L’un des principaux avantages de la migration vers le cloud est d’atteindre l’extensibilité.
En fait, la possibilité de déployer et de retirer des actifs numériques de manière automatisée est actuellement un aspect important du processus de transformation numérique.
Mais l’évolutivité ne profite pas seulement aux entreprises. Elle profite également aux pirates et aux cybercriminels qui tentent de s’introduire dans les réseaux d’entreprise.
Imaginez le temps qu’il faudrait pour crocheter la serrure de chaque casier d’un bâtiment de lycée. Ce serait pour le moins peu pratique.
Mais que se passerait-il si tout ce que vous aviez à faire était de forcer l’un d’entre eux afin d’obtenir un accès potentiel à tous.
Et si vous disposiez d’un outil capable de crocheter toutes les serrures simultanément ?
En quelques minutes, vous pourriez simplement essayer n’importe quelle combinaison de chiffres par défaut ou facile à retenir sur chaque cadenas jusqu’à ce que l’un d’entre eux fonctionne.
C’est ainsi que fonctionnent aujourd’hui les attaques par force brute, connues sous le nom de « Credential Stuffing ».
Ce sont des attaques à grande échelle conçues pour trouver rapidement et facilement le maillon le plus faible de votre système de sécurité.
Pourquoi les attaques par force brute sont-elles si efficaces ?
Les attaques automatisées par force brute menées par les grands botnets offrent aux attaquants une évolutivité presque illimitée grâce aux sites qui rassemblent des millions de comptes d’utilisateurs dans un seul espace, c’est-à-dire dans le cloud.
Les organisations criminelles déploient des robots de force brute qui s’attaquent continuellement aux boîtes de messagerie de votre entreprise, en utilisant des mots de passe communs jusqu’à ce qu’ils soient trouvés.
Une fois qu’un compte est compromis, ils peuvent l’utiliser pour lancer des attaques de phishing ou du type BEC convaincantes contre d’autres utilisateurs internes.
En ciblant la voie de moindre résistance, les cybercriminels peuvent s’introduire dans le réseau de votre entreprise et s’en servir pour mener des attaques sans qu’il soit nécessaire de recourir à l’interaction humaine.
Mais la recherche de proies faciles sur Office 365 n’est que la partie visible de l’iceberg.
Si l’obtention d’un accès à l’échelle de l’entreprise peut être la fin d’une attaque par force brute, la compromission d’un seul compte utilisateur peut apporter quelque chose de valeur aux pirates.
Le fait est que la plupart des utilisateurs choisissent une adresse électronique comme nom d’utilisateur pour de nombreux sites Internet.
Ils aggravent ensuite le problème en recyclant les mots de passe.
Une fois qu’un pirate informatique parvient à deviner votre identifiant de connexion à un site, il y a de fortes chances qu’il puisse utiliser ce jeu de mots de passe pour un autre site :
Votre banque
Votre site de médias sociaux
Votre application de streaming
Votre magasin de vente au détail en ligne.
Inversement, les pirates peuvent cibler n’importe lequel de ces sites afin d’obtenir vos identifiants de connexion.
Les sites de vente au détail et d’hôtellerie sont les principales cibles
La réalité d’aujourd’hui est que si un attaquant peut capturer vos identifiants de connexion chez votre détaillant en ligne préféré, il peut également les utiliser pour accéder à d’autres sites.
Et comme la majorité des consommateurs effectuent aujourd’hui la plupart de leurs achats via Internet, les sites de commerce électronique sont devenus une cible privilégiée pour les pirates.
Selon un récent rapport intitulé « Loyalty for Sale », plus de 60 % des attaques par force brute détectées au cours des deux dernières années ont visé des magasins de vente au détail, de voyage et d’hôtellerie.
L’entreprise qui a rédigé le rapport a déclaré qu’entre le 1er juillet 2018 et le 30 juin 2020, plus de 64 milliards d’attaques par force brute sur les 100 milliards détectées ont visé des comptes d’utilisateurs ouverts dans ces trois secteurs.
Bien que les chiffres soient stupéfiants, ce n’est pas nouveau. L’année précédente, le secteur de la vente au détail était également la première cible des attaques par force brute.
En 2018, on a recensé 773 millions d’adresses électroniques uniques et 22 millions de mots de passe uniques. Les justificatifs d’identité comprenaient plus de 87 Go de données.
Depuis le début de la crise liée au COVID-19, les cybercriminels recyclent les listes de justificatifs d’identité stockées comme celles-ci pour trouver des comptes en ligne nouvellement actifs pour des sites de vente au détail.
Se protéger contre les attaques par force brute
L’un des moyens les plus efficaces de lutter contre les attaques par force brute est d’utiliser des comptes uniques pour chaque site auquel vous accédez.
Ainsi, si l’un de vos comptes est compromis, il ne peut pas être utilisé successivement sur les autres sites que vous fréquentez.
Les utilisateurs doivent également changer régulièrement leurs mots de passe, car les informations volées sont conservées pendant des années par des criminels.
Afin de se protéger contre la compromission de leurs identifiants de connexion, les entreprises ont besoin d’une solution de sécurité de la messagerie électronique adaptée pour déjouer les attaques.
Un exemple est « SpamTitan Cloud », qui offre aux entreprises un système de protection hautement évolutif pour sécuriser la messagerie électronique.
