L’e-mail reste l’un des moyens de communication les plus utilisés dans le monde entier. Nous sommes confrontés à un volume des messages qui ne cesse d’augmenter. Cependant, les informations qu’ils contiennent sont souvent simplement stockées dans les boites de réception des utilisateurs. De l’autre côté, les entreprises doivent se conformer à un nombre croissant de réglementations comme le RGPD. De nombreux gérants d’entreprises se demandent donc comment relever ces défis. L’une des solutions qu’ils peuvent mettre en œuvre est l’archivage des e-mails. Que signifie réellement ce terme ; quels sont les avantages qu’il offre et quelles sont ses relations avec le RGPD ?
Dans ce dossier, nous allons vous expliquer comment le RGPD, ou Règlement Général sur la Protection des Données, s’applique à la conservation et à l’archivage des e-mails. Nous allons également voir comment l’archivage des e-mails peut vous aider à vous conformer au RGPD.
En 2019, 293 milliards d’e-mails ont été envoyés et reçus chaque jour dans le monde. Il n’est donc pas surprenant que cette forme de communication soit désormais la plus appréciée. Le bon fonctionnement de l’échange de données par e-mail est devenu indispensable pour de nombreuses entreprises. Chaque utilisateur, comme un employé d’une entreprise, est responsable du contenu et du traitement des données. Par conséquent, l’archivage peut aider à traiter et à classer systématiquement les e-mails et ceux-ci peuvent être stockés à long terme. L’archivage sert principalement à documenter et à prévenir la perte de données. Ce faisant, les e-mails sont stockés de manière sécurisée et leur contenu reste inchangé. Ils peuvent être restaurés si nécessaire, afin de ne pas perdre des contenus importants. Un principe important à noter est que l’objectif premier de l’archivage est de permettre la récupération et la mise à disposition des données sur le long terme. L’archivage doit être alors une composante importante d’une stratégie de sécurité informatique.
Qu’est-ce que le RGPD ?
Le RGPD de l’Union européenne (UE) a introduit de nouvelles exigences pour les entreprises le 25 mai 2018. À compter de cette date, les entreprises qui collectent ou traitent les données personnelles des citoyens de l’UE sont tenues de mettre en place des mesures pour protéger ces informations. Le RGPD a également donné aux citoyens de l’UE de nouveaux droits sur leurs données personnelles.
À qui s’applique-t-il ?
Le RGPD s’applique aux données personnelles sous toutes leurs formes, quel que soit l’endroit où elles sont stockées. Cela signifie que les données personnelles contenues dans les comptes de messagerie électronique sont également couvertes par cette réglementation.
Les boîtes de réception et les dossiers de messagerie électronique peuvent contenir une multitude de données personnelles et ces informations sont soumises aux exigences strictes du RGPD en matière de confidentialité et de sécurité.
Que signifie exactement le terme « données à caractère personnel » ?
Il convient d’abord de noter que cette notion a été introduite en 2016 par le RGPD.
Selon la Commission nationale de l’informatique et des libertés (CNIL) Il s’agit de « toute information relative à une personne physique susceptible d’être identifiée, directement ou indirectement ».
Les informations peuvent inclure un nom, une empreinte digitale, une photo, une adresse postale, une adresse e-mail, un numéro de sécurité sociale, un numéro de téléphone, un numéro matricule, une adresse IP, un enregistrement vocal, un identifiant de connexion informatique, etc.
La collecte, le traitement et le stockage de ces données sont soumis à l’ensemble des dispositions du RGPD. D’où l’importance de savoir comment votre fournisseur de mesure d’audience gère vos données analytiques. Il faut également documenter l’utilisation de ces données à caractère personnel et informer les utilisateurs finaux.
Archivage des emails et conformité RGPD
Les données de la messagerie électronique doivent être conservées pour se conformer aux lois du pays ou de l’État dans lequel votre entreprise exerce ses activités et pour respecter la législation spécifique à votre secteur d’activité.
Le RGPD a également des implications sur la conservation des e-mails. Le RGPD n’impose aucune durée minimale ou maximale en ce qui concerne leur conservation.
Pourtant, cette réglementation exige que les données personnelles soient conservées sous une forme permettant d’identifier un individu pendant une durée qui n’excède pas celle nécessaire à la réalisation des objectifs pour lesquels les données ont été collectées ou traitées.
Le RGPD autorise la conservation des données personnelles, y compris les données de la messagerie électronique, à condition que les informations soient traitées à des fins d’archivage.
