Les e-mails restent la principale source de communication pour les entreprises. Cependant, certains employés continuent d’envoyer, de recevoir et d’ouvrir des messages et des pièces jointes malveillants, sans penser au risque potentiel que ces messages peuvent faire courir à leur entreprise.
La sécurité de la messagerie électronique est un risque critique pour de nombreuses entreprises. En réalité, plus de 91 % des attaques réussies sur les réseaux d’entreprise résultent des attaques de phishing et d’une attaque ciblant les utilisateurs finaux dans une entreprise via la messagerie électronique. Ceci peut causer de préjudices à votre organisation et les conséquences sont souvent graves.
Voici donc une liste des meilleurs moyens d’assurer la sécurité de vos e-mails.
1. Utilisez des mots de passe sûrs pour améliorer la sécurité des emails
Il est peu surprenant de voir à quel point la plupart des mots de passe utilisés pour la messagerie électronique sont faibles. Mais il ne faut pas également utiliser des mots de passe trop compliqués. Un « bon » mot de passe comporte au moins 10 caractères, avec un mélange de majuscules et de minuscules. Il doit également comporter au moins un chiffre et un caractère spécial.
2. Utilisez le protocole TLS (Transport Layer Security) ou SSL (Secure Sockets Layer)
Les protocoles TLS et SSL sont très similaires. Ils permettent d’envoyer vos e-mails en toute sécurité entre votre ordinateur et votre service SMTP. Mais votre service SMTP doit aussi être en mesure de chiffrer correctement les messages envoyés entre lui-même et le serveur de messagerie de vos destinataires. Ce processus d’envoi d’e-mails nécessite par ailleurs que le serveur de messagerie de vos destinataires prenne en charge les protocoles TLS et/ou SSL.
3. Installez un logiciel antivirus sur chaque ordinateur
Cela contribuera à sécuriser votre service de messagerie électronique, mais aussi vos ordinateurs. Il existe de nombreuses options comme Bitdefender, ClamAV, Webroot, Norton, Kaspersky, etc.
4. Créez un nom d’utilisateur SMTP différent pour chaque expéditeur
Plusieurs personnes peuvent vous envoyer des e-mails dans votre entreprise. En fait, si votre ordinateur est piraté et qu’il commence à envoyer du spam, vous pouvez facilement désactiver le nom de l’utilisateur SMTP sans affecter les autres utilisateurs. Vous devez également changer le mot de passe de l’ordinateur infecté et son compte SMTP.
5. Soyez extrêmement prudent lorsque vous ouvrez des pièces jointes
Lorsque vous recevez un e-mail, il faut toujours l’analyser, notamment la pièce jointe, avant de l’ouvrir, surtout si le message provient d’une personne que vous ne connaissez pas. Sachez que neuf virus ou malwares sur dix atteignent les ordinateurs via les pièces jointes.
6. Pensez au chiffrement des e-mails sensibles
Grâce au chiffrement des e-mails, votre entreprise peut protéger les communications via la messagerie électronique avec le plus haut niveau de sécurité. La messagerie électronique est basée sur le protocole SMTP qui circule généralement sur Internet sans être chiffré. Lorsque vous envoyez un message, il peut être transmis en texte clair sur d’autres réseaux locaux et sur Internet. Une personne aux intentions malveillantes peut donc le falsifier, et les informations sur l’expéditeur peuvent être facilement usurpées.
7. N’utilisez pas votre adresse électronique dans les lieux publics
Si vous devez utiliser votre adresse électronique lorsque vous vous connectez à un WiFi public, il est recommandé d’utiliser un compte de messagerie secondaire. Si vous utilisez une adresse électronique liée à un compte dont vous pourriez vous passer, cela vous permettra de sécuriser vos données au cas où l’autre compte serait compromis.
8. Ne divulguez pas vos informations sensibles dans vos e-mails
Les pirates ont plusieurs tactiques pour usurper vos identifiants de connexion, et cela pourrait entraîner une fuite de données. Si vous devez envoyer à quelqu’un des informations sensibles, il est recommandé de l’appeler à l’avance. Et lorsque vous devez envoyer des documents sensibles, vous pouvez utiliser des outils sûrs comme Google Drive, qui est un service gratuit.
9. Ne répondez pas aux spams ou aux tentatives de phishing
Répondre à un spam ne fait qu’informer qu’aux pirates informatiques que vous êtes un humain. Ne le faites pas. De plus, sachez que plus de 3 % des spams contiennent des malwares.
10. Faites attention au WiFi public
Vous devez vérifier vos e-mails qui sont liés à votre activité professionnelle. Si vous deviez, par exemple, utiliser le WiFi public d’un aéroport ou d’un café, cela pourrait être une opportunité fantastique pour les pirates informatiques.
