Tout le monde sait que les escrocs utilisent des emails malveillants pour inciter leurs cibles à se laisser prendre par des campagnes de phishing. Cependant, la plupart des personnes ciblées ne sont pas familières avec ce type d’attaque.
Même lorsque les utilisateurs connaissent les campagnes de phishing, ils ne savent toujours pas comment les identifier et éviter de devenir une victime.
Une récente campagne de phishing consiste à envoyer des emails liés au COVID pour inciter les utilisateurs à divulguer leurs données personnelles. En réalité, le but de cette campagne est de voler l’identité des patients vaccinés.
Emails de vaccins contre le COVID à la marque du NHS
En raison de la pandémie, le monde entier se précipite actuellement pour se faire vacciner afin de pouvoir profiter de ses étés et de contribuer à accélérer l’immunité collective. Certains pays exigent une preuve de vaccination pour franchir leurs frontières, ce qui motive fortement les voyageurs à se faire vacciner. L’anxiété et la pression exercée sur les voyageurs pour qu’ils se fassent vacciner constituent un levier pour les auteurs d’attaques de phishing.
La peur et le sentiment d’urgence sont des avantages pour les escrocs. Cela joue en leur faveur et trompe même les utilisateurs éduqués sur le plan technologique. Avec cette dernière attaque de phishing, les escrocs utilisent les logos et la marque du National Health Service (NHS) pour donner à leurs messages électroniques une apparence légitime. Le message de phishing informe les utilisateurs ciblés qu’ils ont été sélectionnés pour recevoir le vaccin.
En utilisant le logo du NHS, le message électronique demande diverses informations privées, telles que le nom, les dates de naissance et les détails de la carte de crédit, afin de pouvoir programmer le vaccin. Bien entendu, aucune de ces informations n’est nécessaire et les patients doivent prendre rendez-vous pour se faire vacciner auprès d’un prestataire de soins agréé. Si les patients n’identifient pas le message comme étant malveillant, ils divulguent leur identité à l’expéditeur, et ces détails peuvent être utilisés pour ouvrir des comptes financiers ou être vendus sur les marchés du darknet.
Les attaques de phishing reposent sur l’erreur humaine
L’erreur humaine est le meilleur atout d’un attaquant. Elle est à l’origine d’un grand nombre de violations de données dans le monde. Cette attaque de phishing cible les particuliers pour leurs informations privées, mais les ransomwares sont également courants. Ces deux types d’attaques permettent aux escrocs de toucher des sommes importantes, et le phishing est le moyen le plus courant de tromper les utilisateurs pour qu’ils tombent dans le piège de l’escroquerie.
Selon les experts, les attaques de phishing exploitant les craintes liées à la vaccination contre le COVID ont augmenté de 350 % cette année, ce qui en fait l’une des plus grandes campagnes à ce jour.
Comme la plupart des gens ont peur des problèmes liés au COVID, la campagne de phishing utilise la peur pour susciter un sentiment d’urgence, ce qui entraîne des erreurs humaines. Même les utilisateurs familiarisés avec le fonctionnement des campagnes de phishing pourraient tomber dans le panneau, car la peur est un avantage pour les escrocs qui utilisent le phishing comme principal vecteur d’attaque.
Les filtres de messagerie empêchent les escroqueries par phishing
Les administrateurs de Gmail de Google affirment bloquer chaque jour 240 millions d’escroqueries liées au COVID. Les filtres de messagerie constituent donc une défense de premier plan contre les campagnes de phishing.
Au lieu de compter sur l’intervention humaine pour stopper l’attaque, les filtres de messagerie éliminent les emails malveillants avant même qu’ils n’atteignent la boîte de réception du destinataire ciblé. Cela permet de stopper la plupart des campagnes de phishing et de protéger les personnes qui, autrement, se laisseraient prendre au piège de l’escroquerie.
L’élimination des courriels frauduleux envoyés à des particuliers est une bonne chose pour les comptes personnels, mais la suppression automatique des courriels dans un contexte professionnel peut créer des problèmes dus à de faux positifs.
Si un faux positif supprime des messages importants, cela entraîne des interruptions dans les communications professionnelles, les contrats, les délais et d’autres flux de travail critiques pour la productivité.
Au lieu d’ignorer ou de supprimer les emails dans un environnement professionnel, les filtres de messagerie devraient mettre en quarantaine les messages suspects. En mettant les messages en quarantaine, les administrateurs peuvent alors les examiner pour y déceler tout contenu suspect. Si le contenu s’avère légitime et que la mise en quarantaine du message était un faux positif, les administrateurs peuvent alors le transmettre au destinataire prévu. Si le message est considéré comme malveillant, les administrateurs peuvent examiner les autres messages mis en quarantaine pour déterminer si l’organisation est ciblée par une quelconque attaque.