Le RGPD oblige les entreprises à mettre en œuvre des mesures de sécurité pour garantir la protection des données personnelles.
Selon l’article 5(f), les données personnelles doivent être protégées « contre la perte, la destruction et la détérioration accidentelles, en utilisant les mesures techniques ou organisationnelles appropriées ».
Le moyen le plus simple de garantir la protection des données de la messagerie électronique est d’utiliser le chiffrement et le stockage des e-mails dans un environnement sûr et sécurisé.
Ceci, afin de protéger les utilisateurs des accès non autorisés à leurs comptes de messageries et pour éviter la suppression accidentelle et l’altération des données. Le moyen le plus simple d’y parvenir est d’utiliser une solution d’archivage des e-mails.
Archivage et sauvegarde : quelles différences ?
Il importe d’expliquer la différence entre l’archivage et la sauvegarde des e-mails. En effet, si les deux peuvent être utilisées pour stocker les messages, il existe des différences importantes.
Une sauvegarde est un dépôt temporaire de données de la messagerie électronique pour garantir la récupération des e-mails en cas de perte de données. En général, les données ne sont sauvegardées que pour une durée limitée, souvent jusqu’à ce qu’une nouvelle sauvegarde soit créée. Cette solution permet de restaurer le service de messagerie ou les données d’un compte de messagerie à un moment précis.
L’archivage des e-mails, par contre, sert au stockage sécurisé et à long terme des e-mails. Elle permet de rechercher et de récupérer rapidement les messages électroniques en cas de besoin.
Les 3 règles de l’archivage des e-mails pour la conformité au RGPD
Pour être en conformité avec les principes du RGPD, la conservation électronique des documents est primordiale. Les e-mails archivés peuvent par exemple contenir des données à caractère personnel. Ces informations doivent être conservées uniquement pendant la période nécessaire à l’accomplissement de l’objectif fixé lors de leur collecte. L’archivage des e-mails doit donc être :
Sélectif : lorsqu’un texte prévoit une obligation d’archivage des e-mails, vous devez veiller à archiver uniquement les informations utiles au respect de l’obligation prévue.
Limité dans le temps : les données qui peuvent être utiles pour répondre à une obligation réglementaire ou légale doivent être archivées pendant la durée de l’obligation concernée. Une fois cette durée écoulée, elles doivent être supprimées. Si un e-mail ne fait pas l’objet d’obligation de conservation, mais il permet de faire valoir un droit en justice, il doit être détruit à la fin de la durée de prescription.
Sécurisé : les entreprises doivent adopter des mesures organisationnelles et techniques afin de protéger les données archivées contre la destruction, la perte, la diffusion ou l’accès non autorisés, l’altération, etc.
Si vous confiez l’archivage des e-mails à un sous-traitant, vous devez vous assurer que le prestataire offre des garanties suffisantes en termes de sécurité et de confidentialité des données qui lui seront confiées. À titre d’exemple, il doit disposer d’une certification ISO 27001, une norme qui concerne la sécurité des systèmes informatiques. Mais il existe également d’autres normes liées à la collecte et à l’exploitation des données comme la certification ISO 14641-1 et la norme NF Z 42-013 de l’AFNOR (L’Association française de normalisation).
Quelques mots à propos de l’eDiscovery
L’eDiscovery, ou Electronic discovery, est l’aspect électronique de l’identification, de la collecte et de la production de données stockées électroniquement en réponse à une demande de production dans le cadre d’une enquête ou d’un procès. Ces données comprennent, sans s’y limiter, les e-mails, les présentations, les documents, les bases de données, les fichiers audio et vidéo, les messages vocaux, les sites web et les médias sociaux.
Les processus et technologies liés à l’administration de la preuve électronique sont souvent complexes à cause du volume considérable d’e-mails reçus/envoyés et stockés. De plus, contrairement aux preuves sur papier, les e-mails sont plus dynamiques et contiennent souvent des métadonnées comme les horodatages, les informations sur l’expéditeur et le destinataire, ou encore des propriétés intellectuelles. Il est nécessaire de préserver le contenu original des messages ainsi que les métadonnées des informations qu’ils contiennent afin d’éliminer les allégations de falsification ou de spoliation des preuves plus tard lors d’un litige.