Les cybercriminels changent constamment de tactiques pour tromper les employés dans le but de les amener à cliquer sur des liens malveillants ou à divulguer leurs informations d’identification.
Pendant la pandémie, de nombreux escrocs ont abandonné leurs campagnes éprouvées en utilisant des leurres classiques à thème commercial, tels que :
De fausses factures
Des bons de commande
Des avis d’expédition.
Ces leurres sont d’actualité et ciblent les personnes qui sont avides d’informations sur le coronavirus.
La nouvelle campagne de phishing COVID-19
Une nouvelle campagne de phishing a vu le jour: elle tire parti des nouvelles pratiques commerciales dues au COVID-19.
De nombreux employés travaillent actuellement à distance, même si leurs employeurs ont commencé à rouvrir leurs bureaux.
Pendant la pandémie, les employés se sont habitués à recevoir régulièrement des mémos et des mises à jour internes de leur entreprise.
La nouvelle campagne de phishing cible le département des ressources humaines d’une entreprise lors de laquelle les pirates envoient des e-mails automatisés, similaires aux messages que les employés sont habitués à recevoir.
Les e-mails prétendent contenir des pièces jointes de messagerie vocale, qui seront également familières à de nombreux travailleurs à distance.
Les pièces jointes au format HTML sont personnalisées avec le nom du destinataire afin de rendre le message plus crédible.
Si la pièce jointe est ouverte, l’utilisateur se verra présenter un lien sur lequel il devra cliquer pour recevoir les informations sur l’entreprise.
Lors de cette campagne, il s’agissait d’un lien SharePoint, bien que d’autres services dans le cloud puissent être utilisés de la même manière.
Le lien dirige l’utilisateur vers SharePoint et fournit une mise à jour sur la politique de travail à distance de l’entreprise.
Après avoir lu le message, le travailleur est tenu de cliquer sur un lien qui le dirige vers la page de phishing proprement dite où sont recueillies des informations sensibles.
Les messages envoyés lors de cette campagne sont très réalistes.
La fausse politique de travail à distance est bien écrite et plausible et stipule que si les employés souhaitent continuer à travailler à domicile après la pandémie, ils doivent remplir un formulaire de leur département de ressources humaines afin de fournir un avis écrit.
Le formulaire Excel hébergé par SharePoint-Host, où l’utilisateur est dirigé, est également plausible, mais en plus de la demande de continuer à travailler à domicile, l’utilisateur doit fournir ses références d’e-mail.
Une campagne de phishing offre une aide financière du gouvernement aux travailleurs affectés par le COVID-19
Une autre campagne de phishing a été identifiée.
Elle est également liée à la pandémie, en usurpant l’identité des agences gouvernementales et en offrant une aide financière liée à la pandémie aux personnes qui ne peuvent plus travailler en raison des restrictions liées au COVID-19 ou celles qui ont été affectées d’une autre manière.
Cette campagne a ciblé les citoyens américains, bien que d’autres campagnes similaires puissent être menées dans d’autres pays.
Dans cette campagne, dont le sujet est « Le gouvernement américain doit accorder aux citoyens une aide financière d’urgence », le message indique que le gouvernement a commencé à verser des indemnités en espèces en octobre 2020.
Le message précise que le paiement n’est accordé qu’aux résidents des États-Unis et que le montant maximum est de 5 800 dollars.
Un lien est fourni dans l’e-mail sur lequel l’utilisateur doit cliquer pour faire une demande de subvention. L’e-mail indique qu’il sera examiné par un représentant de l’assistance qui enverra une réponse personnelle dans les 24 heures. L’utilisateur doit saisir son nom, sa date de naissance, son adresse, ses coordonnées, son numéro de sécurité sociale et son numéro de permis de conduire sur un second formulaire.
Le phishing : le type de cybercriminalité le plus courant
Une récente enquête menée par Clario et Demos a confirmé que le phishing et les attaques lancées via la messagerie électronique sont les types de cybercriminalité les plus courants signalés aux États-Unis et au Royaume-Uni.
La pandémie a facilité le succès des attaques de phishing. Les cybercriminels profitent de l’incertitude quant aux changements apportés aux nouvelles méthodes de travail à cause de la pandémie.
De nombreuses personnes travaillent seules à la maison sans un niveau de soutien en matière de protection contre les cybercriminalités. De nombreuses vulnérabilités ont donc été introduites à la suite du passage au travail à domicile.
Les entreprises peuvent mieux protéger leurs employés en utilisant des solutions de filtrage du courrier électronique et du web basées dans le cloud.
Ces solutions fonctionnent en tandem pour bloquer les e-mails malveillants, les attaques de phishing et des campagnes de distribution de malwares.
Une solution de filtrage du courrier électronique basée dans le cloud peut filtrer la majorité des messages malveillants et maintient les boîtes de réception à l’abri des menaces en ligne.
Un filtre web empêchera également les utilisateurs finaux de visiter des liens malveillants, de télécharger des pièces jointes malveillantes ou de visiter des sites web malveillants lorsqu’ils travaillent au bureau ou à distance.
TitanHQ a développé deux solutions de sécurité du web et du courrier électronique faciles à utiliser, faciles à mettre en œuvre et très efficaces pour protéger les travailleurs au bureau et à distance contre toutes les menaces du web et du courrier électronique, y compris les e-mails de phishing et les attaques de type « zero day ».
