Au cours des dernières semaines, il y a eu une augmentation significative des attaques de phishing dans le domaine de la santé, tant en termes de fréquence que de gravité des attaques. En juillet seulement, plus de 1,6 million de dossiers de santé ont été exposés à cause des attaques de phishing et celles-ci ne montrent aucun signe de ralentissement.
Il faut s’attendre à des attaques de phishing dans le secteur de la santé.
Les comptes de messagerie des employés dans ce domaine contiennent souvent des renseignements de nature très délicate. Ils peuvent être utilisés à de nombreuses fins néfastes comme la fraude fiscale, le vol d’identité pour obtenir des médicaments sur ordonnance et le vol d’identité pour obtenir des cartes de crédit et de prêts.
S’il est possible d’accéder au compte de messagerie d’un employé de la santé, des messages peuvent être envoyés aux autres employés de l’organisation à partir du compte compromis. Comme ces messages semblent provenir d’un véritable compte de messagerie au sein de l’organisation, ils sont moins susceptibles d’être bloqués et sont plus susceptibles d’obtenir une réponse.
En outre, lorsqu’un compte de messagerie est compromis, il y a une forte probabilité que l’accès à d’autres comptes soit obtenu.
L’Office for Civil Rights (OCR) du département de la Santé et des Services sociaux des États-Unis a publié un résumé de toutes les fuites de données relatives aux soins de santé, comprenant plus de 500 dossiers. Sur son portail, l’OCR a énuméré des centaines de cas d’attaques liées à la messagerie électronique, lesquelles ont été signalées depuis le début de la publication des résumés en 2009.
Bien qu’il y ait eu une augmentation importante des atteintes à la protection des données liées au phishing au cours des derniers mois, deux d’entre elles se sont révélées plus importantes. En juillet 2018, ces attaques ont été considérées comme les plus graves jamais signalées dans le domaine de la santé.
Les plus importantes attaques de phishing en juillet ont été signalées par l’Iowa Health System (UnityPoint Health), le Boys Town National Research Hospital et Confluence Health. Elles ont entraîné l’exposition de 1 421 107 dossiers, 105 309 dossiers et 33 821 dossiers respectivement.
Rien qu’au mois de juillet, 33 graves fuites de données ont été signalées à l’OCR. Ces violations comprennent l’accès non autorisé des employés à des dossiers de santé, la perte d’appareils contenant des renseignements électroniques sur la santé, l’élimination inappropriée de dossiers médicaux et la divulgation non autorisée de dossiers de santé par les employés.
Bien que les communications non autorisées soient souvent à l’origine de la majorité des atteintes à la protection des données, en juillet, ce sont les incidents de piratage par e-mail qui ont été à l’origine de 39% de toutes les attaques signalées. Ils auraient entraîné l’exposition et le vol de 1 620 318 renseignements personnels et sur la santé des patients.
L’e-mail reste le moyen le plus utilisé pour soutirer des renseignements médicaux divulgués, ce qui était le cas en juillet, de même que pour les attaques qui se sont produites en mars, en avril, en mai et en juin.
Les attaques de phishing à grande échelle dans le secteur de la santé se sont poursuivies en août. Ce mois-ci, Augusta University Health a signalé qu’une attaque de phishing avait entraîné l’exposition et le vol des RPI et RPS de 417 000 personnes. Lors de cette attaque, des pirates ont eu accès aux comptes de messagerie de 24 membres du personnel. Pour sa part, Legacy Health a rapporté que 38 000 dossiers ont été consultés par des pirates informatiques à la suite d’une attaque de phishing.
À cause de l’augmentation des menaces d’attaques de phishing et le coût élevé de l’atténuation de leurs effets, il est plus important que jamais pour les organismes de santé d’améliorer leurs moyens de défense contre le phishing.
TitanHQ offre aux organisations de soins de santé deux solutions de cybersécurité vitales qui peuvent aider à prévenir les attaques de phishing. Combinées à une sensibilisation continue à une formation antiphishing pour le personnel, elles peuvent réduire considérablement le risque de réussite d’une attaque de phishing.
SpamTitan est une solution avancée de filtrage de spams qui bloque 100 % des malwares connus et plus de 99,97 % des e-mails malveillants, en les empêchant d’atteindre les boîtes de réception des utilisateurs finaux. Des e-mails occasionnels peuvent également être envoyés dans leurs boîtes de réception, et c’est là que WebTitan devient utile.
Il s’agit d’une puissante solution de filtrage Web DNS qui bloque les tentatives des employés d’accéder à des sites Web de phishing connus, les empêchant ainsi d’accéder à des sites Web où ils risquent de divulguer à des pirates leurs identifiants de connexion.
Pour en savoir plus sur ces solutions et sur la façon dont elles peuvent être déployées dans votre établissement de soins et de santé, contactez dès aujourd’hui l’équipe commerciale de TitanHQ et faites un premier pas important pour améliorer la résilience de votre organisation face aux attaques de phishing.
Il existe de nombreuses solutions de cybersécurité que les fournisseurs de services (ESN ou SSII) peuvent ajouter à la pile de services qu’ils proposent à leurs clients. L’enjeu est que, s’ils sont incapables d’offrir une gamme complète de solutions de cybersécurité, cela peut s’avérer coûteux, car la demande de services est considérable.
Si les ESN n’arrivent pas à fournir ces services, leurs clients risquent de se tourner effectivement vers l’un de leurs concurrents. Par ailleurs, les fournisseurs de services offrent des solutions de cybersécurité préventive depuis de nombreuses années. Mais la concurrence dans ce domaine s’intensifie.
