Au cours des dernières années, nous avons constaté une augmentation spectaculaire du nombre de cas d’attaques de ransomwares, frappant à la fois les particuliers et les entreprises.
Récemment, Seyfarth Shaw, un cabinet d’avocats international ayant des bureaux en Australie, a déclaré être victime d’une attaque de malware agressif que l’on pense être un ransomware.
Le cabinet a déclaré dans un communiqué qu’il a été attaqué le 10 octobre dernier. Les pirates informatiques ont ciblé les employés et l’entreprise, dont la principale motivation était le gain financier.
Lorsqu’un utilisateur visite un site web infecté ou clique sur un lien dans un e-mail ou une fenêtre pop-up, le ransomware se télécharge sur son ordinateur et affiche des messages dans le but d’extorquer de l’argent.
Certains ransomwares affichent en permanence des fenêtres contextuelles de contenu inapproprié (par exemple, de la pornographie), tandis que d’autres, connus sous le nom de crypto-ransomware, chiffrent votre disque dur ou suppriment vos données.
Prévention des attaques de ransomware
Les ransomwares sont une réelle menace, car ils peuvent causer la destruction complète d’un ordinateur ou d’un réseau d’entreprise. Il est extrêmement difficile de récupérer les systèmes infectés par ce type de malware sans en payer le prix.
Il est donc préférable d’empêcher que le logiciel malveillant n’atteigne pas vos systèmes. Il existe de nombreux moyens de renforcer vos systèmes pour empêcher les attaques de ransomware.
Formation de sensibilisation à la sécurité
Toutes les entreprises, quelle que soit leur taille, devraient dispenser une formation de sensibilisation à la sécurité à leurs employés pour qu’ils puissent adopter les meilleures pratiques pour l’utilisation de l’Internet (par exemple, les moteurs de recherche, les médias sociaux et les sites de jeux).
Il est également important de les sensibiliser à la sécurité des e-mails et à l’utilisation des supports amovibles (USB, lecteurs externes).
Les meilleures pratiques consistent notamment à n’ouvrir que les pièces jointes des e-mails provenant d’expéditeurs connus et vérifiés à ne pas cliquer sur les pop-up et à ne pas s’aventurer sur des sites web liés à des plateformes de médias sociaux, quel que soit l’expéditeur.
Politiques de restriction des logiciels
Utilisez des outils (tels que CryptoPrevent) qui sont capables d’écrire des centaines de stratégies de groupe (GPO) dans le registre d’un système afin d’empêcher les ransomwares de se loger dans ces endroits.
Les GPO utilisent des politiques destinées à empêcher l’exécution des fichiers exécutables, ce qui permet à un administrateur système de verrouiller essentiellement des zones d’un système d’exploitation (ou l’ensemble du système d’exploitation) pour bloquer les ransomwares.
Filtrage du spam
Les services externes de filtrage du spam tels que Exchange Online Protection ou Manage Protect sont capables de rechercher les malwares dans le contenu des e-mails, les pièces jointes, les tentatives de phishing et les liens suspects intégrés dans les messages.
Les administrateurs système doivent utiliser au maximum les filtres antispam pour renforcer la sécurité de leur passerelle en configurant des règles et des politiques appropriées pour empêcher tout contenu malveillant d’arriver dans les boîtes de réception des utilisateurs finaux.
Gestion unifiée des menaces (UTM)
Les plates-formes de gestion unifiée des menaces fonctionnent mieux lorsqu’elles sont activées sur les périphériques, protégeant ainsi le périmètre de votre réseau.
Les pare-feu de nouvelle génération équipés d’un système UTM sont capables d’effectuer le filtrage de contenu, de prévenir et de détecter les intrusions (plutôt que de mettre en place des dispositifs IDS/IPS séparés) et de filtrer les spams.
Au lieu de se contenter de lire les métadonnées des paquets du réseau, l’UTM effectue une inspection approfondie. Le contenu des paquets est donc inspecté à la recherche de fichiers ou de contenus malveillants.
Disposer de logiciels de sécurité sur les serveurs et les postes de travail.
Un double antivirus devrait être intégré sur les points d’extrémité et les points d’entrée du réseau (y compris le courrier électronique et les passerelles réseau) afin de fournir plusieurs couches de protection.
Les meilleures pratiques consistent à utiliser des systèmes différents, c’est-à-dire un antivirus pour la messagerie électronique et un autre pour les points d’extrémité/réseaux afin de fournir plusieurs couches de protection.
Les services comprennent une protection supplémentaire contre le phishing et l’analyse des requêtes pour bloquer les demandes malveillantes.
WebTitan Cloud applique des règles de sécurité à travers le réseau de votre entreprise pour une application cohérente des règles de sécurité.
Il permet également de bloquer des pages web et offre la possibilité d’entrer des codes de contournement si nécessaire.
Des mécanismes de sécurité en cas de catastrophe
Outre les mesures préventives, il est absolument vital que tous les systèmes informatiques et les dispositifs de réseau soient protégés au cas où un ransomware passerait par tous vos contrôles préventifs.
La meilleure façon de récupérer un système sans payer la rançon est de créer des sauvegardes fiables et à jour pour toutes les données (fichiers opérationnels, de développement, de configuration, etc.).
Les sauvegardes peuvent être créées pour restaurer un système à un point, par exemple, avant l’infection par un ransomware. Ceci minimise la perte de données et les dommages causés à vos appareils informatiques.
En outre, les grandes organisations ont commencé à envisager des solutions appelées « air-gapped », dans lesquelles des sauvegardes continues sont créées et inspectées, avant d’être stockées dans une sorte de « chambre forte ».
Cette solution permet de restaurer immédiatement vos systèmes en cas de besoin, tout en analysant toutes les données entrant pour vérifier l’absence de malwares ou d’activités malveillantes.
Les ransomwares peuvent être préjudiciables aux particuliers comme aux entreprises s’ils s’introduisent dans vos systèmes.
Bien que les pirates informatiques aient perfectionné leurs méthodes d’attaque, si vous investissez du temps et de ressources dans une stratégie de sécurité, vous pourrez considérablement durcir votre réseau et vous débarrasser de nombreuses vulnérabilités.
Les mesures de prévention et de sécurité sont extrêmement importantes pour protéger vos données, et les efforts supplémentaires que vous déployez dans votre approche de la sécurité vous apporteront une grande tranquillité d’esprit.
Sauvegarde 3-2-1 : comment ça marche ?
Pour garantir des sauvegardes fiables, vous avez besoin de redondance, ce qui est le but de la sauvegarde 3-2-1 traditionnelle. La topologie de la sauvegarde 3-2-1 est la suivante :
Avoir au moins 3 copies de vos données,
Utiliser deux formats de médias différents pour stocker vos données,
L’une des copies doit être sauvegardée hors site.
Trois copies de vos données signifient qu’une copie est l’original des données et elle doit être supportée par deux autres copies de sauvegarde séparées.
Vos données doivent résider sur deux supports distincts, comme un partage de réseau, un lecteur SSD sur un quelconque type de matrice de stockage.
Il peut également s’agir d’un support traditionnel sur bande magnétique qui semble si ancien aujourd’hui, mais qui est suffisamment intéressant, car vous pouvez l’emporter hors site, dans un endroit sûr comme un site séparé ou même un coffre-fort dans une banque locale.
Une solution possible, qui satisfait à la fois aux conditions de deux types de supports et d’un emplacement distant, est l’utilisation de la fonction d’instantanéité de votre infrastructure SAN.
