Une nouvelle attaque de phishing visant Paypal a été identifiée. Elle tente d’obtenir un grand nombre d’informations personnelles de ses victimes en se faisant passer pour une alerte de sécurité PayPal.
Les e-mails semblent avoir été envoyés depuis le centre de notification de PayPal et avertissent les utilisateurs que leurs comptes ont été temporairement bloqués en raison d’une tentative de connexion depuis un navigateur ou un appareil précédemment inconnu.
Les e-mails comprennent un lien hypertexte sur lequel les utilisateurs sont invités à cliquer pour se connecter à PayPal afin de vérifier leur identité. Un bouton est inclus dans l’e-mail et les utilisateurs sont invités à cliquer sur « Sécuriser et mettre à jour mon compte maintenant ! ». Le lien hypertexte est une adresse bit.ly abrégée, qui dirige la victime vers une page PayPal usurpée sur un domaine contrôlé par un attaquant.
Après avoir saisi les informations d’identification de son compte PayPal, les pirates invite la victime à saisir une série d’informations sensibles pour vérifier son identité dans le cadre d’un contrôle de sécurité PayPal. Ces informations doivent être saisies pour déverrouiller le compte et la liste des étapes est détaillée sur la page.
Tout d’abord, les pirates demandent le nom complet de l’utilisateur, son adresse de facturation et son numéro de téléphone. Ensuite, la victime doit confirmer les détails complets de sa carte de crédit/débit. La page suivante demande sa date de naissance, son numéro de sécurité sociale, son numéro de guichet automatique ou de carte de débit.
Enfin, la victime est tenue de télécharger une pièce d’identité, qui doit être soit une numérisation d’une carte de crédit, d’un passeport, d’un permis de conduire ou d’une pièce d’identité avec sa photo.
Cette escroquerie de phishing de PayPal vise à obtenir une grande quantité d’informations. Ceci devrait permettre à la victime de reconnaître que l’avertissement que tout n’est pas ce qu’il paraît. Il peut, par exemple, s’agir d’une demande de saisie d’informations très sensibles telles qu’un numéro de sécurité sociale ou un code PIN.
L’e-mail contient également d’autres signes d’avertissement qui pourraient indiquer que la demande n’est pas légitime. Entre autres, il n’est pas envoyé depuis un domaine associé à PayPal et son contenu commence par une phrase du type « Bonjour cher client », plutôt que par le nom du titulaire du compte. A la fin du message, le message indique à l’utilisateur de marquer l’expéditeur sur sa liste blanche si l’e-mail a été livré dans son dossier spam.
L’une des tactiques utilisées par les pirates est également de rédiger le message de manière à encourager le destinataire à agir rapidement pour éviter toute perte financière. Comme pour les autres escroqueries de phishing de PayPal, de nombreux utilisateurs sont susceptibles d’être amenés à divulguer au moins une partie de leurs informations personnelles.
Les consommateurs doivent toujours faire preuve de prudence et ne devraient jamais répondre immédiatement à un e-mail qui les avertit d’une faille de sécurité. Ils devraient plutôt s’arrêter et réfléchir avant d’agir, et vérifier soigneusement l’expéditeur de l’e-mail, puis lire très attentivement le message.
Pour vérifier si le message est vraiment légitime, il est recommandé de vous rendre directement sur le site web officiel de PayPal en tapant l’URL correcte dans la barre d’adresse de votre navigateur. Pour finir, n’utilisez jamais les URL qui figurent dans les e-mails.
Emotet est la plus grande menace de malwares à laquelle sont confrontées les entreprises et l’activité a considérablement augmenté ces dernières semaines, après une accalmie en décembre.
Plusieurs nouvelles campagnes sont désormais identifiées chaque semaine, dont la plupart ciblent les entreprises. L’une des campagnes les plus récentes utilise une technique éprouvée pour installer le cheval de Troie Emotet. Il s’agit de documents Word malveillants qui se font passer pour des factures, des devis, des renouvellements et des coordonnées bancaires.
La campagne cible principalement des organisations aux États-Unis et au Royaume-Uni, bien que des attaques aient également été détectées en Inde, en Espagne et aux Philippines. Environ 90% des e-mails de phishing d’Emotet ciblent les services financiers, et environ 8 % des attaques visent des entreprises de l’industrie alimentaire et des boissons.
Les documents Word malveillants sont soit joints aux e-mails, soit des hyperliens inclus dans les messages et qui dirigent la victime vers un site web compromis où le document Word est téléchargé. Les sites web utilisés sont fréquemment modifiés et de nouvelles variantes d’Emotet sont fréquemment publiées pour empêcher leur détection. Les solutions de sécurité de la messagerie électronique qui s’appuient sur des moteurs antivirus pour détecter les malwares ont peu de chances de détecter ces menaces du type « zero day ».
Comme Emotet est un botnet massif, les e-mails qui le propagent proviennent de nombreuses sources différentes. Les solutions de sécurité de la messagerie électronique qui s’appuient sur des listes noires en temps réel ont également peu de chances de détecter ces sources comme étant malveillantes.
Emotet est principalement distribué via la messagerie électronique à partir d’appareils infectés, mais une autre méthode de distribution a récemment été identifiée. Le Cheval de Troie se propage également via les réseaux Wi-Fi. Cette méthode est utilisée depuis près de deux ans, mais elle vient seulement d’être détectée par les chercheurs en sécurité de Binary Defense.
Lorsqu’Emotet est installé, un fichier binaire worm.exe s’exécute automatiquement. Il tente de se connecter à des réseaux quasi Wi-Fi et force les mots de passe faibles. Une fois connecté à un réseau Wi-Fi, il recherche des fichiers partagés et non cachés sur le réseau.
Puis, il tente de recenser tous les utilisateurs connectés au réseau Wi-Fi pour permettre au pirate de lancer une attaque de phishing.
Comment bloquer Emotet ?
Les pirates ne cessent de développer de nouvelles tactiques pour rendre la détection Emotet de plus en plus difficile et il n’existe pas de solution unique pouvant assurer une protection contre toutes les formes d’attaque. Ce qu’il faut, c’est une approche de défense en profondeur et des défenses multicouches.