Au cas où vous devriez vous servir d’un réseau WiFi public, vérifiez au moins que vous êtes bien sur le réseau gratuit, et non sur le réseau qu’un pirate informatique a mis en place pour ressembler au réseau du café (ou de l’aéroport). Ensuite, assurez-vous qu’il y a un « HTTPS : » au début de l’URL où vous vous connectez. Si vous ne voyez pas le « S. » dans le « HTTPS » – ou si vous recevez un avertissement indiquant qu’il y a un problème avec le certificat de sécurité – n’utilisez pas ce réseau.
11. Formez vos employés
Les employés constituent le maillon faible de votre entreprise et ils sont l’une des principales causes des incidents de violation de données lors d’une cyberattaque. Il est donc essentiel de veiller à ce qu’ils soient informés et sensibilisés aux menaces cybercriminelles. Il faut leur dispenser une formation continue sur les risques de sécurité des e-mails et sur la manière d’éviter d’être victime d’attaques de phishing.
Bloquez et supprimez les spams et les e-mails de phishing grâce à SpamTitan
L’un des meilleurs moyens de réduire le nombre de spams est d’utiliser l’authentification DKIM (Domain Keys Identified Mail). Ce protocole permet au destinataire d’un message électronique de vérifier que le message provient bien du domaine dont il prétend être originaire et qu’il n’a pas été usurpé. Vous pouvez également utiliser une solution tierce comme SpamTitan, un filtre antispam qui peut bloquer les e-mails malveillants et indésirables. Elle est conçue pour contrôler, nettoyer et protéger vos flux de messagerie d’entreprise. SpamTitan prend en charge la protection antivirus, l’analyse multicouche, l’authentification DKIM, la liste noire et la liste blanche, entre autres.
Une attaque d’email de phishing sur une entité couverte par la loi américaine HIPAA (Health Insurance Portability and Accountability Act) a entraîné une pénalité de 400 000 $ pour non-respect de ce texte.
Ce n’est pas la première fois qu’une attaque de phishing est sanctionnée par l’Office des droits civils (OCR) pour non-conformité.
L’incapacité à prévenir les attaques de phishing n’est pas nécessairement synonyme de sanction, mais le fait de ne pas mettre en œuvre des protections suffisantes pour empêcher de telles attaques pourrait mettre les entités couvertes par l’HIPAA dans l’embarras.
Conformité HIPAA et attaque d’email de phishing
L’OCR du Département américain de la santé et des services sociaux est chargé de faire respecter les règles de la loi sur la transférabilité et la responsabilité en matière d’assurance maladie.
L’OCR effectue les audits des entités couvertes pour identifier les aspects des règles HIPAA qui s’avèrent problématiques pour les entités concernées.
Cependant, à ce jour, aucune sanction financière n’a été émise suite à des infractions à la loi HIPAA découvertes lors de ces audits. Mais ce n’est certainement pas le cas lorsqu’il s’agit d’enquêtes sur des violations de données.
OCR enquête sur toutes les formes de violations de données touchant plus de 500 personnes. Ces enquêtes aboutissent souvent à la découverte de violations des règles de l’HIPAA.
Toute entité couverte par cette loi et qui subit une attaque de phishing entraînant l’exposition d’informations de santé protégées de patients ou de membres d’assurance maladie pourrait être considérée comme ayant violé l’HIPAA.
Une seule attaque de phishing qui n’a pas été contrecarrée pourrait donc entraîner une amende considérable pour non-conformité.
Quelles sont les règles de l’HIPAA qui couvrent le phishing ?
Bien que cette loi ne mentionne pas spécifiquement le phishing, cette menace pourrait porter atteinte à la confidentialité, l’intégrité et la disponibilité des informations électroniques protégées sur la santé (ou Electronic protected health information – ePHI).
Le phishing est donc couvert par les exigences administratives de la règle de sécurité HIPAA.
Les entités couvertes par la règle de sécurité HIPAA sont tenues de dispenser une formation continue appropriée aux membres de leur personnel.
Selon le §164.308.(a).(5).(i), une formation de sensibilisation à la sécurité est nécessaire. Bien que ces exigences soient adressables, elles ne peuvent être ignorées.
Les exigences administratives incluent l’envoi de rappels de sécurité, la protection contre les malwares, la gestion de mots de passe et la surveillance des connexions.
Les employés doivent également apprendre à identifier les emails de phishing potentiels et connaître la réponse correcte lorsqu’ils en reçoivent un.
La règle de sécurité HIPAA exige également la mise en place de protections techniques contre les menaces pesant sur les ePHI.
Des mesures de sécurité raisonnables et appropriées, telles que le chiffrement, devraient être utilisées pour protéger les informations.
Comme les EPHI sont souvent divulguées via des comptes de messagerie, une mesure de sécurité raisonnable et appropriée consisterait donc à utiliser une solution de filtrage du spam avec un composant anti-phishing.
PhishMe rapporte que 91 % des cyberattaques commencent par un email de phishing. Une solution de filtrage anti-spam peut donc être considérée comme un contrôle de sécurité essentiel.