Une fois les données identifiées par les parties des deux côtés d’une affaire, les messages potentiellement pertinents sont placés sous séquestre juridique. En d’autres termes, elles ne peuvent plus être modifiées, supprimées, effacées ou autrement détruites. Les messages potentiellement pertinents sont collectés, puis extraits, indexés et placés dans une base de données. À ce stade, les e-mails sont analysés dans le but d’éliminer ou de séparer les documents et les e-mails non pertinents. Les données sont ensuite hébergées dans un environnement sécurisé et rendues accessibles aux examinateurs qui vont les coder en fonction de leur pertinence par rapport à la question juridique. Pour l’examen des documents, il faut souvent faire appel à des avocats et des assistants juridiques.
Pour la production, les documents pertinents sont parfois convertis dans un format statique comme .TIFF ou .PDF, ce qui permet la rédaction d’informations privilégiées et non pertinentes. L’utilisation de la révision assistée par ordinateur pour le codage prédictif et d’autres logiciels d’analyse pour l’eDiscovery réduit le nombre de documents requis pour l’examen par les avocats. Cela permet également à l’équipe juridique de classer par ordre de priorité les documents qu’elle examine. La réduction du nombre de documents permet de réduire les heures et donc les coûts. Bref, l’objectif ultime de l’e-Discovery est de produire un volume de base de preuves pour les litiges d’une manière défendable. Si vous n’archivez pas vos e-mails de manière sécurisée, vous aurez des difficultés à répondre à cette obligation.
Comment mettre en place une solution d’archivage conforme au RGPD ?
De nombreuses entreprises utilisent déjà une solution d’archivage des e-mails pour se conformer aux réglementations de l’État, du gouvernement fédéral ou du secteur dans lequel elles interviennent.
L’archivage des e-mails est également très utile pour l’eDiscovery et le traitement des plaintes des clients. De plus, l’archivage peut être utilisé ou pour éviter la perte de données pour pouvoir les récupérer en cas de sinistre.
Une solution d’archivage des e-mails est importante pour la conformité au RGPD, car elle permet de stocker les données de la messagerie électronique en toute sécurité, tout en évitant la perte de données et les accès non autorisés aux comptes de messagerie électronique. Elle permet également de retrouver, de récupérer ou de supprimer rapidement les données personnelles contenues dans les e-mails, en toute sécurité.
ArcTitan, la solution d’archivage sécurisé des e-mails de TitanHQ, est la solution d’archivage idéale pour la conformité au RGPD. ArcTitan comprend un chiffrement de bout en bout des données de la messagerie électronique et des contrôles d’accès – y compris les contrôles basés sur les rôles – pour garantir que les données de messagerie électronique sont protégées contre les accès non autorisés. De plus, ArcTitan crée un enregistrement inviolable de toutes les données de messagerie pendant la durée de votre politique de conservation des données de la messagerie électronique.
Au cas où vous devriez retrouver des e-mails spécifiques, l’archive peut être consultée et les messages peuvent être récupérés rapidement et facilement. C’est par exemple le cas lorsqu’un citoyen de l’UE demande à accéder à ses données personnelles ou lorsqu’un individu demande la suppression de ses données personnelles selon les normes du RGPD.
Pour plus d’informations sur ArcTitan, contactez l’équipe de TitanHQ dès aujourd’hui.
Le spam est l’une des méthodes les plus courantes de diffusion de malwares et l’un des meilleurs moyens de lancer une attaque de phishing, permettant aux pirates d’obtenir des informations sensibles telles que les identifiants Office 365. Mais les entreprises doivent aussi se protéger contre d’autres types de menaces liées au web.
Les malwares et les ransomwares sont souvent téléchargés à l’insu de vos employés lorsqu’ils naviguent sur Internet. Les pirates informatiques attaquent constamment les sites web légitimes et téléchargent des contenus malveillants, et les fichiers infectés par des malwares sont souvent hébergés sur des sites de partage de fichiers comme Dropbox ou Google Drive.
De nombreux propriétaires de sites web à fort trafic utilisent des réseaux publicitaires tiers pour générer des revenus supplémentaires. Ils ajoutent des blocs d’annonces à ces sites pour gagner de l’argent grâce au nombre de clics sur les annonces ou au nombre d’impressions de celles-ci.
Les cybercriminels font souvent passer en douce des publicités malveillantes sur ces réseaux, et celles-ci sont affichées sur de nombreux sites web à fort trafic. Les publicités malveillantes sont liées à des sites web hébergeant des kits d’exploitation qui recherchent des vulnérabilités qu’ils peuvent exploiter dans les navigateurs et les plugins. Si une vulnérabilité est découverte, elle leur permet de télécharger des malwares sur les appareils de leurs victimes.