La principale défense contre Emotet est essentiellement basée sur la messagerie électronique, ainsi qu’une solution avancée de filtrage du spam. De nombreuses entreprises utilisent Office 365 et s’appuient sur la protection fournie par Exchange Online Protection (EOP), qui est incluse en standard dans les licences Office 365.
Mais EOP, à elle seule, ne peut pas fournir une protection suffisante contre Emotet. EOP peut bloquer toutes les menaces de malwares connues, mais il peine à identifier les attaques de type « zero day ». Pour ce faire, il faut également adopter d’autres méthodes de détection plus avancées.
SpamTitan a été développé pour fonctionner de manière transparente avec EOP afin de protéger la messagerie électronique d’Office 365 contre les menaces du type « zero day ». Cette solution utilise une variété de techniques pour identifier les différentes formes d’attaques d’Emotet, y compris deux antivirus capables de bloquer les variantes connues d’Emotet. Elle intègre également une fonction de sandboxing pour bloquer les attaques du type « zero day ». Les pièces jointes suspectes ou inconnues sont envoyées dans la sandbox où elles sont soumises à une analyse approfondie pour identifier les actions malveillantes.
En outre, SpamTitan peut analyser les e-mails sortants dans le but d’identifier les tentatives de diffusion d’Emotet à partir d’une machine déjà infectée.
A ceux-ci s’ajoute la DMARC, une fonction qui permet d’identifier les tentatives d’usurpation d’identité et de domaine, lesquelles sont couramment utilisées par les pirates pour diffuser Emotet.
Pour assurer la protection contre les attaques basées sur le web – y compris les e-mails d’Emotet qui utilisent des hyperliens malveillants plutôt que des pièces jointes -une autre couche de sécurité doit être ajoutée pour mieux protéger votre organisation des attaques cybercriminelles. Il s’agit d’une solution de filtrage DNS, telle que WebTitan.
WebTitan utilise la détection des menaces par URL en temps réel, grâce à une base de données alimentée par 650 millions d’utilisateurs. La base de données en temps réel comprend plus de 3 millions d’URL et d’adresses IP malveillantes. Chaque jour, environ 100 000 nouvelles URL malveillantes sont détectées et bloquées.
WebTitan comprend également la catégorisation et la détection en temps réel des domaines, des URL et des IP malveillants, avec des mises à jour à la minute près pour bloquer les nouvelles sources malveillantes. Dès qu’une URL est identifiée comme pouvant distribuer Emotet (ou d’autres malwares), elle est bloquée par WebTitan.
WebTitan effectue également une analyse des liens et des contenus web, une analyse statique, heuristique et des anomalies de comportement. Cette solution intègre plusieurs outils et pour protéger les utilisateurs contre les menaces du web.
Enfin, vous devriez également ces autres mesures pour faire face à la menace d’Emotet :
Désactiver les macros dans toute l’organisation
Veiller à ce que les systèmes d’exploitation soient tenus à jour et à ce que les vulnérabilités soient rapidement corrigées.
Définir des mots de passe forts pour contrecarrer les attaques par la force brute
Veiller à ce que les solutions de protection des points d’accès soient déployées sur tous les appareils
Fournir une formation de sensibilisation à la sécurité à vos employés
Effectuer des exercices de simulation de phishing pour identifier les employés qui ont besoin d’une formation complémentaire.
La saison des impôts est maintenant en cours aux USA et les escrocs qui compromettent les e-mails d’affaires ont intensifié leurs efforts pour obtenir des formulaires W-2. Il s’agit de documents envoyés par les employeurs et qui donnent les détails concernant les revenus imposables de leurs employés et le montant de chaque taxe retenue à la source. Les pirates font cela dans le but d’effectuer une fraude fiscale.
Les attaques de ce type commencent souvent par des e-mails de phishing ciblant le PDG et les membres du conseil d’administration d’une société. Une fois que les pirates réussissent à obtenir les références des e-mails de ces hauts responsables, ils peuvent alors accéder à leurs comptes et envoyer des e-mails au service de la paie et au service des ressources humaines pour demander les formulaires W-2 des employés ayant travaillé au cours de l’année fiscale précédente.
Les escrocs ciblent les entreprises, car le potentiel de profit est bien plus important que celui obtenu via des attaques contre les contribuables individuels.
Toutefois, les consommateurs doivent également se méfier des escroqueries de phishing liées à l’IRS, l’agence du gouvernement fédéral des États-Unis qui collecte l’impôt sur le revenu et sur les taxes diverses.
Cette période de l’année voit une augmentation des escroqueries de phishing de l’IRS. Les escrocs se font passer pour un responsable de l’agence et envoient des e-mails informant les contribuables qu’un remboursement d’impôt est dû et que des demandes sont envoyées pour des impôts impayés, avec la menace de conséquences désastreuses si des mesures ne sont pas prises rapidement pour régler le problème.
Les progrès réalisés en matière de sécurité de la messagerie électronique ont obligé les cybercriminels à faire preuve de créativité, car il est plus difficile de faire passer des e-mails de phishing en douce au-delà des défenses électroniques.
Les escroqueries de phishing sont désormais couramment initiées par SMS, par e-mail et par téléphone. Une campagne a déjà été identifiée, lors de laquelle les consommateurs ont été ciblés par des appels anonymes.
Ces appels avertissent que les numéros de sécurité sociale des victimes ont été suspendus après la détection d’une activité suspecte.
Si un grand nombre de ces escroqueries visent à obtenir des informations personnelles, d’autres sont menées pour diffuser des malwares.
Le groupe qui a propagé le cheval de Troie Emotet est l’un des groupes de menace qui a commencé ses escroqueries fiscales au début de cette année.
Ladite campagne est actuellement menée en utilisant des e-mails contenant de faux formulaires W-9. À noter que les formulaires W-9 signés sont demandés par les entreprises à leurs entrepreneurs s’ils ont été payés plus de 560 dollars au cours de l’année fiscale.
