Oui, il existe un moyen d’arrêter 91 % de toutes les cyberattaques avant qu’elles ne pénètrent dans votre entreprise. D’accord, c’est vraiment intéressant, mais comment faire ?
La réponse à cette question est simple. Il suffit de désactiver tous les services de messagerie de votre entreprise. La raison est que 91 % des cyberattaques commencent par un e-mail de phishing.
Comment se fait-il qu’à l’ère de la consumérisation de l’informatique, où la révolution numérique est en cours, le phishing par e-mail demeure le principal vecteur de cyberattaques ?
Selon le rapport d’enquête sur les atteintes à la protection des données 2017 de Verizon, un utilisateur sur quatorze serait amené à cliquer sur un lien pointant sur un site web infecté ; ou bien à ouvrir une pièce jointe. L’autre fait inquiétant est qu’un quart d’entre eux ont été dupés plus d’une fois par une menace cybercriminelle.
Les utilisateurs ouvrent 30 % des emails de phishing. Selon le groupe de travail antiphishing APWG, le nombre total d’attaques de phishing en 2016 était supérieur à 1,2 million, soit une augmentation de 65 % par rapport à 2015.
Alors, comment les utilisateurs peuvent-ils si facilement être trompés par les cybercriminels ?
Le fait est que les spammeurs ne sont plus une bande d’amateurs qui se cachent dans un entrepôt.
89 % des attaques de phishing sont le fait du crime organisé, et celles-ci n’ont cessé d’évoluer au cours des dernières années. Les e-mails de phishing ne sont plus des sujets qui font rire, à cause des nombreuses fautes de frappe évidentes dans les messages et des mauvaises compétences linguistiques de leurs expéditeurs.
Les attaques de phishing sont désormais formulées par des professionnels intelligents qui possèdent des compétences approfondies en matière de rédaction, de communication d’entreprise, de psychologie humaine ou d’ingénierie sociale.
Certaines des attaques de phishing les plus réussies ciblent spécifiquement les PDG, les directeurs financiers et d’autres membres de la haute direction des entreprises. Nous avons déjà écrit au sujet de la prévalence et du succès des escroqueries liées aux fausses factures.
L’une des statistiques les plus surprenantes présentées dans le rapport de la mi-année 2017 de Cisco sur la cybersécurité est le fait que les attaques Business Email Compromise (BEC) ont récolté cinq fois plus d’argent que les attaques de ransomwares au cours du quatrième trimestre de 2016.
En fait, le coût moyen d’une attaque BEC est de 1,6 million de dollars. Bien entendu, l’e-mail est aussi la principale méthode pour mener des attaques de ransomwares, lesquelles ont coûté plus d’un milliard de dollars aux entreprises en 2016. Le rapport mentionne également des attaques de phishing qui ciblent même les fournisseurs de services gérés, lesquels devraient pourtant être astucieux en matière de sécurité de la messagerie électronique.
Une astuce simple pour identifier les attaques de phishing
La solution la plus simple est de désactiver les services de messagerie électronique au sein de votre organisation. Mais ce n’est pas réaliste. Il y a d’autres mesures que vous pouvez prendre en tout temps lorsque vous recevez un e-mail suspect.
Par exemple, l’autre jour, j’ai reçu un e-mail sur mon compte Gmail. Le message aurait été envoyé par ma banque pour m’informer que mon compte en ligne avait été verrouillé en raison de nombreuses tentatives de connexion ratées. Auparavant, j’ai déjà reçu, et à maintes reprises, des messages similaires de la part de grandes banques pour lesquelles je n’ai même pas eu de compte. Bien que je fusse tout à fait sûr que l’e-mail que j’ai reçu était faux, je voulais quand même le vérifier, car cette fois-ci, c’était vraiment ma banque. Plutôt que de cliquer sur le lien intégré à mon e-mail, j’ai simplement ouvert une session de navigateur web privé et accédé à mon compte bancaire en ligne. Le fait est qu’il n’était même pas verrouillé.
Autres façons de vérifier la légitimité d’un e-mail
Au lieu de cliquer sur le bouton de retour, cliquez plutôt sur le bouton de renvoi. Vous pourrez ainsi voir l’adresse e-mail complète de l’expéditeur dans le contenu de l’e-mail de redirection. Assurez-vous que l’adresse contient le nom de domaine officiel de l’entreprise (en bonne et due forme). Un e-mail censé provenir de Bankingtrust.com peut en fait être envoyé par bankingtrust@msgr.com ou bank1ngtrust.com. Dans ce dernier cas, la lettre « i » a été remplacée par le chiffre « 1 ». Il pourrait donc s’agir d’un e-mail malveillant.
Passez votre souris sur les liens intégrés à votre e-mail. Encore une fois, vérifiez que le lien contient le nom de domaine officiel de l’entreprise. Assurez-vous également que l’URL inclut le protocole HTTPS. Une banque ou une société de transactions financières telle que PayPal ne vous enverra jamais de lien non chiffré pour accéder à votre compte.
Vérifiez la signature de l’e-mail. Toute demande légitime par e-mail aura une signature appropriée. Là encore, vous devriez vérifier les renseignements sur l’entreprise.
Téléphonez d’abord à votre banque avant d’entreprendre toute action.
Ne débloquez jamais de fonds sans avoir obtenu l’approbation de votre banque. Celle-ci doit mettre en place un solide processus d’approbation de paiements.
Mais l’étape la plus importante, si vous êtes propriétaire ou gestionnaire d’entreprise, est d’intégrer une passerelle de sécurité dans votre infrastructure de messagerie. Même si votre entreprise héberge un service de messagerie dans le cloud comme Office 365, vous avez toujours besoin d’une passerelle de messagerie pour compléter la protection par défaut. Un système de sécurité des e-mails devrait inclure des couches d’analyse des spams et un système de protection antivirus.
La formation des utilisateurs finaux est également vitale, car ils sont à la fois le maillon le plus faible de votre organisation et votre première ligne de défense. Formez-les non seulement pour qu’ils sachent identifier les e-mails de phishing évidents, mais aussi pour qu’ils puissent signaler les éventuelles attaques. De cette manière, le personnel informatique pourra prendre les mesures adéquates.
Souvent, les programmes de formation à la sécurité sont ignorés, car ils impliquent une interruption des travaux de vos collaborateurs. Mais sachez que ces efforts seront très payants à l’avenir.
Vous venez de recevoir un rapport de votre hébergeur ou d’un tiers indiquant que votre site héberge du contenu de phishing ? Bien que votre premier réflexe puisse être de supprimer les fichiers, de changer les mots de passe et de tout mettre à jour le plus rapidement possible, ce serait une grosse erreur. En prenant quelques minutes pour recueillir des informations, vous obtiendrez un meilleur résultat.
Dans cet article, nous discuterons de ce qu’il faut faire si votre site web a été infecté par un contenu de phishing et comment trouver les vulnérabilités et nettoyer votre site. Selon le type d’hébergement que vous avez choisi, votre fournisseur peut être en mesure de vous aider. Quoi qu’il en soit, je vous recommande de consulter un professionnel qui a déjà traité ce genre de question.
Étape 1 – Trouvez la source de l’infection
Il est primordial de trouver la source de l’infection. Ne faites aucun changement avant de mener une enquête complète, car cela réduit vos chances de trouver la source. Les hackers sont très bons pour couvrir leurs traces. De plus, la vulnérabilité d’origine n’est généralement exploitée qu’une seule fois pour télécharger son propre malware. La plupart des indices n’indiqueront pas l’attaque initiale, à moins que les pirates n’aient été négligents. Donc, vous avez besoin de tous les indices disponibles.
Outre le fait de rechercher les vulnérabilités du site, vous devez trouver tout le contenu de phishing téléchargé. Il y en a probablement plus d’un. Les sites de phishing sont particulièrement difficiles à trouver puisqu’ils sont conçus pour ne pas perturber votre site. Leur contenu semble être normal pour les scanners, ce qui rend la détection automatisée inefficace.