Les e-mails de phishing intègrent souvent une composante web, c’est-à-dire un hyperlien qui renvoie l’utilisateur à un site web hébergeant un kit de phishing. Une solution de sécurité de la messagerie électronique peut ne pas considérer l’hyperlien comme étant malveillant et livrer l’e-mail à l’un de vos employés. Si l’employé en question clique sur le lien, il se peut qu’aucune protection ne soit mise en place pour empêcher l’accès au site malveillant, ce qui permet aux pirates de voler ses informations d’identification.
Ces dernières années, on a également constaté une augmentation des téléchargements de malwares sur les sites de médias sociaux. Des recherches menées par Bromium en 2019 ont montré qu’une entreprise sur cinq avait été victime d’une infection par un malware après que des employés ont visité des sites de médias sociaux. 12 % des entreprises avaient également subi une violation de données à la suite de l’infection par un malware.
Au cours de l’été dernier, une campagne pluriannuelle sur les médias sociaux, baptisée « Operation Tripoli », a été identifiée. Cette campagne visait les utilisateurs en Libye, mais à cause de cela, d’autres utilisateurs de Facebook dans d’autres entreprises ont été infectés par des malwares. Des codes malveillants ont été également insérés dans les images, lesquelles ont été partagées sur Facebook et Facebook Messenger. Ces codes permettaient aux pirates de diffuser des malwares.
Les entreprises sont confrontées à d’autres problèmes liés à l’utilisation des sites de médias sociaux par leurs employés, notamment la perte de productivité importante. Selon une enquête Spiceworks, 28 % des employés des grandes entreprises et 45 % des employés des moyennes entreprises passent quatre heures ou plus par semaine sur le web à des fins personnelles, comme la consultation des sites de médias sociaux. Ladite étude a aussi révélé que 38 % des entreprises avaient connu un incident de sécurité suite à l’utilisation personnelle de l’Internet par leurs employés.
Heureusement, il existe une solution qui bloque les menaces liées au web et qui permet aux entreprises de réaliser d’importants gains de productivité en limitant l’utilisation personnelle de l’Internet. Cette solution est facile à mettre en œuvre. Elle ne requiert que peu de maintenance. De plus, elle est rentable. En effet, il s’agit de WebTitan, une solution de filtrage DNS parfaitement adaptée aux PME et aux fournisseurs de services gérés qui desservent le marché des PME.
WebTitan est une solution de filtrage web 100 % basée dans le cloud. Vous n’avez pas besoin de télécharger un logiciel pour pouvoir la déployer, ni d’investir dans un matériel supplémentaire. Il suffit de pointer votre DNS vers WebTitan et vous pourrez filtrer les contenus web en quelques minutes.
Grâce à WebTitan, vous pourrez bloquer l’accès aux sites web malveillants connus et contrôler les types de fichiers pouvant être téléchargés sur Internet. De plus, vous pourrez bloquer l’accès à certaines catégories de sites web.
Doté d’un système de filtrage très granulaire, WebTitan peut bloquer facilement, et de manière sélective, les contenus web. Cette solution vous permet de bloquer l’accès aux sites de médias sociaux ou simplement à Facebook Messenger si vous le souhaitez. Elle vous permet également d’adopter une politique de filtrage au niveau de votre organisation ; par groupe d’utilisateurs ou pour un utilisateur particulier. De plus, vous pouvez définir des contrôles basés sur le temps, de sorte que certains employés ne puissent pas accéder à Internet que pendant les heures de pause, entre autres.
Une suite complète de rapports vous permet de savoir quels types de sites sont accessibles à vos employés ; quels sont les personnes qui tentent de violer vos politiques d’utilisation de l’Internet et comment vos employés utilisent votre connexion Internet en temps réel.
WebTitan ajoute une couche supplémentaire à vos défenses de sécurité. Il protège votre entreprise contre toute une gamme des menaces liées au web. En bloquant les attaques de phishing et les téléchargements de malwares ; et en vous permettant de réaliser des gains de productivité importants, la solution s’avère très rentable.
Pour en savoir plus sur notre solution de filtrage des contenus web WebTitan, contactez notre équipe dès aujourd’hui.
Espérons que 2020 soit une année moins menaçante que 2019 en matière d’attaques de compromission de courrier électronique d’entreprise.
Malheureusement, tous les indicateurs indiquent que ce ne sera pas le cas.
Selon un rapport d’évaluation des risques liés à la sécurité du courrier électronique, les attaques BEC (Business Email Compromise) ont augmenté de 269 % sur une base trimestrielle.