De nombreuses entreprises ont demandé à leurs sous-traitants de signer des formulaires W-9 pour confirmer leurs adresses et leurs numéros d’identification fiscale via des e-mails.
Dans le cadre d’une attaque récente, les pirates ont utilisé des e-mails courts et directs dans le but de diffuser le cheval de Troie Emotet. Le message disait : « Merci pour votre aide. Veuillez consulter le fichier joint ».
Les e-mails comprennent une pièce jointe en format Word nommée W-9.doc. Une fois que la victime ouvre le document, le logo d’Office 365 s’affiche avec un texte indiquant qu’il a été créé dans OpenOffice et que l’utilisateur doit activer la modification et le contenu.
En faisant cela, la victime de l’attaque déclenche le téléchargement le cheval de Troie Emotet, sans le savoir.
Ce n’est là qu’un exemple de message lié à la fiscalité qui a été utilisé par le gang derrière Emotet. Il est probable que de nombreuses autres variantes seront envoyées au cours des prochaines semaines. D’autres cybercriminels mèneront également leurs propres campagnes de phishing sur le thème de la fiscalité pour diffuser différentes variantes de malwares et de ransomwares.
Les entreprises, les préparateurs de déclarations de revenus et les consommateurs doivent être très vigilants pendant la période fiscale pour éviter les escroqueries de phishing et les e-mails diffusant des malwares.
Le moment est venu pour les entreprises de revoir leurs moyens de défense en matière de cybersécurité et de renforcer leur protection contre le phishing et les attaques de malwares. Si vous utilisez Office 365 et que vous vous fiez aux protections contre le phishing intégrées dans ce logiciel, vous devriez envisager de renforcer votre protection contre le phishing et les malwares avec un filtre anti-spam tiers. Plus précisément, vous avez besoin d’un filtre qui possède des capacités supérieures pour mieux détecter les malwares.
C’est un domaine dans lequel TitanHQ peut vous aider. SpamTitan utilise une variété de techniques avancées pour détecter et bloquer les menaces de phishing et les malwares de type « zero day », y compris une « sandbox » où les pièces jointes inconnues et suspectes des e-mails sont soumises à une analyse approfondie.
Appelez l’équipe de TitanHQ pour en savoir plus sur SpamTitan, une solution qui améliore la protection contre les malwares et le phishing d’Office 365. Vous pouvez également découvrir comment fonctionne cette solution à travers un essai gratuit de SpamTitan.
En attendant, prenez des mesures pour alerter vos employés sur les escroqueries de phishing pendant la période fiscale et préparez-les au scenario lors duquel un e-mail de phishing arriverait dans leur boîte de réception. Envoyez leur un e-mail d’alerte pour qu’ils sachent identifier la menace d’escroquerie pendant la période fiscale et comment empêcher une coûteuse attaque de phishing ou une infection par un malware.
Il est bien connu que les entreprises perdent beaucoup de temps à traiter le spam et on ne peut nier la menace que représentent les emails de spam malveillants (malspam), mais ce n’est pas seulement un problème pour les grandes entreprises. Le spam dans le milieu universitaire est également un problème majeur.
Une étude récente publiée dans la revue Scientometrics explore le coût du spam dans les universités. L’étude s’est principalement intéressée aux courriels de spam envoyés par de nouvelles revues non évaluées par des pairs qui tentent de gagner une part de marché. Ces revues adoptent les mêmes tactiques de spam souvent utilisées par les escrocs pour vendre des montres bon marché, des médicaments à prix réduit, et pour le phishing et la diffusion de logiciels malveillants.
Trois chercheurs – Jaime A. Teixeira da Silva, Aceil Al-Khatib et Panagiotis Tsigaria – ont tenté de quantifier le temps perdu à traiter ces messages et les pertes qui en résultent.
Pour évaluer l’ampleur du problème, les chercheurs ont utilisé les chiffres de plusieurs études sur le spam afin d’obtenir le nombre moyen de courriels de spam ciblés que les universitaires reçoivent chaque jour. Ils ont opté pour un chiffre conservateur de 4 à 5 messages par jour et par universitaire.
La plupart de ces messages ne prennent que quelques secondes pour être ouverts et lus, mais ce temps s’accumule. Ils ont supposé un temps moyen de 5 secondes par message, soit moins d’une demi-minute par jour. Cela équivaut à 100 dollars par chercheur, par an, à un taux horaire moyen de 50 dollars.
En utilisant l’estimation des Nations Unies sur le nombre de chercheurs dans le monde universitaire, le coût total mondial du spam dans le monde universitaire a été estimé à 1,1 milliard de dollars par an.
Ce chiffre est basé sur le seul temps perdu et ne tient pas compte des courriers électroniques non ciblés – des courriers électroniques non sollicités en masse qui ne ciblent pas spécifiquement les chercheurs. Si l’on ajoute le temps passé à traiter ces messages, le coût global atteint 2,6 milliards de dollars par an.
Pour mettre ce coût en perspective, 2,6 millions de dollars sont bien plus que le temps que les chercheurs consacrent à l’examen par les pairs, dont le coût a été estimé à 1,9 milliard de dollars par an. Ces chiffres ne tiennent pas compte des pertes considérables dues au phishing, aux logiciels malveillants et aux attaques de ransomware.
Si l’on tient compte de ces coûts, les pertes seraient plusieurs fois plus élevées.
Le co-auteur de l’étude, Panagiotis Tsigaris, professeur d’économie à l’université Thompson Rivers au Canada, a expliqué qu’il n’existait pas de solution miracle pour lutter contre le spam et a suggéré plusieurs moyens de réduire le coût du spam dans le monde universitaire.
M. Tsigaris suggère d’augmenter les peines pour publication dans des revues prédatrices, d’informer les universitaires sur le spam et d’améliorer la technologie de filtrage du courrier électronique.
Ici, chez TitanHQ, nous sommes bien conscients du problème du spam, tant en termes de pertes de productivité qu’il entraîne que de dommages causés par les courriels de spam malveillants.