Le risque de phishing doit être mis en évidence lors de l’analyse de votre système de sécurité. C’est un élément obligatoire de la règle de sécurité HIPAA.
Une telle analyse doit identifier les risques et les vulnérabilités susceptibles d’entraîner la divulgation ou le vol des ePHI. Ces failles doivent ensuite être traitées dans le cadre du processus de gestion de la sécurité de l’entité couverte.
Sanctions HIPAA pour attaques d’email de phishing
OCR a récemment conclu un accord avec Metro Community Provider Network (MCPN), un centre de santé agréé par le gouvernement fédéral (FQHC), basé à Denver, au Colorado.
Cela fait suite à une attaque de phishing survenue en décembre 2011.
L’attaque a permis aux pirates d’accéder aux comptes de messagerie de l’organisation après que les employés aient répondu à un email de phishing et fourni ses informations d’identification.
Les ePHI de 3 200 personnes figuraient dans les comptes de messagerie piratés.
L’amende ne visait pas précisément à empêcher toutes les attaques de phishing, mais à faire suffisamment d’efforts pour gérer les risques de sécurité.
MCPN n’avait pas effectué l’analyse des risques avant l’attaque et n’avait pas mis en œuvre de mesures de sécurité suffisantes pour réduire les failles et les vulnérabilités à un niveau raisonnable et approprié.
Le centre de santé MCPN a dû verser 400 000 $ à l’OCR suite à cet incident.
En 2015, une autre entité couverte par l’HIPAA a fini par se mettre d’accord avec l’OCR pour résoudre les violations des règles HIPAA suite à une attaque de phishing.
Le centre médical de l’Université de Washington a versé 750 000 dollars à l’OCR en raison de la divulgation de 90 000 ePHI individuelles. Pour ce cas précis, l’attaque de phishing permettait à des attaquants d’installer des malwares.
Jocelyn Samuels, directeur d’OCR à l’époque, a déclaré: « Une analyse de risque efficace doit être exhaustive et menée dans l’ensemble de l’organisation pour traiter suffisamment les risques et les vulnérabilités des données des patients.
Trop souvent, nous voyons des entités couvertes avec une analyse de risque limitée, qui se concentre sur un système spécifique tel que les dossiers médicaux électroniques, où qui n’assure pas une supervision et une responsabilité appropriées pour toute l’entreprise. »
On ne s’attend pas à ce que les entités visées empêchent toutes les attaques de phishing, mais elles doivent s’assurer que le risque de phishing soit identifié et que des mesures soient mises en place pour empêcher ces attaques d’entraîner l’exposition au vol des ePHI.
Dans le cas contraire, une amende relative à violation de la loi HIPAA pourrait être infligée aux entreprises concernées.
Qu’est-ce qui vous empêche de dormir la nuit ? Si vous êtes un Responsable de la Sécurité des Systèmes d’Information (RSSI) d’une grande entreprise, il se peut que vous ayez peur de perdre votre emploi au cas où votre employeur serait victime d’une cyberattaque comme une atteinte à la protection des données.
Les RSSI prennent la responsabilité des cyberattaques subit par leurs entreprises
C’est l’une des statistiques inquiétantes rapportées par l’étude Megatrend Study du Ponemon Institute.
Cette étude, rendue publique plus tôt cette année, a montré que les nombreux incidents cybernétiques qui ont fait la une des journaux et des médias au cours des deux dernières années semblent avoir des répercussions sur les dirigeants du RSSI et d’autres dirigeants de C-Suite.
L’enquête portait sur 612 RSSI, DSI et autres professionnels de la sécurité de l’information :
45 % des répondants ont déclaré qu’ils craignaient de perdre leur emploi à la suite d’une cyberattaque majeure.
Cela semble compréhensible puisqu’en 2018, 67 % d’entre eux s’attendent à une atteinte à la protection des données ou à un type d’attaque informatique semblable, contre 60 % en 2017.
Ces appréhensions ne sont pas propres aux professionnels de l’industrie établis aux États-Unis.
Une enquête menée dans le cadre de la conférence Infosecurity Europe 2017 a rapporté des résultats similaires.
En effet, on a demandé aux professionnels de la sécurité le poste le plus responsable d’une entreprise en cas d’atteinte à la protection des données.
Parmi les répondants, 40 % affirmaient que les PDG seraient les premiers à être sur la ligne de mire, suivis des RSSI (21 %), des autres professionnels de la sécurité de l’information (15 %) et des DSI (14 %).
Parmi les exemples récents de départs forcés, on peut citer celui du chef de la direction d’Equifax, Richard Smith, après la divulgation d’une violation massive de données.
Chez Uber, trois cadres supérieurs du département sécurité ont également démissionné suite à la dissimulation révélée d’une attaque cybercriminelle. Suite à cela, les données de plus de 50 millions de conducteurs et passagers ont été atteintes.
Uber a dû payer un groupe de pirates informatiques pour effacer les dossiers infectés.