Les entreprises spécialisées en technologie de l’information (TI) — qui se concentraient auparavant sur la résolution de problèmes informatiques ou sur la prestation de services d’enquête concernant les atteintes à la protection des données — ont réalisé qu’il y avait beaucoup d’argent à gagner en fournissant des services de cybersécurité complets pour prévenir les problèmes. Un nombre croissant d’entreprises de l’IT ont maintenant pu tirer parti des atteintes à la protection des données et de la demande de solutions préventives de la part des PME, en offrant actuellement ces services.
Afin de capitaliser sur les opportunités de vente et de s’assurer que leurs clients ne cherchent pas ailleurs, les fournisseurs de services doivent s’assurer qu’ils offrent une gamme complète de solutions de cybersécurité. Des solutions qui protègeront leurs clients contre les nombreuses attaques cybercriminels de nos jours.
Heureusement, le passage des solutions matérielles aux services basés dans le cloud facilite la tâche des ESN. Non seulement elles sont moins chères pour les clients, mais elles sont aussi plus faciles à fournir et à gérer pour les ESN. Auparavant, le fait d’offrir des solutions pour prévenir les cyberattaques était peu pratique et celles-ci étaient peu rentables. Mais ce n’est plus le cas aujourd’hui.
Il existe de nombreuses solutions potentielles de cybersécurité pour les ESN. Mais le domaine en particulier où les fournisseurs de services mobiles peuvent tirer parti est celui des solutions de prévention des attaques de phishing.
Le phishing, c’est-à-dire l’obtention d’informations sensibles auprès des employés, est l’un des principaux moyens par lesquels les cybercriminels ont accès aux réseaux et aux données sensibles.
Les entreprises dépensent beaucoup d’argent en matière de sécurité réseau pour prévenir les attaques directes. Pourtant, les cybercriminels savent très bien que même des défenses de sécurité qui coûtent plusieurs millions de dollars peuvent être violées. Et sachez que la manière la plus simple pour les pirates d’accéder au réseau se fait à travers les employés.
Désormais, il est beaucoup plus facile pour les pirates de tromper un employé en lui demandant de télécharger des malwares, des ransomwares ; ou de révéler ses informations de connexion ou ses identifiants de connexion dans le but de rechercher des failles de sécurité ou d’utiliser des attaques par force brute. Il leur suffit qu’un e-mail de phishing parvienne à la boîte de réception de l’employé.
Les entreprises de formation antiphishing — offrant aux employés une formation de sensibilisation à la sécurité et qui leur apprennent à identifier les e-mails de phishing — savent très bien que la formation seule est inefficace. La raison est que certains d’entre eux ont du mal à mettre la formation en pratique.
Même si une formation de sensibilisation à la sécurité est offerte, les employés continueront d’ouvrir les pièces jointes aux e-mails provenant des étrangers et de cliquer sur les liens qui leur sont envoyés par messagerie électronique. De plus, les cybercriminels sont de plus en plus doués pour créer des e-mails qui permettent de cliquer sur des liens et d’ouvrir des pièces jointes contenant des malwares.
Nous avons déjà vu cette année (lors de la dernière saison fiscale) à quel point les e-mails de phishing peuvent être efficaces. L’an dernier, au moins 145 entreprises aux États-Unis ont envoyé par e-mail des formulaires W-2 de leurs employés à des fraudeurs. Cette année, il semble que la situation pourrait encore s’aggraver.
Un pourcentage élevé d’infections par des malwares se produit à la suite de spams infectés, soit par des pièces jointes à des e-mails (téléchargeurs), soit par des liens qui pointent vers des sites malveillants où des malwares qui sont téléchargés de façon discrète. Il en va de même pour de nombreuses infections de ransomwares.
Compte tenu du risque élevé d’attaque de phishing ou d’installation de malwares et de ransomwares qui volent des informations, les entreprises sont heureuses de payer pour des solutions gérées qui peuvent bloquer les e-mails de phishing, empêcher la livraison d’e-mails infectés et empêcher les employés de consulter des liens malveillants.
Les ESN peuvent tirer profit de ces services, puisqu’il existe des solutions basées dans le cloud et qui offrent le niveau de protection requis. L’ajout de ces solutions à la pile de services des ESN est facile. Les solutions basées sur le cloud et qui permettent aux entreprises de se protéger contre les infections de phishing, de malware ou de ransomware ne nécessitent aucun matériel ni visite sur les lieux. De plus, elles ne requièrent que très peu de frais de gestion.
TitanHQ peut fournir des solutions basées dans le cloud. Celles-ci peuvent être facilement incluses dans les piles de services des ESN. Les solutions de protection de la messagerie et de site Web de TitanHQ — SpamTitan et WebTitan — sont efficaces pour bloquer un large éventail de menaces par messagerie électronique et via le Web.
SpamTitan bloque plus de 99,97 % des spams. Il a un faible taux de faux positifs et bloque 100 % des malwares connus. Les boîtes de réception sont protégées contre le spam et les malwares. Un composant antiphishing empêche également les e-mails de phishing d’être envoyés aux utilisateurs finaux.
WebTitan offre une excellente protection contre les menaces sur le Web, protège les employés et les réseaux contre les téléchargements malveillants et les ransomwares et bloque les liens vers des sites Web malveillants.
Ces solutions peuvent être exécutées dans le cloud public ou privé et être fournies en marque blanche. De plus, les frais généraux de gestion sont minimes, ce qui permet aux ESN de générer de marges généreuses.