Le rapport, qui s’appuie sur plus de 260 millions de courriels impliquant près de 500 000 utilisateurs, montre que les menaces de tous types sont en augmentation.
Sur l’ensemble étudié, 28,8 millions étaient des spams, 28 808 contenaient des pièces jointes de logiciels malveillants et 28 726 autres contenaient des types de fichiers dangereux.
Plus de 60 000 messages contenaient des fraudes BEC ou d’usurpation d’identité.
Les attaques BEC font payer des montants importants aux victimes
Les conclusions du rapport sont conformes aux statistiques du FBI.
Selon le Centre de plaintes pour la criminalité sur Internet du FBI, les pertes mondiales dues aux attaques BEC ont été estimées à plus de 26 milliards de dollars au cours des trois dernières années.
En fait, les pertes ont doublé entre mai 2018 et juillet 2019. La raison de cette croissance spectaculaire est simple : elle est mieux payée que la plupart des crimes. Selon le FBI, la perte moyenne subie lors d’un braquage de banque est d’environ 3 000 dollars, tandis que la perte moyenne pour une attaque BEC réussie est de près de 130 000 dollars.
Le département du Trésor américain estime les pertes mensuelles du BEC à plus de 276 millions d’euros.
Les attaques BEC, ou arnaques au président, sont bien planifiées
Les attaques BEC visent à convaincre les utilisateurs au sein d’une organisation de répondre aux demandes de virements et autres types d’escroquerie sur les médias sociaux.
Contrairement aux campagnes de phishing traditionnelles qui sont déployées en utilisant un réseau aussi large que possible pour piéger les utilisateurs négligents, les attaques BEC identifient spécifiquement les utilisateurs.
Il s’agit généralement de cadres ou de dirigeants de haut niveau dans les départements des ressources humaines ou des finances. Ces adresses électroniques sont soit usurpées, soit compromises par des attaques de phishing ou des enregistreurs de frappe déployés par des chevaux de Troie.
Ces attaques sont menées avec beaucoup de patience et d’attention aux détails. Une fois qu’un compte de courrier électronique est compromis, les attaquants passent des semaines, voire des mois, à observer et à rechercher la culture de communication de l’organisation afin de réussir à imiter une demande de transaction réelle.
Les différents types d’attaques BEC
Il existe différents types d’attaques BEC.
L’une des plus populaires récemment est l’attaque de compromission du courrier électronique du vendeur (VEC). L’attaque VEC a une tournure un peu différente en ce sens que les attaquants tentent d’abord d’accéder au courrier électronique d’un membre du département des finances.
Cela se fait généralement par le biais d’une attaque de phishing de type OneDrive ou Docu-Sign-spoofed, qui capture les références de la victime. Une fois ces informations en main, les pirates établissent des règles de transfert pour le compte compromis vers une boîte de réception qu’ils contrôlent. Ils collectent ensuite des courriels pendant une période déterminée afin de connaître les fournisseurs auxquels l’entreprise a recours.
Une fois que les pirates disposent de suffisamment de renseignements, ils émettent de fausses factures aux fournisseurs ciblés que l’entreprise utilise régulièrement. Les fournisseurs sélectionnés sont généralement de petites entreprises.
Comme les fausses factures proviennent de grandes entreprises, les petites entreprises sont généralement moins enclines à les remettre en question ou risquent de perdre leur clientèle. Elles peuvent également manquer de compétences en matière de cyberhygiène et de formation pour discerner le caractère illégitime de la demande.
Les attaques BEC traditionnelles sont conçues pour obtenir un énorme gain, par exemple en convainquant le directeur financier d’effectuer un seul virement d’une très grosse somme sur un compte désigné.
Les attaques VEC, en revanche, se poursuivent pendant des semaines et des mois, siphonnant de petites sommes continuelles contre des vendeurs non méfiants. L’un des auteurs les plus actifs de ce type d’attaques est un cybergang ouest-africain qui a réussi à infiltrer plus de 500 entreprises dans 14 pays au cours de l’année dernière.
Attaques contre les ressources humaines
Un autre type d’attaque BEC identifié par le FBI concerne les départements des ressources humaines.
L’escroquerie la plus populaire dans le domaine des ressources humaines concerne actuellement les détournements de salaires, qui ont augmenté de 815 % au cours de l’année dernière. Pour ces attaques, les pirates utilisent des pages de connexion usurpées pour inciter les employés à saisir leurs identifiants de messagerie.