Pour aider à prévenir les pertes et les temps d’arrêt dus au spam et aux menaces basées sur le courrier électronique, TitanHQ a mis au point une solution de filtrage du spam puissante, facile à utiliser et rentable, basée sur le cloud, appelée SpamTitan.
SpamTitan a été testé de manière indépendante et il a été démontré qu’il bloque plus de 99,9 % des courriers électroniques non sollicités, 100 % des menaces connues de logiciels malveillants et de ransomwares.
Grâce à une série de mesures de détection et de sandboxing, SpamTitan est également efficace pour bloquer les menaces de logiciels malveillants et de logiciels contre rançon de type « zero-day » (nouveaux).
Pour en savoir plus sur SpamTitan et sur la façon dont vous pouvez bloquer davantage de spams et vous assurer que les courriels malveillants n’atteignent pas les boîtes de réception de vos chercheurs, appelez l’équipe du TitanHQ dès aujourd’hui.
Un nouveau rapport du Centre de plaintes pour les crimes sur l’Internet (IC3) du FBI a révélé l’ampleur des attaques de phishing qui ciblent les entreprises et des pertes énormes qui ont résulté d’une autre forme d’attaque lancée par e-mail : la fraude au président, ou attaque BEC (Business Email Compromise)
En 2019, l’IC3 a reçu 467 361 plaintes concernant la cybercriminalité et les pertes signalées ont dépassé les 3 milliards d’euros, contre environ 2,3 milliards d’euros en 2018. Les pertes réelles et le nombre d’attaques seront bien plus élevés, car tous les crimes et pertes ne sont pas signalés.
Les attaques de phishing, de smishing et de pharming – une technique de piratage informatique qui exploite les vulnérabilités des services DNS – sont les types de crimes les plus répandus, avec 114 702 plaintes déposées auprès de l’IC3 en 2019. Ces attaques ont entraîné des pertes de plus de 50 millions d’euros.
Il y a eu 23 775 plaintes concernant les attaques du type BEC, et les pertes dues à ces attaques étaient estimées à plus de 1,65 milliards d’euros. En moyenne, les attaques du type BEC entraînent des pertes d’environ 66 000 euros et ces attaques ont représenté 50,75 % de toutes les pertes dues à la cybercriminalité en 2019.
Les attaques d’escroquerie à la compromission d’e-mails d’affaires, ou arnaque au président, impliquent l’usurpation de l’identité d’une personne ou d’une entreprise connue et une fausse facture, ainsi qu’une demande de virement bancaire frauduleuse. Il peut également s’agir de modifications des coordonnées bancaires d’un vendeur, de demandes ou de modifications de comptes de dépôt direct des employés. Ces attaques impliquent l’usurpation d’un compte de messagerie électronique qui est généralement réalisée au moyen des e-mails de phishing.
La messagerie électronique peut également être utilisée pour livrer des ransomwares. L’IC3 a par exemple enrégistré 2 0417 incidents de ce genre qui ont entraîné des pertes de plus de 7,8 millions d’euros. En ce qui concerne les attaques de malwares et de virus, l’IC3 a également enregistré 2 373 incidents, impliquant des pertes de plus de 1,7 millions d’euros.
L’importance d’une approche à plusieurs niveaux pour la sécurité de la messagerie électronique
Comme le montre le rapport IC3 2019 sur le coût de la cybercriminalité, le vecteur d’attaque le plus courant est la messagerie électronique. Comment les propriétaires d’entreprises peuvent-ils donc se protéger contre les attaques par e-mails ?
Les entreprises peuvent soit acheter directement des solutions de cybersécurité, soit faire appel à un fournisseur de services managés (MSP) pour s’occuper de la cybersécurité. Si la décision est prise de gérer la cybersécurité en interne, il est essentiel d’adopter une stratégie de défense en profondeur et de mettre en place plusieurs niveaux de protection.
Si une solution de cybersécurité ne parvient pas à bloquer une menace, d’autres couches empêcheront les attaques lancées via le web de réussir.
De nombreuses entreprises ont adopté Office 365 et l’utilisent pour la messagerie électronique. Microsoft inclut un niveau de base de protection des e-mails pour Office 365 en standard : la protection en ligne d’Exchange (EOP ou Exchange Online Protection).
L’EOP constitue la première couche de protection contre les attaques de phishing, les malwares et le spam, mais l’EOP ne suffit pas à elle seule à bloquer les attaques de phishing sophistiquées, les attaques BEC et les menaces de malwares du type « zero day ».
Une couche de protection supplémentaire est donc nécessaire.
Protection avancée contre le phishing et les attaques BEC ou arnaques au président
TitanHQ a développé une solution antispam avancée – SpamTitan – qui fournit une couche de protection supplémentaire contre les menaces lancées via la messagerie électronique.
Pour se protéger contre les menaces de malwares connus, TitanHQ utilise un double anti-virus. Toutefois, de nouvelles variantes de malwares sont constamment mises sur le marché. Avant que les moteurs antivirus puissent bloquer les nouvelles menaces, celles-ci doivent être identifiées et la signature des malware est alors ajoutée aux définitions de virus du moteur antivirus. En attendant, les menaces ne seront pas identifiées comme malveillantes et seront transmises dans les boîtes de réception de vos employés.
Pour améliorer la protection contre les menaces du type « zero day », TitanHQ utilise le sandboxing. Lorsqu’une pièce jointe suspecte ou inconnue est reçue, elle est envoyée dans la sandbox où elle est soumise à une analyse approfondie pour identifier les rappels du centre de commande et de contrôle et les actions potentiellement malveillantes.
Les comptes Office 365 sont ciblés par les cybercriminels et leurs nouvelles campagnes de phishing sont testées par rapport aux protections d’Office 365 pour s’assurer que les e-mails sont bien délivrés.
Une étude précédente a montré que 25 % des e-mails de phishing sont envoyés dans les boîtes de réception d’Office 365.