Comment l’infection par le contenu de phishing se produit-elle ?
Avant d’entrer dans les détails, il importe de comprendre comment et pourquoi les sites sont infectés par un contenu de phishing. Souvent, les pirates utilisent des ordinateurs compromis pour héberger des contenus et actions malveillantes, y compris le vol d’identité, la fraude financière, ainsi que la collecte de données sensibles auprès des victimes pour une utilisation illégale future. D’autres pirates le font dans le but d’obtenir un contrôle administratif sur les sites web légitimes des entreprises et organisations afin de pouvoir dissimuler leurs activités de phishing.
Le but d’un site de phishing est d’accéder aux informations d’identification d’un utilisateur. Les cibles les plus communes sont les banques et les grandes entreprises comme Apple, Ebay, Google, Paypal et Microsoft. Mais en réalité, toute organisation ou entreprise de toute taille peut être une cible. Les entreprises ont leurs propres équipes de sécurité dédiées et elles reçoivent également de l’aide de la part des agences gouvernementales et de sociétés de sécurité privées. Par conséquent, les sites de phishing sont normalement découverts et éliminés assez rapidement.
Cela oblige les pirates informatiques à utiliser rapidement des outils automatisés pour gérer le réseau de sites et de serveurs de messagerie qu’ils ont piratés. Par conséquent, tout obstacle que mettez en place pourrait réduire les chances que les pirates informatiques ciblent votre site. Il est beaucoup plus efficace pour eux de passer au prochain site non sécurisé.
Les raisons les plus courantes qui amènent les cybercriminels à attaquer un site ou un serveur sont les mises à jour non appliquées, les sites mal sécurisés pendant leur conception, les mots de passe faibles et les scripts personnalisés non sécurisés. Pour en savoir plus, vous pouvez lire notre récent article sur la nécessité de mettre à jour vos applications et d’utiliser des mots de passe forts.
Lors de sa conception, votre site est-il sécurisé ?
Il y a une chose que même les administrateurs expérimentés négligent parfois : la sécurité de leur site lors de sa conception. Si des pirates parviennent à accéder à votre compte via une vulnérabilité sur votre site pendant cette phase, ils auront également accès à votre site habituel. Par ailleurs, il est fortement recommandé de supprimer tout site en phase de conception ou d’essai une fois les travaux terminés.
Enquêtez sur la sécurité des réseaux
Lors d’une enquête de sécurité, prenez des notes détaillées sur ce que vous découvrirez au fur et à mesure de votre progression. Tâchez de ne pas enlever ni de modifier aucun détail. Notez le chemin complet vers tous les sites de phishing que vous trouverez, ainsi que les fichiers malveillants, les injections de code et les scripts contenant du code non sécurisé. Gardez également trace de leurs horodatages et de toutes les entrées de journal connexes. Ensuite, vous pouvez utiliser ces informations pour déterminer la meilleure marche à suivre et pour supprimer les éléments malveillants.
Souvent, vous recevez un rapport sur des dossiers spécifiques. Mais parfois, l’information dont vous disposez est limitée. Plusieurs experts en matière de sécurité informatique à qui j’ai parlé aiment utiliser Sucuri Sitecheck pour vérifier s’il y a des problèmes connus.
https://sitecheck.sucuri.net/
Pour cet exemple, nous avons un rapport d’un lien de phishing pointant sur notre site WordPress qui s’exécute sur un serveur cPanel.
http://www.example.com/Apple/securelogin.html
C’est un exemple de base des tactiques les plus courantes utilisées par les pirates informatiques. Il y a beaucoup de variantes et, franchement, même les professionnels sont parfois perplexes. En réalité, les pirates informatiques sont intelligents et changent constamment de tactique.
Cela dit, la plupart des professionnels de la sécurité abordent une enquête de phishing sans jamais avoir vu le site et sans connaître le codage personnalisé. La procédure décrite ci-dessous peut sembler fastidieuse, mais avec un peu de pratique, vous pouvez faire une recherche complète et nettoyer un site web de taille standard en 10 à 15 minutes. C’est valable pour un serveur web Apache Linux/Unix.
Tout d’abord, examinez l’horodatage des dossiers infectés
Pour commencer, vous devez examiner les horodatages des fichiers concernés. Vous n’avez pas modifié ou supprimé les fichiers, n’est-ce pas ? Si oui, ne vous inquiétez pas. Vous trouverez probablement d’autres fichiers malveillants plus tard lors de votre enquête.
Pour voir l’horodatage complet, vous devez utiliser la commande « stat ». Utilisez-le sur le fichier que vous connaissez déjà.
Si vous regardez de près les informations ci-dessus, vous pouvez voir que les dates de modification sont différentes. « Modify » fait référence au contenu du fichier, tandis que « Change » fait référence aux métadonnées (nom de fichier, autorisations, etc.). La date de modification est généralement la plus importante, mais les deux peuvent être nécessaires pendant l’enquête.
Étape 2 – Comparez aux journaux
Maintenant que vous avez le temps de connaître le moment où certains des changements ont eu lieu, vous pouvez les comparer aux journaux. Les journaux d’accès Apache sont le meilleur endroit pour commencer. Si rien ne se trouve dans Apache, vous trouverez probablement un téléchargement dans les journaux FTP ou cPanel. Puisque les journaux Apache sont l’endroit le plus courant pour trouver les informations dont vous avez besoin, nous allons nous concentrer sur ce sujet.
La plupart du temps, vous devez voir les commandes POST afin de filtrer les journaux pour le POST ainsi que la date et l’heure.
# grep POST /usr/local/apache/domlogs/user/example.com|grep ‘10/Apr/2015:15’|less
Les horodatages ne correspondent pas exactement. Apache enregistre le temps d’accès au début de la transaction, tandis que le système de fichiers enregistre la date de la dernière écriture dans le fichier. Gardez cela à l’esprit lorsque vous consultez les journaux.
Base de données ARIN et GeoIP
Dans ce cas, vous trouverez plusieurs centaines d’entrées comme celle ci-dessous. Veuillez noter qu’il ne s’agit que d’un exemple et que l’adresse IP n’est donc pas valide.
Il y a plusieurs signes évidents d’activités malveillantes dans cet enregistrement. Pourquoi y a-t-il un fichier PHP dans le répertoire de téléchargement ? Cette zone est normalement réservée aux images et aux documents. Il ne devrait pas être là. Il utilise également HTTP 1.0 et ne fournit pas de lien référer qui sont des signes d’une requête chiffrée. Et la requête est identifiée comme Googlebot, mais si vous vérifiez l’adresse IP dans la base de données ARIN ou l’outil GeoIP, vous verrez qu’elle n’appartient pas à Google.
Maintenant que vous avez un tracé à suivre, examinez le fichier « xXx.php ».
Exemple :
# cd wp-content/uploads/2013/06
# stat xXx.php
stat: cannot stat ‘xXx.php’: No such file or directory
Comment est-ce possible ? Le fichier a été déplacé ou supprimé par l’attaquant pour vous écarter de la piste. C’est une tactique courante, mais elle ne vous ralentira pas trop. Le fichier devrait être retrouvé plus tard s’il a été déplacé. Pour l’instant, vous pouvez passer à l’indice suivant : l’heure du changement. Examinez à nouveau les journaux à la recherche de l’heure de changement que vous avez vue plus tôt. Il devrait maintenant y avoir un lien vers un fichier différent utilisant une nouvelle adresse IP et un nouvel agent utilisateur.
Cette requête ne semble pas être chiffrée comme la précédente. Cependant, elle POSTE un fichier dans le thème suivant, ce qui est inhabituel. Examinez le contenu du dossier pour voir si vous pouvez découvrir ce qu’elle faisait.
C’est du code PHP obfusqué qui ne signifie pas nécessairement qu’il est malveillant. Il y a de bonnes raisons de le faire et cela pourrait vraiment faire partie du thème. Vous pouvez utiliser UnPHP.net pour le décoder. Bien que ce service ne le décode pas toujours complètement, il vous donnera généralement suffisamment d’informations pour déterminer s’il est malveillant ou dangereux.