D’autres exemples d’attaques de haut niveau ont impliqué d’autres entreprises, comme :
Le fabricant aérospatial autrichien FACC
Sony
Target
Home Depot.
Le grand public est clairement convaincu que les entreprises doivent être pénalisées pour les violations de données impliquant des informations personnelles.
Dans un sondage mené récemment auprès de 9 000 consommateurs en Australie, au Benelux, en France, en Allemagne, en Russie, aux Émirats arabes unis, en Arabie saoudite, en Inde, au Japon, au Royaume-Uni et aux États-Unis, 70 % des répondants ont attribué la responsabilité de protéger et de sécuriser leurs données directement aux entreprises.
L’étude du Ponemon Institute montre que le stress lié à la cybercriminalité affecte les RSSI
Non seulement la majorité d’entre eux estiment qu’une cyberattaque est imminente, mais 66 % disent qu’ils s’attendent à ce que leur travail devienne plus stressant au cours des douze prochains mois.
Un autre fait inquiétant est que :
44 % des répondants ont indiqué qu’ils prévoyaient de faire une mutation latérale au sein de leur organisation, en travaillant hors du domaine de la sécurité informatique.
40 % envisagent tout simplement de changer de carrière.
Pourquoi les responsables de la sécurité informatique du C-Suite sont-ils si inquiets ?
Certes, la publicité sur les cyberattaques – telles que les atteintes à la protection des données et les attaques de ransomwares – a fait monter la pression pour ces dirigeants.
Mais la surcharge d’informations et l’augmentation des réglementations y contribuent également.
Outre ces faits, l’étude du Ponemon Institute a mis en évidence d’autres préoccupations spécifiques des répondants.
70 % d’entre eux ont affirmé que la cause la plus probable d’une atteinte à la protection des données était le manque de personnel interne compétent.
64 % ont souligné le manque d’expertise interne qui pourrait entraîner une atteinte à la protection des données. La pénurie chronique de talents dans le domaine de la cybersécurité est qualifiée d’épidémie selon certains analystes de l’industrie. L’un des principaux groupes de défense de la sécurité de l’information prévoit qu’il y aura une pénurie mondiale de deux millions de professionnels de la sécurité d’ici 2019.
47 % s’inquiétaient d’une brèche potentielle due à l’incapacité de leur organisation à sécuriser les dispositifs IoT (Internet des objets).
56 % d’entre eux ont cité que les organisations sont incapables de faire face aux cyberattaques qui sont de plus en plus sophistiquées.
Un tiers des répondants ont affirmé que cette préoccupation est due à un financement inadéquat.
40 % ont déclaré que leurs budgets de sécurité informatique étaient restés stables l’an dernier malgré les menaces croissantes, tandis que 23 % s’attendaient à un budget réduit pour les douze mois à venir.
L’une des principales préoccupations exprimées dans le rapport était l’incapacité de se préparer à de nouveaux types de menaces sur le long terme, en raison de l’augmentation du nombre d’attaques quotidiennes.
Les malwares et le phishing demeurent leur principale préoccupation, car ils constituent le principal moyen de diffusion des attaques cybernétiques.
La capacité de sécuriser complètement la messagerie électronique des utilisateurs est également une priorité absolue, outre la mise en œuvre d’outils de sécurité tels que le filtrage moderne des emails et des contenus web.
La cybersécurité doit devenir une culture pratiquée dans chaque organisation. En attendant, le stress des RSSI restera certainement élevé.
Le mardi 27 juin 2017, une importante cyberattaque utilisant des ransomwares a eu lieu.
Elle ciblait des organisations à travers le monde.
Les analystes de TitanHQ ont enquêté sur cette nouvelle vague d’attaques de ransomwares.
Les premiers résultats de notre fournisseur antivirus Kaspersky suggèrent qu’il ne s’agit pas d’une variante du ransomware Petya, telle que rapportée publiquement, mais d’un nouveau ransomware qui n’a jamais été vu auparavant.
Bien qu’il présente des chaînes de caractères similaires à celles de Petya, il possède des fonctionnalités complètement différentes. Kaspersky l’a nommé « ExPetr ».
Il s’agit d’une attaque complexe impliquant plusieurs vecteurs de malwares.
Nous pouvons confirmer que les kits d’exploitation modifiés d’EternalBlue et d’EternalRomance — lesquels ont été utilisés lors de l’attaque ransomwares avec WannaCry en mai — ont été utilisés par les criminels pour propager des virus dans le réseau des entreprises.
Kaspersky a nommé les variantes de cette menace de différentes manières, à savoir :
Multi.Generic
Trojan-Ransom.Win32.ExPetr.a
Trojan-Ransom.Win32.ExPetr.gen
Win32.Generic
Win32.Generic.
Protection SpamTitan contre le ransomware ExPetr
Les clients utilisant SpamTitan sont protégés contre toutes les variantes récentes du ransomware ExPetr.