Si vous êtes un fournisseur de services et que vous souhaitez augmenter la gamme de services de cybersécurité que vous proposez à vos clients, appelez TitanHQ dès aujourd’hui et découvrez nos solutions de cybersécurité pour les ESN.
Avec nos solutions de cybersécurité pour les ESN, vous pouvez améliorer votre portefeuille de cybersécurité, offrir une valeur ajoutée à vos clients et améliorer votre résultat net.
La découverte d’une nouvelle d’une arnaque de phishing sur les services électroniques e-Services de l’IRS a incité cette agence du gouvernement fédéral des États-Unis à lancer ses conseils fiscaux sur la sensibilisation à la sécurité, avec un avertissement contre le phishing.
Nouvelle attaque de phishing signalée sur les e-Services de l’IRS
Les escroqueries fiscales de l’IRS n’ont rien de nouveau.
En fait, cette agence émet régulièrement des mises en garde contre les nouvelles arnaques par téléphone et par e-mail.
Les criminels conçoivent souvent de nouvelles escroqueries pour amener les consommateurs américains à divulguer des renseignements personnels. Toutefois, la récente escroquerie sur les services électroniques de l’IRS a visé les fiscalistes et tenté d’amener les utilisateurs à révéler leurs identifiants de connexion à la plateforme e-Services.
Comme c’est le cas pour la plupart des campagnes de phishing, un e-mail très réaliste a été envoyé pour demander que des mesures soient prises pour régler un problème nécessitant une attention urgente de la part de l’utilisateur. De nombreuses attaques de phishing menées contre l’IRS avertissent de la suspension immédiate d’un compte ; mais la dernière escroquerie sur les services électroniques de l’IRS a dit que c’est déjà fait. Afin de lever la suspension du compte, l’utilisateur doit cliquer sur le lien contenu dans l’e-mail et mettre à jour ses numéros d’identification de dépôt électronique (EFINs).
L’email se présente comme suit :
« Notre surveillance de compte a détecté des activités suspectes sur votre compte, et pour maintenir la sécurité, nous avons temporairement désactivé certaines fonctions sur votre compte ».
L’utilisateur dispose d’un lien sur lequel il doit cliquer pour réactiver toutes les fonctions de son compte. Après avoir cliqué sur ce lien, l’utilisateur est invité à vérifier son identité en entrant son nom d’utilisateur et son mot de passe.
Le lien contenu dans l’e-mail peut sembler authentique, mais il dirigera l’utilisateur vers un site Web de phishing qui va capturer son nom d’utilisateur et le mot de passe au fur et à mesure de la saisie.
L’accès aux services électroniques de l’IRS est potentiellement très lucratif pour les criminels. Ce service permet aux professionnels de la fiscalité d’offrir un certain nombre de services en ligne au nom de leurs clients.
L’accès à l’un de ces comptes peut fournir aux fraudeurs l’accès à une mine de données qui peuvent être utilisées pour commettre un vol d’identité et une fraude fiscale. Si l’accès au compte est obtenu, les criminels pourraient obtenir des détails sur les déclarations de revenus antérieures et d’autres détails sur le compte du client.
L’email semble avoir été envoyé à partir d’une véritable adresse email de l’IRS. Cette nouvelle escroquerie sur les services électroniques de l’IRS montre qu’on ne peut pas faire confiance aux adresses e-mail de l’expéditeur pour vérifier l’authenticité des e-mails.
Les professionnels de l’impôt ont été avertis de ne pas cliquer sur le lien contenu dans le courriel de phishing et de le supprimer.
L’IRS a indiqué aux utilisateurs ne jamais communiquer avec des individus par messagerie électronique, réseaux sociaux ou texto. L’agence ne demandera non plus aux utilisateurs de révéler leurs mots de passe.
Si votre entreprise s’abonne à Office 365 pour recevoir des e-mails, il y a de fortes chances que certains de vos utilisateurs aient reçu un e-mail de phishing au cours des deux dernières semaines. Dans ce cas, l’utilisateur reçoit un e-mail provenant de son propre compte de messagerie.
Un pirate explique ensuite qu’il a piraté le compte il y a plusieurs mois en interceptant un mot de passe que l’utilisateur avait saisi dans un site Web qu’il a visité.
Le pirate montre alors la preuve qu’il connaît le mot de passe en l’indiquant dans le message, avec l’adresse email de l’utilisateur.
La première partie de l’e-mail de phishing est présenté ci-dessous :
« Bonjour !
Je suis un hacker qui a piraté votre email et votre appareil il y a quelques mois.
Vous avez entré un mot de passe sur l’un des sites que vous avez visités, et je l’ai intercepté.
C’est votre mot de passe de [email de l’utilisateur] au moment du piratage : [mot de passe de l’utilisateur]. »
Naturellement, c’est un choc pour l’utilisateur, lequel se demande alors comment le pirate a pu envoyer un email en utilisant son propre compte de messagerie.
Ce qui est encore plus effrayant, c’est que l’utilisateur reconnaît fort probablement ses mots de passe comme celui qu’il utilise actuellement ou qu’il a utilisé dans le passé. L’utilisateur réfléchit alors à la possibilité de changer son mot de passe immédiatement jusqu’à ce qu’il lise le paragraphe suivant :
« Bien sûr, vous pouvez le changer et vous le ferez, ou vous l’avez déjà changé.
Mais ça n’a pas d’importance, mon logiciel malveillant l’a mis à jour à chaque fois.