Pour s’assurer de la détection des menaces de phishing qui ne seraient pas autrement bloquées par l’EOP, SpamTitan utilise une série de techniques de détection avancées :
Multiples listes de trous noirs en temps réel et des flux de renseignements sur les menaces
Analyse de messages à plusieurs niveaux
SURBL (des listes de sites web qui sont apparus dans des messages non sollicités)
Analyse bayésienne
Greylisting
Etc.
La protection contre les attaques par usurpation d’identité et l’usurpation d’identité via les e-mails est assurée par le Sender Policy Framework et la DMARC
Tous les e-mails sortants sont scannés pour identifier les compromissions potentielles des comptes de messagerie électronique.
SpamTitan est une solution de sécurité complète qui protège votre entreprise, vos employés et vos clients contre les attaques lancées via les e-mails. Avec SpamTitan, vous pouvez adopter une approche par couches pour la sécurité des e-mails à un coût très faible par utilisateur.
Si vous voulez vous assurer que votre entreprise soit protégée contre les coûteuses attaques lancées via les e-mails, appelez l’équipe de TitanHQ dès aujourd’hui.
Récemment, les nouveaux chiffres du FBI ont confirmé que les escroqueries aux compromis d’e-mails d’affaires étaient la principale cause de pertes en matière de cybercriminalité.
Une nouvelle cyberattaque massive contre une agence gouvernementale de Porto Rico a été révélée.
Les cybercriminels avaient obtenu l’accès au compte de messagerie électronique d’un employé, censé travailler dans le cadre du système de retraite des employés de Porto Rico.
Le compte de messagerie électronique compromis a été utilisé pour envoyer des demandes à d’autres agences gouvernementales afin que des changements soient apportés aux comptes bancaires standards pour les virements.
Comme le compte de messagerie utilisé était fiable, les modifications ont été apportées aux comptes bancaires. Les paiements ont alors été effectués normalement et des millions d’euros ont été transférés sur des comptes bancaires contrôlés par des pirates.
La société de développement industriel de Porto Rico – une société d’État qui stimule le développement économique du pays – a été l’une des plus touchées. Des e-mails ont été reçus pour demander des changements dans les comptes bancaires et deux paiements ont été effectués. Le premier paiement de plus de 54 000 euros a été effectué en décembre et un autre de plus de 2,2 millions d’euros en janvier.
D’autres ministères ont également été visés, notamment une société de tourisme. Cette dernière a effectué un paiement de plus de 1,3 million d’euros.
Au total, les pirates ont tenté de voler environ 4,13 millions d’euros.
L’escroquerie a été découverte lorsque ces paiements n’ont pas été reçus par les bons destinataires. Des mesures rapides ont alors été prises pour bloquer les transferts et certains des paiements ont été gelés, mais le gouvernement n’a pas été en mesure de récupérer environ 2,6 millions de dollars des fonds volés.
Une enquête approfondie a été lancée pour déterminer comment les attaquants ont eu accès au compte de messagerie électronique pour monter l’arnaque.
Bien que la méthode utilisée n’ait pas été confirmée, les attaques de BEC commencent généralement par un e-mail de spear phishing.
Un e-mail de phishing est envoyé à une personne d’intérêt pour lui demander de prendre des mesures urgentes afin de résoudre un problème. Un lien est fourni dans l’e-mail qui dirige l’utilisateur vers un site web qui lui demande les informations d’identification de son compte de messagerie électronique. Le compte peut alors être consulté par l’attaquant.
Les attaquants mettent souvent en place des redirections des e-mails pour recevoir une copie de chaque e-mail envoyé vers et depuis le compte. Cela leur permet de se renseigner sur l’entreprise et les paiements typiques et de construire des e-mails d’escroquerie très convaincants.
Une fois que l’accès à un compte de messagerie électronique d’entreprise est obtenu, l’escroquerie BEC (« Business E-mail Compromise » ou Compromission d’E-mail d’Entreprise) est beaucoup plus difficile à identifier et à bloquer. La meilleure défense consiste à s’assurer que les premiers e-mails de phishing ne sont pas envoyés, et c’est un domaine dans lequel TitanHQ peut apporter son aide.
Le 11 février est le Safer Internet Day 2020. Plus précisément, il s’agit de la journée où l’utilisation sûre et positive des technologies numériques est encouragée dans le monde entier.
Le Safer Internet Day a été mise en place dans le cadre du projet européen SafeBorders en 2004, mais est devenu un événement mondial auquel participent plus de 150 pays. L’objectif étant de contribuer à la création d’un internet meilleur et plus sûr, en donnant à chacun les moyens d’utiliser les technologies de manière responsable, respectueuse, critique et créative.
Le thème de cette année est « Un internet meilleur : comment prendre soin de soi et des autres ? ».
Chacun a un rôle à jouer pour faire de l’internet un environnement plus positif et plus sûr, qu’il s’agisse de rechercher des occasions positives de créer et de se connecter avec d’autres, d’être aimable et respectueux envers les autres en ligne, ou de signaler les contenus illégaux et inappropriés.
Les entreprises qui fournissent un accès Wi-Fi à leurs clients ont également la responsabilité de veiller à ce que leur point d’accès Wi-Fi ne fasse pas l’objet d’abus et ne puisse pas être utilisé pour accéder à des contenus préjudiciables, en particulier par des mineurs. Le moyen le plus simple d’y parvenir est de mettre en place une solution de filtrage web, et le Safer Internet Day est le jour idéal pour commencer.
Protéger son Wi-Fi avec un filtre DNS
La solution de filtrage web la plus facile à mettre en œuvre et la plus rentable est un filtre DNS. Il permet de contrôler le contenu au stade de la recherche DNS de l’accès à l’internet, lorsque le nom de domaine légitime d’un site web est converti en une adresse IP. Un ordinateur peut ensuite être utilisé pour trouver le serveur qui héberge ce site.
Cette méthode de filtrage web ne nécessite aucun achat de matériel ou le téléchargement d’un logiciel. Il vous suffit de modifier votre enregistrement DNS pour qu’il pointe vers votre fournisseur de services de filtrage DNS. Vous accédez alors à une interface web où vous pourrez préciser les catégories de contenu auxquelles vos clients ne sont pas autorisés à accéder.
