noms d’utilisateur et leurs mots de passe sur la page malveillante. Celle-ci ressemble à une page web officielle d’une bibliothèque universitaire, avec des éléments appartenant à l’université. Elle intègre même une case à cocher où les utilisateurs peuvent vérifier s’ils veulent rester connectés à l’application.
Arnaques supplémentaires à l’égard des ransomwares
Le phishing n’est pas le seul mobile des agresseurs. Les ransomwares sont également l’un des moyens les plus utilisés pour mener des attaques contre le secteur éducatif. Le ransomware chiffre les fichiers sensibles afin que les victimes ne puissent récupérer leurs données que si elles paient des rançons. Ces rançons peuvent varier de quelques centaines à quelques milliers d’euros.
Les attaques de ransomware commencent principalement par le phishing. Les attaquants usurpent les adresses des expéditeurs des e-mails et les utilisent, en intégrant des liens ou des pièces jointes malveillants, pour cibler les destinataires avec des privilèges élevés.
Même les utilisateurs qui ne disposent que de peu privilégiés peuvent constituer des cibles potentielles lorsque l’objectif principal est de chiffrer les fichiers dans le but d’extorquer de l’argent. Les attaquants utilisent les pièces jointes et les liens qui redirigent les utilisateurs vers des sites contrôlés pour les inciter à télécharger un malware. Par ailleurs, il faut savoir que les attaques peuvent être multiformes, étant donné que le contenu malveillant peut télécharger des malwares supplémentaires ou donner aux attaquants le contrôle à distance depuis un ordinateur qui se trouve dans les locaux de l’établissement scolaire.
Les ransomwares ciblent les entreprises et les universités dans le but de les mettre dans une situation où elles doivent payer les rançons sinon elles vont subir un impact dévastateur sur leur productivité quotidienne. Certes, les étudiants constituent une cible parfaite pour les attaquants, mais les universités et les entreprises offrent également de meilleures chances de succès aux pirates informatiques. Certaines campagnes de phishing sont couplées à des ransomwares pour une efficacité maximale. L’attaquant peut obtenir des mots de passe et des informations personnelles de l’utilisateur ciblé, tout en générant des revenus grâce à des rançons.
Le coût énorme des cybercriminalités a amené les établissements d’enseignement à souscrire des polices d’assurance qui paient généralement la rançon en cas d’attentat. C’est une solution intéréssante pour les établissements d’enseignement, notamment sur le plan financier. Mais cela constitue également une garantie pour les attaquants qu’ils peuvent réaliser des gains lorsqu’ils menent des attaques. En effet, certaines études montrent que les pirates informatiques choisissent leurs cibles selon qu’ils détiennent ou non une assurance.
Au total, 49 districts scolaires et environ 500 écoles de la maternelle à la terminale (K12) ont été touchés par des attaques de ransomwares cette année. Alors que les attaques de ransomwares contre les districts scolaires se sont répandues dans l’ensemble des États-Unis, les écoles du Connecticut ont été particulièrement durement touchées, avec 7 districts attaqués, comprenant 104 écoles.
Protéger les élèves et les enseignants contre le phishing
Les e-mails envoyés aux adresses des étudiants sont contrôlés par les administrateurs de l’université. Les administrateurs peuvent mettre en place des filtres de messagerie qui piègent les messages malveillants et les mettent en quarantaine en vue d’un examen ultérieur. Les filtres placés sur le système de messagerie d’une université réduiront considérablement les chances de succès d’une campagne de phishing ciblée.
La sécurité de la messagerie électronique peut prendre plusieurs formes. La première est l’utilisation de la sécurité authentification, de rapport et de conformité d’un message basé sur un domaine (DMARC) contre les messages électroniques falsifiés. La DMARC peut être personnalisée par l’administrateur pour déterminer le bon déclencheur de mise en quarantaine. Il est également possible de remédier aux faux positifs et de les envoyer à la boîte de réception du destinataire. Le bon système DMARC limitera le nombre de faux positifs et tentera de « savoir » quels messages sont malveillants par rapport à ceux qui doivent être envoyés dans la boîte de réception de l’utilisateur.
Les filtres de contenu web basés sur le DNS sont une fonction supplémentaire qui bloque l’accès aux sites malveillants. Les utilisateurs qui tombent dans le piège du phishing, en cliquant sur un lien, ne seront pas en mesure d’accéder à un site web. Ces sites web sont classés comme malveillants et l’administrateur peut recevoir des alertes lorsque des utilisateurs tentent d’y accéder.
En utilisant les bons outils de cybersécurité, les administrateurs peuvent protéger les étudiants et le corps professoral contre les attaques de phishing et de ransomwares. Les filtres de contenu basés sur DMARC et DNS réduisent considérablement la capacité d’un attaquant à effectuer une attaque de phishing réussie, ce qui évite à l’université et aux étudiants des erreurs coûteuses.
Vous êtes un professionnel de l’informatique dans une école et vous voulez vous assurer que les données et les appareils sensibles de l’école, des élèves et du personnel sont protégés ? Parlez à un de nos spécialistes ou envoyez-nous un e-mail à info@titanhq.com pour toute question.