En sauvegardant vos données à intervalles réguliers tout au long de la journée dans un environnement identique sur un site de reprise après sinistre, vous pouvez facilement vous remettre d’une attaque sur un serveur hôte virtuel.
N’oubliez pas toutefois de réaliser des tests réguliers de restauration de vos données afin de s’assurer qu’elles peuvent être récupérées intactes en cas de besoin.
Il convient de mentionner que les ransomwares peuvent se développer en tant que forme de malware et donc évoluer vers de nouvelles formes qui peuvent s’étendre au-delà des connexions physiques directes.
La seule certitude que l’on puisse avoir concernant les ransomwares est que le maintien d’une solution de sauvegarde bien conçue et fonctionnelle constituera une mesure efficace contre les impacts des ransomwares, quelle que soit leur évolution future.
Pour toute question, adressez-vous à un spécialiste ou envoyez-nous un courriel à info@titanhq.com.
Tout comme les escrocs d’autrefois qui utilisaient l’arnaque pour tromper des passants innocents et leur faire remettre de l’argent qu’ils ont durement gagné, les fraudeurs modernes utilisent également la confiance inhérente pour nous tromper.
La dernière escroquerie de phishing démontre très bien la psychologie de la cybercriminalité, mais avec quelques astuces.
Dans cette récente attaque de phishing, qui aurait débuté le 21 septembre 2020, les escrocs ont réutilisé leur marque favorite : Office 365. L’escroquerie tire parti de la confiance des utilisateurs dans le test CAPTCHA.
Comment fonctionne l’attaque de phishing contre Office 365
Le phishing est un outil important pour les cybercriminels. Cette technique est à l’origine de 90 % des violations de données.
Un employé sur trois clique sur un lien dans un e-mail de phishing, tandis qu’un employé sur huit consulte un site d’usurpation d’identité.
Cependant, il suffit qu’un pirate parvienne à obtenir un identifiant de connexion pour lancer une cyberattaque contre votre réseau d’entreprise.
En général, le phishing repose sur la manipulation du comportement humain. L’une des façons dont les êtres humains interagissent avec les ordinateurs consiste à utiliser un comportement inhérent connu sous le nom de « biais cognitif ».
Nous utilisons tous des préjugés dans nos décisions quotidiennes. Cela nous aide à faire des choix rapides. Ce comportement est également utilisé par des entreprises.
Par exemple, » l’’effet d’ancrage » (une forme de biais) est utilisé pour encourager les choix de vente. Les clients sont « ancrés » par un seul aspect d’un produit à l’exclusion des autres, et les vendeurs en tirent grand profit.
Le système CAPTCHA est utilisé sur de nombreux sites web pour vérifier que c’est bien un être humain (plutôt qu’un robot automatisé) qui saisit les informations dans des formulaires.
Ce système existe depuis de nombreuses années et nous sommes tous habitués à ce qu’il apparaisse, nous demandant de sélectionner les cellules d’une image qui montre une bouche d’incendie, une voiture, un vélo, etc.
Le biais cognitif s’installe lorsque nous interagissons de façon répétée avec les CAPTCHAS.
La dernière escroquerie de phishing « CAPTCHA » qui vise Office 365 utilise notre biais cognitif et notre confiance dans ce système comme contrôle de sécurité, ainsi que quelques autres astuces.
Voici pourquoi la dernière arnaque de phishing contre Office 365 fonctionne très bien
Une triple arnaque de phishing utilisant Office 365
Cette dernière arnaque de phishing d’Office 365 comporte plusieurs éléments qui, ensemble, en font une cyberattaque très difficile à détecter et à prévenir. Cette arnaque de phishing d’Office 365 comporte trois éléments essentiels, à savoir :
Déjouer les détecteurs
Ce qui est particulièrement astucieux dans cette attaque, c’est qu’elle utilise le système de sécurité pour réussir. Le site d’usurpation présente trois niveaux de système CAPTCHA.
Le premier est une simple case à cocher « Je suis un humain ». Le CAPTCHA suivant demande de choisir n’importe quelle case qui contient un objet spécifique, par exemple un vélo.
Les outils de recherche de malwares sont bloqués lors de la première vérification CAPTCHA et ne parviennent jamais au site qui contrôle le malware.
En fait, le site n’est accessible qu’une fois que l’utilisateur a passé avec succès le CAPTCHA numéro 3. En d’autres termes, seuls les utilisateurs humains peuvent accéder au site frauduleux.
Détection des adresses IP
L’arnaque de phishing est conçue de manière à ce que seules des plages de propriété intellectuelle spécifiques et choisies puissent accéder au site d’usurpation.
Si une tentative de détection automatique (ou manuelle) se situe en dehors de la plage d’adresses IP d’intérêt (c’est-à-dire les adresses IP de l’entreprise, victime), la tentative de détection sera redirigée vers le véritable site d’Office 365.
Cette procédure est également étendue à la vérification de la géolocalisation de la victime. C’est un moyen très efficace de prévenir la détection.
Piéger l’utilisateur
Le biais cognitif est parfait pour que le cybercriminel puisse en tirer profit, et il l’utilise intelligemment dans cette forme d’escroquerie.
Le site d’usurpation semble réel, et il utilise le système CAPTCHA.
Si un utilisateur reçoit des alertes de sécurité, telle que CAPTCHA, associées à un site d’apparence réaliste, il est plus probable qu’il ait un biais intégré qui lui permettra de se sentir suffisamment à l’aise pour entrer ses identifiants de connexion.
Selon un nouveau rapport de Microsoft, les acteurs de la menace ont rapidement gagné en sophistication au cours de l’année dernière, utilisant des techniques qui les rendent plus difficiles à repérer et qui menacent même les utilisateurs les plus avertis.
Cette arnaque de phishing en est la preuve. Les cybercriminels à l’origine de l’escroquerie utilisent des couches de protection et de la ruse pour réaliser leur objectif de vol d’identifiants de connexion ou d’installer des malwares.
Un rapport de Check Point pour le troisième trimestre 2020 a montré que Microsoft était la marque la plus utilisée par les cybercriminels pour duper les utilisateurs.
Mais il y a aussi DHL, PayPal et Apple. Cette escroquerie est peut-être axée sur Office 365, mais les cybercriminels changent de tactique, et le mois prochain, il pourrait s’agir d’un autre portail de collaboration en ligne très populaire.
Les entreprises ne doivent plus compter sur le fait que les utilisateurs soient conscients de la sécurité lorsqu’ils utilisent l’Internet.
Les cybercriminels utilisent notre propre comportement inhérent contre nous et font appel à de multiples techniques pour échapper à la détection par des solutions conventionnelles comme les pare-feu.
Elles doivent s’attendre à ce que d’autres types d’escroquerie de phishing de plus en plus astucieuse apparaisse.
Des solutions intelligentes telles que le filtrage de contenu web permettent d’empêcher vos employés à accéder à des sites web dangereux, réduisant ainsi la probabilité de violations des données de votre entreprise et d’autres cyberattaques.
Filtrage de contenu avec WebTitan Cloud
WebTitan Cloud est une solution de filtrage de contenu web basée sur le DNS qui offre une protection complète contre les virus, les malwares, les ransomwares, les attaques de phishing et un filtrage complet du contenu.
WebTitan Cloud est une solution qui ne requiert aucune maintenance et qui peut être configurée en cinq minutes pour empêcher vos utilisateurs d’accéder à des contenus inappropriés en ligne.
Notre moteur intelligent de catégorisation de contenu en temps réel, piloté par l’Intelligence artificielle, combine un antivirus de pointe et une architecture basée dans le cloud.