En combinaison avec les filtres de contenu, les organisations réduisent le risque d’être la prochaine victime d’une attaque. Ces messages liés aux vaccins du NHS contiennent des informations convaincantes qui ressemblent à un message légitime. Il n’est donc pas surprenant que de nombreuses victimes ciblées continuent de se laisser prendre au piège des campagnes de phishing.
Les utilisateurs doivent savoir qu’aucun message légitime ne demandera de données privées sensibles, surtout par courrier électronique.
Une façon de traiter les messages de phishing est d’appeler la source de la marque pour valider sa légitimité, mais cela est fastidieux et n’est pas efficace dans un contexte professionnel. Au lieu de cela, les entreprises peuvent utiliser des filtres qui exploitent l’intelligence artificielle pour s’assurer que ces messages malveillants n’atteignent jamais le destinataire prévu.
Il suffit d’un seul courriel de phishing réussi pour nuire à une entreprise, que ce soit parce que la victime divulgue des informations privées à l’attaquant ou que l’utilisateur exécute un malware sur le réseau. Avec les filtres de messagerie en place, vous ne vous soucierez plus de l’erreur humaine et vous vous fierez à la technologie pour détecter et bloquer les attaques.
Le filtrage des emails de SpamTitan fournit une couche protectrice de sécurité aux clients d’Office 365 pour bloquer les spams, les virus, les malwares et les ransomwares. Réduisez le risque d’erreur humaine qui peut entraîner des violations de données avec SpamTitan. Faites un essai de 14 jours pour voir des résultats immédiats. Commencez l’essai gratuit de 14 jours dès maintenant.
Les données relatives aux soins de santé font partie des dossiers les plus précieux pour les escrocs. Chaque dossier contient des informations de contact, des numéros de sécurité sociale et potentiellement des comptes financiers.
Un attaquant pourrait vendre ces informations sur le darknet ou les utiliser dans le cadre d’une usurpation d’identité pour différentes raisons.
Quelle que soit la motivation des pirates informatiques, ces dossiers sont une cible de choix pour eux, et les campagnes de phishing visent à faire des prestataires de soins de santé les prochaines victimes.
Des millions de dossiers médicaux volés par le phishing
Depuis la pandémie, de plus en plus de personnes se préoccupent de leur santé ; se rendent dans les hôpitaux pour les tests COVID et souhaitent se faire vacciner. Les hôpitaux ont été submergés de patients et d’employés fatigués, ce qui a entraîné une vulnérabilité supplémentaire due aux erreurs humaines.
Les campagnes de phishing tirent parti des erreurs humaines et de l’incapacité d’un employé à remarquer les signaux d’alarme. Pour eux, les employés fatigués sont de meilleures cibles, et ils sont conscients des nombreux problèmes rencontrés dans les hôpitaux pendant le COVID et les fermetures pour cause de pandémie.
En 2021, des millions de dossiers de patients ont été volés, principalement lors d’attaques de phishing. Le prestataire de soins de santé New York American Anesthesiology a été par exemple victime d’une campagne de phishing qui a touché plus de 1,3 million de patients.
Le ministère de la Santé et des Services sociaux a également été victime d’une attaque au cours de laquelle environ 9,4 millions de dossiers des patients ont été exposés à des escrocs.
Tout prestataire de soins de santé responsable d’une violation de données doit en informer les patients, conformément à la loi de 1996 sur la portabilité et la responsabilité en matière d’assurance maladie (HIPAA).
Le Department of Health and Human Services (ministère de la Santé et des Services sociaux) a mis en place une page web où les incidents peuvent être signalés, et les patients peuvent vérifier quand et où la violation s’est produite afin de savoir s’ils pourraient être la prochaine cible d’un vol d’identité.
Depuis le 1er janvier 2021, de nombreuses autres attaques par ransomware et de phishing ont été à l’origine de violations de données dans le secteur de la santé.
Comme les dossiers médicaux contiennent des informations personnellement identifiables, ils ont de la valeur sur le darknet. Tout patient qui pense que ses données ont été divulguées doit surveiller ses rapports de crédit et être à l’affût des courriels de phishing destinés à faire plus d’argent sur le dos de la victime.
Protéger le courrier électronique professionnel contre le phishing
Les campagnes de phishing peuvent être ciblées sur des individus avec des attaques à haut niveau de privilèges, ou elles peuvent être aléatoires lorsque des millions d’utilisateurs reçoivent le même email.
Les attaques non ciblées privilégient la quantité à la qualité. Les escrocs espèrent qu’un petit pourcentage de personnes se laissera prendre au message de phishing. Avec une seule campagne, et même avec un faible pourcentage de victimes, ils peuvent toutefois générer des milliers d’euros de revenus.
Les campagnes de spear-phishing sont beaucoup plus ciblées et efficaces. Les pirates choisissent d’envoyer moins de messages électroniques aux utilisateurs ciblés, mais la campagne peut être beaucoup plus puissante.