La mise en route d’un filtre DNS ne prend que quelques minutes. Comme tout le filtrage a lieu au niveau du DNS avant le téléchargement de tout contenu, cette solution de sécurité a une latence presque nulle, ce qui signifie qu’elle n’affecte pas le débit de connexion Internet.
WebTitan Cloud for WiFi, le filtre WiFi idéal
Avec WebTitan Cloud for Wi-Fi, vous pouvez décider du contenu auquel vous ne voulez pas que les gens accèdent et vous pouvez utiliser les cases à cocher de votre interface utilisateur pour bloquer des catégories de contenu web en un clic de souris.
Pour rendre l’internet plus convivial pour la famille, vous pouvez cocher la case « Contenu pour adultes ». Ainsi, vous pouvez vous assurer qu’aucun matériel pornographique n’est accessible via votre réseau Wi-Fi. Vous pouvez également bloquer l’accès à des sites web illégaux pour protéger votre entreprise, tels que les sites de torrents pouvant télécharger de la musique, de logiciels et des films qui violent les droits d’auteur.
D’autres types de contrôles peuvent également être appliqués pour limiter l’accès à des sites web de torrents afin d’économiser la bande passante de votre connexion Wi-Fi et pour s’assurer que tout le monde puisse profiter des vitesses rapides de l’internet.
WebTitan classe plus de 500 millions de sites web en 53 catégories, y compris les sites web les plus populaires comme Alexa et d’autres contenus web en 200 langues. Vous pouvez définir des contrôles de contenu Internet pour différents lieux et pour différents groupes d’utilisateurs, et vous pouvez gérer plusieurs lieux par le biais d’un seul portail.
Les listes noires sont un moyen utile de s’assurer que les contenus inappropriés ou illégaux ne soient pas accessibles par les utilisateurs, notamment vos employés. L’une des principales listes noires est gérée par l’Internet Watch Foundation. Elle référencie les pages web et les sites web connus pour héberger de la pornographie enfantine et les contenus liés aux violences contre les enfants.
Les listes noires protègent également les utilisateurs Wi-Fi contre les contenus malveillants, tels que les sites web de phishing et les sites hébergeant des malwares et de ransomwares, ce qui peut vous aider à protéger vos utilisateurs contre les attaques en ligne ainsi que la réputation de votre entreprise.
WebTitan Cloud for Wi-Fi est parfaitement adapté à toutes les entreprises qui fournissent un accès Wi-Fi, telles que :
Les fournisseurs d’accès Internet(FAI)
Les fournisseurs de services managés (MSP) et autres fournisseurs de services Wi-Fi
Les cafés et les restaurants
Les points de vente au détail et les centres commerciaux
Les écoles et les universités
Les établissements de santé et les hôpitaux
Les hôtels
Les bureaux
Les bibliothèques
Les aéroports
Les réseaux de transports en commmun.
Cette « Journée pour un internet plus sûr » fut le moment idéal pour mettre en œuvre une solution de filtrage DNS afin de rendre votre réseau Wi-Fi (ou câblé) beaucoup plus sûr pour tous les utilisateurs.
Pour en savoir plus sur WebTitan Cloud pour Wi-Fi et WebTitan Cloud pour les réseaux filaires, ou encore pour bénéficier d’un essai gratuit, contactez TitanHQ dès aujourd’hui.
Les cybercriminels peuvent désormais avoir accès à de grandes quantités de données personnelles volées à des prix de plus en plus bas.
Le prix moyen des données d’identification volées sur les sites de commerce électronique et bancaires populaires n’est que d’environ 4,6 euros. Un numéro de carte de crédit avec son CVV correspondant ne coûte qu’environ 11 euros, souvent, moins.
Ce prix monte à près de 23 euros pour les données de carte de crédit associées à la date de naissance et au numéro d’identité bancaire du titulaire de la carte.
Bien que vos informations d’identification individuelles puissent ne pas valoir autant, le préjudice financier que vous pourriez subir peut être important si celles-ci tombent entre les mains d’une personne aux intentions malveillantes.
La fourniture de justificatifs d’identité volés est époustouflante
Une étude menée en 2017 par Google et l’Université de Californie à Berkeley a révélé que des milliards de noms d’utilisateurs et de mots de passe sont en danger. L’équipe de recherche a suivi plusieurs marchés noirs où des identifiants volés sont vendus. Ces identifiants ont été compromis par le biais de violations de données et par quelques 25 000 outils de piratage.
Une analyse plus approfondie a montré que 788 000 références ont été volées par des enregistreurs de frappe, 12 millions de références par le phishing et 3,3 milliards par des violations de données par des tiers. À noter que ces données datent de plus de deux ans.
Selon un article du magazine Forbes, en février 2019, plus de 617 millions de détails de comptes en ligne volés via 16 sites web piratés étaient vendus pour environ 18 000 euros en Bitcoin.
Un analyste en matière de cybersécurité rapporte également que les noms d’utilisateurs et les mots de passe volés ont été échangés comme des cartes Pokémon.
Prix actuels des informations d’identification volées
Pour ceux qui ont un accès au dark web, l’achat des informations d’identifications volées est devenu une aubaine.
Les sites de vente au détail fournissent le nom du site web concerné, le prix de vente et le stock actuel. Voici quelques exemples concrets de ce que vous pouvez trouver sur l’un de ces sites :
Abercrombie.com
9,25 euros
40 disponibles
Advanceautoparts.com
9,25 euros
29 disponibles
Airbnb.com
13,87 euros
32 disponibles
Amazon.com
9,25 euros
Stock actuellement épuisé
Americanexpress.com
9,25 euros
31 disponibles
Apple.com
11,09 euros
29 disponibles
AT&T
9,25 euros
112 disponibles
En réalité, nous n’avons inclus que les plus grands noms de sites dont le nom commence par un A. Beaucoup de ces sites vendent plus que des informations d’identification.
Par exemple, vous pouvez acheter l’identité de personnes inconnues et indexée selon la notation de crédit FICO. Une identité avec un score presque parfait, à savoir supérieur à 840, peut valoir jusqu’à plus de 138 euros.