Si vous parvenez à décoder le script, vous constaterez qu’il s’agit d’un script standard pour télécharger des images (pour ce cas précis, je ne voulais pas inclure de vrai code malveillant). De toute façon, ce fichier a été utilisé par l’attaquant. Ajoutez-le à votre liste et continuez à suivre le tracé en faisant correspondre les horodatages des fichiers aux entrées du journal.
Quand arrêter l’enquête ?
Si vous suivez ce même processus sur le fichier « js.php », vous constaterez peut-être qu’il mène à un autre fichier à tracer ; qu’il indique une vulnérabilité dans notre application ou notre thème ; ou même qu’il pourrait pointer vers lui-même. Mais supposons que dans ce cas, vous n’avez rien trouvé de suspect dans les registres.
C’est bien, mais parfois ce n’est pas si évident. Filtrez les logs de manière un peu différente cette fois-ci pour voir tous les POST de cette IP.
# grep POST /usr/local/apache/domlogs/user/example.com|grep 60.123.234.345|less
Vous devrez peut-être filtrer davantage les résultats pour trouver les informations importantes. Supposons que vous trouvez le script suivant :
Cela indique soit un mot de passe compromis, soit une vulnérabilité dans WordPress. Vous pouvez consulter les journaux plus en détail pour savoir de quel type il s’agit. Pour gagner du temps, à ce stade, je vous recommande d’appliquer les mises à jour si elles sont disponibles et de réinitialiser tous les mots de passe administrateur.
Cependant, vous ne devriez pas arrêter l’enquête à ce stade. Qu’il s’agisse du compromis initial ou non, il y aura probablement plus de fichiers malveillants que ce que nous savons. Bien souvent, il y a même plusieurs compromis distincts à l’avenir.
Continuez la recherche sur les fichiers et répertoires récemment modifiés
Maintenant que vous avez épuisé la liste des fichiers malveillants connus, vous devez faire preuve de créativité pour trouver les autres éléments. J’espère que vous n’avez pas encore modifié de fichiers, sinon les résultats de ces tests peuvent être faussés.
Pour cette partie de l’enquête, vous devez commencer dans le répertoire racine du document du compte de l’utilisateur affecté. Examinez la structure des répertoires et les fichiers les plus récemment modifiés à l’aide de la commande suivante :
# ls -lrt
Vous pouvez voir tout de suite des annuaires avec le nom de compagnies ou des répertoires qui ne suivent pas vos conventions de nommage. Cherchez également les fichiers dont les horodatages ne sont pas synchronisés avec les fichiers environnants. Vous devrez examiner le contenu et les entrées pertinentes du journal afin de détecter tout objet suspect que vous avez trouvé, comme vous l’avez fait précédemment.
Pour trouver la majeure partie du contenu du phishing, il est préférable d’examiner chaque répertoire à 2 ou 3 niveaux de profondeur à partir du répertoire racine du document. Dans chaque répertoire, examinez la structure du répertoire et le contenu des fichiers qui n’apparaissent pas à leur place. S’ils semblent malveillants, comparez-les aux journaux et, bien entendu, documentez tout.
Enfin, revenez au répertoire racine du document et effectuez quelques recherches ciblées. Commencez par rechercher tous les fichiers qui ont été modifiés au cours de la dernière semaine. Il se peut que vous ayez besoin d’augmenter les recherches sur les 30 ou 90 jours auparavant. Si la liste est trop longue, réduisez-la avec grep. Vous pouvez même filtrer les fichiers que vous connaissez déjà.
# find . -type f -mtime -7 | less
# find . -type f -mtime -7 | egrep -v ‘cache|log|Apple’ | less
Il est parfois utile de vérifier les fichiers contenant des changements récents. Dans la plupart des cas, les résultats ne seront pas très différents, mais il pourrait y avoir des résultats clés.
# find . -type f -ctime -7 | less
Les liens symboliques sont couramment utilisés pour tenter de sortir du compte d’un utilisateur. Passez en revue tous les éléments que vous trouverez à l’aide de la commande suivante (la plupart des sites Web n’utilisent pas de liens symboliques du tout et il est presque toujours sûrs de les supprimer.
# find -type l
Vous avez presque terminé, mais faites une autre recherche pour vous assurer que vous avez tout trouvé. Voici une commande souvent utilisée pour détecter l’obscurcissement du code. Ceci est commun avec les codes malveillants :
Bien entendu, cela détectera également de nombreux éléments qui sont des parties valides de votre site. Vérifier chaque fichier avec le codage et l’accès aux fichiers journaux pour s’assurer qu’ils sont non seulement valides, mais aussi sûrs et protégés.
Nettoyer le désordre causé par le phishing
Maintenant que vous avez une liste de fichiers malveillants et que vous avez identifié les vulnérabilités de vos sites, vous devez vous sortir de cette situation. Faites une sauvegarde avant de continuer. S’il s’agit d’un grand site, j’aurais commencé la sauvegarde au moment de mon enquête. Oui, même une sauvegarde du site compromis pourrait être utile. Un bon administrateur n’est jamais trop prudent !
Après la sauvegarde, supprimez complètement tous les fichiers malveillants et réinitialisez tous les mots de passe qui ont pu être compromis. Souvent, les fichiers de code injectés devront être nettoyés manuellement. Ouvrez ces fichiers dans un éditeur de votre choix et supprimez les injections de code. Les injections de code malveillant se trouvent généralement sur la première ou la dernière ligne d’un fichier (mais pas toujours).
Un bon administrateur système n’est jamais trop prudent !
Si vous avez identifié des modèles avec les requêtes malveillantes dans les logs, vous pouvez les bloquer avec des règles .htaccess. Par exemple, si toutes les demandes provenaient du même sous-réseau ou même du même pays, vous pourriez les bloquer temporairement jusqu’à ce que vous ayez entièrement sécurisé votre site. Voici une excellente référence pour le codage htaccess.
Vous pouvez maintenant mettre à jour toutes les applications sur votre site et réparer tous les scripts non sécurisés que vous avez trouvés dans l’enquête. Lors de la mise à jour de votre logiciel, assurez-vous de vérifier d’autres éléments comme Timthumb et TinyMCE, car elles sont souvent négligées. Si vous utilisez un CMS comme WordPress, la mise à jour des éléments suivants est généralement suffisante pour résoudre les problèmes :
Le noyau WordPress
Tous les plug-ins
Et les thèmes
Mais si vous avez un site sur mesure, il est probable que vous avez trouvé un formulaire de téléchargement non sécurisé pendant l’enquête. Vous devrez ajouter une validation au script pour éviter qu’il ne soit mal utilisé. La méthode la plus simple est d’ajouter un mot de passe dans votre script pour que vous seul puissiez l’utiliser.
Retrait de la cote
Vous avez trouvé les vulnérabilités de vos applications. Alors vous, pouvez :
Supprimer les fichiers malveillants
Réinitialiser les mots de passe
Mettre à jour votre site.
Votre site est maintenant propre, sûr et n’héberge plus de contenu malveillant. Cependant, vos utilisateurs voient toujours un avertissement de sécurité sur leur navigateur ou via leur antivirus. Heureusement, il est beaucoup plus facile de se faire radier de ces listes que de se faire radier d’une liste noire de spam.
Le moyen le plus commun d’obtenir des rapports surs est d’utiliser Google Safe Browsing. Vous pouvez utiliser le lien suivant pour demander une radiation. Google explorera à nouveau votre site et vérifiera s’il y a des problèmes. Si vous n’en trouvez aucun, vous devriez être retiré de la liste bientôt.
Les erreurs les plus courantes qui causent des problèmes de sécurité sont les mêmes partout. Mises à jour non appliquées, sites de développement négligés, mots de passe ou comptes de test faibles et scripts personnalisés peu sûrs.