Les cybercriminels semblent toujours avoir une avance sur les entreprises en matière de cybercriminalité.
Tous les secteurs sont confrontés à un assaut continu d’attaques cybercriminelles, à tel point que la protection de votre organisation est devenue une nécessité.
La pandémie du COVID-19 et le travail à distance qui a suivi n’ont fait qu’exacerber la situation.
En mars et avril 2020, le fournisseur de services de sécurité Kaspersky a constaté une augmentation de 400 % des cyberattaques visant les ordinateurs de bureau distants.
Le nombre d’escroqueries lancées via les e-mails s’est également accru pendant la pandémie, avec une augmentation de 667 % des arnaques liées au COVID-19 en mars dernier.
L’automatisation est à l’origine de nombreuses cyberattaques, ce qui a pour effet d’huiler les rouages des méthodes d’attaque des pirates et de rendre l’atténuation des dégâts plus difficile.
Alors que les cybercriminels améliorent leurs méthodes et utilisent de nouvelles techniques plus sophistiquées pour voler et piller des données sensibles, quels sont les outils qui peuvent aider votre organisation à contrer ces attaques ?
Voici nos conseils !
Les cyberattaques automatiques de l’intelligence artificielle
De nombreuses cyberattaques modernes sont menées via l’automatisation et certaines commencent même à tirer parti de l’intelligence artificielle (IA).
Nombre de ces attaques sont porteuses de malwares qui sont capables de persister dans un système et qui sont difficiles à détecter et à éradiquer. On les appelle « Advanced Persistent Threat » ou APT.
Des exemples récents montrent les éléments les plus intelligents des cybermenaces modernes.
La sophistication de l’APT au troisième trimestre 2020
Les chercheurs de Kaspersky ont constaté que la dernière série d’APT a pris un nouveau caractère.
L’une des nouvelles tactiques renvoie à une ancienne méthode connue sous le nom de « sténographie ». Cette technique utilise l’obscurcissement pour cacher des malwares.
Le malware est caché dans un fichier exécutable légitime de Microsoft Defender, ce qui le rend extrêmement difficile à détecter.
La conclusion de Kaspersky est qu’il faut investir des ressources dans la chasse aux activités malveillantes dans de nouveaux environnements éventuellement légitimes qui étaient moins surveillés dans le passé.
Le programme DD Perks de Dunkin Donuts et l’attaque automatisée de forçage d’identifiants
La fraude par carte de fidélité est un problème croissant.
La raison ?
Les programmes de fidélisation contiennent des récompenses et des points lucratifs ainsi que des données personnelles, ce qui les rend attrayants pour les cybercriminels.
La prise de contrôle des comptes par une technique appelée « forçage d’identifiants » est un problème pour toute entreprise proposant un programme de récompenses.
Lors de l’attaque contre Dunkin Donuts, les pirates informatiques ont utilisé des identifiants volés en recourant à des techniques telles que le phishing et les sites web malveillants.
Les fraudeurs utilisent ensuite des outils d’automatisation, tels que Snipr, pour tester ces informations d’identification sur des comptes existants. L’automatisation a rendu ces attaques beaucoup plus faciles et plus lucratives.
Business Email Compromise, IA et Deepfakes
Le Business Email Compromise (BEC) permet aux fraudeurs de soutirer de grosses sommes d’argent aux entreprises. En 2019, on estime à plus de 1,45 milliard d’euros le coût des fonds volés en raison de la fraude du type BEC.
Aujourd’hui, le nombre de fraudes du type BEC peut encore augmenter à cause de l’utilisation de la technologie Deepfake, basée sur la vidéo et l’audio générées par l’Intelligence artificielle.
L’un des Deepfakes les plus tristement célèbres a impliqué une fausse vidéo de Mark Zuckerberg de Facebook.
Cette technologie est de plus en plus répandue, avec 14 698 vidéos Deepfake en ligne découvertes par les chercheurs de DeepTrace en 2019, soit une augmentation de 50 % par rapport à 2018.
Cette technologie basée sur l’IA se fraye un chemin dans les cyberattaques, dont beaucoup sont lancées à l’aide de tactiques telles que les e-mails de spear phishing.
En 2019, une prétendue attaque BEC lancée par DeepTrace a été enregistrée.
Un PDG britannique a été amené à transférer plus de 197 000 euros à un escroc, qui aurait utilisé la technologie Deepfake pour créer une voix frauduleuse d’une personne influente au sein de son entreprise.
Lors d’un appel avec la fausse personne, le PDG a été invité à transférer d’urgence une somme d’argent qui se retrouvait finalement sur le compte bancaire de l’escroc.
Ce dernier exemple est l’un des plus préoccupants, car il utilise une fusion de l’automatisation de l’IA avec l’ingénierie sociale.
L’intelligence artificielle et l’analyse à la rescousse
Si les cybercriminels utilisent des technologies intelligentes telles que l’IA pour lancer des attaques, alors nous devons y répondre de manière intelligente.
L’IA et l’apprentissage machine (ou « machine learning » — ML) offrent tous deux un moyen puissant d’atténuer les menaces.
Les cybercriminels utilisent l’IA et l’automatisation pour transformer des vecteurs d’attaque éprouvés et fiables en armes hyper puissantes.