Cela fait de WebTitan Cloud une solution idéale pour les organisations qui ont besoin d’une protection maximale et d’une maintenance minimale.
Contactez notre équipe dès aujourd’hui et découvrez comment nos puissants outils de filtrage de contenu web peuvent aider votre entreprise.
Les escrocs du phishing savent vraiment tirer profit d’une situation, comme la pandémie du Covid-19. Les changements survenus dans le monde des affaires pendant cette période ont été sans précédent.
Les employés sont rapidement transférés vers le travail à domicile, ce qui est facilité par l’utilisation des technologies numériques.
Cela a créé une opportunité parfaite dont les escrocs du phishing ont profité. Le résultat : une augmentation de 30 000 % des menaces basées sur le Covid-19, aidée par des sites web armés et d’e-mails de phishing.
Les sites web malveillants ont contribué à ce fait, mais surtout les plateformes de collaboration à distance que les entreprises utilisent.
Au cours du premier semestre 2020, SharePoint, OneDrive et d’autres portails se sont révélés être un moyen idéal pour améliorer le taux de réussite d’une campagne de phishing.
Sécuriser les portails de collaboration en ligne
L’évolution du phishing est, bien sûr, conforme à l’évolution de la technologie.
Jusqu’à une date assez récente, une méthode typique utilisée dans les e-mails de phishing pour installer un malware sur un appareil consistait à télécharger un malware sous forme de pièce jointe infectée, généralement un document Office ou PDF.
Cette méthode correspondait à l’utilisation des e-mails par les employés pour partager des documents. Elle a été couronnée de succès et se poursuit encore jusqu’à maintenant.
Cependant, comme les entreprises se tournent de plus en plus vers l’utilisation de portails de collaboration en ligne, les employés sont moins susceptibles de partager des documents via la messagerie électronique.
En réponse à ce changement, les cybercriminels modifient leurs tactiques.
Au lieu d’envoyer des e-mails contenant des documents infectés par des malwares, ils se servent du fonctionnement des portails de collaboration en ligne.
En fait, ils envoient des e-mails contenant des liens partagés vers des documents ou d’autres fichiers.
Toutes ces plates-formes risquent d’être utilisées à mauvais escient par des campagnes de phishing via des liens malveillants dans des courriers électroniques dont l’apparence est celle du portail authentique.
Sachez toutefois que ces escroqueries de phishing se concentrent actuellement sur SharePoint et OneDrive.
Comment fonctionne l’escroquerie de phishing de SharePoint et OneDrive ?
Proofpoint a alerté le monde sur les dernières escroqueries visant son portail de collaboration, impliquant SharePoint et OneDrive. L’un des aspects les plus inquiétants de ces campagnes de phishing était le taux de réussite élevé.
En réalité, Proofpoint a constaté que les utilisateurs avaient 7 fois plus de chances de cliquer sur un lien malveillant SharePoint ou OneDrive. Il y a des raisons essentielles à cela, qui sont au cœur du fonctionnement de ce type d’escroquerie.
Le phishing est autant une question de comportement humain que de technologie. Les cybercriminels savent que le fait de piéger les utilisateurs pour qu’ils accomplissent une action peut effectivement faire le travail à leur place.
Pour amener un utilisateur à faire quelque chose, il faut de la « confiance ». C’est cet élément de confiance que les escrocs utilisent lorsqu’ils usurpent des marques connues, telles que SharePoint et OneDrive.
Au cours des premier et deuxième trimestres de 2020, 5,9 millions d’e-mails contenant des liens malveillants vers SharePoint et OneDrive ont été détectés.
Cela peut sembler beaucoup, mais cela ne représente que 1 % du nombre total des e-mails de phishing malveillants envoyés chaque jour dans le monde.
Un point important, cependant, est que ce 1 % représente 13 % des clics des utilisateurs, entraînant ainsi le téléchargement de liens malveillants.
En fait, les utilisateurs cliquent sur ces liens, car ils croient qu’il s’agit d’un e-mail légitime qui leur demande de collaborer à un travail.
L’objectif de ces e-mails de phishing est la prise de contrôle du compte d’un utilisateur. Proofpoint a pu utiliser ses recherches pour analyser le cycle de vie du phishing, qui est décomposé ci-dessous en plusieurs étapes :
Étape 1 : Un compte dans le cloud est compromis. Ceci peut être réalisé en utilisant un e-mail de spear-phishing.
Étape 2 : Un fichier malveillant est téléchargé sur le compte compromis. Les autorisations de partage sont définies sur « Public » et le lien anonyme est généré et partagé.
Voici plusieurs exemples de fichiers malveillants fournis par Proofpoint :
Exemple 1 : Un fichier PDF qui se présente comme une facture. La facture exige de l’utilisateur qu’il clique sur un lien. Celui-ci l’amène ensuite à une page de connexion OneDrive usurpée qui vole les informations d’identification saisies dans les champs de connexion.
Exemple 2 : Un fichier de messagerie vocale OneNote hébergé sur SharePoint. Le fichier OneNote contient un malware. Tout utilisateur qui ouvre le fichier pour écouter le message vocal pourrait être infecté par le malware.
Étape 3 : Le lien est envoyé à des cibles internes et externes. Ce lien est généralement une URL de redirection et est difficile à détecter à l’aide de méthodes conventionnelles.
Étape 4 : Le destinataire ouvre le courrier électronique et s’il clique sur le lien, il est dirigé vers une page de connexion SharePoint/OneDrive d’apparence douteuse, mais légitime. Le processus recommence alors, à l’infini.
Proofpoint a trouvé 5 500 utilisateurs qui avaient un compte compromis, ce qui représente une grande partie de la clientèle de Microsoft.
Une fois les identifiants de connexion volés, les pirates peuvent les utiliser pour accéder aux comptes réels des victimes sur SharePoint ou OneDrive et voler des informations sur leur entreprise, compromettre d’autres comptes et même réaliser d’autres escroqueries, notamment le Business Email Compromise (BEC).
Comment éviter que votre organisation ne soit victime d’une escroquerie à un portail de collaboration en ligne ?
Les recherches d’un consortium composé de Google, PayPal, Samsung et l’Université d’État de l’Arizona ont examiné les niveaux de menace du phishing. Le rapport qui en résulte fait une observation importante.
Les attaques réussies font appel à une ingénierie sociale très sophistiquée, complétée par des techniques de détection et d’évasion.
Le rapport note également que les 5 % des attaques les plus importantes sont responsables de 78 % des clics réussis vers un site malveillant. Pour dire les choses simplement, les escroqueries par phishing sont de plus en plus difficiles à prévenir.
La sensibilisation à la sécurité ne suffit pas à empêcher les utilisateurs de cliquer sur des liens malveillants et d’être manipulés pour entrer des données de connexion et d’autres informations sensibles.
Les escrocs du phishing sont passés maîtres dans l’art de la manipulation comportementale intelligente. Comme toutes les approches visant à atténuer les menaces pour la sécurité, une approche proactive et à plusieurs niveaux est la plus efficace.
Les entreprises doivent renforcer la formation à la sensibilisation à la sécurité en utilisant des outils puissants et intelligents qui empêchent un utilisateur d’être dirigé vers un site web frauduleux même s’il clique sur un lien malveillant.
Ces outils devraient inclure l’utilisation d’une plateforme de filtrage de contenu web. Celle-ci empêche les employés de naviguer sur des sites web dangereux et réduit les risques de violation des données de l’entreprise et d’autres cyberattaques.
Comme de nombreux employés travaillent actuellement à domicile, les cybercriminels ont modifié leur tactique en créant des e-mails de phishing, de façon à ce qu’ils ressemblent à de nombreux outils de collaboration sur le marché.