Avec un compte à haut niveau de privilège ou l’installation réussie d’un ransomware, un attaquant peut gagner des millions grâce à ses efforts.
Lors d’une attaque de ransomware qui cible les organisations, les pirates peuvent demander des milliers d’euros en échange de clés privées pour déchiffrer les données. Ils peuvent également utiliser les informations d’identification qu’ils ont volées pour exfiltrer des données des serveurs de l’organisation.
Ces deux types de campagnes de phishing nuisent à la réputation d’un établissement de soins et de santé ainsi qu’à la confidentialité des données de ses patients.
C’est pour cette raison que les prestataires de soins de santé et les autres organisations doivent prendre plusieurs mesures pour protéger les utilisateurs contre le phishing.
Les utilisateurs n’ont pas la formation nécessaire pour identifier les campagnes de phishing, mais même les administrateurs informatiques sont victimes de ces attaques.
La meilleure façon de protéger les utilisateurs est d’empêcher les messages malveillants d’atteindre les boîtes de réception des destinataires ciblés. Cela peut se faire à l’aide de filtres de messagerie.
La cybersécurité sur les serveurs de messagerie est la première défense contre le phishing. Les filtres de messagerie qui exploitent l’intelligence artificielle fonctionnent encore mieux pour détecter les messages malveillants et les mettre en quarantaine avant qu’ils n’atteignent la boîte de réception du destinataire ciblé.
Même si les emails sont mis en quarantaine, ils sont toujours accessibles aux administrateurs pour examen, mais ils sont inaccessibles aux utilisateurs standards qui pourraient ne pas se rendre compte qu’un message est malveillant.
Les pièces jointes sont souvent utilisées pour inciter les utilisateurs à installer des ransomwares sur le réseau de votre organisation.
Les ransomwares constituent une autre attaque dangereuse visant la confidentialité et l’intégrité des données. Les pirates l’utilisent souvent contre les prestataires de soins de santé, sachant qu’ils peuvent paralyser les flux de travail et la productivité de votre organisation.
Sachez que les systèmes de cybersécurité du courrier électronique peuvent détecter les pièces jointes qui pourraient contenir des macros utilisées pour télécharger des ransomwares et les installer sur les systèmes de votre organisation.
Une cybersécurité multicouche est essentielle pour protéger le secteur de la santé contre les menaces avancées telles que le phishing et les ransomwares.
Sans une approche de cybersécurité à plusieurs niveaux, d’autres prestataires de soins de santé pourraient être victimes de la prochaine grande violation de données.
En utilisant le bon filtre de courrier électronique et les filtres de contenu web, vous pouvez réduire les risques liés aux erreurs humaines et confier la détection des campagnes de phishing aux contrôles de cybersécurité.
Un filtre d’email détecte les messages, met en quarantaine les emails suspects. Il donne également plus de contrôle aux administrateurs pour les permettre de les examiner à la recherche de contenu malveillant. Si l’administrateur détermine que le message mis en quarantaine est un faux positif, il peut alors le transmettre au destinataire prévu.
Ces contrôles permettent de stopper de nombreuses campagnes de phishing et de réduire les risques que votre organisation devienne la prochaine victime d’une violation de données médicales.
TitanHQ offre une sécurité multicouche avancée pour protéger votre organisation contre les ransomwares, les attaques de phishing et les violations de données.
Contactez l’un de nos experts en cybersécurité dès aujourd’hui pour savoir comment nous pouvons protéger votre organisation.
Les cybercriminels ont trouvé de nouveaux moyens de cibler leurs victimes avec de faux prêts PPP grâce à une campagne de phishing.
À la suite de la pandémie et du blocage de nombreuses entreprises par le COVID-19, les entreprises américaines se sont vu offrir un moyen de rester à flot sous la forme d’un prêt PPP.
Le « Paycheck Protection Program » est un prêt d’urgence mis en place par le gouvernement américain et destiné aux petites entreprises exerçant aux États-Unis pour les aider à stabiliser leurs charges salariales et d’autres coûts commerciaux.
En fait, les banques et autres prêteurs accordent des fonds aux entreprises en fonction de leur chiffre d’affaires, de leur taille et du nombre d’employés. Même les petites entreprises ont pu obtenir un prêt PPP pour les aider à couvrir leurs salaires et autres dépenses.
Pour s’attaquer aux propriétaires d’entreprises désespérées, les auteurs de phishing ont créé une campagne qui leur promettait un prêt PPP lorsqu’ils cliquaient sur un lien où les attaquants pouvaient recueillir des informations sensibles sur eux.
Comment fonctionne cette arnaque de phishing ?
Comme de nombreuses petites entreprises avaient besoin de prêt PPP pour couvrir leurs dépenses, les pirates pouvaient choisir parmi des millions de cibles. Même les indépendants ayant une petite entreprise pouvaient prétendre à un prêt, à condition d’avoir des revenus et de remplir certains documents.