Si les cybercriminels peuvent utiliser l’IA pour renforcer les formes existantes de cyberattaques, les organisations peuvent également, par la même occasion, utiliser ces technologies pour riposter.
L’IA et le ML, associés à des analyses avancées, peuvent être utilisés pour contrecarrer les cyberattaques, y compris celles basées sur l’automatisation.
Voici quelques exemples de l’utilisation de l’IA pour améliorer la cybersécurité :
Filtrage intelligent du web
Les cybercriminels placent des contenus malveillants sur des sites web et utilisent ensuite l’ingénierie sociale pour attirer les employés vers ces sites.
Ces sites peuvent être très difficiles à détecter et 78 % d’entre eux trompent les utilisateurs parce qu’ils semblent être des sites sécurisés.
Une solution de filtrage web DNS basée dans le cloud, alimentée par l’IA, offre une protection contre les menaces en ligne, notamment les malwares, les ransomwares et le phishing.
Les solutions de filtrage web basées sur l’IA utilisent l’automatisation et des analyses avancées pour effectuer des recherches parmi des milliards d’URL/IP et de sites de phishing qui pourraient compromettre votre réseau d’entreprise.
La solution de filtrage DNS de WebTitan offre une protection alimentée par l’IA contre les URL de phishing actives et émergentes, y compris les menaces du type « zéro day ».
Filtrage et analyse intelligents du courrier électronique
Le courrier électronique est l’arme de prédilection des cybercriminels, car c’est un excellent moyen de pénétrer le réseau d’une organisation.
Généralement, un mélange d’ingénierie sociale et de liens malveillants constitue le modus operandi de cette méthode de cyberattaque.
Toutefois, les pièces jointes malveillantes peuvent également provoquer l’infection de malwares.
Le rapport d’enquête sur les atteintes aux données de Verizon (DBIR) pour 2020 a révélé que 20 % des attaques de malwares sont lancées à l’aide de pièces jointes à des e-mails.
Un mélange de technologies d’apprentissage machine et d’analyse comportementale peut aider à détecter les e-mails suspects et à les isoler, en les empêchant d’atteindre les boîtes de réception des utilisateurs finaux.
Certaines technologies vont même plus loin en plaçant ces e-mails malveillants et leurs pièces jointes dans des bacs à sable sûrs (sandbox) afin de faire croire aux cybercriminels qu’ils ont atteint leur cible.
Cela donne également à l’administrateur système la possibilité de contrôler les e-mails entrants.
Les solutions avancées de sécurité du courrier électronique comme SpamTitan utilisent une combinaison de listes noires d’adresses IP malveillantes connues :
D’analyse des en-têtes et du contenu des courriers électroniques
D’analyse des liens
D’analyse antivirus et de sandboxing.
Elles utilisent également les protocoles SPF, DKIM et DMARC pour détecter et bloquer les attaques d’usurpation d’identité via le courrier électronique. Par ailleurs, elles intègrent l’IA et le ML pour identifier les attaques de phishing du type « zero day ».
Quelle que soit la méthode utilisée pour exploiter le courrier électronique, une entreprise doit être en mesure de filtrer les e-mails malveillants avant qu’ils n’arrivent dans la boîte de réception des employés.
Mais l’entreprise moderne doit faire face à un nombre massif d’e-mails. Même les petites entreprises sont inondées de spams. Le rapport Radicati prévoit que d’ici 2023, il y aura 347 milliards d’e-mails envoyés et reçus chaque jour.
Les systèmes de filtrage du courrier électronique de première génération ont été contournés par les cybercriminels et ne fonctionnent plus efficacement face à une telle quantité d’e-mails envoyés chaque jour.
L’utilisation du ML dans le filtrage et l’analyse du courrier électronique est venue à la rescousse. Cette technique offre un moyen de repérer les contenus malveillants, parmi tant d’autres.
Les solutions intelligentes de filtrage du courrier électronique utilisent des données réelles pour former un algorithme d’apprentissage automatique et ces données sont mises à jour en temps réel.
Plus il y aura d’e-mails malveillants ou non, plus la réponse sera précise.
Certains systèmes sont encore plus avancés, utilisant l’échantillonnage en continu et des superviseurs humains pour
Former les systèmes d’apprentissage machine supervisés
Ajuster ou optimiser leur efficacité, la précision et l’efficacité globale des systèmes de détection des actes malveillants.
L’IA apporte un équilibre à la lutte contre la cybersécurité
Les pirates informatiques sont toujours à la recherche de nouvelles manières de commettre des cyberattaques.
Cependant, ils reviennent souvent à l’utilisation du courrier électronique, qui agit comme une autoroute menant directement au centre de votre entreprise.
Au fur et à mesure que les entreprises ripostent, les cybercriminels et les pirates modifient leurs tactiques pour contourner les mesures de cybersécurité.
L’IA fournit les moyens de tirer parti de notre monde saturé de données et d’utiliser ces données pour créer des systèmes de cybersécurité plus proactifs.
En se tournant vers des systèmes avancés et intelligents qui utilisent l’IA, le ML et des analyses avancées, votre entreprise pourra faire face à ces attaques cybercriminelles.
Contactez-nous dès aujourd’hui pour parler de la protection de WebTitan contre les URL de phishing actives et émergentes, y compris les menaces du type « zéro day », grâce à l’intelligence artificielle.
Les cyberattaques n’ont cessé d’augmenter depuis l’apparition du COVID-19, et nous n’avons peut-être pas encore atteint le sommet.