Une fois ces informations saisies, les pirates utilisent les comptes compromis pour modifier leurs transactions de dépôt direct. En supposant qu’un employé des RH accède à la demande, le salaire des victimes est alors dirigé vers le compte d’une carte prépayée qui est ensuite rapidement encaissée par l’attaquant.
Selon le FBI, l’attaque moyenne de détournement de salaire signalée a entraîné une perte de plus de 7293 d’euros au cours du premier semestre 2019.
Les pertes totales sur cette période se sont élevées à plus de 7,65 millions d’euros.
Comment se protéger contre les attaques BEC en 2020 ?
Les attaques de BEC sont très complexes et compliquées, il n’y a donc pas de moyen sûr de les éradiquer.
L’une des façons les plus efficaces de commencer est d’utiliser une solution de sécurité du courrier électronique moderne et robuste telle que SpamTitan. SpamTitan utilise un ensemble d’outils tels que l’analyse antivirus, l’analyse heuristique, l’authentification DMARC et le sandboxing.
Peu de fournisseurs proposent toutes ces solutions dans un seul et même package.
L’authentification multifactorielle est également un outil important à ajouter à toute stratégie de sécurité multicouche. Le fait d’exiger une deuxième méthode d’authentification rend la tâche plus difficile aux fraudeurs. Les cybercriminels ont beaucoup plus de mal à saisir les données d’identification des utilisateurs. La protection par mot de passe ne suffit plus à elle seule.
D’autres outils tels qu’un filtre web sophistiqué permettent de bloquer l’accès des utilisateurs à des portails fictifs. La nature croissante des cyberattaques aujourd’hui exige un éventail de plus en plus large d’outils de sécurité.
Nous espérons que vous envisagerez les solutions de TitanHQ dans le cadre de votre stratégie de cybersécurité pour 2020.
Une nouvelle campagne de phishing a été détectée. Elle utilise les liens Google Drive pour éviter d’être détectée par la protection en ligne d’Office 365 Exchange et pour garantir que les e-mails de phishing arrivent dans les boîtes de réception de leurs cibles.
Les pirates qui envoyaient les e-mails, signalés par Cofense Intelligence, se faisaient passer pour le PDG d’une entreprise qui voulait partager un document important. Le document avait été partagé via Google Drive et avait pour objet « Message important du PDG ».
Google Drive permet d’envoyer facilement des fichiers et des demandes de collaboration à d’autres personnes. Le titulaire du compte choisit avec qui il souhaite partager un fichier et le système génère une alerte par e-mail contenant un lien vers le fichier partagé.
Pour ce cas précis, le nom du PDG était correct, mais l’adresse électronique utilisée était différente du format utilisé par l’entreprise. Bien que ce soit un signe évident que les messages n’étaient pas ce qu’ils semblaient être, certains employés seraient probablement dupés.
Il est important de noter que les messages n’ont pas été considérés comme étant malveillants par le la protection en ligne d’Office 365 Exchange et ils étaient livrés dans les boîtes de réception de leurs destinataires. Une analyse rapide du message ne révélerait rien de suspect, car l’URL intégrée est un lien partagé légitime vers un véritable service d’informatique dans le cloud exploité par Google.
Le document partagé lui-même n’est pas malveillant, mais il contient un URL qui établit un lien vers un autre document Google Docs et une URL de phishing. Si la solution anti-phishing que vous mettez en place évalue uniquement l’hyperlien intégré dans les e-mails pour déterminer s’il est malveillant, le message pourra toujours arriver dans la boite de réception des utilisateurs. Seule une inspection plus approfondie permettrait de révéler la véritable nature de l’URL.
Si l’utilisateur final clique sur le lien, une fausse fenêtre de connexion se présente. S’il saisit ses identifiants de connexion, les données sont capturées et stockées sur le serveur de l’attaquant.
Cette campagne souligne l’importance des défenses anti-phishing multicouches. Elle met également en exergue les risques que peuvent représenter le fait de compter uniquement sur la protection en ligne d’Office 365 Exchange pour assurer la protection contre les attaques de phishing.
Une solution avancée de filtrage du spam devrait être mise en œuvre en plus d’Office 365 pour assurer une meilleure protection contre le phishing et les autres attaques basées sur la messagerie électronique. Cela permettra de bloquer les attaques de phishing plus sophistiquées. De cette manière, même si un message malveillant arrive dans la boîte de réception de la personne ciblée, et même si celle-ci clique sur un lien malveillant, la connexion à la page web malveillante pourrait être bloquée à l’aide d’une solution de filtrage web.