L’une de ces attaques vise les entreprises qui utilisent Microsoft Teams.
Microsoft Teams est un outil de collaboration très prisé par les entreprises, et les récents e-mails de phishing incitent les utilisateurs à divulguer leurs identifiants système via cette plateforme.
L’attaque est dévastatrice pour les entreprises, car Microsoft Teams stocke des informations sur les utilisateurs et la propriété intellectuelle qui pourraient causer des dommages à l’entreprise si elles tombent entre les mains des cybercriminels.
Comment les cybercriminels s’attaquent aux comptes Microsoft Teams ?
Si vous connaissez Microsoft Teams, vous savez que l’activité sur la plateforme déclenche l’envoi d’un message aux utilisateurs.
Lorsqu’un message est envoyé à un utilisateur particulier, celui-ci reçoit un e-mail pour l’avertir qu’il a reçu un message. L’utilisateur peut cliquer directement sur un lien dans l’e-mail ou répondre au message dans Microsoft Teams.
Pour ce dernier cas, lorsque l’utilisateur clique sur le lien, le site de Microsoft Teams s’ouvre et il peut se connecter à son compte afin de répondre au message.
Pour la nouvelle attaque utilisant Microsoft Teams, les cybercriminels envoient un e-mail à l’utilisateur ciblé avec un message qui dit « There’s new activity in Teams » et qui fait apparaître le message comme une notification automatisée de Microsoft Teams.
Il informe ensuite l’utilisateur que ses coéquipiers essaient de le joindre et l’invite à cliquer sur le lien « Reply in Teams ». En faisant cela, l’utilisateur ouvre une page contrôlée par l’attaquant qui l’incite à entrer ses informations d’identification.
Il est facile d’être victime d’une telle attaque, car la page de phishing est conçue pour ressembler à la page de connexion officielle de Microsoft Teams.
Les utilisateurs qui ne regardent pas l’URL dans leur navigateur web vont rapidement entrer leurs informations d’identification, et à ce stade, il sera trop tard.
Une fois que les informations d’identification sont envoyées à l’attaquant, celui-ci peut alors les utiliser pour se connecter à d’autres comptes, y compris au réseau d’entreprises.
Si l’utilisateur se rend rapidement compte de l’erreur, les informations d’identification peuvent être modifiées, mais pour les entreprises, cela peut nécessiter un appel au support informatique afin de s’assurer que les autres zones du réseau sont protégées contre les éventuelles menaces.
Jusqu’au moment où les informations d’identification et les comptes sont sécurisés, l’attaquant peut déjà compromettre le réseau informatique de l’organisation.
Comment mettre fin aux attaques de phishing utilisant Microsoft Teams ?
Les utilisateurs de cet outil en ligne doivent savoir qu’une nouvelle attaque de Microsoft Teams vise les comptes de messagerie des entreprises, mais même les utilisateurs éduqués pourraient être victimes d’une attaque bien conçue.
Il est préférable de ne pas se connecter à un site web après avoir cliqué sur un lien dans un e-mail. Saisissez plutôt le domaine dans le navigateur et entrez les informations d’identification à cet endroit.
Les utilisateurs peuvent également prendre note du domaine dans l’URL pour s’assurer que le site web est bien le domaine officiel de Microsoft.
Les entreprises ne devraient pas compter uniquement sur les utilisateurs pour reconnaître les attaques de phishing.
Même les utilisateurs qui connaissent bien les attaques de phishing et leurs drapeaux rouges peuvent être occupés un jour, cliquer sur un lien dans un e-mail et être trop distraits pour se rendre compte qu’ils sont redirigés vers un site malveillant.
Au lieu de se fier uniquement aux utilisateurs, les administrateurs peuvent utiliser la cybersécurité des e-mails pour bloquer les sites de phishing et bien d’autres qui envoient des pièces jointes malveillantes.
La cybersécurité de la messagerie électronique empêche les e-mails de phishing d’arriver dans la boîte de réception des utilisateurs finaux.
Les attaquants utilisent des adresses électroniques d’expéditeurs usurpées, et cette tactique ne fonctionne pas lorsque l’organisation met en œuvre des enregistrements SPF (Sender Policy Framework) sur son serveur DNS.
Un enregistrement SPF indique au serveur du destinataire de rejeter ou de mettre en quarantaine les messages qui proviennent d’un serveur d’e-mail qui n’est pas répertorié sur le serveur DNS.
Les messages qui ne passent pas le protocole SPF peuvent être mis en quarantaine, complètement abandonnés, ou ils vont dans la boîte à spam de l’utilisateur.
Les messages mis en quarantaine peuvent être examinés par les administrateurs pour s’assurer qu’il ne s’agit pas d’un faux positif, mais une avalanche d’e-mails de phishing pourrait signifier que l’organisation est attaquée par un cybercriminel.
L’avantage de l’utilisation de la sécurisation des e-mails avec une fonction de mise en quarantaine est qu’elle aide les administrateurs à identifier les attaques et à alerter les utilisateurs et à éviter les frustrations dues aux faux positifs.
Une autre fonction de cybersécurité des e-mails est le DMARC (Domain-based Message Authentication, Reporting & Conformance).
Le SPF fait partie des normes DMARC, mais votre cybersécurité des e-mails devrait inclure les règles DMARC. Ces règles indiqueront au serveur ce qu’il doit faire lorsqu’un e-mail suspect est reçu.
Les administrateurs utilisent le protocole DMARC pour mettre fin aux e-mails de phishing ainsi qu’à ceux contenant des pièces jointes malveillantes qui pourraient être utilisées pour compromettre le dispositif local de l’utilisateur.
Les règles DMARC et SPF sont la base d’une bonne sécurité des e-mails, et elles bloqueront les e-mails de phishing, y compris l’attaque des équipes Microsoft, et elles bloqueront les e-mails de phishing, y compris l’attaque des équipes Microsoft.
Les utilisateurs devraient toujours être formés à la détection de ces attaques, mais le fait de bloquer les e-mails pour qu’ils n’atteignent pas la boîte de réception du destinataire est le meilleur moyen d’empêcher votre organisation de devenir la prochaine victime d’une violation de données.
Vous avez sans doute déjà mis en place une solution de filtrage du spam, mais est-elle efficace ? Les courriers électroniques de phishing sont-ils toujours délivrés ?
Une erreur courante des PME est de croire que leur environnement Office 365 est bien protégé par défaut, alors qu’en réalité la protection Exchange Online Protection (EOP) fournie avec Office 365 ne parvient pas à bloquer de nombreuses tentatives de phishing.
Une étude a montré que 25 % des e-mails de phishing n’étaient pas bloqués par l’EOP.
Si vous souhaitez améliorer vos défenses contre le phishing, vous devriez utiliser une solution antispam et antiphishing tierce en plus de l’EOP, mais qui offre une meilleure protection, comme SpamTitan.
Si vous bloquez davantage d’e-mails de phishing, la sécurité de votre réseau sera bien meilleure, mais vous ne devriez pas vous arrêter là.
Aucune solution antiphishing ne pourra bloquer toutes les attaques de phishing, 100% du temps.
Il suffit qu’un utilisateur clique sur un e-mail de phishing pour qu’une violation de données se produise. Vous devez ajouter une autre couche à vos défenses.
Lorsqu’un employé clique sur un lien dans un e-mail et est dirigé vers une fausse page de connexion d’Office 365 ou vers un site où un malware est téléchargé, toute tentative d’accès au site sera bloquée.