Notre service antivirus peut bloquer cette menace et nous travaillons en étroite collaboration avec des fournisseurs spécialisés pour assurer une protection optimale de vos réseaux d’entreprise.
TitanHQ a détecté l’infection initiale à l’aide de la fonction de protection Kaspersky.
Que devriez-vous faire ?
Nous conseillons à toutes les organisations de mettre à jour leurs logiciels Windows : les utilisateurs de Windows XP et Windows 7 peuvent se protéger en installant le correctif de sécurité MS17-010.
Nous conseillons également à toutes les organisations de s’assurer qu’elles disposent de systèmes de sauvegarde des données, notamment la méthode de sauvegarde 3-2-1. Un système de sauvegarde approprié et opportun peut être utilisé pour restaurer les fichiers originaux après une perte de données.
S’assurer que tous les mécanismes de protection antivirus sont activés.
Évitez d’ouvrir des pièces jointes à des emails auxquels vous ne vous attendez pas ou provenant de destinataires que vous ne connaissez pas.
Couches de sécurité
De nos jours, les entreprises ont besoin de plusieurs niveaux de sécurité pour stopper les emails qui passent à travers votre pare-feu, par le biais d’un antispam et d’une solution antivirus pour votre serveur de messagerie.
Si l’email parvient à contourner votre système de défense, il sera alors arrêté par l’antivirus.
Au cas où un malware s’installerait sur votre poste de travail, il va également être détecté dès qu’il commence à fonctionner de façon suspecte.
Vous pouvez donc vous protéger contre les virus, les attaques de phishing et de ransomwares, et bien d’autres menaces en ligne.
Corriger – Répondre – Atténuer
En cas d’attaque par des ransomwares, les sauvegardes sont essentielles, tout comme la mise à jour régulière de vos systèmes.
Le problème est que les entreprises ne peuvent pas toujours appliquer les correctifs le jour où elles sont disponibles, car les entreprises doivent encore tester les modifications et s’assurer que les mises à jour n’auront aucun impact sur leur fonctionnement.
Il est également crucial pour les équipes informatiques d’intégrer la redondance dans l’infrastructure, de sorte que lorsqu’un système sera mis hors service pendant la période de test, un autre système pourra fonctionner correctement.
Les équipes informatiques doivent disposer d’un plan pour hiérarchiser les mises à jour de sécurité ou mettre en place des mesures de protection pour celles qui ne peuvent pas être corrigées.
La seule certitude concernant les ransomwares, c’est qu’ils évoluent tout le temps. Rien qu’en janvier, 37 nouvelles variantes se sont apparues, dont :
F Society
CyberHub
Spora
Marlboro
Dark OverLord
Pour n’en citer que quelques-unes.
Avec autant de souches différentes qui circulent sur le web, les précautions restent les mêmes :
Les entreprises doivent maintenir des sauvegardes
Utiliser une sécurité efficace de la messagerie électronique et du web
Traiter le spam comme un vecteur sérieux de malwares plutôt que comme une simple nuisance.
Les statistiques concernant les attaques de ransomwares montrent clairement comment les entreprises ignorent ou n’accordent pas la priorité aux correctifs.
Avez-vous appliqué tous vos correctifs après les attaques de WannaCry ?
Avez-vous été victime d’une attaque par le ransomware ExPetr ?
Si vous êtes un professionnel de l’informatique et vous voulez vous assurer que vos données et vos appareils sensibles soient protégés, parlez-en à nos spécialistes ou envoyez-nous un email à info@titanhq.com pour toute question.
Une nouvelle campagne de spam a été identifiée. Elle utilise des fichiers Excel Web Query pour envoyer des malwares.
Dans ce cas, les fichiers avec une extension IQY (.iqy) sont utilisés pour lancer des scripts PowerShell, donnant aux attaquants l’accès root à un périphérique.
Les fichiers .iqy ne sont généralement pas bloqués par des filtres antispam, ce qui rend la technique efficace pour la diffusion silencieuse de malwares.
Les spams sont envoyés via le botnet Necurs. Barkly a détecté trois campagnes de spam utilisant ces pièces jointes, mais il est fort probable que d’autres campagnes seront lancées.
Les fichiers Excel Web Query obtiennent des données d’une source externe et les chargent dans Excel. Dans ce cas, les données externes se présentent comme une formule exécutable dans Excel.
La formule est utilisée pour exécuter des scripts PowerShell qui, dans au moins une campagne, téléchargent un Cheval de Troie d’accès distant (RAT) appelé FlawedAmmyyy Admin.
Comment fonctionne cette nouvelle campagne de spam via des fichiers Excel Web Query
Il s’agit d’un outil d’administration à distance légitime (AMMYY Admin) modifié qui permet à l’attaquant de contrôler complètement un ordinateur et d’installer de nombreux programmes malveillants.
Dans bien des cas, les emails se font passer pour des bons de commande, des factures impayées et des documents scannés.