Je suis sûr que vous avez trouvé au moins un de ces problèmes au cours de ce processus. Ne t’inquiète pas, ça arrive.
Comment minimiser la vulnérabilité de votre site Web ?
Comment minimiser la vulnérabilité de votre site Web aux attaques de hameçonneurs ?
Durcissement du système d’exploitation du serveur. Le « durcissement » est un processus de sécurisation d’un système d’exploitation de sorte qu’il puisse être difficile à attaquer. Utilisez des scanners de vulnérabilité commerciaux et open source et des outils d’analyse de base de sécurité pour identifier les vulnérabilités.
Durcissement des applications Web. Il s’agit d’un processus de sécurisation des logiciels d’application de serveur Web, des applications web et des scripts, ainsi que du contenu dynamique contre les attaques. Encore une fois, utilisez des scanners de vulnérabilité web commerciaux et open sources pour identifier les paramètres de configuration incorrects et le contenu exploitable. Envisagez d’utiliser un pare-feu d’application web commercial ou open source et une technologie de filtrage de contenus pour fournir un examen en ligne et en temps réel du trafic Web entrant afin de détecter les modèles d’attaque et les anomalies.
Gestion des correctifs. Maintenez les niveaux de correctifs actuels sur tous les systèmes d’exploitation et applications utilisés pour votre site Web.
Programmation sécurisée, scripts sécurisés. N’utilisez pas de programmes exécutables sans vérifier l’authenticité et la fiabilité du développeur et l’intégrité du code lui-même. L’Open Web Application Security Project (OWASP) est une source utile pour apprendre à programmer et à écrire des scripts en toute sécurité.
Compartimentation. Créez des domaines de sécurité au sein de votre réseau et séparez-les par des systèmes de sécurité (par exemple, des pare-feu) afin de limiter les attaques réussies contre un serveur ou un service.
Examen de routine. Effectuez régulièrement des tests de vulnérabilité et de pénétration du réseau, de l’hôte et du web. Si possible, demandez à une partie indépendante, expérimentée et certifiée, d’effectuer une évaluation de la sécurité des systèmes qui prennent en charge votre site web.
Mise en œuvre des meilleures pratiques en matière de filtrage de pare-feu. Limitez la circulation aux pare-feux aussi étroitement que possible.
N’autorisez l’accès qu’aux ports TCP ou UDP où vos services autorisés le permettent. Limitez davantage les flux aux adresses IP des systèmes sur lesquels vous hébergez les services d’écoute. Limitez également les flux de trafic sortant des serveurs.
Maintenant que tout va bien avec votre site, gardez ces choses à l’esprit. Connectez-vous régulièrement à votre site pour vérifier les mises à jour. Utilisez des mots de passe forts et supprimez tous les comptes de test et sites en cours de développement. Si vous avez des scripts personnalisés, assurez-vous d’ajouter une validation à votre code pour éviter les abus. Tout cela contribuera à rendre la vie d’un hameçonneur difficile. Rappelez-vous toujours qu’un bon administrateur système n’est jamais trop prudent !
La première ligne de défense d’une entreprise est l’administrateur système, le héros infatigable qui travaillent 24 heures sur 24, 7 jours sur 7 et 365 jours par an pour vous assurer que l’infrastructure informatique soit toujours sécurisée. Nous avons dressé une liste de ressources qui vous seront utiles si jamais vous êtes victime d’un incident ou d’une brèche de sécurité.
Une récente vague d’e-mails de phishing chez le fournisseur de technologie de signature numérique DocuSign a été liée à une atteinte à la protection des données.
Un pirate informatique a eu accès à un sous-système périphérique qu’il a utilisé pour transmettre des informations aux utilisateurs par le biais de la messagerie électronique et pour voler leurs adresses électroniques. La société privée, qui fabrique des logiciels pour ajouter des signatures électroniques conformes à la loi, a indiqué que seules les adresses e-mail ont été consultées.
L’atteinte à la protection des données a été découverte au cours des deux dernières semaines lorsque des campagnes de spams ciblant des clients ont été détectées. Comme c’est souvent le cas pour les attaques de phishing, tous les e-mails utilisaient une marque officielle et ont été créés pour ressembler aux e-mails officiels de DocuSign.
Les lignes d’objet des e-mails étaient également typiques des récentes escroqueries de phishing de PDG, faisant référence à des factures et des instructions de virement électronique. Les e-mails de phishing contenaient un lien vers un document Microsoft Word téléchargeable qui contient un malware.
L’atteinte à la protection des données n’a concerné que les titulaires de compte DocuSign, et non les utilisateurs enregistrés sur le système eSignature. On ne sait pas exactement combien d’adresses e-mail ont été volées, mais sur le site web de DocuSign, l’entreprise indique qu’elle compte plus de 200 millions d’utilisateurs.
Basée à San Francisco, l’entreprise DocuSign a suivi les e-mails de phishing et rapporté qu’il y a deux variantes principales de lignes d’objet, à savoir « Terminé : docusign.com – Instructions de Transfert par Virement électronique pour *nom du destinataire*, Document Prêt pour Signature », ou « Terminé *nom de l’entreprise* – Facture Comptable *numéro* Document Prêt pour Signature ».
En réfléchissant et en planifiant soigneusement leur politique de sécurité web, les organisations peuvent réduire considérablement leur exposition à une attaque de phishing et à une atteinte potentielle à la sécurité des données. Sans cela, elles risquent de subir des pertes financières directes et leur réputation pourrait gravement être atteinte.
Vous êtes un professionnel de l’informatique et vous voulez vous assurer que les données et les appareils sensibles de vos clients et de votre personnel soient protégés ? Parlez à un de nos spécialistes de la sécurité web ou envoyez-nous un e-mail à info@titanhq.fr pour toute question.
Aux États-Unis, les attaques de phishing contre les écoles et les établissements d’enseignement supérieur se sont multipliées ces derniers mois, soulignant ainsi la nécessité d’améliorer les programmes de formation du personnel et des moyens de défense contre la cybersécurité.
Le phishing consiste à envoyer des emails dans le but d’amener les destinataires à révéler des renseignements de nature délicate, comme des ouvertures de session à des comptes de messagerie électronique, des comptes bancaires ou d’autres systèmes informatiques. Généralement, un lien est inclus dans l’email qui dirigera l’utilisateur vers un site Web où l’information doit être entrée. Les sites, ainsi que les emails, contiennent des informations qui donnent l’impression que la demande est authentique.
Le phishing n’est pas nouveau. Il existe depuis les années 1980, mais la manière avec laquelle les informations sensibles sont stockées électroniquement et l’augmentation du nombre de transactions effectuées en ligne ont rendu les attaques beaucoup plus rentables pour les cybercriminels. En effet, les attaques ont augmenté et la qualité des emails de phishing s’est améliorée de façon incommensurable. De plus, les emails de phishing sont de plus en plus difficiles à identifier, en particulier par les membres du personnel non formés.
Aucune organisation n’est à l’abri des attaques. Si auparavant, les cybercriminels concentraient leurs efforts sur les institutions financières et les organismes de santé, aujourd’hui, le secteur de l’éducation est largement ciblé. Les attaques de phishing contre les écoles sont beaucoup plus fréquentes, et elles sont trop souvent couronnées de succès.
L’ampleur du problème est telle que l’IRS (Internal Revenue Service, le fisc américain) a récemment lancé un avertissement à la suite d’une augmentation massive des attaques de phishing contre les écoles. Des campagnes étaient menées par des attaquants à la recherche de données du formulaire W-2 sur les employés des établissements scolaires. Ces renseignements ont ensuite été utilisés pour produire des déclarations de revenus frauduleuses au nom de leurs employés.
Les récentes attaques de phishing contre des écoles, collèges et universités
Le Westminster College est l’un des récents établissements d’enseignement à avoir signalé qu’un employé s’est fait prendre au piège avec le phishing par formulaire W-2, bien qu’il y ait eu des dizaines d’écoles, de collèges et d’universités qui ont été attaqués cette année.