Un filtre DNS bloque les tentatives d’accès aux sites de phishing au stade de la consultation du DNS, avant le téléchargement de tout contenu web.
Si un employé tente d’accéder à un site de phishing, il sera dirigé vers une page de blocage avant qu’un quelconque préjudice ne se produise.
Les filtres DNS peuvent également bloquer le téléchargement de malwares à partir de sites qui ne sont pas encore connus pour être malveillants.
La mise en œuvre d’une solution efficace pour la cybersécurité des e-mails n’est pas toujours simple et elle nécessite de la planification et de l’expertise.
S’appuyer sur une seule couche de sécurité n’est plus judicieux face à la recrudescence des menaces en ligne.
De plus, les organisations doivent se concentrer sur les données qu’elles protègent et mettre en place des couches de sécurité autour de celles-ci. Vos clients vous en remercieront et vos résultats seront meilleurs.
Si vous souhaitez savoir comment TitanHQ peut vous permettre de mettre en œuvre une approche globale de la sécurité contre les menaces en ligne pour vos employés et vos clients, contactez-nous dès aujourd’hui.
Les applications de visioconférence sont d’une valeur inestimable pendant la pandémie de coronavirus.
Elles ont aidé les entreprises à poursuivre leurs activités pendant une période extrêmement difficile et ont contribué à soutenir une main-d’œuvre en grande partie éloignée.
Le nombre d’utilisateurs des plates-formes telles que Zoom, Skype et Microsoft Teams a monté en flèche à la suite de l’imposition du confinement, et cela s’est poursuivi, même si le confinement s’est relâché.
La popularité de ces plateformes n’a pas échappé aux cybercriminels et ils ont conçu de nombreuses campagnes de phishing qui ciblent leurs utilisateurs.
Les plateformes de visioconférence sont utilisées comme services de messagerie instantanée par de nombreux travailleurs qui travaillent chez eux.
Ainsi, lorsqu’un message arrive dans leurs boîtes de réception, les informant que des personnes essaient de se connecter, qu’ils ont manqué une réunion ou qu’il y a un problème avec leur compte, ils sont susceptibles de répondre rapidement, souvent sans réfléchir à la légitimité de la demande.
À première vue, les emails de phishing semblent authentiques. La demande est crédible, les images et les logos sont légitimes, mais un examen plus attentif devrait révéler que les messages ne sont pas ce qu’ils semblent être.
Escroqueries de phishing via Microsoft Teams
L’une des dernières campagnes de phishing utilise la plateforme de visioconférence Microsoft Teams afin de cibler les utilisateurs d’Office 365.
Les messages informent le destinataire qu’il y a une nouvelle activité dans les Microsoft Teams et que ses collaborateurs essaient de le joindre sur cette plateforme.
L’email prétend que les messages sont en attente, et qu’il est nécessaire cliquer sur un lien pour se connecter.
En cliquant sur le lien, l’utilisateur sera dirigé vers une page web qui lui demandera de se connecter à son compte Microsoft. Tout ce qu’il voit sur la page semble normal, car la page de connexion usurpée a été copiée de Microsoft.
Cependant, un examen attentif de l’URL révélera une erreur de frappe. L’URL commence par « microsftteams » pour que la page web paraisse authentique, mais l’URL complète montre qu’il ne s’agit pas du nom de domaine légitime de Microsoft.
Si l’utilisateur saisit ses identifiants sur cette page, ils seront capturés et utilisés par les escrocs pour accéder à son compte.
C’est loin d’être la seule escroquerie de phishing visant les utilisateurs de Microsoft Teams pour obtenir des informations d’identification Microsoft Office.
De nombreuses autres escroqueries de phishing tentaient déjà d’obtenir des identifiants en utilisant des messages manqués de collaborateurs et d’autres leurres plausibles.
Les informations d’identification Microsoft Office sont extrêmement précieuses pour les escrocs
Les comptes peuvent être utilisés :
Pour accéder aux données de messagerie
Pour envoyer d’autres emails de phishing
Pour accéder à la propriété intellectuelle
Pour servir de rampe de lancement pour d’autres attaques contre une entreprise
En outre, les identifiants de connexion peuvent être vendus à d’autres cybercriminels.
Des escroqueries similaires ont visé les utilisateurs d’autres plateformes telles que Skype et Zoom.
Les utilisateurs de ces dernières ont été ciblés dans le cadre d’une campagne qui prétendait qu’une réunion avait été annulée en raison de la pandémie.
Les pirates utilisaient des objets tels que « Réunion annulée, pourrions-nous faire un appel sur Zoom ? ».
Un lien est inclus dans le courriel pour permettre à la victime de lancer un appel, mais une fois qu’elle clique dessus, il est redirigé vers un site où ses identifiants de connexion pourraient être récoltés par les pirates.
Comment éviter les escroqueries de phishing sur les plateformes de visioconférence ?
Comme pour les autres formes d’escroquerie de phishing, les employés doivent être vigilants. Les emails créent souvent un sentiment d’urgence et il peut y avoir une sorte de menace si aucune mesure n’est prise.
Le plus important est de prendre un peu du temps pour vérifier soigneusement l’email et pour analyser l’authenticité de la demande.
Vous ne devez pas ouvrir les pièces jointes ni cliquer sur les liens intégrés à des emails non sollicités, en particulier les messages envoyés à partir d’adresses électroniques inconnues.
Même si l’adresse électronique semble authentique, faites attention. Accédez à la plate-forme de visioconférence en utilisant votre méthode de connexion habituelle, sans jamais utiliser les liens contenus dans les emails.
Les entreprises peuvent protéger leurs travailleurs à distance en mettant en œuvre une solution de filtrage du spam avancée telle que SpamTitan pour bloquer ces emails malveillants à la source et pour s’assurer qu’ils n’atterrissent pas dans les boîtes de réception de leurs destinataires.
L’utilisation d’une solution de filtrage web telle que WebTitan est également conseillée, car elle bloquera les tentatives de visite de sites web malveillants.
Pour plus d’informations sur le filtrage du spam et le filtrage web et pour mieux protéger vos employés distants contre les attaques de phishing, appelez l’équipe de TitanHQ dès aujourd’hui.
Les deux solutions sont disponibles en essai gratuit pour vous permettre d’évaluer leur efficacité avant de prendre une décision.
Emotet est l’une des principales menaces de malwares actuellement utilisées par les cybercriminels pour attaquer les entreprises.
Il est principalement diffusé par le biais des spams, en utilisant divers leurres pour convaincre les utilisateurs d’installer le cheval de Troie sur leurs ordinateurs.
Les spams sont générés par de nombreux ordinateurs infectés par le cheval de Troie.
Comment fonctionne Emotet : le nouveau leurre de mise à jour Windows
Emotet détourne le compte de messagerie de sa victime et l’utilise pour envoyer des spams à ses contacts professionnels.
Les e-mails distribuant Emotet ont tendance à avoir un thème commercial, puisque ce sont les utilisateurs professionnels qui sont les plus ciblés.
Les campagnes utilisent souvent des leurres de phishing éprouvés tels que de fausses factures, des bons de commande, des avis d’expédition et des CV, etc., et les messages contiennent souvent des informations limitées.
Le destinataire est tenu d’ouvrir la pièce jointe pour avoir des informations complémentaires.
En ce qui concerne les pièces jointes, les pirates utilisent souvent des documents Word mais pas exclusivement avec des macros malveillantes qui installent le cheval de Troie Emotet sur l’appareil de la victime.