N’essayez pas de me contacter ou de me trouver, c’est impossible, puisque je vous ai envoyé un email depuis votre compte. »
À ce stade, l’utilisateur va probablement contacter son service informatique. Bien que l’utilisateur ne doive pas s’inquiéter de cette tentative de phishing, le service IT de votre organisation le devrait, car ce genre d’e-mail n’a cessé de violer la sécurité d’Office 365 au cours du mois d’octobre 2018.
Il est apparu dans de nombreuses boîtes de réception, y compris celles des organisations qui paient les frais de licence supplémentaires « Advanced Threat Protection » contre les menaces.
Comment fonctionnent ces attaques de masse par e-mail ?
Comment le pirate peut-il envoyer un e-mail à partir du compte de l’utilisateur et connaître son mot de passe ? En réalité, il ne l’a pas vraiment fait.
C’est un exemple classique d’e-mail spoofing et, croyez-le ou non, n’importe qui peut le faire.
La façon la plus simple est d’aller sur un site Web tel que www.deadfake.com qui vous permet d’envoyer gratuitement de faux e-mails anonymes à n’importe qui, en vous faisant passer pour n’importe quelle personne que vous voulez.
Vous pouvez par exemple envoyer un e-mail à vos collègues en utilisant l’adresse e-mail de votre patron ou envoyer un e-mail à votre ami en vous faisant passer pour le président des États-Unis. Il existe de nombreux sites de ce genre, tels que http://www.sendanonymousemail.net/ et http://www.anonymailer.net/.
Naturellement, cette méthode n’est pas l’idéal pour les attaques par e-mail de masse. Pour les criminels qui veulent augmenter leurs efforts d’usurpation d’identité, ils se procurent souvent un ordinateur Unix configuré avec des services de messagerie. Ils génèrent ensuite un « from address » avec une ligne de code telle que :
Mail -a From:whatever@anydomain.com
Ce code crée un message avec la mention « whatever@anydomain.com » dans le champ « De ». Ils entrent ensuite l’objet et le contenu du message.
Mais qu’en est-il du mot de passe que le pirate a envoyé ? Comment a-t-il procédé pour obtenir cette information ? Ils ne l’ont certainement pas intercepté depuis un site web que vous avez visité.
Bien entendu, l’utilisateur l’a utilisé à un moment donné et le pirate l’a obtenu à partir des mots de passe déposés sur un forum du dark web.
Certaines personnes qui ont reçu ce genre d’e-mail de phishing rapportent avoir utilisé le mot de passe à un moment donné sur LinkedIn qui a été victime d’un vol de données il y a deux ans, avec plus de 117 millions de mots de passe.
Lorsque les grands sites, tels que LinkedIn ou Yahoo, subissent une telle attaque, les millions de mots de passe d’utilisateurs qui sont confisqués sont vendus, diffusés et utilisés pendant des années, comme c’est le cas dans l’exemple susmentionné.
C’est pourquoi vous ne devriez JAMAIS utiliser le même mot de passe pour tous vos sites Web. C’est aussi pour cette raison que vous devriez changer régulièrement votre mot de passe au cours d’une année.
Ainsi, le pirate ne saura rien d’autre à votre sujet qu’un ancien mot de passe qui, espérons-le, est complètement dépassé. Il ne pourra donc pas connaître les détails que le pirate a, par exemple, expliqués dans l’e-mail suivant :
« Via votre e-mail, j’ai téléchargé un code malveillant dans votre système d’exploitation.
J’ai sauvegardé tous vos contacts avec vos amis, collègues, parents et un historique complet de vos visites sur Internet.
J’ai aussi installé un cheval de Troie sur votre appareil et j’ai longtemps espionné pour vous.
Vous n’êtes pas ma seule victime, d’habitude je verrouille les ordinateurs et je demande une rançon.
Mais j’ai été frappé par les sites aux contenus intimes que vous visitez souvent. »
Le pirate tente ensuite d’effrayer l’utilisateur en lui faisant croire qu’il a des captures d’écran des contenus Web inappropriés qu’il a consultés.
Il menace d’envoyer ces captures d’écran à tous les contacts de l’utilisateur dans les 48 heures à moins que celui-ci ne lui paie 892$ en Bitcoin dans un portefeuille Bitcoin que le pirate lui communique ensuite.
Portefeuilles Bitcoin
Un élément essentiel que vous devez savoir à propos des portefeuilles Bitcoin est que vous pouvez voir le solde actuel de n’importe quelle adresse Bitcoin et le surveiller. Il suffit de faire une recherche sur le Web pour les sites qui vous permettent de le faire.
Au moment de la rédaction de cet article, ce compte Bitcoin particulier comptait 26 transactions au cours des trois derniers jours. Ce pirate utilise sans doute plusieurs portefeuilles de la CTB pour répandre ses attaques.
Bien que ce type d’attaque de phishing soit inoffensif, il peut causer beaucoup d’appréhension et de malaise chez les utilisateurs, surtout lorsqu’ils se sont effectivement livrés à des contenus Web inappropriés.
Il fait également perdre beaucoup de temps et de ressources de la part de votre équipe de support informatique, laquelle sera probablement très sollicitée dans plusieurs directions.
C’est pour cette raison qu’il est crucial d’utiliser une solution tierce de filtrage du spam avec Office 365. De plus en plus d’entreprises utilisent une solution complète de sécurité des e-mails conçue par un fournisseur spécialisé pour compléter les services de base de filtrage du spam offerts par Office 365.
Pourquoi ?