Les emails de phishing n’ont pas seulement pour but d’obtenir des renseignements fiscaux. Récemment, une attaque contre des écoles publiques de Denver a donné à un cybercriminel les informations dont il avait besoin pour effectuer un virement bancaire frauduleux. Plus de 40 000 $ destinés à payer les salaires du personnel ont été transférés sur son compte.
Cette semaine, nous avons appris via les forums sur le darknet qu’un pirate informatique avait eu accès aux comptes de messagerie d’une école, aux cahiers de notes des enseignants et aux renseignements personnels de milliers d’élèves. Cette personne cherchait des conseils sur ce qu’il fallait faire avec les données et les accès qu’il a obtenus afin de gagner de l’argent.
L’École de médecine de l’Université de Washington a été la cible d’une attaque de phishing, laquelle a permis aux agresseurs d’avoir accès aux renseignements médicaux des patients. Plus de 80 000 patients se sont fait voler leurs renseignements médicaux à la suite de cette attaque.
La semaine dernière, des informations ont également fait état d’une tentative d’attaque de phishing contre des écoles du Minnesota, avec 335 districts scolaires publics et environ 170 écoles potentiellement attaquées. Cette fois, l’attaque de phishing a été identifiée avant que l’information n’ait été divulguée. Elle concernait un courriel qui semblait avoir été envoyé par le Commissaire à l’Éducation. En réalité, les attaquants essayaient d’avoir accès à des informations financières.
Comment améliorer les défenses contre les attaques de phishing ?
Heureusement, il existe un certain nombre de contrôles technologiques qui peuvent être mis en œuvre, et à moindre coût, pour réduire le risque de succès des attaques par phishing dans les écoles.
Une solution avancée de filtrage du spam dotée d’un puissant composant antiphishing est maintenant essentielle. Un filtre antispam recherche les signatures de spam et de phishing courantes. Il s’assure également que les messages suspects soient mis en quarantaine et qu’ils ne soient pas envoyés aux utilisateurs finaux.
Bien entendu, même avec un filtre antispam, des emails de phishing peuvent parfois être envoyés. Pour empêcher les employés de visiter des sites Web de phishing et de révéler leurs informations, une solution de filtrage Web peut être utilisée.
Les filtres Web peuvent être configurés pour empêcher les utilisateurs finaux de visiter des sites Web connus et qui peuvent être utilisés pour le phishing. De plus, ces filtres permettent d’empêcher les utilisateurs d’accéder à des sites Web connus pour contenir des malwares, pour héberger des contenus illégaux ou indésirables tels que la pornographie.
Ces solutions devraient s’accompagner d’une formation pour tous les membres du personnel sur les risques liés au phishing et sur les identificateurs communs qui peuvent aider le personnel à repérer un email de phishing.
Par ailleurs, les écoles devraient mettre en œuvre des politiques pour signaler les menaces au niveau des services informatiques de l’organisation. Un signalement rapide peut limiter les préjudices causés par les attaques de phishing et empêcher les autres membres du personnel d’y répondre.
En outre, les services informatiques devraient mettre en place des politiques pour s’assurer que les attaques déjouées soient signalées aux forces de l’ordre.
Enfin, le signalement doit être envoyé aux autres districts scolaires à la suite d’une attaque pour leur permettre de prendre des mesures afin de se protéger contre des attaques similaires.
Toute école ou institution d’enseignement supérieur qui ne met pas en place les moyens de défense appropriés courra un risque élevé qu’une attaque de phishing soit un succès.
Non seulement les attaques de phishing exposent les employés à un risque de fraude, mais elles peuvent s’avérer trop coûteuses à atténuer pour les écoles. Avec des budgets déjà serrés, la plupart d’entre elles n’ont tout simplement pas les moyens de le faire.
Si vous souhaitez obtenir de plus amples informations sur la gamme de protections en matière de cybersécurité pouvant être mises en place pour prévenir les attaques de phishing dans les écoles et autres établissements scolaires, appelez dès aujourd’hui TitanHQ.
Si vous êtes comme la plupart des professionnels de l’informatique aujourd’hui, vous avez un million de choses à faire et un court laps de temps pour les accomplir.
Pour alléger notre charge sans fin, nous les réalisons souvent par commodité plutôt que selon une bonne politique. Malheureusement, les mesures que nous prenons par commodité aujourd’hui peuvent finir par créer plus de travail pour nous à l’avenir. Cela crée un cercle vicieux dont il est difficile de sortir.
Ci-dessous, j’ai décrit cinq mesures qui peuvent prendre un peu de temps au début, mais qui peuvent offrir un gain substantiel, en réduisant le recours au support technique et les attaques de malwares.
Imposer le groupe d’administrateurs locaux
Regardons les choses en face.
Faire de nos utilisateurs des administrateurs de leurs appareils est facile. Ainsi, nous n’avons pas à nous soucier des applications qui peuvent nécessiter des droits d’administrateur pour fonctionner correctement. Cependant, cela va à l’encontre de tous les aspects de l’application de la pratique du moindre privilège.
Donner aux utilisateurs les droits d’administration locaux sur leurs périphériques, c’est comme confier les clés d’une Lamborghini à un jeune de 16 ans, sans aucune limitation. À un moment donné, cela va mal finir.
Le concept du moindre privilège est simplement que les utilisateurs ne devraient avoir que les privilèges et les droits dont ils ont besoin pour faire leur travail, et rien de plus.
Disposant des droits d’administrateur, les utilisateurs ont un accès injustifié aux paramètres de configuration du logiciel dans lesquels ils ne devraient pas s’immiscer. Ils ont également des privilèges élevés qui peuvent favoriser l’installation de malwares.
Heureusement, vous pouvez facilement contrôler l’appartenance du groupe des administrateurs locaux de toutes vos machines par le biais des préférences de stratégie de groupe. Une fois activés et déployés sur l’ensemble du domaine, les comptes non autorisés seront supprimés et empêchés de s’inscrire à l’avenir.
Désactiver tout service inutilisé ou inutile
Un aspect clé du renforcement de la sécurité réseau est de désactiver tous les services sur vos dispositifs. Cette tâche peut être faite simplement, et encore une fois, par le biais des préférences de stratégie de groupe. Vous devrez créer cette politique sur une machine de gestion dotée du système d’exploitation le plus récent afin de vous assurer que tous les services sont pris en charge.
Il se peut également que vous deviez élaborer plusieurs politiques pour tenir compte des différentes configurations matérielles.
Par exemple, de nombreuses entreprises préfèrent désactiver le service Bluetooth sur les ordinateurs portables des utilisateurs pour des raisons de sécurité. Dans ce cas, la politique devrait être créée sur un appareil qui utilise ce service.
Maintenez la mise à jour des correctifs grâce à des tests appropriés
Nous sommes tous conscients de l’importance de maintenir nos machines à jour avec les derniers correctifs et mises à jour. Nous connaissons également le chaos qu’une mise à jour non testée peut occasionner sur l’expérience utilisateur.
C’est pour cette raison que de nombreuses organisations accordent un délai de 30 à 60 jours à compter de la publication des mises à jour avant de les appliquer. Evidemment, le problème est que des vulnérabilités bien connues demeurent exposées aux attaques cybercriminelles pendant cette période. Sachez que plus de 200 000 nouvelles menaces de malwares sont créées chaque jour.
Disposer d’un environnement de test virtuel, qui vous permet de valider correctement les mises à jour et les correctifs dès leur sortie, peut vous aider à identifier les conflits potentiels qui pourraient survenir dans votre environnement utilisateur.
En même temps, votre entreprise pourra déployer les mises à jour et les correctifs à l’échelle du réseau au moment opportun.