Pour que les macros puissent s’exécuter, l’utilisateur doit « activer le contenu » lorsqu’il ouvre la pièce jointe. Pour inciter les utilisateurs à ouvrir les documents joints, les pirates utilisent diverses astuces.
Souvent, les documents indiquent que le document Word a été créé sur un appareil IoS ou un appareil mobile, et que le contenu doit être activé pour permettre la visualisation du contenu, ou que le contenu du document a été protégé et qu’il ne s’affichera pas si le contenu n’est pas activé.
Au début du mois d’octobre, un nouveau leurre a été utilisé par les pirates derrière Emotet.
Des spams ont été envoyés aux victimes pour expliquer qu’une mise à jour de Windows devait être installée pour mettre à jour les applications sur leurs appareils.
Enfaite, ils affirmaient que ces applications empêchaient Microsoft Word d’afficher le contenu du document joint aux e-mails malveillants.
Les utilisateurs ont reçu pour instruction d’activer l’édition (ce qui désactive l’affichage protégé) puis d’activer le contenu. Cependant, ceci permet à la macro malveillante de s’exécuter.
Emotet ne se contente pas d’une seule attaque
L’une des principales utilisations de ce cheval de Troie est de télécharger d’autres variantes de malwares sur les appareils infectés.
En réalité, les pirates sont payés par d’autres cybercriminels pour distribuer leurs charges utiles de malwares, comme le cheval de Troie TrickBot et le malware QBot.
Apparu en 2016, TrickBot était à l’origine un cheval de Troie bancaire, mais il a été régulièrement mis à jour au cours de l’année dernière pour ajouter de nouvelles fonctions.
TrickBot agit toujours comme un cheval de Troie bancaire, mais il est aussi devenu un voleur d’informations furtif et un téléchargeur de malwares, tout comme le logiciel malveillant QBot.
Comme pour Emotet, une fois que les pirates derrière ces chevaux de Troie ont atteint leurs objectifs, ils livrent une charge utile secondaire de malwares.
Par exemple, TrickBot a été largement utilisé pour livrer le logiciel Ryuk, l’une des plus grandes menaces de ransomware actuellement utilisé par les pirates.
QBot s’est également associé à d’autres types de menace et peut désormais distribuer le ransomware Conti. À partir d’un seul e-mail de phishing, une victime peut donc recevoir Emotet, TrickBot, QBot, et subir ensuite une attaque de ransomware.
Comment faire face à Emotet : le nouveau leurre de mise à jour Windows
Il est donc essentiel que les entreprises mettent en œuvre une solution antispam efficace pour bloquer les e-mails malveillants à la source et empêcher qu’ils ne soient envoyés dans les boîtes de réception de leurs employés.
Il est également important de dispenser une formation de sensibilisation à la sécurité aux employés pour les aider à identifier les messages malveillants comme les e-mails de phishing, au cas où un message malveillant ne serait pas bloqué et atteindrait leurs boîtes de réception.
Les organisations qui s’appuient sur les défenses antispam par défaut, fournies avec les licences Office 365, devraient envisager de mettre en œuvre une solution de filtrage du spam supplémentaire pour améliorer leur protection contre Emotet, les autres malwares et les campagnes de phishing.
Les e-mails de phishing échappent souvent aux défenses d’Office 365 et sont livrés dans les boîtes de réception des employés.
Ajoutez une solution puissante et avancée de filtrage des spams (telle que SpamTitan) aux protections antispam d’Office 365 pour mieux protéger vos employés.
Pour en savoir plus sur les fonctionnalités complètes de SpamTitan et sur la manière dont la solution protège votre entreprise contre les menaces de malwares, de ransomware, de phishing et de spear phishing, contactez notre équipe dès aujourd’hui.
Si vous le souhaitez, nous pouvons organiser une démonstration du produit et nous fournirons des réponses à vos questions ainsi qu’une assistance pour vous aider à mettre en place un essai gratuit.
De cette manière, vous pourrez évaluer la solution dans votre propre environnement.
Le filtrage basé sur le DNS est vital pour la fourniture d’un accès Internet viable sur les campus universitaires.
En fait, l’accès WiFi est souvent proposé aux invités, aux étudiants et aux professeurs. Des milliers d’utilisateurs peuvent ainsi se connecter au WiFi public des universités.
Alors que de nombreuses entreprises n’offrent le WiFi qu’à leurs clients, les universités doivent relever le défi unique d’offrir l’accès sans fil internet à des milliers de personnes, alors que certaines pourraient l’utiliser à des fins malveillantes.
C’est la raison pour laquelle les universités sont des cibles importantes pour les cybercriminels. Ces derniers utilisent les services WiFi pour exploiter les éventuelles failles afin d’obtenir les données personnelles des étudiants et des professeurs.
L’enjeu ? Le sentiment de sécurité de la part des étudiants et du corps enseignant
Certains utilisateurs qui ne font pas confiance au WiFi public gratuit pourraient se sentir plus en sécurité lorsqu’ils se connectent à un réseau WiFi d’une université, en supposant que les administrateurs sont suffisamment qualifiés pour le sécuriser.
Bien que cela puisse être vrai dans certaines universités, ce faux sentiment de sécurité peut représenter une vulnérabilité pour d’autres. Sur un réseau WiFi d’entreprise, un pirate informatique n’a généralement que quelques cibles potentielles.
Sur le réseau WiFi d’une université, par contre, il peut choisir parmi des centaines d’utilisateurs vulnérables où ils peuvent effectuer les analyses à la recherche des vulnérabilités toute la journée, 7 jours sur 7.
Recherche de dispositifs vulnérables
Sur le campus, les cybercriminels ne ciblent pas un seul ordinateur ou un appareil. Souvent, les utilisateurs (étudiants, personnel ou visiteurs) peuvent utiliser plusieurs appareils en permanence – ordinateur portable, tablette, Smartphone, etc. – qui sont connectés à l’aide d’un seul compte.
Un attaquant peut analyser le réseau à l’aide d’outils personnalisés ou de logiciels qui peuvent être téléchargés gratuitement sur Internet, comme Wireshark ou Network Miner.
Il suffit d’une seule vulnérabilité pour qu’il puisse télécharger du contenu malveillant ou voler des données sensibles.
Grâce à ces outils, l’attaquant peut également intercepter et écouter les données. Si un utilisateur est connecté à un serveur dont les protocoles de chiffrement sont médiocres, les données peuvent être déchiffrées facilement.
Parmi les autres menaces, on peut citer les attaques de phishing qui utilisent diverses techniques telles que le XSS ou le détournement de session.
Que peut-on faire pour protéger le réseau WiFi public des universités ?
Les utilisateurs peuvent prendre les mesures nécessaires pour protéger leurs données, mais l’université doit également fournir la cybersécurité, la surveillance et le système de filtrage de contenus adéquats pour arrêter les attaquants lorsqu’ils se connectent au réseau.
Les utilisateurs doivent toujours vérifier qu’une connexion à un serveur d’application utilise le HTTPS, mais les sites qui utilisent des algorithmes de sécurité médiocres laissent encore certains utilisateurs plus vulnérables.
Les attaquants peuvent aussi déchiffrer les messages que vous échangez via le réseau en utilisant des algorithmes faibles.
Bien que les utilisateurs doivent assumer la responsabilité de leur propre cybersécurité et de la sécurité de leurs données, les universités qui hébergent des systèmes WiFi publics devraient également ajouter les protections nécessaires pour les utilisateurs du réseau.
Les serveurs des universités contiennent une grande partie des informations personnelles des étudiants et des professeurs. Tout réseau WiFi doit ainsi être séparé du réseau interne.