WebTitan est une solution de filtrage de contenu basée sur le DNS. Elle sert de couche supplémentaire dans les défenses anti-phishing des entreprises. Si un employé tente de visiter un site web ou un domaine suspect, la tentative sera bloquée avant qu’un contenu malveillant ne soit téléchargé.
WebTitan évalue chaque site web lorsque la requête DNS est effectuée. Les sites malveillants et ceux qui violent les politiques de contrôle de contenu d’une organisation sont bloqués. Pour en savoir plus sur la façon dont un filtre DNS peut améliorer vos défenses contre les attaques de phishing et les téléchargements de malwares, contactez TitanHQ dès aujourd’hui.
Les escroqueries qui utilisent les réseaux sociaux sont devenues très populaires auprès des cybercriminels. Les plateformes sociales leur permettent d’usurper votre identité et de gagner facilement votre confiance. Parfois, les cybercriminels passent des semaines à discuter avec vous sur les médias sociaux avant de monter leur arnaque. Et sachez que le nombre de ces escroqueries en ligne ne cesse d’évoluer, sans oublier le fait qu’elles sont devenues plus trompeuses à mesure que notre vie numérique se développe.
Il importe donc de connaître les signes de ces escroqueries en ligne, comme celle utilisant les réseaux sociaux, pour éviter de vous faire voler votre identité, votre réputation ou votre argent.
Le hameçonnage sur Instagram est l’une des nombreuses méthodes crédibles qui peuvent facilement vous faire passer pour une victime. Récemment, une campagne de phishing sur Instagram très convaincante a été identifiée. Elle utilise des avertissements sur les tentatives de connexion frauduleuse pour inciter les utilisateurs à visiter une page web de phishing où ils doivent confirmer leur identité en se connectant à leur compte.
Petit tour d’horizon autour du hameçonnage et des tentatives de connexion suspectes sur Instagram
Vous avez certainement entendu parler du phishing, mais savez-vous exactement la signification de ce mot ? En fait, c’est l’une des techniques les plus utilisées par les pirates informatiques pour duper les gens, et cela s’avère très rentable pour eux. Même les amateurs en matière de développement et d’informatique peuvent avoir recours à cette tactique, car il y a toujours des gens qui manquent de vigilance et qui vont ouvrir un e-mail de phishing et cliquer sur un lien malveillant qui y est intégré.
Les récentes statistiques révèlent qu’en 2020, environ 3,7 milliards de personnes envoient près de 269 milliards d’e-mails chaque jour. Selon les chercheurs de Symantec, environ un message électronique sur 2000 est un e-mail de phishing, c’est-à-dire que, chaque jour, près de 135 millions d’attaques de phishing sont lancées.
Une autre étude menée par Verizon rapporte qu’il faut moins de 80 secondes après le lancement de liens ou de messages frauduleux de masse sur le web pour que les premiers clics n’interviennent.
Même si les attaques de phishing sont généralement lancées via la messagerie électronique, les pirates n’hésitent pas à chercher d’autres moyens comme les appels téléphoniques (vishing), les services de messagerie (smishing), les applications et (comme pour notre cas) les médias sociaux, à l’instar d’Instagram. Les cybercriminels préfèrent utiliser ce réseau, car il compte actuellement plus d’un milliard d’utilisateurs mensuels actifs et offre un large public captif qui peut facilement devenir une victime.
Comment les cybercriminels peuvent-ils contrôler votre compte Instagram ?
Pour contrôler votre compte, un pirate informatique utilise généralement l’une des deux méthodes suivantes :
D’une part, il peut choisir de ne pas changer votre mot de passe ni de voler votre compte. Tout ce qu’il fait, c’est de suivre vos activités quotidiennes sur Instagram, sans être détecté. Il va ensuite se faire passer pour vous et demande à vos contacts des informations personnelles. En fait, Instagram est doté d’une fonction qui permet de « désenvoyer des messages » ou de « supprimer des conversations ». Lorsque le pirate obtient les informations qu’il recherche, il peut donc utiliser cette technique pour ne pas se faire remarquer.
L’autre méthode, en revanche, consiste à prendre totalement le contrôle sur votre compte. Il peut modifier vos informations et les supprimer pour rendre plus difficile pour vous la récupération de votre compte. Autrement dit, le compte appartiendra donc au hacker et, si vous avez un grand nombre de contacts, il pourra les vendre ou pirater leurs comptes en utilisant le vôtre.