Mettre en place des pare-feux sur les périphériques locaux
Pendant des années, la plupart des organisations ont pu compter sur une stratégie de périmètre de réseau, comme un roi qui dépendait des murs de son château et des douves pour le protéger. En raison de l’évolution des stratégies militaires, appuyées par des technologies de pointe, la seule dépendance à l’égard d’une stratégie de périmètre s’est avérée fatale pour de nombreux royaumes, comme c’est le cas aujourd’hui pour de nombreux réseaux.
Dans le monde mobile d’aujourd’hui, il ne suffit pas de se fier uniquement à la protection périmétrique. Chaque périphérique qui n’est pas couvert par la sécurité du réseau doit être protégé par un pare-feu local. Encore une fois, avant toute mise en œuvre d’une solution à grande échelle, il faut procéder à des tests approfondis de toutes les applications utilisées par vos utilisateurs, qu’il s’agisse d’une application de bureau ou dans le cloud. Mais toutes ces mesures peuvent aussi nécessiter beaucoup de temps.
Réévaluez vos filtres antispam et web
Le phishing par email est la plus grande menace d’ingénierie sociale pour votre entreprise.
Certains des blogs que nous avons publiés récemment ont décrit les récentes éclosions de demandes de rançon qui ont fait des ravages dans des organisations critiques comme les hôpitaux. Ces attaques forcent les organisations à tout fermer lorsque quelqu’un a cliqué sur un lien malveillant contenu dans un email.
Nous avons également décrit certaines des escroqueries de phishing des PDG, ou Business Email Compromise. Elles ont coûté des millions de dollars à certaines des plus grandes entreprises du monde.
Le spamming n’a pratiquement aucun coût, et c’est pour cette raison que cette pratique est si répandue. Les méthodologies utilisées pour lancer des attaques sont beaucoup plus avancées qu’elles ne l’étaient il y a cinq ans.
Un seul email de phishing peut faire tomber tout votre réseau, c’est pourquoi il vaut la peine d’évaluer chaque année votre service de filtrage de spams et de comparer les caractéristiques offertes par votre solution actuelle avec d’autres options.
Une solution qui semblait tout à fait appropriée il y a cinq ans est peut-être dépassée aujourd’hui.
Le plus souvent, la flexibilité et la possibilité d’optimisation des ressources sont les principaux facteurs décisifs pour le choix d’une solution de sécurisation du réseau. Pour ces raisons, et d’autres encore, nous voyons beaucoup d’entreprises se tourner vers le filtre web avancé WebTitan. Une version d’essai gratuite de 14 jours est disponible à l’adresse https://www.titanhq.fr/webtitan.
L’un des principaux escrocs de l’arnaque au « prince nigérian » par email a été arrêté. Connu sous le nom de « Mike », le Nigérian a présidé un réseau multinational derrière des escroqueries par email d’une valeur de plus de 54.8 millions d’euros.
Les escrocs utilisaient des malwares, des faux comptes de messagerie et d’autres astuces pour attirer les gens à révéler leurs informations personnelles. Interpol a déclaré qu’une escroquerie leur avait rapporté 1,3 million d’euros.
Ces fraudes sont souvent connues sous le nom d’arnaque « Nigériane 419 » parce que la première vague est venue du Nigeria. La partie « 419 » de ce nom provient de l’article du Code pénal du Nigeria qui interdit cette pratique.
Utiliser l’e-mail pour arnaquer les gens
L’arnaque nigériane vous renvoie au fait qu’un prince exotique vous propose régulièrement un e-mail pour susciter votre bonté d’âme même s’il ne vous connaît pas. Il vous propose de donner un pourcentage de sa fortune immense si vous acceptez de l’aider à sortir de son pays.
Ce type d’arnaque ne date pas d’hier. Elle est vieille comme l’Internet et est basée sur l’envoi du même message à des centaines de milliers de personnes, en espérant que l’une d’entre elles mord à l’hameçon. En général, les contes censés accrocher les victimes sont dramatiques, émouvants, voire cocasses, et l’e-mail contient de nombreuses fautes d’orthographe.
La mule financière
En réalité, la fortune n’existe pas, tout comme le prince, et si la victime se fait prendre par l’arnaque, elle se retrouve finalement avec une perte. Une fois qu’elle a cessé d’envoyer de l’argent, le pirate informatique peut utiliser ses informations personnelles et ses chèques pour se faire passer pour la victime. Il peut alors vider son compte bancaire et les soldes de sa carte de crédit. Bien entendu, de nombreux citoyens ne tombent pas dans le piège des pirates, mais force est de constater que l’escroquerie implique des millions d’euros de pertes chaque année.
Le Nigeria n’est pas le seul pays à l’origine de ces escroqueries. Elles proviennent désormais de partout dans le monde.
Les sujets d’actualité sont la poussière d’or pour les spammeurs. Ces événements suscitent un énorme intérêt en ligne dans le monde entier. Les événements internationaux populaires comme les Jeux olympiques offrent aux escrocs de nombreuses nouvelles victimes potentielles.
En accaparant les gros titres de l’actualité, les spammeurs peuvent augmenter le volume de trafic vers leurs sites Web. À ce jour, on estime que plus de 73 milliards d’euros ont été perdus, seulement à cause de la fraude 419, ce qui explique pourquoi ces emails malveillants continuent d’exister et d’augmenter en fréquence et en férocité.
Qu’est-ce qui rend un email frauduleux évident ?
Il vous promet une importante récompense en argent en contrepartie de votre aide (l’utilisation d’un compte bancaire est une demande courante).
Mauvaise utilisation du français (grammaire et orthographe).
Il est lié à un événement en cours et qui fait la une des journaux.
Ces éléments réunis sont révélateurs d’un email d’arnaque typique. Les emails semblent toujours suivre le même schéma, ce qui rend les spammeurs prévisibles.
Variantes de l’escroquerie 419
Le classique
Quelqu’un vous contacte pour vous demander de l’aide afin d’obtenir une grosse somme d’argent à l’extérieur du pays, en échange d’une généreuse commission. Il demande vos coordonnées bancaires ou un petit don en espèces pour vous aider à recevoir l’argent.
Nous avons déjà évoqué ce fait au début de notre dossier. Certaines victimes peuvent penser que les gains qu’elles peuvent obtenir en contrepartie d’une somme négligeable sont gros. Dans d’autres cas, l’e-mail semble être envoyé par une soi-disant fille d’un directeur financier qui possède une mine de diamants en Sierra Leone, mais qui est réfugiée à l’étranger. Il peut aussi s’agir d’un militaire français en mission en Côte d’Ivoire qui a découvert un trésor abandonné par des rebelles, ou encore d’un riche célibataire sans enfant qui souffre d’un cancer en phase terminale au Canada.
La loterie
Pour ce cas précis, un e-mail vous informe que vous avez gagné à la loterie, même si vous n’avez jamais acheté un billet. Pour vous aider à récupérer la somme, le cybercriminel vous demande une petite somme d’argent comptant à l’avance.
La loterie est souvent peu connue. Elle a eu lieu dans un autre pays et, souvent, l’email vous demande d’envoyer vos informations personnelles pour pouvoir vérifier votre identité.
En faisant cela, vous devenez une victime d’une usurpation d’identité. De plus, l’argent que vous avez envoyé n’est plus récupérable.
Les signes avant-coureurs de ce genre d’escroquerie sont les suivants :
L’expéditeur de l’e-mail est une personne et non une entreprise.
D’autres personnes que vous connaissez ont également reçu le même e-mail.
Vous n’avez jamais entendu parler de ladite loterie.
Et surtout, soyez méfiant si vous n’avez jamais acheté un billet de loterie.
Dès que vous recevez ce genre d’e-mail, il est recommandé de faire une recherche rapide sur Google pour vérifier la légitimité de la loterie. L’autre mesure à prendre est de ne jamais communiquer vos informations personnelles par le biais de la messagerie électronique, notamment à des personnes que vous ne connaissez pas.
L’héritage
Vous avez hérité d’une somme d’argent de quelqu’un que vous ne connaissiez même pas. Vous devez d’abord faire un petit dépôt pour obtenir votre héritage.