Une étude a montré une augmentation de 30 % des cyberattaques entre les mois de juillet et août de cette année.
Le 18 août, 1 746 611 cyberattaques ont été enregistrées sur une période de 24 heures, ce qui constitue un record. Il est donc essentiel d’analyser les 5 principales menaces pour la sécurité du courrier électronique et du web en 2020.
Les menaces pour la sécurité des emails et du web en 2020
Même si nous voulons oublier l’année en cours, nous devons prendre le temps de l’analyser du point de vue de la cybersécurité afin de mieux nous protéger en 2021.
Voici un bref résumé des menaces qu’encourt en 2020 la sécurité des emails et du web.
Le travail à distance
Avant l’apparition de la pandémie, environ 5,2 % des employés américains travaillaient à distance à temps plein, selon le recensement américain.
Ce pourcentage était inférieur à celui de nombreuses entreprises en Europe, en particulier aux Pays-Bas, qui, pendant des années, ont mené le mouvement mondial en faveur du travail à distance avec un taux de 14,1 %.
Puis le COVID-19 a fait son apparition. Le PDG de Barclays a résumé la « nouvelle normalité » en une phrase : « Mettre 7 000 personnes dans un bâtiment peut être une chose du passé ».
Alors que les entreprises ont pu faire la transition vers des stratégies de travail à distance avec une relative facilité, la sécurisation du processus de travail lui-même est très difficile.
Les méthodes de sécurité conventionnelles se sont centrées sur une architecture de périmètre qui n’existe plus. Les employés travaillant à distance, isolés de l’informatique interne et de leurs pairs, sont beaucoup plus vulnérables aux cyberattaques.
La cyberguerre sera désormais menée sur mille fronts, plutôt que sur un seul périmètre.
Les attaques contre Microsoft Office 365
Microsoft Office 365 est rapidement devenu le cœur de beaucoup d’entreprises aujourd’hui.
Qu’il s’agisse de services de courrier électronique, d’applications Office ou de stockage de fichiers personnels, les entreprises et les écoles ont procédé à une migration active de leurs services essentiels vers le cloud O365.
En conséquence, les pirates informatiques en ont fait une cible privilégiée pour les attaques.
Ironiquement, les cybercriminels s’abonnent à ces mêmes services afin de découvrir ses vulnérabilités.
Qu’il s’agisse d’attaques à grande échelle de forçage d’identifiants ou d’attaques de phishing bien conçues (demandant aux utilisateurs de réinitialiser un mot de passe ou d’accéder à un OneDrive partagé), les utilisateurs de Microsoft Office 365 sont continuellement attaqués.
Pour contrer ces attaques, les entreprises doivent appliquer des mots de passe complexes ainsi qu’une authentification à plusieurs facteurs.
Les services informatiques internes doivent renforcer le système Microsoft Office 365 par une sécurité dédiée au courrier électronique, et surveiller régulièrement leurs environnements Microsoft Office 365 afin de pouvoir identifier les activités de connexion anormales.
Les attaques de ransomware
Les attaques de ransomwares sont un exemple classique de menaces qui est en constante évolution. Les organisations évoluent au fil du temps pour s’adapter aux nouveaux modes de travail afin de survivre et de s’épanouir.
Il en va de même pour les ransomwares.
Traditionnellement, le ransomware était considéré comme une mine enterrée.
Il reste là, à l’attente d’une malheureuse victime qui tombe dessus arbitrairement. Ceux qui ont déployé la mine n’ont aucun moyen de cibler de manière sélective ceux qui tomberont dessus.
C’était le cas des premiers logiciels de ransomwares. Ils étaient jetés comme un filet géant, sans savoir qui serait la malchanceuse victime.
En général, il était dispersé dans des attaques de phishing à grande échelle.
Dès qu’un utilisateur peu méfiant cliquait sur le lien séduisant mais malveillant, le ransomware était lancé et, en quelques minutes, il commençait à chiffrer tout ce qu’il trouvait.
Ceci étant fait, la demande de rançon est lancée. Les auteurs espéraient alors qu’un nombre suffisant de victimes paieraient.
Le ransomware est maintenant dans sa deuxième phase.
Le ransomware 2.0 est beaucoup plus complexe. Non seulement il est conçu pour échapper aux contrôles de sécurité traditionnels, mais il est souvent contrôlé manuellement.
Les attaques de ransomware 2.0 ne sont plus automatisées ni immédiates. Une fois qu’ils ont pris pied sur le réseau, les auteurs manœuvrent autour du réseau compromis à la recherche de données et d’autres ressources de grande valeur.
Après avoir localisé les données, les pirates les copient et les téléchargent vers un endroit sécurisé. C’est seulement à ce moment que le chiffrement commence.
Si la victime est en mesure de récupérer les données, les criminels menacent alors de vendre ou de divulguer les données volées.
Ils disposent ainsi de multiples moyens pour exiger de l’argent, ce qui augmente les chances de retour sur investissement.
Les attaques de phishing
Le phishing continue d’être une menace de premier plan, comme c’est le cas depuis des années. La raison en est simple : elle est facile à mettre en œuvre.
Aujourd’hui, presque tout le monde dépend du courrier électronique pour son travail, ce qui fait de presque tout le monde une cible d’une attaque de phishing.