Parce qu’ils doivent le faire pour protéger leurs utilisateurs et leur réputation. La sécurité offerte par Office 365 n’est pas suffisante, car de nombreux pirates informatiques testent ce moyen de défense tous les jours.
Depuis 1999, SpamTitan a développé des systèmes de renseignements sur les menaces informatiques afin de réduire considérablement le risque d’une attaque réussie contre votre entreprise. Avec SpamTitan, vous réduisez grandement le risque que de nouvelles variantes d’e-mails malveillants pénètrent votre réseau. Contrairement à Microsoft, la sécurité est notre priorité, et c’est ce que nous faisons.
Les attaques de phishing et de malwares qui visent Office 365 vous préoccupent-elles ? Obtenez dès aujourd’hui une version démo personnalisée et gratuite de SpamTitan et découvrez comment il peut vous aider à sécuriser votre environnement Office 365.
Vous avez peut-être déjà entendu parler de la dernière arnaque par phishing sur Facebook qui a été lancée depuis quelques semaines.
Même si cette forme d’escroquerie semble sophistiquée et maligne, elle n’est pas vraiment effrayante. Les pirates l’utilisent pour voler non seulement vos identifiants Facebook, mais aussi les détails de votre connexion par courriel ainsi que les informations concernant votre carte de crédit.
Qu’est-ce que le phishing ?
Le phishing est une forme de fraude sur Internet. Il vise à voler des informations précieuses concernant les cartes de crédit, les coordonnées bancaires, les identificateurs de session et les mots de passe. Il utilise des spams, des sites Web malveillants, des courriels et des messages instantanés pour amener les gens à divulguer des informations sensibles.
La dernière arnaque de phishing par chat sur Facebook, rapportée dans le blog officiel de Kaspersky, concerne la fonction de chat sur Facebook. Une fois que votre compte est compromis avec succès, l’arnaqueur change le nom de ce compte pour celui de « Facebook security ».
Un message de chat est alors envoyé à votre liste des contacts, avertissant que leurs comptes seront fermés à moins qu’ils ne confirment à nouveau les détails de leurs comptes.
Devinez ce qui se passe ensuite ?
Comme il s’agit d’un message de sécurité Facebook, cela ne devrait créer aucun soupçon pour les utilisateurs. Pourtant, le message instantané contient un lien qui redirige les titulaires des comptes vers un site qui ressemble à Facebook.
Les victimes, sans méfiance, sont alors invitées à fournir les détails de leur compte, y compris les détails de leur connexion à Facebook. C’est aussi simple que cela, l’escroc a maintenant accès aux détails du compte de tous vos contacts Facebook, ce qui lui permet de passer à la prochaine partie de l’arnaque.
Cette attaque particulière demande également des mots de passe pour les courriels, ce qui laisse le fraudeur en position de force pour compromettre facilement plusieurs autres comptes… Comme si cela ne suffisait pas ! Kaspersky rapporte que cette attaque de phishing va encore plus loin, en demandant à vos contacts un paiement, ce qui donne à l’escroc l’accès aux détails de leurs cartes de crédit, y compris le code CSC/CVV.
Parfois, il est préférable de prendre un peu de recul, de respirer profondément et vous demander pourquoi un réseau social, qui d’ailleurs est gratuit, vous demanderait-il les détails de votre carte de crédit pour confirmer votre compte. Gardez à l’esprit qu’on ne devrait pas vous demander un numéro de CVV, sauf lorsque vous commandez quelque chose en ligne.
Par précaution, il est normal que vous soyez plus enclin à répondre aux messages de sécurité qui vous sont envoyés. Mais seriez-vous assez dupé pour vous faire avoir par ce type d’arnaque sur Facebook ?
Il s’agit certainement d’une escroquerie qui semble complexe, mais elle est facile à éviter puisqu’elle repose sur la croyance de la victime au faux message de sécurité Facebook.
Facebook, ou toute autre organisation digne de confiance, ne vous demandera pas les détails de votre carte de crédit comme moyen de prouver votre identité. On peut dire que l’approche est intelligente, mais comme ces attaques sont de nature malveillante, le mot le plus approprié est peut-être celui de « supercherie évoluée ».
Un petit conseil : Même si vous ne fournissez pas les informations concernant votre carte de crédit, votre compte Facebook ne sera pas fermé !
Les attaques de phishing tirent parti des vulnérabilités sur les réseaux sociaux
Il existe actuellement un grand nombre d’attaques cybercriminels. Bien entendu, Internet offre des avantages et des possibilités à tous, y compris les criminels. Et n’oubliez pas que les attaques de phishing tirent parti des vulnérabilités sur les réseaux sociaux.
Le fait que certaines entreprises ne prennent pas les mesures nécessaires pour se protéger contre les attaque sophistiquées est inquiétant. En effet, elles risquent de perdre d’importantes sommes d’argent en raison de la fraude, des dommages au réseau et de leur réparation.
Comme le dirait Sherlock Holmes : c’est élémentaire !
A cause une attaque de phishing et de malware réussie, tout votre système peut être en danger. Un réseau d’entreprise peut par exemple souffrir d’une infection par un malware lorsqu’un employé clique sur un lien bidon dans un message Facebook ou un autre site de réseautage social.
L’impact d’une attaque de malware réussie peut avoir des conséquences graves et à long terme telles que l’accès non autorisé à votre réseau, l’exposition des systèmes d’information de votre entreprise aux cyberattaques et l’exploitation des informations commerciales hautement confidentielles par des cybercriminels.