Il existe de nombreuses autres variantes de l’escroquerie 419, mais ce sont les plus courantes. Aussi incroyable que cela puisse paraître, les gens continuent de tomber dans ces pièges. Ces escroqueries sont continuellement répétées, car elles récompensent les cybercriminels.
N’oubliez pas que vous ne devez jamais envoyer d’argent à quelqu’un qui vous contacte par email et que vous ne devez jamais divulguer des informations personnelles ou financières par email ou par téléphone.
Arnaques via les sites de rencontre
Imaginez que vous rencontrez un individu via un site de rencontre ou via un forum de discussion. Vous faites connaissance avec la personne et vous avez le sentiment que celle-ci est bien réelle. Pourtant, vous ne pouvez jamais être certain de la personne qui se trouve de l’autre côté de votre écran.
Il s’agit donc d’une relation virtuelle avec un individu, ce qui n’est pas mauvais en soi. Pour paraître authentique, le pirate peut usurper l’identité d’une personne réelle et fournir de fausses informations personnelles pour brouiller ses pistes.
Le problème survient lorsque la personne commence à vous demander de l’argent, des informations personnelles ou des photos intimes. À partir de ce moment, vous devez vous méfier, car il se peut que vous ayez affaire à un escroc, également appelé catfisher.
Il y a également certains signes qui peuvent révéler que vous parlez à un catfisher :
Il fait preuve d’émotions fortes et d’une grande justesse d’intentions en très peu de temps.
La relation passe rapidement d’un site de rencontre à des plateformes de discussion privées.
Il vous demande de l’argent en raison des difficultés personnelles, telles qu’un membre de sa famille malade ou suite à un échec professionnel.
Pour éviter l’arnaque de ce type, le mieux serait de ne jamais envoyer de l’argent ou de divulguer des informations personnelles à une personne que vous ne connaissez pas. Cela semble évident, mais sachez que de nombreuses victimes tombent encore dans le piège des cybercriminels.
Escroqueries aux faux organismes de bienfaisance
Après une catastrophe naturelle à grande échelle, nous souhaitons souvent apporter notre contribution aux victimes de la tragédie. Les escrocs sont conscients de ce fait et n’hésitent pas à en tirer profit.
Pour ce faire, ils créent des sites de dons et de faux comptes. Ensuite, ils rédigent un e-mail émouvant dont le but est de solliciter des fonds qui seront versés aux victimes. Pourtant, ces fonds ne parviendront jamais à leurs véritables bénéficiaires.
Pour augmenter leur chance de réussir, les escrocs jouent sur la compassion. Il est donc recommandé de mener votre enquête avant faire un don. Vérifiez concrètement le site web de l’organisme caritatif, lequel devrait inclure sa déclaration d’intention et publier certains documents d’exonération fiscale.
Arnaques aux dépannages
Cette autre variante de l’arnaque 419 débute dans la vie réelle et évolue rapidement vers une escroquerie virtuelle. Plus précisément, un escroc vous appelle et se fait passer pour un individu qui travaille pour Microsoft ou d’autres éditeurs de logiciels importants. Il vous informe qu’il peut résoudre certains problèmes informatiques comme la vitesse de connexion Internet très lente ou le délai de téléchargement très long.
Comme la proposition de service semble alléchante, lorsque la même personne vous envoie un e-mail, vous pourriez donc être tenté de télécharger un programme d’accès à distance, permettant au pirate informatique de prendre le contrôle de votre ordinateur et d’installer des malwares. En passant, il peut accéder à vos données, à vos fichiers et à vos informations personnelles.
Pour éviter d’être victime de cette arnaque, n’acceptez jamais un service de dépannage informatique que vous n’avez pas sollicité, sauf si vous êtes absolument certain de l’identité de l’individu qui propose le service. En outre, ne laissez jamais une personne accéder à distance à vos appareils.
L’arrêt de Mike est-il vraiment une mauvaise nouvelle pour les escrocs ?
Les arnaques du type « prince nigérian » ne cessent de se diversifier, mais leur principe est souvent le même. Il s’agit de vous solliciter à payer peu pour recevoir beaucoup.
Même si l’arnaque au « prince nigérian » n’est plus en vogue en 2020, d’autant plus que l’un des principaux escrocs qui l’utilisent s’est fait attraper, elle ne semble pas vieillir. Bien au contraire, elle ne cesse d’évoluer et les pirates changent constamment de tactique pour la perpétuer.
Mais vous ne devez pas seulement lutter contre ce type d’arnaque, car les cybercriminels – peut être même ceux qui sont derrière l’arnaque du type « prince nigérian par e-mail » – rivalisent d’ingéniosité pour démultiplier leurs chances de réussite. Ces nouvelles attaques sont essentiellement basées sur le phishing.
Lors d’une campagne de phishing, les pirates envoient des emails massifs dans le but de chercher à piéger vos employés. La tactique est simple : les messages tentent d’inciter leurs destinataires à effectuer une action. Dans la vie, il y a deux manières d’obtenir quelque chose d’une personne : soit vous lui demander gentiment, soit vous êtes une personne qui a l’autorité sur sa décision.
Le phishing rassemble ces deux conditions. L’astuce consiste à usurper l’identité d’un employé ou d’une organisation afin de lui demander gentiment d’exécuter une action telle que la modification de son mot de passe ou l’ouverture d’une pièce jointe. L’attaque repose essentiellement sur trois éléments : l’e-mail, une pièce jointe et le site web.
Les différentes sortes d’attaques susmentionnées, comme les tentatives de recevoir l’héritage d’un riche prince nigérian ou la fausse loterie, ne font plus beaucoup de victimes. La majorité des filtres antispam de nos jours peuvent bloquer ces attaques lancées via les emails. L’unique façon de voir les messages indésirables consiste à consulter votre dossier « spam ». Pourtant, il existe de nouvelles tactiques de phishing qui connaissent de plus en plus de succès, notamment :
Le spear phishing
Le spear phishing est une menace basée sur l’ingénierie sociale dans laquelle le pirate se déguise en un contact de confiance pour tromper sa cible en l’invitant à cliquer sur un lien dans un e-mail, un SMS ou un message instantané usurpé. Ainsi, la cible risque de révéler involontairement des informations sensibles ; de déclencher la première étape d’une menace persistante avancée (APT) ou d’installer des malwares sur votre réseau d’entreprise. Si le spear phishing connaît actuellement beaucoup de réussite, c’est parce qu’il mélange des éléments psychologiques et techniques.
Le dernier rapport de Symantec sur les menaces à la sécurité sur Internet a révélé que le spear phishing reste actuellement la menace la plus populaire. Parmi tous les cybercriminels connus, 65 % d’entre eux ont eu recours au spear phishing pour servir de principal vecteur d’infection. Un rapport de Mimecast concernant l’état de la sécurité de la messagerie électronique en 2019 a également rapporté que 94 % des personnes interrogées sur plus d’un millier de décideurs informatiques du monde entier ont été victimes d’attaques de spear phishing ou de phishing au cours des 12 derniers mois.
Les attaques BEC
Une attaque du type BEC (Business Email Compromise) commence par l’usurpation d’identité des comptes de messagerie des superviseurs, PDG ou fournisseurs de votre entreprise. Une fois que les pirates obtiennent les informations concernant les comptes de messagerie des décideurs, ils peuvent demander un paiement commercial qui semble légitime à leurs subalternes. Comme l’e-mail semble authentique et qu’il semble provenir d’une figure d’autorité connue, il est fort probable qu’un employé s’y conforme.
En mai 2017, le FBI (Federal Bureau of Investigation) publiait une alerte d’intérêt public où il soulignait que les attaques BEC avaient causé des dommages d’environ 5,3 milliards de dollars à l’échelle mondiale. Et sachez qu’en 2020, le montant moyen volé à cause d’une telle escroquerie a augmenté de 48 % au cours du deuxième trimestre, alors que le nombre d’attaques BEC a diminué pendant cette même période, selon les statistiques fournies par Anti-Phishing Working Group.