Des rapports de crédit complets sont également en vente sur des millions d’Américains auprès des trois bureaux de crédit. Ils peuvent coûter environ 32 euros. Vous pouvez même acheter des diplômes pour environ 92 à 370 euros. Les passeports, quant à eux, sont très chers, dont les prix peuvent aller jusqu’à plus de 1850 euros.
Un certain nombre de facteurs déterminent le prix des informations d’identification volées, à savoir :
Le type de données dont il s’agit
L’offre et la demande de ces données au moment où la vente est effectuée
Le temps écoulé depuis le vol du titre de créance jusqu’à sa vente
Le solde disponible des comptes.
Magasins automatisés des informations d’identification
Le concept de « magasins automatisés » a permis de créer un marché pratique pour les informations d’identifications volées. Vous pouvez les considérer comme un détaillant d’eBay ou d’Amazon.
En effet, de simples vendeurs indépendants peuvent vendre leurs marchandises partout dans le monde par l’intermédiaire d’un seul détaillant mondial. Ces boutiques automatisées donnent aux cybercriminels un moyen de vendre les justificatifs qu’ils ont volés.
Aujourd’hui, le vol d’identifiants ne nécessite pas une grande expérience en matière de cybercriminalité ou de programmation. Les cybercriminels les plus novices peuvent acheter des kits permettant le vol d’identité pour environ 508 euros sur le dark web. Ils peuvent bénéficier d’un retour sur investissement 20 fois supérieur. Les boutiques automatisées avec cet investissement initial, grâce à une commission de 10 à 15 % pour chaque vente d’une information d’identification.
Le processus de vente pour les informations d’identification volées
Vous devriez savoir que les processus établis par lesquels les produits proposés par les commerces au détail passent depuis leur fabrication jusqu’au moment où un consommateur peut les acheter chez un détaillant de premier niveau, ou dans un magasin à prix réduit des mois plus tard. Imaginez alors que la vente d’informations d’identifications volées passe également par un processus défini jusqu’à ce que celles-ci arrivent dans les magasins automatisés en ligne. La première étape étant l’inventaire des données.
Les pirates vont d’abord trier leurs fichiers journaux pour déterminer le type de données qu’ils ont récemment capturées. Ils mettent ensuite ces données en corrélation afin de regrouper les informations personnelles et pour compléter les profils de données.
Une fois que les données volées sont annexées avec des noms, des adresses, des numéros de téléphone, des adresses électroniques, etc., elles ont plus de valeur.
Les données de grande valeur, comme les données personnelles des fonctionnaires ou des militaires, sont mises de côté. Celles-ci seront ensuite vendues sous forme de profils, tandis que les données d’identification sans correspondance seront vendues directement sur le dark web.
Finalement, sachez que certaines données n’ont aucune valeur pour les pirates. Ainsi, les justificatifs d’identité volés d’un certain âge peuvent par exemple être reconditionnés dans des listes en vrac et être vendus à des prix réduits pendant des années.
Pourquoi la protection web multicouche est plus importante que jamais ?
Comme vous pouvez le constater, la vente des informations d’identifications volées est une affaire sérieuse. C’est pourquoi toutes les entreprises, organisations et les particuliers doivent prendre ce problème à la légère.
Vous devez être proactif en matière de protection web afin d’éviter toute atteinte à la protection des données. Il est essentiel est d’adopter une approche à plusieurs niveaux, car il n’existe pas de solution unique à la cybersécurité.
Votre organisation est constamment soumise à des menaces d’attaques et les cybercriminels ne cesseront de chercher de nouvelles manières d’attaquer votre organisation. Leurs méthodes seront de plus en plus sophistiquées pour contourner les nouvelles solutions et normes de sécurité.
Alors que les auteurs de malwares modifient leurs techniques pour échapper à la détection, la sécurité par couches devient plus importante. Elle réduit considérablement la probabilité d’une attaque réussie et peut bloquer une attaque même si un élément de vos défenses échoue.
La mise en œuvre d’une protection web multicouche n’est pas toujours simple. Elle nécessite une planification et une expertise. S’appuyer sur une seule couche de sécurité n’est plus judicieux dans le paysage actuel des menaces. Grâce à la sécurité multicouche, vous pourrez vous conformer aux normes en vigueur ; vos clients vous seront reconnaissants et vous allez constater que son déploiement aura un impact conséquent sur vos résultats financiers.
Une nouvelle campagne utilisant le cheval de Troie bancaire dénommé Ursnif a été identifiée. Les pirates derrière cette campagne utilisent une nouvelle tactique pour diffuser le malware plus rapidement.
Le cheval de Troie bancaire Ursnif est l’un des chevaux de Troie les plus souvent signalés.
Comme les autres chevaux de Troie bancaires, son but est de voler des informations d’identification telles que les identifiants de connexion aux sites web bancaires, les coordonnées bancaires des entreprises et les informations relatives aux cartes de crédit. Les pirates peuvent ensuite utiliser les données volées pour effectuer des transactions financières.
Il n’est pas rare que les comptes soient vidés avant que les transactions ne soient découvertes, après quoi l’argent est retiré par les pirates et le compte fermé. Souvent, il est impossible de recouvrer les fonds volés.
L’infection entraîne le vol d’un large éventail de données sensibles par le malware, lequel saisira ensuite les informations d’identification au fur et à mesure qu’elles seront saisies dans un navigateur.
Ursnif effectue également des captures d’écran de l’appareil infecté et enregistre les frappes au clavier. Les informations d’identification vont alors être partagées avec le serveur C2 du pirate, à l’insu de la victime.
Les chevaux de Troie bancaires peuvent être mis en place de plusieurs façons. Ils sont souvent installés sur des sites web où ils sont téléchargés lors d’attaques par drive-by. Le trafic est envoyé vers les sites web malveillants par le biais de campagnes de publicités malveillantes ou de spams contenant des hyperliens.