Ce sont des thèmes courants utilisés dans les emails non sollicités pour livrer des malwares. Les campagnes de spam utilisent souvent des documents Word avec des macros malveillantes.
Les macros sont généralement désactivées par défaut. Grâce à une formation de sensibilisation à la sécurité, les utilisateurs finaux peuvent être avisés de ne pas activer les macros sur les documents provenant d’expéditeurs inconnus.
Ceci permet d’empêcher le téléchargement de malwares.
Cependant, la plupart des utilisateurs finaux ne seront pas habitués à recevoir des fichiers .iqy, ces pièces jointes devraient donc éveiller les soupçons.
Microsoft a déjà intégré des avertissements pour empêcher ces fichiers d’être exécutés par les utilisateurs finaux.
Ainsi, si un utilisateur final tente d’en ouvrir un, cela déclenche un avertissement, prévenant que le fichier peut ne pas être sûr, car il permet une connexion externe.
L’utilisateur devra cliquer sur « enable » avant que la connexion ne soit établie et que les données ne soient extraites dans Excel. Un deuxième message d’avertissement s’afficherait alors, nécessitant encore une fois une autorisation.
Le script ne pourra donc s’exécuter et télécharger la charge utile malveillante que si l’utilisateur ignore ces deux avertissements.
Vous pouvez prendre deux mesures pour protéger vos terminaux et vos réseaux contre ce type d’attaque.
La première est de configurer votre filtre antispam pour mettre en quarantaine tous les emails contenant des pièces jointes avec une extension IQY.
SpamTitan permet de bloquer certains types de pièces jointes comme les fichiers exécutables et les fichiers .iqy. Grâce à cette solution, vous pouvez définir la politique de quarantaine, de rejet ou de suppression des emails.
Etant donné que ces types de fichiers ne sont généralement pas envoyés via la messagerie électronique, le rejet ou la suppression des messages est donc l’option la plus sûre.
Vous devriez également intégrer la façon d’utiliser ces fichiers dans vos séances de formation de sensibilisation à la sécurité et envisager d’envoyer une alerte par email aux utilisateurs finaux pour les avertir de la menace.
Contactez l’équipe de TitanHQ pour protéger vos messageries électroniques des malwares
Vous trouverez de plus amples informations sur les mesures que vous pouvez prendre afin de prévenir la propagation d’infections par des malwares via la messagerie électronique sur notre page de conseils antispam.
L’un des principaux avantages de la migration vers le cloud est d’atteindre l’extensibilité.
En fait, la possibilité de déployer et de retirer des actifs numériques de manière automatisée est actuellement un aspect important du processus de transformation numérique.
Mais l’évolutivité ne profite pas seulement aux entreprises. Elle profite également aux pirates et aux cybercriminels qui tentent de s’introduire dans les réseaux d’entreprise.
Imaginez le temps qu’il faudrait pour crocheter la serrure de chaque casier d’un bâtiment de lycée. Ce serait pour le moins peu pratique.
Mais que se passerait-il si tout ce que vous aviez à faire était de forcer l’un d’entre eux afin d’obtenir un accès potentiel à tous.
Et si vous disposiez d’un outil capable de crocheter toutes les serrures simultanément ?
En quelques minutes, vous pourriez simplement essayer n’importe quelle combinaison de chiffres par défaut ou facile à retenir sur chaque cadenas jusqu’à ce que l’un d’entre eux fonctionne.
C’est ainsi que fonctionnent aujourd’hui les attaques par force brute, connues sous le nom de « Credential Stuffing ».
Ce sont des attaques à grande échelle conçues pour trouver rapidement et facilement le maillon le plus faible de votre système de sécurité.
Pourquoi les attaques par force brute sont-elles si efficaces ?
Les attaques automatisées par force brute menées par les grands botnets offrent aux attaquants une évolutivité presque illimitée grâce aux sites qui rassemblent des millions de comptes d’utilisateurs dans un seul espace, c’est-à-dire dans le cloud.
Les organisations criminelles déploient des robots de force brute qui s’attaquent continuellement aux boîtes de messagerie de votre entreprise, en utilisant des mots de passe communs jusqu’à ce qu’ils soient trouvés.
Une fois qu’un compte est compromis, ils peuvent l’utiliser pour lancer des attaques de phishing ou du type BEC convaincantes contre d’autres utilisateurs internes.
En ciblant la voie de moindre résistance, les cybercriminels peuvent s’introduire dans le réseau de votre entreprise et s’en servir pour mener des attaques sans qu’il soit nécessaire de recourir à l’interaction humaine.
Mais la recherche de proies faciles sur Office 365 n’est que la partie visible de l’iceberg.
Si l’obtention d’un accès à l’échelle de l’entreprise peut être la fin d’une attaque par force brute, la compromission d’un seul compte utilisateur peut apporter quelque chose de valeur aux pirates.
Le fait est que la plupart des utilisateurs choisissent une adresse électronique comme nom d’utilisateur pour de nombreux sites Internet.