Selon le rapport « 2020 Phishing Attack Landscape Report », les entreprises ont subi en moyenne 1 185 attaques par mois jusqu’à présent.
Le rapport comprend les résultats d’une enquête dans laquelle 38 % des personnes interrogées ont déclaré qu’un collègue de travail avait été victime d’une attaque au cours des 12 derniers mois.
Le phishing continue d’être le principal mécanisme de diffusion des ransomwares et des tentatives d’atteinte aux données sensibles des entreprises.
Il est impossible d’avoir une stratégie de cybersécurité efficace qui n’inclut pas un moyen efficace de lutter contre les attaques de phishing.
L’ingénierie sociale
L’ingénierie sociale concerne l’art de la tromperie. Il s’agit de manipuler l’essence de la nature humaine. Le phishing en est l’exemple classique, avec le spear phishing et le whaling qui font passer l’ingénierie sociale au niveau supérieur.
Les cybercriminels effectuent désormais des reconnaissances pendant des semaines ou des mois afin de déterminer les ficelles à tirer au sein d’une organisation. D’autres exemples d’ingénierie sociale sont les tailgating et le watering hole.
De toutes les menaces susmentionnées, la plus importante est, de loin, le fait que Microsoft Office365 est de plus en plus attaqué en raison de scénarios de travail à distance précipités et d’une sécurité inadéquate du courrier électronique et du web.
Pour plus d’informations sur l’amélioration de la protection de vos employés et votre entreprise contre les attaques de phishing et d’autres cybermenaces, appelez l’équipe de TitanHQ.
Vous pouvez également vous inscrire pour un essai gratuit et sans obligation de nos deux solutions de sécurité du courrier électronique et du web afin de les évaluer dans votre propre environnement.
Tout comme les escrocs d’autrefois qui utilisaient l’arnaque pour tromper des passants innocents et leur faire remettre de l’argent qu’ils ont durement gagné, les fraudeurs modernes utilisent également la confiance inhérente pour nous tromper.
La dernière escroquerie de phishing démontre très bien la psychologie de la cybercriminalité, mais avec quelques astuces.
Dans cette récente attaque de phishing, qui aurait débuté le 21 septembre 2020, les escrocs ont réutilisé leur marque favorite : Office 365. L’escroquerie tire parti de la confiance des utilisateurs dans le test CAPTCHA.
Comment fonctionne l’attaque de phishing contre Office 365
Le phishing est un outil important pour les cybercriminels. Cette technique est à l’origine de 90 % des violations de données.
Un employé sur trois clique sur un lien dans un e-mail de phishing, tandis qu’un employé sur huit consulte un site d’usurpation d’identité.
Cependant, il suffit qu’un pirate parvienne à obtenir un identifiant de connexion pour lancer une cyberattaque contre votre réseau d’entreprise.
En général, le phishing repose sur la manipulation du comportement humain. L’une des façons dont les êtres humains interagissent avec les ordinateurs consiste à utiliser un comportement inhérent connu sous le nom de « biais cognitif ».
Nous utilisons tous des préjugés dans nos décisions quotidiennes. Cela nous aide à faire des choix rapides. Ce comportement est également utilisé par des entreprises.
Par exemple, » l’’effet d’ancrage » (une forme de biais) est utilisé pour encourager les choix de vente. Les clients sont « ancrés » par un seul aspect d’un produit à l’exclusion des autres, et les vendeurs en tirent grand profit.
Le système CAPTCHA est utilisé sur de nombreux sites web pour vérifier que c’est bien un être humain (plutôt qu’un robot automatisé) qui saisit les informations dans des formulaires.
Ce système existe depuis de nombreuses années et nous sommes tous habitués à ce qu’il apparaisse, nous demandant de sélectionner les cellules d’une image qui montre une bouche d’incendie, une voiture, un vélo, etc.
Le biais cognitif s’installe lorsque nous interagissons de façon répétée avec les CAPTCHAS.
La dernière escroquerie de phishing « CAPTCHA » qui vise Office 365 utilise notre biais cognitif et notre confiance dans ce système comme contrôle de sécurité, ainsi que quelques autres astuces.
Voici pourquoi la dernière arnaque de phishing contre Office 365 fonctionne très bien
Une triple arnaque de phishing utilisant Office 365
Cette dernière arnaque de phishing d’Office 365 comporte plusieurs éléments qui, ensemble, en font une cyberattaque très difficile à détecter et à prévenir. Cette arnaque de phishing d’Office 365 comporte trois éléments essentiels, à savoir :
Déjouer les détecteurs
Ce qui est particulièrement astucieux dans cette attaque, c’est qu’elle utilise le système de sécurité pour réussir. Le site d’usurpation présente trois niveaux de système CAPTCHA.
Le premier est une simple case à cocher « Je suis un humain ». Le CAPTCHA suivant demande de choisir n’importe quelle case qui contient un objet spécifique, par exemple un vélo.
Les outils de recherche de malwares sont bloqués lors de la première vérification CAPTCHA et ne parviennent jamais au site qui contrôle le malware.
En fait, le site n’est accessible qu’une fois que l’utilisateur a passé avec succès le CAPTCHA numéro 3. En d’autres termes, seuls les utilisateurs humains peuvent accéder au site frauduleux.
Détection des adresses IP
L’arnaque de phishing est conçue de manière à ce que seules des plages de propriété intellectuelle spécifiques et choisies puissent accéder au site d’usurpation.