Les sites web légitimes sont compromis par des méthodes par bruteforce, et des kits d’exploitation peuvent être installés sur les sites visités par les utilisateurs qui ne maintiennent pas leurs logiciels à jour. Dans de nombreux cas, les logiciels sont cachés dans des pièces jointes et partagés à l’aide de spams.
Le spam a déjà été utilisé pour partager le cheval de Troie bancaire Ursnif. La dernière campagne est similaire, mais elle fait aussi appel à une nouvelle tactique pour augmenter les risques d’infection et pour propager les infections plus rapidement et plus largement. Les institutions financières ont été la principale cible d’Ursnif, mais grâce à la nouvelle méthode qu’il utilise, les attaques sont beaucoup plus répandues.
Ursnif va d’abord scanner la liste de contacts de l’utilisateur et envoyer des e-mails de spear phishing à chacun de ses contacts. Étant donné que les messages proviennent d’un compte de messagerie électronique de confiance, les chances que les messages soient ouverts sont considérablement accrues.
Le simple fait d’ouvrir un e-mail n’entraînera pas d’infection. Pour que cela se produise, le destinataire doit cliquer sur la pièce qui y est jointe. Et là encore, comme le message provient d’une personne de confiance, il est fort probable que la victime le fasse.
Les pirates derrière cette dernière campagne ont une autre astuce pour faire en sorte que leurs messages semblent plus légitimes et pour s’assurer que leur charge utile soit lancée. Les e-mails de spear phishing contiennent des fils de messages qui font suite à des communications que la victime a engagées avec leurs contacts, et contiennent les détails concernant les échanges antérieurs.
Le message inclut une courte ligne de texte pour inciter le destinataire à ouvrir la pièce jointe qui est un document Word comprenant une macro malveillante. Cette macro doit être autorisée à s’exécuter, car les macros ne sont pas généralement configurées pour s’exécuter automatiquement. Si la victime active la macro, celle-ci va lancer des commandes PowerShell, téléchargeant le cheval de Troie. Ursnif commence alors à enregistrer l’activité sur le dispositif infecté et envoie d’autres e-mails de spear phishing aux contacts de la nouvelle victime.
Il ne s’agit pas d’une tactique originale, mais elle est nouvelle pour Ursnif, et il est probable que les infections vont se propager beaucoup plus rapidement. En outre, le malware utilise un certain nombre de tactiques supplémentaires pour contourner les systèmes de détection de malwares, ce qui lui permet de voler des informations et de vider les comptes bancaires avant que l’infection ne soit découverte. De plus, le cheval de Troie peut s’effacer de lui-même une fois qu’il s’est exécuté.
Les malwares sont en constante évolution et de nouvelles tactiques sont constamment créées pour augmenter la probabilité d’infection. La campagne la plus récente montre à quel point il est important de bloquer les attaques lancées via la messagerie électronique avant qu’elles n’atteignent la boîte de réception des utilisateurs finaux.
Si vous utilisez un filtre antispam avancé comme SpamTitan, les e-mails malveillants peuvent être bloqués pour les empêcher d’atteindre les boîtes de réception des utilisateurs finaux, ce qui réduit considérablement le risque que représentent les infections par les malwares.
Une nouvelle campagne de phishing à base de coronavirus a été détectée. Elle utilise le coronavirus pour effrayer les utilisateurs et répandre le cheval de Troie Emotet.
L’Organisation mondiale de la santé a déclaré que l’épidémie de coronavirus de 2019, ou CoVid-19 était une urgence mondiale. Le nombre de cas a été multiplié par dix au cours de la semaine dernière, avec près de 90 000 cas confirmés en Chine et plus de 10 000 ailleurs dans le monde.
Il n’est donc pas surprenant que les cybercriminels tirent profit de l’inquiétude inhérente à cette épidémie et l’utilisent comme leurre dans une campagne de spam. Leur but étant d’effrayer les gens et de les inciter à ouvrir une pièce jointe à un e-mail et à autoriser l’exécution de son contenu.
La nouvelle campagne de phishing du coronavirus utilise un faux rapport sur l’épidémie pour inciter les destinataires des e-mails à ouvrir un document qui détaille les mesures à prendre pour prévenir l’infection. Ironiquement, en prenant les mesures détaillées dans l’e-mail, les victimes téléchargent un virus appelé Emotet.
La campagne de phishing du coronavirus a été identifiée par les chercheurs d’IBM X-Force. Elle vise les utilisateurs dans différentes préfectures japonaises et met en garde contre une augmentation du nombre de cas de coronavirus confirmés localement.
Les e-mails comprennent une pièce jointe au format Word contenant la notification ainsi que les mesures préventives à prendre. Si la victime ouvre la pièce jointe, elle est invitée à activer son contenu pour pouvoir lire le document. Cette action lancera le processus de téléchargement du cheval de Troie Emotet.
Emotet est également un téléchargeur d’autres variantes de malwares, d’autres types de chevaux de Troie bancaires et de ransomwares. Il peut envoyer des copies de lui-même aux contacts des victimes et infecter les appareils qu’ils utilisent.
Pour plus de crédibilité, les pirates derrière Emotet font croire que les e-mails ont été envoyés par un prestataire de services d’aide aux handicapés au Japon. Certains des messages comportent l’adresse correcte en bas de page.
À mesure que le coronavirus se répand et que de nouveaux cas sont signalés, il est probable que les pirates étendront cette campagne et commenceront à cibler de nombreux autres pays en utilisant des e-mails dans différentes langues. Le laboratoire Kaspersky a également déclaré qu’il a identifié des campagnes de spam liées au coronavirus et utilisant une variété de pièces jointes à des e-mails pour installer des malwares.
Les entreprises peuvent se protéger contre Emotet – l’une des variantes de malwares les plus dangereuses actuellement utilisées – en mettant en œuvre une solution de filtrage du spam telle que SpamTitan. Celle-ci intègre une sandbox où les documents malveillants peuvent être analysés en toute sécurité pour vérifier la présence d’actions malveillantes.
Pour plus d’informations sur la protection de votre système de messagerie électronique, contactez TitanHQ dès aujourd’hui.