Il est courant que les attaques de phishing jouent sur la peur de l’avenir et le sentiment d’urgence d’obtenir un financement des utilisateurs ciblés, et le prêt PPP était le moyen idéal pour les inciter à divulguer des informations sensibles.
L’email contenait un lien vers un formulaire Microsoft Office dans lequel les utilisateurs étaient invités à fournir leur numéro de sécurité sociale, leur nom et leur date de naissance. Ces informations peuvent être utilisées pour ouvrir des comptes de carte de crédit et d’autres comptes financiers.
Dans des circonstances normales, n’importe quel destinataire de l’email de phishing aurait pu comprendre que ledit formulaire Office pouvait être malveillant. Mais cette fois, les attaquants ont joué sur les craintes et le sentiment d’urgence des propriétaires d’entreprises pour obtenir un soutien financier.
Pour rendre la chose plus crédible, les escrocs ont également demandé des informations sur l’entreprise, telles que les revenus, le coût des opérations et le coût des marchandises et des fournitures nécessaires au fonctionnement de l’organisation.
Si un utilisateur professionnel examinait les qualifications et les documents demandés, la proposition pourrait lui sembler légitime et nécessaire. De plus, les questions qui ont été posées ont donné à l’attaque de phishing un sentiment de légitimité.
Comme de nombreuses attaques de phishing, l’adresse de l’expéditeur était un domaine malveillant qui ressemblait au domaine officiel du gouvernement, à savoir payments@sba.pppgov.com.
Là encore, sans le sentiment d’urgence, un quelconque destinataire qui regarde minutieusement l’adresse pourrait remarquer que le domaine de l’expéditeur se termine par le suffixe « .com » plutôt que par l’extension officielle du gouvernement « .gov ». Néanmoins, l’attaque a joué sur la peur de l’avenir et le besoin de soutien financier des destinataires du message.
Vol d’informations d’identification Microsoft Office
Outre le vol d’informations sensibles, l’objectif principal de l’attaque était d’obtenir les informations d’identification d’utilisateurs sans méfiance de Microsoft Office. Lorsque les utilisateurs cliquent sur un lien dans le message de phishing, une page de connexion Microsoft Office usurpée leur était présentée.
En règle générale, les utilisateurs ne devraient jamais saisir d’informations d’identification après avoir cliqué sur un lien dans un email, mais beaucoup d’entre eux ne respectent pas cette norme de cybersécurité. Ils saisissent leurs informations d’identification après avoir ouvert une page web malveillante à partir d’un email de phishing.
Les utilisateurs peuvent éviter ce type d’attaque en tapant simplement le soi-disant site intégré au message dans leur navigateur, plutôt que de saisir des informations d’identification à partir du lien fourni dans le message. En fait, il s’agit d’une méthode courante pour les inciter à divulguer des données sensibles, notamment des informations d’identification.
Plusieurs attaques de phishing utilisent également des graphiques et des mises en page de pages de destination usurpées qui imitent un site officiel d’une marque connue comme Microsoft, PayPal, Google et des institutions bancaires.
Un autre moyen d’éviter d’être victime de ce type d’attaque est d’utiliser l’authentification à deux facteurs. Même si les utilisateurs les plus avertis se laissent parfois prendre au piège d’une attaque de phishing, l’authentification à deux facteurs peut empêcher les attaquants de s’authentifier sur un compte avec un mot de passe volé.
Bien qu’il ne faille pas vous fier entièrement à l’authentification à deux facteurs pour vous protéger des escroqueries de phishing, sachez qu’elle ajoute une couche de cybersécurité à vos comptes au cas où vos informations d’identification seraient exposées.
Protéger les emails avec des filtres web
Les filtres de messagerie électronique bloquent la plupart des campagnes de phishing courantes. Comme cette campagne cible les entreprises, ils empêcheront par exemple les emails malveillants d’arriver dans la boîte de réception du propriétaire et des employés d’entreprise.
Par conséquent, ce type de cybersécurité réduit donc considérablement les effets du phishing, tout en protégeant les organisations d’un accès non autorisé à partir d’informations d’identification volées.
Non seulement les filtres de messagerie électronique empêchent les messages d’atteindre les boîtes de réception des destinataires des emails de phishing, mais ils permettent également aux administrateurs d’examiner les messages malveillants.
Ainsi, l’administrateur peut confirmer que le message est malveillant ou l’envoyer dans la boîte de réception des utilisateurs finaux dans un scénario de faux positif. En même temps, l’examen par l’administrateur permet à l’intelligence artificielle de s’entraîner à mieux différencier les messages malveillants des messages légitimes.
Enfin, les utilisateurs doivent être formés pour identifier les messages de phishing malveillants au cas où un attaquant parviendrait à contourner un filtre de messagerie.