Un réseau non sécurisé est un maillon faible brisé qui permet aux attaquants de tirer profit de vos ressources internes. Ainsi, il est crucial de recommander à vos employés d’ignorer les messages suspicieux qui arrivent dans leur boîte de réception ou dans leur fil d’actualité.
En plus de faire preuve de bon sens sur l’utilisation d’Internet, assurez-vous que votre entreprise utilise également de puissants logiciels de filtrage Web et de sécurité des courriels. Cela pourrait mettre votre entreprise à l’abri des éventuelles attaques si un employé venait à se faire avoir par une arnaque par phishing.
Aujourd’hui, nous partageons avec Steve Havert, un professionnel expérimenté de l’informatique, d’autres informations précieuses sur la sécurité de la messagerie. Dans cet article, Steve s’intéresse à l’usurpation d’adresse électronique, l’outil souvent utilisé par les spammeurs pour diffuser des campagnes de phishing.
Depuis longtemps, l’usurpation d’adresse électronique (email spoofing) a été utilisée comme un moyen efficace pour les spammeurs d’atteindre leurs cibles. Bien qu’il existe des méthodes pour identifier une adresse d’email usurpée, aucune d’entre elles n’est parfaite. Les emails falsifiés risquent d’être considérés comme des spams.
Un email falsifié est simplement un email dont l’adresse de l’expéditeur a été falsifiée. Lorsqu’un destinataire reçoit le message, il croit qu’il vient d’une source connue et il est plus susceptible de l’ouvrir et de cliquer sur un lien dans le message ou d’ouvrir une pièce jointe.
Grâce à cette technique, les cybercriminels peuvent atteindre un certain nombre d’objectifs, notamment le phishing, l’installation de malwares, l’accès à des données confidentielles, etc. La dernière attaque la plus importante est « Locky ». Elle se propage le plus souvent par le biais des spams, dont la plupart sont déguisés en factures et utilisent souvent une adresse électronique usurpée.
La première fois que j’ai trouvé une adresse d’email usurpée, je dirigeais ma propre entreprise de conseil en IT qui offrait des services d’externalisation des IT aux petites entreprises. À l’époque, les plus grandes menaces provenant de l’ouverture d’emails malveillants étaient l’infection par des virus informatiques.
Mon client avait ouvert une pièce jointe à un email qu’il avait reçu d’un associé (du moins, c’est ce qu’il pensait) et avait libéré un virus. Le virus n’avait pas causé beaucoup de dommages, mais il avait transformé son ordinateur en spambot.
Qu’est-ce que le spoofing ?
La plupart des e-mails frauduleux peuvent facilement être détectés et il suffit de les supprimer pour y remédier. Cependant, certaines variétés d’e-mails de spams peuvent représenter des risques pour la sécurité et causer de graves problèmes. Par exemple, un e-mail malveillant peut prétendre provenir d’un site d’achat très connu et demander à son destinataire de fournir des données sensibles, comme son numéro de carte de crédit ou son mot de passe.
Mon client a soupçonné un problème lorsqu’il a commencé à recevoir une grande quantité de rapports non livrables (« Non-Deliverable Reports ») dans un court laps de temps. Son carnet d’adresses électroniques contenait un certain nombre d’adresses électroniques invalides et les spams générés par son ordinateur étaient renvoyés par les serveurs des adresses invalides. Il était surpris que son associé ait envoyé un email infecté.
Il a communiqué avec l’associé pour l’avertir que l’ordinateur de son associé était infecté. Pourtant, lorsque ce dernier a analysé plusieurs virus, il n’a rien trouvé.
Au moment où mon client m’avait appelé, il était déconcerté. Dès que j’ai regardé l’en-tête de l’email offensant, j’ai réalisé ce qui s’était passé. Je lui ai expliqué le concept de l’usurpation d’adresse électronique. Il ne croyait pas que quelqu’un ait pu falsifier l’adresse électronique de l’expéditeur.
Comment l’usurpation d’identité par email a évolué et est devenue plus risquée ?
Je pense parfois à ces moments comme au bon vieux temps. Les types d’attaques que mes clients ont subies avaient tendance à causer des dommages minimes.
La plupart du temps, ils commençaient à recevoir des popups ennuyeux ou leur ordinateur commençait à ralentir quand un moteur de spambot commençait à envoyer des emails à tout le monde dans leur carnet d’adresses, ou encore lorsqu’un programme en arrière-plan téléchargeait l’historique de navigation vers un serveur situé quelque part.
Les raisons de l’usurpation d’identité par e-mail ont évolué. Outre le phishing, les pirates d’aujourd’hui utilisent l’usurpation d’adresse électronique pour les principales raisons suivantes :
Cacher leur véritable identité lorsqu’ils envoient des spams à leurs cibles ;
Contourner les filtres antispam ainsi que les listes de blocage. Pour minimiser cette menace, les utilisateurs peuvent bloquer les adresses de protocole Internet (IP) et les fournisseurs d’accès Internet (FAI) ;
Se faire passer pour une personne fiable, comme un collègue ou un collaborateur, pour soutirer des informations confidentielles ;
Se faire passer pour une organisation de confiance, telle qu’une société financière pour obtenir+ l’accès aux données de cartes de crédit ;
Commettre un vol d’identité. Pour ce faire, les escrocs peuvent se passer pour une victime ciblée et demander des informations personnelles identifiables ;
Nuire à la réputation d’une personne ou d’une organisation ;
Diffuser des malwares cachés dans des pièces jointes ;
Mener une attaque de type « man-in-the-middle » (MitM) pour pouvoir s’introduire entre la communication entre deux personnes ou deux dispositifs pour s’emparer des données sensibles de leurs victimes ;
Obtenir l’accès à des informations critiques collectées par des fournisseurs tiers.