Le whaling
Le whaling est un type d’attaque utilisant le spear phishing. Elle vise spécifiquement les cadres supérieurs comme les PDG ou les directeurs financiers. Lors d’une attaque de spear phishing, les pirates ne visent pas nécessairement ces personnes.
Les attaques de whaling sont conçues pour inciter les employés à réaliser une action comme cliquer sur un lien malveillant ou réaliser un virement bancaire. Souvent, les pirates s’efforcent de recueillir et d’utiliser des informations personnelles sur leurs cibles afin de personnaliser davantage les e-mails qu’ils envoient. Ceci augmente encore leurs chances de succès, mais le pire est que ce type d’escroquerie est souvent convaincant et difficile à détecter ou à bloquer, tant pour les administrateurs systèmes/cadres que pour les systèmes de protection de la messagerie électronique.
Il est important de noter que le whaling et l’attaque du type BEC ne sont pas les mêmes. Bien entendu, elles peuvent parfois être utilisées de manière interchangeable, mais lorsqu’une attaque de whaling est lancée, elle peut viser les cadres supérieurs de haut niveau (et bien d’autres), mais les pirates peuvent ne pas se faire nécessairement passer pour eux.
Bon à savoir : Proofpoint a récemment publié le rapport « State of the Phish » qui analyse les tendances en matière de phishing à l’échelle mondiale. Ce document comprend de nombreuses statistiques intéressantes sur le phishing grâce à l’analyse des données compilées à partir de plusieurs sources. En fait, l’enquête a été menée auprès de plus de 600 professionnels intervenant dans le domaine de l’informatique, répartis dans sept pays.
Entre autres, l’enquête a révélé que près de 90 % des organisations ont dû faire face à des attaques de phishing ciblées l’année dernière. 88 % des organisations dans les quatre coins du globe ont subi des attaques de spear phishing et 86 % ont été confrontées des attaques de type BEC.
Que vous soyez la cible d’une nouvelle variante de l’arnaque du type « prince nigérian », de phishing, de spear phishing, etc. il existe toujours une solution pour minimiser les chances qu’elle réussisse.
Que faire en cas d’attaque cybercriminelle ?
Afin d’éviter ces pièges, le plus important est d’être vigilant lorsque vous recevez un e-mail non sollicité. Ne répondez jamais à ce type d’e-mail et surtout ne cliquez jamais sur un lien ; ne divulguez jamais vos informations personnelles à des inconnus et ne versez jamais d’argent à moins que vous soyez absolument certain que votre correspondant est légitime.
Si c’est trop tard, c’est-à-dire si vous avez déjà fait l’une des choses que nous avons évoquées, le mieux serait de déposer une plainte aux autorités compétentes en matière de cybercriminalité dans votre localité.
Si vous pensez être victime d’une escroquerie 419 en tant que mule financière, informez rapidement votre banque et signalez l’attaque aux autorités compétentes.
Les cybercriminels sont de plus en plus intelligents et c’est la raison pour laquelle vous devez être vigilant pour protéger vos appareils informatiques et vos données personnelles. Si vous êtes un propriétaire d’une entreprise, il est fortement recommandé d’utiliser un filtre web et une solution de protection de la messagerie électronique comme SpamTitan.
À propos de SpamTitan
Le spam est plus qu’une simple nuisance. Même si le nombre d’e-mails non sollicités reçus par vos employés est relativement faible, il peut représenter une ponction importante sur la productivité, notamment pour les organisations qui comptent des centaines ou des milliers d’employés. Mais les menaces de phishing comme l’arnaque au prince nigérian, les menaces de malwares et de ransomwares qui arrivent par les e-mails non sollicités sont bien pires que les heures perdues.
La messagerie électronique est désormais le premier vecteur d’attaque utilisé par les cybercriminels pour lancer diverses attaques et leurs méthodes sont de plus en plus sophistiquées pour duper les employés même les plus vigilants. C’est là que TitanHQ peut vous aider.
Des progrès considérables ont été réalisés par TitanHQ pour vous protéger des e-mails malveillants.
Comment SpamTitan peut-il protéger vos employés
SpamTitan peut traiter à la fois les e-mails entrants et sortants
SpamTitan est une couche de protection fiable que vous pouvez spécifier comme passerelle des e-mails entrants. Elle filtre les spams et les virus, puis transmet les e-mails aux serveurs de messagerie d’Office 365. Vous pouvez également utiliser SpamTitan comme passerelle pour les e-mails sortants. Ainsi, tous les messages électroniques sortants envoyés via votre compte Office 365 sont filtrés avant d’être transmis à leurs destinataires.
SpamTitan offre un contrôle supplémentaire pour les e-mails sortants
SpamTitan offre un contrôle supplémentaire pour les e-mails sortants qui n’est pas disponible dans Office 365. Par exemple, la solution garantit que vos domaines de messagerie ne sont pas utilisés par des spambots. C’est une fonctionnalité importante, car les fournisseurs d’accès à Internet bloquent les e-mails provenant d’adresses qui génèrent des spams. Imaginez donc ce qui pourrait arriver à votre entreprise si vous ne pouvez pas communiquer avec vos clients, et vice versa.
Filtrage dédié des e-mails avec un taux de capture et de protection global plus élevé
Comme vous le savez, le nombre et les variétés d’attaques lancées via les e-mails évoluent constamment. De nouvelles variantes de l’arnaque 419 et d’autres attaques cybercriminelles apparaissent chaque jour. SpamTitan offre une protection contre les menaces les plus courantes. La combinaison d’Office 365 et de SpamTitan se traduit par un taux de capture et de protection global plus élevé que celui des autres fournisseurs de solution de protection de la messagerie électronique.
Filtrage granulaire des e-mails
Les développeurs de TitanHQ s’attachent à fournir une solution de filtrage granulaire des e-mails. Par conséquent, les administrateurs peuvent configurer les paramètres pour l’ensemble de l’entreprise, mais les utilisateurs peuvent également affiner les filtres, par exemple par groupe d’utilisateur, voire par utilisateur.
SpamTitan dispose d’une fonctionnalité de personnalisation avancée
Il n’y a pas deux entreprises identiques. Il est donc possible que les e-mails qu’une entreprise peut considérer comme légitimes puissent être classés comme du spam par une autre organisation. Les fonctionnalités avancées de SpamTitan, telles que le filtre Advanced Content Control, permettent d’appliquer un ensemble de règles spécifiques à votre flux d’e-mails. De cette manière, vous ne recevez que les messages que vous voulez vraiment consulter et non ceux que vous ne devez pas voir. À noter que cette fonctionnalité de personnalisation avancée n’est pas disponible sur le filtrage standard d’Office 365.
Prévention des pertes de données des e-mails et des fichiers
Seule la version la plus coûteuse d’Office 365, Enterprise E3, offre une protection contre la perte de données pour la messagerie électronique et pour les fichiers. Mais la continuité des activités est une préoccupation pour les entreprises de toutes tailles.
L’infrastructure SpamTitan Private Cloud fournit une sauvegarde pour votre serveur de messagerie. SpamTitan maintient un cluster privé à 2 nœuds pour traiter les e-mails ; si un nœud tombe en panne, l’autre prend le relais pour continuer à filtrer les messages.
Chaque nœud est situé dans un centre de données différent, ce qui permet d’optimiser la sécurité des messages et données sauvegardées. De plus, le cloud privé de SpamTitan utilise la couche d’authentification et de sécurité simple (SASL) qui exige une identification lors de la connexion au réseau avant tout échange de données.
Enfin, pour une sécurité accrue, nous vous recommandons d’utiliser notre autre solution de filtrage web basée dans le cloud : WebTitan. Cette couche de protection supplémentaire peut filtrer l’accès à certains contenus web et empêcher vos employés d’accéder à des sites Internet connus pour héberger des malwares ou ceux qui contreviennent aux politiques d’utilisation acceptable de votre entreprise.