Les bons filtres de messagerie bloqueront le phishing en se basant sur l’intelligence artificielle et d’autres méthodes de détection. Il s’agit de la première défense contre les campagnes de phishing, y compris les plus récentes qui s’appuient sur la peur et l’urgence suscitées par les blocages liés à la pandémie du Covid-19.
Si vous les combinez avec l’éducation des employés à la cybersécurité, votre entreprise pourra réduire drastiquement le risque de violation de données liée au phishing.
La solution de protection des emails SpamTitan peut bloquer les spams, les virus, les malwares, les tentatives de phishing et bien d’autres menaces liées à la messagerie électronique, en les empêchant d’arriver dans les boîtes de réceptions de vos employés.
Pour découvrir comment notre solution peut protéger votre entreprise, découvrez la vidéo de démonstration de SpamTitan.
Le courrier électronique fait partie de notre vie quotidienne, notamment sur le lieu de travail. C’est un outil indispensable utilisé pour la communication et le marketing.
Il nous permet d’envoyer des fichiers et des documents, de discuter des stratégies d’entreprises à adopter et de rester en contact. Même à l’ère des applications de visioconférence comme Zoom, les échanges par email continue de prospérer.
En 2020, plus de 4 milliards de personnes utilisaient l’email, et 86 % des professionnels avaient recours à cet outil pour diffuser du contenu professionnel.
Lorsqu’une technologie a le vent en poupe, les cybercriminels suivent la tendance dans le but de trouver de nouvelles tactiques pour duper leurs victimes.
Et comme l’email est si omniprésent et fiable en tant que moyen de communication, il constitue le vecteur parfait pour leur permettre d’attaquer les organisations ou pour inciter d’autres victimes à exposer accidentellement leurs données sensibles.
Ce fait a été confirmé par un nouveau rapport qui prouve que le travail à distance exacerbe le problème de l’exposition des données via des emails.
95 % des données sont menacées par une exposition liée au courrier électronique
Le courrier électronique est l’un des canaux de prédilection des cybercriminels et 95 % des responsables informatiques déclarent que leurs données sont menacées par cet outil. En outre, 83 % des entreprises ont admis avoir subi une violation de données via la messagerie électronique au cours des 12 derniers mois.
Ces données, tirées du rapport Egress, décrivent une crise dans l’utilisation du courrier électronique. Néanmoins, il est peu probable que l’email soit remplacé par une autre technologie dans un avenir proche. Les limites des autres supports qui pourraient être utilisés pour remplacer l’email incluent l’incapacité à auditer et à gérer les données.
En fait, l’email restera une voie d’accès et de sortie pour les entreprises. Cette voie est exploitable et subit les pressions normales de tout système d’utilisation de masse, ce qui inclut les accidents et la simple mauvaise utilisation due au comportement humain et à une faible sensibilisation à la sécurité.
Pour atténuer les risques liés au courrier électronique, il est nécessaire de comprendre les menaces et les bonnes pratiques pour ne pas l’utiliser de façon abusive.
Ledit rapport a mis en évidence trois vecteurs clés qui, ensemble, forment une tempête parfaite de vulnérabilités inhérentes à l’utilisation du courrier électronique, notamment dans le contexte du travail à distance et de la pandémie du Covid-19.
1. Mésaventures et mauvais partage
La pandémie du Covid-19 a créé un dilemme. Les employés travaillant à domicile ont signalé qu’ils ne se sentaient pas bien et, par conséquent, des incidents liés au courrier électronique se sont produits.
Selon le rapport suscité, environ 73 % des employés ont déclaré se sentir stressés et fatigués pendant la pandémie, ce qui a augmenté le risque d’exposition accidentelle des données.
Les distractions liées au travail à domicile constituent un autre facteur d’exposition accidentelle. 60 % des employés ont également admis travailler dans des « environnements frustrants » et que la confidentialité était un facteur de risque, en particulier dans les bureaux partagés.
Le résultat du travail à distance en situation de pandémie est que, dans 24 % des cas, une violation des données via la messagerie électronique a été causée par un partage inapproprié ou accidentel des données. Au total, 59% des personnes interrogées ont déclaré avoir subi une fuite de données par email depuis la mise en œuvre du travail à distance causé par la pandémie.
2. Augmentation de l’utilisation du courrier électronique
Le fait que l’utilisation de l’email ait augmenté au cours de l’année écoulée exacerbe le niveau de risque de fuite de données via cet outil. En fait, le rapport Egress a révélé que 85 % des employés avaient utilisé davantage d’emails au cours des 12 derniers mois.
L’utilisation accrue de l’email augmente le risque d’exposition accidentelle de données, du simple fait du nombre d’emails envoyés et reçus chaque jour.
L’utilisation accrue de toute technologie en fait également une proposition attrayante pour les cybercriminels. Si le courrier électronique est un moyen d’entrer dans une organisation, ils trouveront un moyen de l’utiliser.