Quelle est la différence entre le phishing, l’usurpation d’identité et l’usurpation de domaine ?
Les pirates informatiques utilisent l’usurpation d’identité pour mener une attaque de phishing. Le phishing, quant à lui, est une méthode qui leur permet d’obtenir des données en falsifiant une adresse électronique et en envoyant des e-mails qui semblent provenir d’une source de confiance. L’objectif étant d’inciter les victimes à cliquer sur un lien ou à télécharger une pièce jointe malveillante conçue pour installer un malware sur leur système.
Le spoofing est aussi lié à l’usurpation d’identité de domaine. Le principe consiste à utiliser une adresse électronique similaire à une autre adresse e-mail. Lors d’une usurpation de domaine, un e-mail peut provenir d’une adresse telle que customerservice@apple.com. Pour duper les utilisateurs finaux, les pirates peuvent utiliser l’adresse du faux expéditeur qui l’air authentique, comme customerservice@apple.co.
Une catastrophe coûteuse
Parfois, il y avait un désastre coûteux, par exemple lorsque l’ordinateur d’un client était infecté par le virus ILOVEYOU (attaché à un email usurpé). Ce virus écrasait plusieurs centaines de fichiers avant que le client ne se rende compte qu’il y avait un problème.
L’une des choses les plus étranges s’est passé le 5 mai 2000. La plupart des téléphones de professionnels de la sécurité se sont mis à sonner. Ces appels provenaient de personnes qui voulaient désespérément de l’aide. Elles signalaient un virus qui faisait rage dans leurs systèmes qui détruisaient et corrompaient leurs données au passage. La plus grande question pour tout le monde à ce moment était de savoir comment une telle chose pourrait arriver à quelqu’un.
En fait, la réponse a été la même pour tous. L’un de leurs employés avait reçu un e-mail dont l’objet était « ILOVEYOU ». Le message était « veuillez vérifier la LOVELETTER ci-jointe venant de moi ». Lors de cette arnaque, la pièce jointe semblait être un fichier texte. Cependant, il s’agissait d’un programme exécutable qui se faisait passer pour un fichier texte. Très rapidement, le virus a pris le contrôle. Il téléchargeait des copies de lui-même aux contacts du carnet d’adresses électroniques de la victime. Les destinataires pensaient qu’il s’agissait d’une blague ou d’une déclaration d’amour sérieuse et ont ouvert la pièce jointe. À chaque clic, le virus continuait à se propager.
ILOVEYOU aurait infecté des dizaines de millions d’ordinateurs dans le monde et causé des milliards d’euros de dommages. Une fois qu’une machine était infectée, il analysait le carnet d’adresses de Windows et envoyait ensuite des copies de lui-même à chaque contact de la liste. Il utilisait à son avantage le manque de sécurité de la messagerie électronique et a pu se faire passer pour une pièce jointe légitime envoyée par une connaissance connue. C’est grâce à cette simple tactique d’ingénierie sociale que le virus a réussi à se propager rapidement et efficacement dans le monde entier.
Si ce dernier avait sauvegardé son ordinateur sur une base régulière comme je lui avais recommandé, il n’y aurait pas eu de désastre. Mais comme le dit le proverbe : « On peut emmener le cheval à l’abreuvoir, mais on ne peut pas le forcer à boire. »
Aucune entreprise n’est à l’abri de la perte de données
Les risques liés aux emails usurpés et malveillants sont de plus en plus nombreux aujourd’hui et les individus concernés peuvent perdre leur sécurité financière en raison du vol d’identité.
Les bases de données des organisations peuvent contenir des numéros de sécurité sociale, des informations de leur carte de crédit, des dossiers médicaux, des numéros de comptes bancaires, etc.
Lorsque ces informations sont exploitées par des cybercriminels, cela peut entrainer des milliards de dollars de dommages et intérêts, non seulement pour l’organisation, mais aussi pour les personnes concernées.
Les petites entreprises victimes des emails malveillants peuvent ainsi subir d’importants dommages financiers.
J’ai eu un client qui a perdu plusieurs centaines de fichiers à cause d’un virus qui s’est manifesté sous la forme d’une pièce jointe usurpée à un email. Il s’agissait de fichiers actualisés qui étaient essentiels à un projet sur lequel l’entreprise travaillait, mais qui n’avaient pas encore été sauvegardés. Il n’avait pas d’autre choix que de recréer les documents à partir de zéro ou à partir des versions plus anciennes, ce qui lui coûtait plusieurs milliers de dollars en heures supplémentaires.
Cela dit, aucune entreprise n’est donc à l’abri de la perte de données, et sachez que les petites entreprises sont souvent celles qui souffrent le plus.
Comment se protéger contre le spoofing ?
Malgré le fait qu’il soit relativement facile de se protéger contre les emails frauduleux, c’est toujours une technique courante utilisée par les spammeurs et les cybercriminels. Et sachez qu’il faut un certain effort, et donc de l’argent, pour lutter contre l’usurpation d’identité par email. C’est probablement la raison pour laquelle de nombreuses petites entreprises ne prennent pas les précautions nécessaires.
Sur ce point, voici dix conseils que je donne souvent à mes clients :
1. Déployer une passerelle de sécurité du courrier électronique
Les passerelles de sécurité du courrier électronique protègent les entreprises en bloquant les e-mails entrants et sortants qui présentent des éléments suspects ou ne respectent pas les politiques de sécurité mises en place par l’entreprise. Certaines passerelles offrent des fonctions supplémentaires, mais toutes peuvent détecter la plupart des malwares, des spams et des attaques de phishing.