Si une tentative de détection automatique (ou manuelle) se situe en dehors de la plage d’adresses IP d’intérêt (c’est-à-dire les adresses IP de l’entreprise, victime), la tentative de détection sera redirigée vers le véritable site d’Office 365.
Cette procédure est également étendue à la vérification de la géolocalisation de la victime. C’est un moyen très efficace de prévenir la détection.
Piéger l’utilisateur
Le biais cognitif est parfait pour que le cybercriminel puisse en tirer profit, et il l’utilise intelligemment dans cette forme d’escroquerie.
Le site d’usurpation semble réel, et il utilise le système CAPTCHA.
Si un utilisateur reçoit des alertes de sécurité, telle que CAPTCHA, associées à un site d’apparence réaliste, il est plus probable qu’il ait un biais intégré qui lui permettra de se sentir suffisamment à l’aise pour entrer ses identifiants de connexion.
Selon un nouveau rapport de Microsoft, les acteurs de la menace ont rapidement gagné en sophistication au cours de l’année dernière, utilisant des techniques qui les rendent plus difficiles à repérer et qui menacent même les utilisateurs les plus avertis.
Cette arnaque de phishing en est la preuve. Les cybercriminels à l’origine de l’escroquerie utilisent des couches de protection et de la ruse pour réaliser leur objectif de vol d’identifiants de connexion ou d’installer des malwares.
Un rapport de Check Point pour le troisième trimestre 2020 a montré que Microsoft était la marque la plus utilisée par les cybercriminels pour duper les utilisateurs.
Mais il y a aussi DHL, PayPal et Apple. Cette escroquerie est peut-être axée sur Office 365, mais les cybercriminels changent de tactique, et le mois prochain, il pourrait s’agir d’un autre portail de collaboration en ligne très populaire.
Les entreprises ne doivent plus compter sur le fait que les utilisateurs soient conscients de la sécurité lorsqu’ils utilisent l’Internet.
Les cybercriminels utilisent notre propre comportement inhérent contre nous et font appel à de multiples techniques pour échapper à la détection par des solutions conventionnelles comme les pare-feu.
Elles doivent s’attendre à ce que d’autres types d’escroquerie de phishing de plus en plus astucieuse apparaisse.
Des solutions intelligentes telles que le filtrage de contenu web permettent d’empêcher vos employés à accéder à des sites web dangereux, réduisant ainsi la probabilité de violations des données de votre entreprise et d’autres cyberattaques.
Filtrage de contenu avec WebTitan Cloud
WebTitan Cloud est une solution de filtrage de contenu web basée sur le DNS qui offre une protection complète contre les virus, les malwares, les ransomwares, les attaques de phishing et un filtrage complet du contenu.
WebTitan Cloud est une solution qui ne requiert aucune maintenance et qui peut être configurée en cinq minutes pour empêcher vos utilisateurs d’accéder à des contenus inappropriés en ligne.
Notre moteur intelligent de catégorisation de contenu en temps réel, piloté par l’Intelligence artificielle, combine un antivirus de pointe et une architecture basée dans le cloud.
Cela fait de WebTitan Cloud une solution idéale pour les organisations qui ont besoin d’une protection maximale et d’une maintenance minimale.
Contactez notre équipe dès aujourd’hui et découvrez comment nos puissants outils de filtrage de contenu web peuvent aider votre entreprise.
Les escrocs du phishing savent vraiment tirer profit d’une situation, comme la pandémie du Covid-19. Les changements survenus dans le monde des affaires pendant cette période ont été sans précédent.
Les employés sont rapidement transférés vers le travail à domicile, ce qui est facilité par l’utilisation des technologies numériques.
Cela a créé une opportunité parfaite dont les escrocs du phishing ont profité. Le résultat : une augmentation de 30 000 % des menaces basées sur le Covid-19, aidée par des sites web armés et d’e-mails de phishing.
Les sites web malveillants ont contribué à ce fait, mais surtout les plateformes de collaboration à distance que les entreprises utilisent.
Au cours du premier semestre 2020, SharePoint, OneDrive et d’autres portails se sont révélés être un moyen idéal pour améliorer le taux de réussite d’une campagne de phishing.
Sécuriser les portails de collaboration en ligne
L’évolution du phishing est, bien sûr, conforme à l’évolution de la technologie.
Jusqu’à une date assez récente, une méthode typique utilisée dans les e-mails de phishing pour installer un malware sur un appareil consistait à télécharger un malware sous forme de pièce jointe infectée, généralement un document Office ou PDF.
Cette méthode correspondait à l’utilisation des e-mails par les employés pour partager des documents. Elle a été couronnée de succès et se poursuit encore jusqu’à maintenant.
Cependant, comme les entreprises se tournent de plus en plus vers l’utilisation de portails de collaboration en ligne, les employés sont moins susceptibles de partager des documents via la messagerie électronique.
En réponse à ce changement, les cybercriminels modifient leurs tactiques.
Au lieu d’envoyer des e-mails contenant des documents infectés par des malwares, ils se servent du fonctionnement des portails de collaboration en ligne.
En fait, ils envoient des e-mails contenant des liens partagés vers des documents ou d’autres fichiers.