Les pirates informatiques ne cherchent pas seulement à acquérir des informations personnelles. Les universités sont des institutions de recherche. Certaines des découvertes faites et des produits développés sont précieux.
De nombreuses entreprises privées, des particuliers, et même des gouvernements étrangers sont désireux d’accéder aux informations stockées sur les réseaux des universités.
Les réseaux WiFi sont souvent considérés comme un moyen facile d’accéder à des identifiants de connexion et d’installer des malwares sur ces réseaux.
Au lieu d’autoriser toute activité sur le réseau WiFi de l’université, les administrateurs devraient prendre un contrôle proactif des types de trafic qui y sont autorisés et mettre sur liste noire les sites web et les applications malveillantes.
Ce contrôle administratif peut être mis en œuvre à l’aide d’une solution DNS basée dans le cloud qui peut bloquer les sites web en fonction d’une liste d’adresses IP bloquées par les administrateurs WiFi.
Grâce aux filtres DNS, les administrateurs peuvent ajouter une couche de sécurité entre tout utilisateur connecté à internet via le WiFi de leur établissement.
Toute adresse IP figurant sur la liste noire sera bloquée lorsque les utilisateurs tenteront d’accéder à des applications interdites.
Comme la solution est basée sur des consultations du DNS, les performances du réseau s’accélèrent grâce à la réduction des contenus interdits téléchargés sur le réseau WiFi.
Les utilisateurs qui se connectent au contenu du réseau WiFi effectuent toujours une recherche DNS à partir d’un navigateur, et c’est dans cette recherche, des filtres sont ajoutés pour que les utilisateurs ne puissent pas contourner les solutions de cybersécurité qui sont en place.
Il est essentiel d’offrir un environnement sûr à tous les utilisateurs des réseaux WiFi des universités.
La quantité massive de données sensibles contenues dans le trafic réseau est précieuse pour les attaquants, et le nombre croissant d’utilisateurs et de dispositifs connectés au WiFi fait des universités restent une cible de choix pour les pirates informatiques.
Les solutions de filtrage basées sur le DNS stoppent une grande partie du contenu et des activités malveillantes qui épuisent la bande passante, réduisant ainsi les performances du trafic pour les utilisateurs légitimes.
Les solutions de cybersécurité basées dans le cloud de TitanHQ pour le WiFi offrent une protection pratique et à toute épreuve à vos utilisateurs.
Avantages de WebTitan Cloud pour le WiFi, pour le filtrage des contenus web dans les universités
Solution de filtrage du web 100 % basée dans le cloud
Aucune installation de logiciel requise
Pas d’exigences supplémentaires en matière de matériel
Panneau de contrôle de l’administration en ligne facile à suivre
Contrôle central de plusieurs routeurs
Couverture de nombreux endroits, peu importe le pays où la solution est utilisée
Aucune restriction quant au nombre de routeurs ou de lieux
Aucune restriction de bande passante (bien entendu, vous pouvez appliquer certaines restrictions concernant l’utilisation de la bande passante par l’utilisateur si vous le souhaitez
Rapports détaillés sur l’utilisation et le trafic du réseau
Prise en charge des adresses IP dynamiques ou changeantes
Fonctionnement avec tout appareil qui rejoint votre réseau
Aucune latence lors de la navigation sur Internet
Contrôles très granulaires qui permettent de régler avec précision le filtrage des contenus web
Malwarebytes a récemment publié un rapport montrant qu’une campagne a été mené, en utilisant Fallout, le kit d’exploitation sur des sites web pour adultes, afin de distribuer Racoon Stealer.
Cette cyberattaque a été portée à la connaissance du réseau publicitaire et la publicité malveillante a été retirée. Cependant, elle a rapidement été remplacé par une autre publicité qui redirigeait les visiteurs vers un site hébergeant le kit d’exploitation Rig.
Une autre campagne a donc été découverte, réputée pour cibler divers réseaux de publicité pour adultes.
Les publicités malveillantes ont été diffusées par un large éventail de plateformes en ligne, dont l’une des plus populaires compte plus d’un milliard vues par mois.
L’acteur de la menace avait déposé des offres pour les utilisateurs d’Internet Explorer (IE) uniquement, car le kit d’exploitation comprenait un exploit pour une faille non corrigée de ce navigateur.
Les pirates exploitaient les failles CVE-2019-0752 et CVE-2018-15982. La première est une vulnérabilité d’IE, tandis que la seconde est une vulnérabilité d’Adobe Flash Player.
Lors de cette campagne, le malware Smoke Loader a été partagé avec Racoon Stealer et ZLoader.
Comment éviter les attaques par kits d’exploitations sur les sites web pour adultes
Pour qu’un kit d’exploitation soit efficace, un ordinateur doit avoir une faille non corrigée.
Le patch rapide est presque l’une des méthodes les plus efficaces utilisées pour éviter les attaques, mais il est également important de cesser d’utiliser Internet Explorer et Flash Player, car les vulnérabilités de ces applications sont fréquemment attaquées.
Ces campagnes peuvent également être simplement évitées en utilisant un filtre web.
À moins que votre entreprise ne travaille dans le secteur du divertissement pour adultes, l’accès à des contenus pour adultes sur des appareils de travail doit être empêché.
Un filtre web permet à votre entreprise de bloquer l’accès à tous les sites web pour adultes et à d’autres catégories de contenus web auxquels les employés ne devraient pas avoir accès lorsqu’ils sont au bureau.
Un filtre web basé dans le cloud, tel que WebTitan, est une option rentable qui vous permet de vous prémunir contre les attaques véhiculées par le web, telles que les kits d’exploitation et les téléchargements de malwares.
Il peut aussi aider votre entreprise à améliorer la productivité des employés en les empêchant de consulter des sites web qui n’ont aucun but professionnel.
Par ailleurs, les filtres web peuvent réduire la responsabilité légale en empêchant vos employés de participer à des activités illégales en ligne, telles que l’installation de fichiers qui violent les droits d’auteur.
Après la configuration de la solution (ce qui est un processus rapide), l’accès à des catégories spécifiques de sites web peut être bloqué d’un clic de souris et vos employés ne pourront plus consulter les sites web connus pour héberger des malwares, des kits de phishing et d’autres sites web malveillants potentiellement dangereux.
Pour plus de détails sur WebTitan et sur la protection de votre entreprise contre les attaques lancées via le web, contactez TitanHQ dès maintenant.
Une nouvelle campagne de phishing a été découverte. Elle cible des entreprises dans le but de voler leurs identifiants Microsoft Outlook.
Les pirates font une usurpation de KnowBe4, une entreprise qui dispense une formation de sensibilisation à la sécurité pour permettre aux entreprises de former leurs employés à reconnaître une attaque de phishing.
Les e-mails avertissent leurs destinataires que l’expiration prochaine d’un module de formation à la sensibilisation à la sécurité approche. Les destinataires sont ainsi informés qu’ils ne leur restent plus qu’un jour pour terminer leurs formations.
Trois liens sont alors intégré dans les e-mails. À première vue, ils ressemblent à la véritable URL de KnowBe4. Pourtant, ils redirigent les utilisateurs vers une page de phishing (un site web compromis) où leurs informations d’identification et leurs informations personnelles d’Outlook peuvent être volées.
Des directives sont fournies pour la conduite de la formation en dehors du réseau. Les utilisateurs sont alors invités à fournir leurs noms d’utilisateurs et leurs mots de passe avant de cliquer sur le bouton d’ouverture de session.
Ce faisant, ils sont censés accéder au module de formation.