Ce fait a été confirmé par d’autres recherches montrant que les attaques de spear-phishing lancées via le courrier électronique ont augmenté de 667% pendant la pandémie du Covid-19.
3. Une mauvaise détection des cybermenaces
Les menaces inhérentes à l’utilisation massive d’une technologie, telle que le courrier électronique, nécessitent une détection robuste pour éviter qu’elles ne deviennent des incidents.
Une étude a mis en évidence un problème sérieux : alors que 79 % des responsables informatiques utilisent des outils de prévention contre la perte de données (DLP) pour la messagerie électronique, 42 % des personnes interrogées ont noté que la moitié des incidents ne seraient pas détectés par ces outils statiques.
En d’autres termes, les mécanismes de détection statiques et traditionnels peuvent être déjoués par la nature très dynamique des cybermenaces modernes, y compris l’exposition accidentelle des données sensibles.
De tous les problèmes relevés par les chercheurs, c’est le dernier qui est le plus préoccupant en termes de prévention des menaces véhiculées par le courrier électronique.
Le lieu de travail est un environnement dynamique, comme l’a si clairement démontré la pandémie. Le moyen de prévenir les menaces actuelles et futures est d’appliquer un système intelligent et plus dynamique conçu pour les cybermenaces modernes liées au courrier électronique.
Comment briser le cycle de la fuite de données ?
Le rapport susmentionné a réuni trois points clés, chacun ayant un impact sur l’autre, pour créer une tempête parfaite du courrier électronique en tant que système vulnérable et favorable pour les attaques.
La combinaison d’une exposition accidentelle, d’une dépendance accrue à l’égard du courrier électronique pour la communication et d’une mauvaise détection des menaces constitue une tripartition qu’il faut briser.
L’utilisation du courrier électronique restera importante, et les employés continueront à commettre des erreurs, comme la divulgation de leurs données sensibles. Pour faire avancer la détection des menaces cybercriminelles, il faut changer la troisième perspective et appliquer une détection robuste des menaces par courrier électronique.
En adoptant les outils de détection et d’atténuation des attaques lancées via les emails, vous pouvez briser le cycle de la fuite de données.
La protection de la messagerie électronique SpamTitan empêche les spams, les virus, les malwares, les tentatives de phishing et bien d’autres attaques lancées par le biais des emails de nuire à votre organisation.
Essayez SpamTitan pendant 14 jours et découvrez comment il peut protéger votre organisation contre les menaces avancées. Démarrer l’essai gratuit de SpamTitan dès aujourd’hui.
Les cybercriminels sont toujours à la recherche de moyens plus faciles de se faire un peu d’argent sur le dos des gens. De la même manière que les petits voleurs se tournent vers le vol à la tire dans les lieux touristiques bondés de voyageurs imprudents, ils ciblent les sites web qui attirent le plus d’utilisateurs peu méfiants.
L’un de ces sites est la plate-forme de chat Discord, très populaire auprès des aux joueurs de jeux vidéo en ligne, mais qui s’est également étendue à d’autres communautés. Elle permet aux utilisateurs d’interagir les uns avec les autres par le biais d’un large éventail de moyens tels que les appels vocaux, les appels vidéo ou les textos.
Le paradis perdu
Selon le magazine Forbes, Discord comptait 150 millions d’utilisateurs et sa valeur, estimée à 2 milliards de dollars en 2019, ne cesse d’augmenter. Forbes a révélé dans un article que des groupes Discord qui s’adonnaient à des activités cybercriminelles faisaient l’objet d’une enquête du FBI à l’époque.
La majeure partie de cette activité criminelle consistait en de petites escroqueries. Les cybercriminels utilisaient des chats en direct pour proposer des cartes-cadeaux à prix réduit ou des abonnements à vie à des Malware-as-a-Service (MaaS) – une version criminelle de Software as a service (SaaS) qui permet la location d’une application via Internet – pour une somme symbolique.
Dans d’autres cas, ils vendaient des cartes de paiement et des comptes PayPal volés. Certains de ces malfaiteurs ciblaient spécifiquement les enfants.
Alors qu’il était autrefois considéré comme un « paradis pour les joueurs », Discord semble être devenu un nouveau paradis pour la cybercriminalité, selon le magazine Cyware.
Le manque de supervision de Discord a des conséquences
L’une des caractéristiques et qui a rendu Discord si populaire auprès de ses utilisateurs est son accès ouvert et la flexibilité en matière de supervision. Mais ce manque de surveillance a un prix, car cela encourage la diffusion de contenus illicites et la cyberintimidation, tout en favorisant les comportements malveillants.
Le fait que les utilisateurs non inscrits puissent télécharger le contenu téléchargé rend difficile la recherche des responsables de la distribution de malwares ou de matériel illicite. Même si certaines personnes qualifient cela de liberté, d’autres le considèrent comme une pure erreur de gestion de la part de Discord.