Toutes ces plates-formes risquent d’être utilisées à mauvais escient par des campagnes de phishing via des liens malveillants dans des courriers électroniques dont l’apparence est celle du portail authentique.
Sachez toutefois que ces escroqueries de phishing se concentrent actuellement sur SharePoint et OneDrive.
Comment fonctionne l’escroquerie de phishing de SharePoint et OneDrive ?
Proofpoint a alerté le monde sur les dernières escroqueries visant son portail de collaboration, impliquant SharePoint et OneDrive. L’un des aspects les plus inquiétants de ces campagnes de phishing était le taux de réussite élevé.
En réalité, Proofpoint a constaté que les utilisateurs avaient 7 fois plus de chances de cliquer sur un lien malveillant SharePoint ou OneDrive. Il y a des raisons essentielles à cela, qui sont au cœur du fonctionnement de ce type d’escroquerie.
Le phishing est autant une question de comportement humain que de technologie. Les cybercriminels savent que le fait de piéger les utilisateurs pour qu’ils accomplissent une action peut effectivement faire le travail à leur place.
Pour amener un utilisateur à faire quelque chose, il faut de la « confiance ». C’est cet élément de confiance que les escrocs utilisent lorsqu’ils usurpent des marques connues, telles que SharePoint et OneDrive.
Au cours des premier et deuxième trimestres de 2020, 5,9 millions d’e-mails contenant des liens malveillants vers SharePoint et OneDrive ont été détectés.
Cela peut sembler beaucoup, mais cela ne représente que 1 % du nombre total des e-mails de phishing malveillants envoyés chaque jour dans le monde.
Un point important, cependant, est que ce 1 % représente 13 % des clics des utilisateurs, entraînant ainsi le téléchargement de liens malveillants.
En fait, les utilisateurs cliquent sur ces liens, car ils croient qu’il s’agit d’un e-mail légitime qui leur demande de collaborer à un travail.
L’objectif de ces e-mails de phishing est la prise de contrôle du compte d’un utilisateur. Proofpoint a pu utiliser ses recherches pour analyser le cycle de vie du phishing, qui est décomposé ci-dessous en plusieurs étapes :
Étape 1 : Un compte dans le cloud est compromis. Ceci peut être réalisé en utilisant un e-mail de spear-phishing.
Étape 2 : Un fichier malveillant est téléchargé sur le compte compromis. Les autorisations de partage sont définies sur « Public » et le lien anonyme est généré et partagé.
Voici plusieurs exemples de fichiers malveillants fournis par Proofpoint :
Exemple 1 : Un fichier PDF qui se présente comme une facture. La facture exige de l’utilisateur qu’il clique sur un lien. Celui-ci l’amène ensuite à une page de connexion OneDrive usurpée qui vole les informations d’identification saisies dans les champs de connexion.
Exemple 2 : Un fichier de messagerie vocale OneNote hébergé sur SharePoint. Le fichier OneNote contient un malware. Tout utilisateur qui ouvre le fichier pour écouter le message vocal pourrait être infecté par le malware.
Étape 3 : Le lien est envoyé à des cibles internes et externes. Ce lien est généralement une URL de redirection et est difficile à détecter à l’aide de méthodes conventionnelles.
Étape 4 : Le destinataire ouvre le courrier électronique et s’il clique sur le lien, il est dirigé vers une page de connexion SharePoint/OneDrive d’apparence douteuse, mais légitime. Le processus recommence alors, à l’infini.
Proofpoint a trouvé 5 500 utilisateurs qui avaient un compte compromis, ce qui représente une grande partie de la clientèle de Microsoft.
Une fois les identifiants de connexion volés, les pirates peuvent les utiliser pour accéder aux comptes réels des victimes sur SharePoint ou OneDrive et voler des informations sur leur entreprise, compromettre d’autres comptes et même réaliser d’autres escroqueries, notamment le Business Email Compromise (BEC).
Comment éviter que votre organisation ne soit victime d’une escroquerie à un portail de collaboration en ligne ?
Les recherches d’un consortium composé de Google, PayPal, Samsung et l’Université d’État de l’Arizona ont examiné les niveaux de menace du phishing. Le rapport qui en résulte fait une observation importante.
Les attaques réussies font appel à une ingénierie sociale très sophistiquée, complétée par des techniques de détection et d’évasion.
Le rapport note également que les 5 % des attaques les plus importantes sont responsables de 78 % des clics réussis vers un site malveillant. Pour dire les choses simplement, les escroqueries par phishing sont de plus en plus difficiles à prévenir.
La sensibilisation à la sécurité ne suffit pas à empêcher les utilisateurs de cliquer sur des liens malveillants et d’être manipulés pour entrer des données de connexion et d’autres informations sensibles.
Les escrocs du phishing sont passés maîtres dans l’art de la manipulation comportementale intelligente. Comme toutes les approches visant à atténuer les menaces pour la sécurité, une approche proactive et à plusieurs niveaux est la plus efficace.
Les entreprises doivent renforcer la formation à la sensibilisation à la sécurité en utilisant des outils puissants et intelligents qui empêchent un utilisateur d’être dirigé vers un site web frauduleux même s’il clique sur un lien malveillant.
Ces outils devraient inclure l’utilisation d’une plateforme de filtrage de contenu web. Celle-ci empêche les employés de naviguer sur des sites web dangereux et réduit les risques de violation des données de l’entreprise et d’autres cyberattaques.