2. Utiliser un logiciel antimalware
Les logiciels peuvent identifier et bloquer les sites web suspects ; détecter les attaques par usurpation d’identité et arrêter les e-mails frauduleux avant qu’ils n’atteignent les boîtes de réception des utilisateurs finaux.
3. Utiliser le chiffrement pour protéger les e-mails
Un certificat de signature d’e-mail chiffre les e-mails, permettant uniquement au destinataire prévu d’accéder au contenu. Dans le cas d’un chiffrement asymétrique, une clé publique chiffre l’e-mail tandis qu’une clé privée appartenant au destinataire déchiffre le message. Une signature numérique supplémentaire peut garantir au destinataire que l’expéditeur est une source valide. Dans les environnements qui ne disposent pas d’un système de chiffrement général, les utilisateurs peuvent apprendre à chiffrer les pièces jointes des messages électroniques.
4. Utiliser des protocoles de sécurité du courrier électronique
Les protocoles de sécurité de la messagerie électronique basés sur l’infrastructure peuvent réduire les menaces et le spam en utilisant l’authentification du domaine. En plus des protocoles SMTP et SPF, les entreprises peuvent utiliser DomainKeys Identified Mail (DKIM) pour fournir une autre couche de sécurité avec une signature numérique. Le protocole Domain-based Message Authentication, Reporting and Conformance (DMARC) peut également être mis en œuvre pour définir les mesures à prendre lorsque les messages ne répondent pas aux critères DKIM et SPF.
5. Utiliser la recherche d’adresse IP inversée pour authentifier les expéditeurs
Une recherche d’adresse IP inversée confirme que l’expéditeur apparent est le vrai et vérifie la source de l’e-mail en identifiant le nom de domaine associé à l’adresse IP. Les propriétaires de sites web peuvent également envisager de publier un enregistrement du système de nom de domaine (DNS) qui indique qui peut envoyer des messages électroniques au nom de leur domaine. Les e-mails sont alors inspectés avant que leurs contenus ne soient téléchargés et peuvent être rejetés avant de causer un quelconque dommage.
7. Faites attention aux éventuelles adresses électroniques usurpées
Les adresses électroniques avec lesquelles les utilisateurs communiquent sont souvent prévisibles et familières. Les personnes peuvent apprendre à se méfier des adresses électroniques inconnues ou étranges et à vérifier l’origine d’un e-mail avant d’y répondre. Les escrocs utilisent souvent les mêmes tactiques plusieurs fois. Les utilisateurs doivent donc rester vigilants.
8. Évitez d’ouvrir les pièces jointes étranges ou de cliquer sur des liens inconnus
Les utilisateurs doivent se tenir à l’écart des pièces jointes et des liens suspects. La meilleure pratique consiste à examiner chaque élément d’un e-mail, en recherchant les signes révélateurs (fautes d’orthographe, extensions de fichiers inconnues, etc.,) avant d’ouvrir un lien ou une pièce jointe.
9. Surveiller les e-mails
Désignez quelqu’un — si ce n’est pas un employé, engagez un partenaire externe IT — pour surveiller et administrer le système d’email, y compris le filtre antispam. Ce n’est pas une tâche triviale, car la fonctionnalité de messagerie électronique change, les nouvelles menaces évoluent constamment et les adresses électroniques évoluent fréquemment en raison des changements de personnel.
Les adresses électroniques avec lesquelles les utilisateurs communiquent sont souvent prévisibles et familières. Les personnes peuvent apprendre à se méfier des adresses électroniques inconnues ou étranges et à vérifier l’origine d’un e-mail avant d’y répondre. Les pirates utilisent souvent les mêmes tactiques plusieurs fois, les utilisateurs finaux doivent donc rester vigilants.
10. Former les employés à la cyberconscience
En plus des mesures antispoofing logicielles, les entreprises doivent encourager la prudence des employés, en leur enseignant la cybersécurité et la manière de reconnaître les éléments suspects et de se protéger. De simples formations peuvent fournir aux employés des exemples d’usurpation d’adresse électronique et leur donner la capacité de reconnaître et de gérer les tactiques d’usurpation, ainsi que les procédures à suivre lorsqu’une tentative d’usurpation est découverte. La formation doit être continue afin que le matériel et les méthodes puissent être mis à jour à mesure que de nouvelles menaces apparaissent.
Que pouvez-vous dire pour conclure ?
Sensibilisez vos employés à l’usurpation d’adresse électronique et aux autres techniques utilisées par les spammeurs et les cybercriminels. Formez-les sur ce qu’il faut rechercher lors de l’analyse de leur boîte de réception afin qu’ils puissent rapidement identifier les emails malveillants potentiels. Donnez-leur une ressource qui peut les aider à décider lorsqu’ils ne sont pas sûrs qu’un email soit malveillant.
Le courrier électronique est un outil de communication professionnelle indispensable et extrêmement utile. Malheureusement, comme il est tellement utilisé, il constitue une cible facile pour les cybercriminels.
Pour un utilisateur lambda de courrier électronique, il est difficile de repérer un email malveillant parmi les centaines ou les milliers d’emails qui arrivent dans sa boîte de réception. C’est pourquoi il est devenu si important pour les organisations d’allouer les ressources et les fonds nécessaires pour protéger leur personnel et leur organisation contre toutes les menaces provenant d’un message qui semble provenir d’une source connue.