Le CDN de Discord
Outre la compromission continue du service de chat Discord, la société de cybersécurité Zscaler a déclaré que les cybercriminels abusent du service cdn.discorapp.com pour diffuser des malwares. Zscaler a déclaré avoir capturé plus de 100 échantillons de codes malveillants uniques provenant de Discord sur une période de deux mois.
Les auteurs attirent d’abord l’intérêt des utilisateurs avec des emails de phishing qui encouragent le téléchargement de logiciels piratés ou d’applications de jeux.
Selon Bleeping Computer, les pirates profitent d’une vulnérabilité unique de Discord qui leur permet de supprimer un fichier malveillant après l’avoir téléchargé sur les serveurs de Discord, mais de le conserver dans le réseau de distribution de contenu (CDN) de la marque pour pouvoir le télécharger à nouveau.
Un large éventail de catégories de malwares, y compris des enregistreurs de frappe, sont facilement distribués à l’aide de ce CDN. Même si Discord avait émis des avertissements concernant certains téléchargements, des tests ont montré que de nombreux téléchargements malveillants connus n’étaient pas du tout signalés.
Webhook et ransomware dans Discord
Discord utilise une fonctionnalité appelée « Webhook ». Elle permet aux utilisateurs de poster un contenu via l’envoi d’un message même s’ils ne disposent pas de l’application Discord.
Bien que cette fonctionnalité ait ses mérites et son utilité, elle permet également aux pirates de sonder les sessions web et de voler des identifiants de connexion enregistrés dans certains des principaux navigateurs web, ainsi que les jetons d’utilisateur (token) de Discord.
TrendMicro a récemment découvert un nouveau ransomware qui utilise des webhooks comme plateforme de communication avec ses victimes. Une autre souche de ransomware appelée « Hog » présentait également une nouvelle tournure concernant le processus de déchiffrement.
Plutôt que d’émettre une clé, la machine de la victime n’est déchiffrée qu’une fois qu’elle a rejoint le serveur Discord. Une fois la machine connectée, l’utilisateur s’authentifie avec son jeton d’utilisateur qui fait office de clé intégrée à un malware.
Le remède aux cybermenaces liées à Discord
Alors comment empêcher vos utilisateurs de visiter un site tel que Discord ? La réponse est d’utiliser un filtrage DNS avancé et une solution de sécurité web telle que WebTitan.
Comme de nombreux filtres de sécurité web standard, vous pouvez créer des politiques qui refusent l’accès à des sites tels que Discord. Mais WebTitan va au-delà du simple filtrage d’URL.
Son service de détection des malwares surveille et identifie activement les menaces en temps réel, bloquant ainsi l’accès des utilisateurs aux sites hébergeant des malwares, des menaces de phishing, des virus, des ransomwares et aux sites qui renferment des contenus malveillants.
En outre, la solution antimalware de WebTitan permet de s’assurer que les codes malveillants ne s’échappent pas d’un serveur web compromis.
TitanHQ propose aussi SpamTitan, une solution de sécurité de la messagerie électronique capable de bloquer les emails de phishing qui pourraient diriger les utilisateurs finaux vers Discord.
Le fait est qu’il existe de nombreux endroits périlleux sur Internet, et qu’il en existera probablement toujours. Mais si vous utilisez la combinaison de WebTitan et de SpamTitan, vous n’aurez plus à vous soucier de ces zones précaires.
Voulez-vous savoir comment protéger vos employés pour qu’ils n’atterrissent pas dans des endroits précaires comme Discord, quel que soit leur emplacement ? Contactez l’un de nos experts dès aujourd’hui.
Les cybercriminels disposent de nombreux outils et tactiques pour mener leurs attaques, mais certains fonctionnent mieux que d’autres. Ils privilégient des méthodes spécifiques en fonction de leurs objectifs.
Par exemple, le phishing est très prisé pour le vol des informations d’identification, tandis que les malwares fonctionnent bien lorsque le but est de voler des données et de fournir des portes dérobées pour prendre le contrôle total du serveur d’une organisation.
Voici quelques tendances concernant les attaques de malwares en 2020 qui continueront probablement à être populaires cette année.
Le phishing reste l’attaque la plus courante
Chaque année, le nombre d’attaques de phishing ne cesse d’augmenter au niveau mondial. Le phishing offre plusieurs options aux attaquants.
La première est que les attaquants peuvent soit jeter un large filet et envoyer des milliers d’emails de phishing dans l’espoir que quelques-uns soient victimes de la campagne, soit créer des messages ciblés destinés à des employés spécifiques ayant un accès réseau de haut niveau.
Grâce à des pièces malveillantes, bien conçues et jointes aux emails de phishing, les pirates peuvent télécharger et installer facilement des malwares. Il peut s’agir d’un ransomware qui chiffre les données et oblige les victimes de payer une rançon à l’attaquant en échange des clés de déchiffrement.