Ils aggravent ensuite le problème en recyclant les mots de passe.
Une fois qu’un pirate informatique parvient à deviner votre identifiant de connexion à un site, il y a de fortes chances qu’il puisse utiliser ce jeu de mots de passe pour un autre site :
Votre banque
Votre site de médias sociaux
Votre application de streaming
Votre magasin de vente au détail en ligne.
Inversement, les pirates peuvent cibler n’importe lequel de ces sites afin d’obtenir vos identifiants de connexion.
Les sites de vente au détail et d’hôtellerie sont les principales cibles
La réalité d’aujourd’hui est que si un attaquant peut capturer vos identifiants de connexion chez votre détaillant en ligne préféré, il peut également les utiliser pour accéder à d’autres sites.
Et comme la majorité des consommateurs effectuent aujourd’hui la plupart de leurs achats via Internet, les sites de commerce électronique sont devenus une cible privilégiée pour les pirates.
Selon un récent rapport intitulé « Loyalty for Sale », plus de 60 % des attaques par force brute détectées au cours des deux dernières années ont visé des magasins de vente au détail, de voyage et d’hôtellerie.
L’entreprise qui a rédigé le rapport a déclaré qu’entre le 1er juillet 2018 et le 30 juin 2020, plus de 64 milliards d’attaques par force brute sur les 100 milliards détectées ont visé des comptes d’utilisateurs ouverts dans ces trois secteurs.
Bien que les chiffres soient stupéfiants, ce n’est pas nouveau. L’année précédente, le secteur de la vente au détail était également la première cible des attaques par force brute.
En 2018, on a recensé 773 millions d’adresses électroniques uniques et 22 millions de mots de passe uniques. Les justificatifs d’identité comprenaient plus de 87 Go de données.
Depuis le début de la crise liée au COVID-19, les cybercriminels recyclent les listes de justificatifs d’identité stockées comme celles-ci pour trouver des comptes en ligne nouvellement actifs pour des sites de vente au détail.
Se protéger contre les attaques par force brute
L’un des moyens les plus efficaces de lutter contre les attaques par force brute est d’utiliser des comptes uniques pour chaque site auquel vous accédez.
Ainsi, si l’un de vos comptes est compromis, il ne peut pas être utilisé successivement sur les autres sites que vous fréquentez.
Les utilisateurs doivent également changer régulièrement leurs mots de passe, car les informations volées sont conservées pendant des années par des criminels.
Afin de se protéger contre la compromission de leurs identifiants de connexion, les entreprises ont besoin d’une solution de sécurité de la messagerie électronique adaptée pour déjouer les attaques.
Un exemple est « SpamTitan Cloud », qui offre aux entreprises un système de protection hautement évolutif pour sécuriser la messagerie électronique.
Les cyberattaques n’ont cessé d’augmenter depuis l’apparition du COVID-19, et nous n’avons peut-être pas encore atteint le sommet.
Une étude a montré une augmentation de 30 % des cyberattaques entre les mois de juillet et août de cette année.
Le 18 août, 1 746 611 cyberattaques ont été enregistrées sur une période de 24 heures, ce qui constitue un record. Il est donc essentiel d’analyser les 5 principales menaces pour la sécurité du courrier électronique et du web en 2020.
Les menaces pour la sécurité des emails et du web en 2020
Même si nous voulons oublier l’année en cours, nous devons prendre le temps de l’analyser du point de vue de la cybersécurité afin de mieux nous protéger en 2021.
Voici un bref résumé des menaces qu’encourt en 2020 la sécurité des emails et du web.
Le travail à distance
Avant l’apparition de la pandémie, environ 5,2 % des employés américains travaillaient à distance à temps plein, selon le recensement américain.
Ce pourcentage était inférieur à celui de nombreuses entreprises en Europe, en particulier aux Pays-Bas, qui, pendant des années, ont mené le mouvement mondial en faveur du travail à distance avec un taux de 14,1 %.
Puis le COVID-19 a fait son apparition. Le PDG de Barclays a résumé la « nouvelle normalité » en une phrase : « Mettre 7 000 personnes dans un bâtiment peut être une chose du passé ».
Alors que les entreprises ont pu faire la transition vers des stratégies de travail à distance avec une relative facilité, la sécurisation du processus de travail lui-même est très difficile.
Les méthodes de sécurité conventionnelles se sont centrées sur une architecture de périmètre qui n’existe plus. Les employés travaillant à distance, isolés de l’informatique interne et de leurs pairs, sont beaucoup plus vulnérables aux cyberattaques.
La cyberguerre sera désormais menée sur mille fronts, plutôt que sur un seul périmètre.
Les attaques contre Microsoft Office 365
Microsoft Office 365 est rapidement devenu le cœur de beaucoup d’entreprises aujourd’hui.
Qu’il s’agisse de services de courrier électronique, d’applications Office ou de stockage de fichiers personnels, les entreprises et les écoles ont procédé à une migration active de leurs services essentiels vers le cloud O365.