Bien que le site vers lequel l’e-mail de phishing redirigeant les utilisateurs soit réaliste, il y a un signe qui révèle d’une escroquerie : le nom de domaine. De nombreuses URL différentes sur toute une série de sites différents sont utilisées dans le cadre de cette campagne.
Celles-ci ne sont pas toutes liées au fournisseur de la formation de sensibilisation à la sécurité. Cependant, certains employés très occupés n’ont pas eu la prudence de vérifier ces URL avant de divulguer leurs identifiants de connexion.
Phishing KnowBe4: un danger constant pour l’ensemble des entreprises
Usurper l’identité d’une société de cybersécurité spécialisée dans la prévention du phishing est une manœuvre courageuse, dont le but est de faire croire aux employés que les e-mails qu’ils ont reçus sont authentiques.
Toute entreprise peut être victime d’une usurpation d’identité dans le cadre d’une campagne de phishing.
Ce n’est pas parce que votre organisation a fourni des services de lutte contre le phishing que le courrier électronique ne doit pas être soumis à des contrôles habituels pour prouver sa validité.
Ceci devrait être souligné dans les modules de formation des employés.
Cofense — le groupe qui a examiné les sites web — a rapporté que les sites compromis ont récemment hébergé un shell web qui permettait aux pirates de télécharger et de modifier des fichiers.
Les sites web ont été compromis depuis au moins avril 2020, à l’insu de leurs propriétaires. Le kit de phishing qui a été mis en place dans le cadre de cette campagne a affecté au moins 30 sites web différents depuis le début de la campagne à la mi-avril.
Vos employés reçoivent des centaines d’e-mails chaque semaine.
Il est donc difficile pour eux de détecter les e-mails de phishing, surtout lorsque la plupart d’entre eux sont réalistes et très similaires aux véritables e-mails qu’ils reçoivent chaque jour.
La formation à la sécurité est cruciale, mais il est également important de configurer une solution de filtrage du spam avancé, capable de bloquer pratiquement tous les e-mails malveillants, avec un taux de détection de plus de 99,9 %.
Avec une solution de filtrage du spam avancée comme celle de SpamTitan, ces e-mails malveillants pourront être bloqués à la source et n’arriveront pas dans les boîtes de réception des utilisateurs finaux, ce qui améliore votre protection contre les menaces cybercriminelles.
Selon Gartner, 88 % des entreprises ont dû rendre le télétravail obligatoire pendant la pandémie du Covid-19.
306,4 milliards d’emails sont envoyés et reçus quotidiennement en 2020 (source : Radicati).
60 % des informations contenues dans les emails sont des données critiques pour les entreprises (source : IDC).
L’année 2020 restera dans l’histoire comme une année de défis. L’un de ces défis est la façon dont le travail à distance a changé le paysage technologique et commercial.
Pour que les communications entre les employés soient fluides et sans entrave, le courrier électronique a pris une place centrale.
L’archivage des emails dans le cloud offre un moyen de gérer les emails professionnels pour garantir leurs conformités, leurs sécurités et leurs confidentialités.
Le télétravail est-il devenu la nouvelle norme ?
Le travail à distance n’est pas nouveau. Avant la pandémie, en 2015, 3,4 % de la main-d’œuvre américaine travaillait déjà à domicile. Même après la pandémie, le travail à distance devrait faire partie de notre vie professionnelle.
Ce bouleversement des conditions de travail a eu un impact sur la productivité et la continuité des activités.
Pour passer du bureau au domicile, les entreprises dans le monde entier se sont tournées vers la technologie du cloud pour maintenir la communication et le flux de travail de leurs employés.
La technologie du cloud s’est développée pour répondre aux défis du travail à distance.
Cependant, comme les employés se connectent actuellement à distance, les organisations doivent s’assurer que la sécurité, la confidentialité et la conformité des données soient assurées, même en dehors des frontières du bureau.
L’archivage des emails dans le cloud offre un moyen économique et efficace de gérer les données liées aux comptes de messagerie électronique pour tous vos employés qui travaillent à distance.
Archivage du courrier électronique : par défaut, à distance ?
Le courrier électronique a toujours été une technologie qui était, par défaut, utilisée pour la communication à distance.
Cependant, il peut aussi servir à stocker de façon centralisée des données sensibles concernant les employés et leur entreprise.
Les entreprises peuvent l’utiliser pour conserver des informations, en se référant à d’anciens emails pour trouver des informations vitales et pour s’assurer que les mesures légales et de conformités sont respectées.
L’un des avantages de l’archivage du courrier électronique dans le cloud est la centralisation de serveurs de courriers électroniques disparates. Dans des conditions de travail à distance, c’est encore plus important.
L’archivage des emails dans le cloud offre un moyen de consolider et de gérer les données contenues dans les emails professionnels.
Mais comment l’archivage du courrier électronique s’intègre-t-il dans un monde de travail à distance ?
Et comment les questions de conformité, de sécurité et de confidentialité des emails sont-elles traitées dans des environnements de travail disparates ?
Télétravail, archivage des emails et conformité
Le courrier électronique est soumis à des réglementations sur la protection des données et à d’autres questions juridiques. Plusieurs règlements comportent des exigences concernant la conservation, l’intégrité, la sécurité et l’audit des emails.
Il s’agit notamment de la loi Sarbanes-Oxley (SOX) pour la prévention de la fraude et la protection des données personnelles via la loi sur la portabilité et la responsabilité de l’assurance maladie (HIPAA).
L’archivage des emails dans le cloud peut répondre aux exigences réglementaires en offrant un contrôle d’accès, la possibilité de réaliser facilement les audits et une gestion de la conservation robuste.
Archivage et sécurité des emails
Le courrier électronique est une riche source de données sensibles, financières et de propriété intellectuelle, ce qui le place dans la ligne de mire des cybercriminels.
Les menaces en ligne telle que le Business Email Compromise (BEC) se concentrent sur l’usurpation d’adresses électroniques ou le piratage comme méthode pour voler de grosses sommes d’argent aux entreprises.
Les attaques d’initiés sont également préoccupantes, qu’elles soient malveillantes ou accidentelles.
L’archivage des emails dans le cloud peut atténuer les risques de perte de données. Les fonctionnalités comprennent le contrôle d’accès et la restauration des messages supprimés ou modifiés.
Une solution basée dans le cloud offre un environnement sécurisé tout en facilitant l’accès des employés à distance à ces messages.
Archivage et confidentialité des emails
En plus de contenir des données d’entreprise sensibles, les emails contiennent également des données sur vos clients.
Ces informations sont souvent très sensibles et peuvent contenir des informations financières, notamment des informations sur les comptes bancaires. Celles-ci doivent rester privées pour des raisons de conformité et de confiance.
Toutes les données relatives aux transactions, aux comptes clients, aux demandes, etc. doivent être archivées en toute sécurité.
Le fait de ne pas exécuter ces actions entraîne non seulement des amendes pour non-conformité, mais aussi une perte de réputation pour les entreprises.
La loi californienne sur la protection de la vie privée des consommateurs (CCPA), par exemple, stipule qu’une entreprise doit mettre en place un processus de récupération et de suppression des données personnelles, sur demande.
Cela inclut les emails et les données dans les archives.
Les solutions d’archivage des emails basées dans le cloud doivent pouvoir attribuer des rôles aux personnes appropriées pour leur permettre d’examiner, d’exporter et de supprimer en toute sécurité les données et certains messages en cas de besoin.
Contactez l’équipe de TitanHQ si vous voulez discuter de la façon dont l’archivage des emails peut assurer la continuité des activités de vos employés qui travaillent à distance.