Il peut également s’agir d’un cheval de Troie qui crée des portes dérobées sur le réseau ou installe des outils d’accès à distance, permettant à un escroc de prendre le contrôle total de l’ordinateur de sa victime.
Les malwares installés
Les malwares offrent aux attaquants un large éventail de possibilités d’exploitation. Pour qu’un attaquant puisse voler des données ou extorquer de l’argent à une victime, il faut généralement utiliser un malware.
Le potentiel des malwares lui offre un large éventail de gains monétaires. Pour ce faire, le pirate peut par exemple voler des données sensibles d’une organisation pour ensuite les vendre sur le dark web.
Les chevaux de Troie peuvent également donner aux attaquants le contrôle à distance d’un ordinateur. Ce type de malware a été à l’origine de compromissions à grande échelle telles que le vol de données, l’atteinte d’infrastructures publiques telles que des centrales électriques et des usines de traitement des eaux, ainsi que l’espionnage d’organisations concurrentes.
Les ransomwares sont un autre type d’application malveillante courante. Ils peuvent être dévastateurs si les attaquants parviennent à l’installer sur un ordinateur local ou une infrastructure critique telle qu’un serveur. En utilisant un ransomware, un pirate informatique peut gagner jusqu’à plusieurs milliers d’euros avec une attaque réussie.
Ce qui fait d’une attaque de ransomware une menace plus inquiétante que les autres attaques de malwares, c’est qu’elle utilise un chiffrement sécurisé pour verrouiller les fichiers et que les entreprises doivent payer la rançon pour récupérer et déchiffrer leurs données.
La seule façon de se remettre d’un ransomware est de restaurer les fichiers à partir d’une sauvegarde. En fait, le paiement de la rançon ne garantit pas que la clé privée sera livrée et que les fichiers seront restaurés.
Exploitation des vulnérabilités logicielles
L’année 2020 a vu une augmentation des vulnérabilités logicielles, car de plus en plus d’entreprises sont passées au numérique. L’augmentation du nombre de logiciels, de serveurs et de travailleurs à domicile a laissé le champ libre aux attaquants ayant les compétences nécessaires pour trouver et exploiter les vulnérabilités des logiciels qui présentent des bugs.
Les vulnérabilités sont publiées dans la base de données CVE (Common Vulnerabilities and Exposures), ce qui signifie que les attaquants peuvent simplement rechercher n’importe quel type de vulnérabilité et développer un kit d’exploitation pour celle-ci.
La création de scripts qui analysent les vulnérabilités est également une activité importante pour les attaquants. Une fois qu’une vulnérabilité est trouvée, un script peut analyser des milliers de sites en quelques minutes seulement pour trouver des serveurs ou des machines hôtes susceptibles d’être exploités.
Une fois qu’une vulnérabilité commune est trouvée, il suffit de quelques minutes pour qu’un kit d’exploitation soit lancé et affecte l’hôte cible.
L’utilisation des logiciels non corrigés était courante en 2020, ce qui rendait également les hôtes vulnérables aux exploitations malveillantes. Lorsque les développeurs de logiciels publient des correctifs de sécurité, les vulnérabilités corrigées par la mise à jour sont répertoriées.
Tout hôte qui n’a pas installé le correctif est vulnérable jusqu’à ce que les administrateurs corrigent le système. Cela laisse une fenêtre d’opportunité pour un attaquant, ce qui peut en faire une cible pour les robots et les scanners qui trouvent et exploitent le problème.
Le chiffrement dans les attaques de malwares
Il y a eu un grand changement en 2020 : les attaquants ont commencé à utiliser le chiffrement pour cacher les attaques de malwares. Le chiffrement dans les attaques de malwares offre aux pirates la possibilité supplémentaire de se cacher des moniteurs et de protéger leur code malveillant.
Cette tendance rend les malwares beaucoup plus efficaces et plus difficiles à trouver pour les chercheurs en cybersécurité une fois qu’ils sont déployés sur un périphérique réseau tel qu’un ordinateur de bureau ou un serveur.
Les meilleures pratiques pour protéger votre entreprise
Les escrocs sont peut-être meilleurs dans leur domaine, mais vous pouvez toujours prendre les mesures nécessaires pour mettre fin à leurs attaques. Pour empêcher le phishing, installez toujours un système de sécurité de la messagerie électronique. Cela inclut des filtres qui sont conçus pour empêcher les messages malveillants d’atteindre la boîte de réception de vos employés.
Pour stopper les malwares, des filtres de messagerie sont également nécessaires. Dans ce cas, leur rôle est de bloquer les malwares qui envoient des données à un attaquant et ceux qui tentent d’accéder à vos fichiers sensibles.
Enfin, il faut toujours appliquer des correctifs pour vos logiciels dès qu’ils sont disponibles, en particulier sur les serveurs destinés au public. La mise à jour des logiciels empêche les attaquants d’exploiter les dernières vulnérabilités qui pourraient affecter les logiciels que vous avez installés.