En conséquence, les pirates informatiques en ont fait une cible privilégiée pour les attaques.
Ironiquement, les cybercriminels s’abonnent à ces mêmes services afin de découvrir ses vulnérabilités.
Qu’il s’agisse d’attaques à grande échelle de forçage d’identifiants ou d’attaques de phishing bien conçues (demandant aux utilisateurs de réinitialiser un mot de passe ou d’accéder à un OneDrive partagé), les utilisateurs de Microsoft Office 365 sont continuellement attaqués.
Pour contrer ces attaques, les entreprises doivent appliquer des mots de passe complexes ainsi qu’une authentification à plusieurs facteurs.
Les services informatiques internes doivent renforcer le système Microsoft Office 365 par une sécurité dédiée au courrier électronique, et surveiller régulièrement leurs environnements Microsoft Office 365 afin de pouvoir identifier les activités de connexion anormales.
Les attaques de ransomware
Les attaques de ransomwares sont un exemple classique de menaces qui est en constante évolution. Les organisations évoluent au fil du temps pour s’adapter aux nouveaux modes de travail afin de survivre et de s’épanouir.
Il en va de même pour les ransomwares.
Traditionnellement, le ransomware était considéré comme une mine enterrée.
Il reste là, à l’attente d’une malheureuse victime qui tombe dessus arbitrairement. Ceux qui ont déployé la mine n’ont aucun moyen de cibler de manière sélective ceux qui tomberont dessus.
C’était le cas des premiers logiciels de ransomwares. Ils étaient jetés comme un filet géant, sans savoir qui serait la malchanceuse victime.
En général, il était dispersé dans des attaques de phishing à grande échelle.
Dès qu’un utilisateur peu méfiant cliquait sur le lien séduisant mais malveillant, le ransomware était lancé et, en quelques minutes, il commençait à chiffrer tout ce qu’il trouvait.
Ceci étant fait, la demande de rançon est lancée. Les auteurs espéraient alors qu’un nombre suffisant de victimes paieraient.
Le ransomware est maintenant dans sa deuxième phase.
Le ransomware 2.0 est beaucoup plus complexe. Non seulement il est conçu pour échapper aux contrôles de sécurité traditionnels, mais il est souvent contrôlé manuellement.
Les attaques de ransomware 2.0 ne sont plus automatisées ni immédiates. Une fois qu’ils ont pris pied sur le réseau, les auteurs manœuvrent autour du réseau compromis à la recherche de données et d’autres ressources de grande valeur.
Après avoir localisé les données, les pirates les copient et les téléchargent vers un endroit sécurisé. C’est seulement à ce moment que le chiffrement commence.
Si la victime est en mesure de récupérer les données, les criminels menacent alors de vendre ou de divulguer les données volées.
Ils disposent ainsi de multiples moyens pour exiger de l’argent, ce qui augmente les chances de retour sur investissement.
Les attaques de phishing
Le phishing continue d’être une menace de premier plan, comme c’est le cas depuis des années. La raison en est simple : elle est facile à mettre en œuvre.
Aujourd’hui, presque tout le monde dépend du courrier électronique pour son travail, ce qui fait de presque tout le monde une cible d’une attaque de phishing.
Selon le rapport « 2020 Phishing Attack Landscape Report », les entreprises ont subi en moyenne 1 185 attaques par mois jusqu’à présent.
Le rapport comprend les résultats d’une enquête dans laquelle 38 % des personnes interrogées ont déclaré qu’un collègue de travail avait été victime d’une attaque au cours des 12 derniers mois.
Le phishing continue d’être le principal mécanisme de diffusion des ransomwares et des tentatives d’atteinte aux données sensibles des entreprises.
Il est impossible d’avoir une stratégie de cybersécurité efficace qui n’inclut pas un moyen efficace de lutter contre les attaques de phishing.
L’ingénierie sociale
L’ingénierie sociale concerne l’art de la tromperie. Il s’agit de manipuler l’essence de la nature humaine. Le phishing en est l’exemple classique, avec le spear phishing et le whaling qui font passer l’ingénierie sociale au niveau supérieur.
Les cybercriminels effectuent désormais des reconnaissances pendant des semaines ou des mois afin de déterminer les ficelles à tirer au sein d’une organisation. D’autres exemples d’ingénierie sociale sont les tailgating et le watering hole.
De toutes les menaces susmentionnées, la plus importante est, de loin, le fait que Microsoft Office365 est de plus en plus attaqué en raison de scénarios de travail à distance précipités et d’une sécurité inadéquate du courrier électronique et du web.
Pour plus d’informations sur l’amélioration de la protection de vos employés et votre entreprise contre les attaques de phishing et d’autres cybermenaces, appelez l’équipe de TitanHQ.
Vous pouvez également vous inscrire pour un essai gratuit et sans obligation de nos deux solutions de sécurité du courrier électronique et du web afin de les évaluer dans votre propre environnement.