À titre d’exemple, une attaque de phishing sur Instagram a été lancée pendant la pandémie du Covid-19. Les victimes avaient reçu un message des cybercriminels qui se faisaient passer pour un centre d’aide d’Instagram dans le but de voler des informations personnelles. Les pirates ont expliqué à leurs cibles qu’elles faisaient l’objet d’une plainte pour violation du droit d’auteur et que leurs comptes risquaient d’être supprimés. Un lien était fourni dans le message, redirigeant ceux qui avaient cliqué dessus vers un formulaire pour leur permettre d’entrer en contact avec l’équipe Instagram. À partir de là, les cybercriminels pouvaient récupérer facilement leurs identifiants de connexion et d’autres informations sensibles, ce qui leur a permis de prendre le contrôle des profils des victimes.
Les pirates font en sorte que les messages qu’ils envoient paraissent authentiques lors d’une attaque d’hameçonnage sur Instagram
Lors d’une récente attaque de phishing utilisant Instagram, les messages que les pirates ont envoyés comprennent le logo de la marque avec un avertissement informant l’utilisateur que quelqu’un a tenté de se connecter à son compte. Le message est une copie carbone (Cc) virtuelle des messages d’authentification authentiques à deux facteurs qui sont envoyés aux utilisateurs pour confirmer leur identité lorsqu’une tentative de connexion suspecte est détectée.
Les messages comprennent un code à 6 chiffres qui doit être saisi lors de la connexion au compte de l’utilisateur, ainsi qu’un hyperlien d’ouverture de session. Ce dernier est alors invité à se connecter pour confirmer son identité et sécuriser son compte.
Les messages sont bien écrits, bien qu’il y ait quelques erreurs de ponctuation qui suggèrent que l’e-mail n’est peut-être pas ce qu’il semble être. Ces erreurs pourraient facilement être négligées par une personne qui craint que son compte ait été piraté.
Non seulement le message est presque identique à l’avertissement 2FA d’Instagram, mais le site web vers lequel l’utilisateur est dirigé est également un clone parfait de la page de connexion authentique d’Instagram. La page web a un certificat SSL valide et commence par HTTPS et affiche le cadenas vert pour confirmer que la connexion entre le navigateur et la page web est sécurisée.
Le nom de domaine utilisé semble également sécurisé
Le seul signe qui pourrait indiquer que la page web n’est pas authentique est son nom de domaine. Les escrocs ont choisi un nom de domaine gratuit en .CF (République centrafricaine), ce qui indique clairement que la page web est un faux. Cependant, la présence de HTTPS et d’un cadenas vert pourrait tromper de nombreuses personnes en leur faisant croire qu’elles se trouvent sur un site sécurisé.
Beaucoup de gens croient à tort que la présence du HTTPS au début d’un site web et d’un cadenas vert signifie que le site web est authentique et sécurisé. Cependant, cela indique seulement que la connexion entre le navigateur et le site web est sécurisée et que toute information sensible fournie à ce site sera protégée contre l’accès non autorisé lors d’une attaque de type Man-in-The-Middle (MiTM). Pour faire simple, cela ne veut pas dire que le contenu de la page web est authentique.
Les sites web HTTPS sont souvent utilisés pour le phishing, car de nombreuses personnes cherchent le cadenas vert pour confirmer que le site est sécurisé. Malheureusement, les certificats SSL sont souvent fournis gratuitement par les sociétés d’hébergement et les contrôles sur le contenu du site ne sont pas effectués.
Il s’agit d’une question importante que les entreprises doivent couvrir dans le cadre de la formation de sensibilisation à la sécurité. Les employés devraient apprendre la véritable signification du cadenas vert et toujours vérifier soigneusement le nom de domaine avant de divulguer toute information sensible.
Quelques conseils à adopter si vous êtes victime d’une attaque de phishing sur Instagram
Vous venez de constater que vous avez saisi par inadvertance votre mot de passe et votre nom d’utilisateur sur une page de connexion à Instagram et que celle-ci semble suspecte ? Attention, car à partir de ce moment, quelqu’un d’autre pourrait se connecter à votre compte et causer certains dégâts. Voici donc les conseils à suivre.
Si vous pouvez encore accéder à votre compte, vous devrez le sécuriser. Pour cela, il suffit de réinitialiser votre mot de passe et de débrancher tous les appareils qui ne sont pas à vous.
Vous devez aussi ouvrir votre compte de messagerie électronique et vérifier si vous avez reçu un message provenant d’Instagram. Si c’est le cas et que l’e-mail vous informe que votre adresse e-mail a été modifiée, alors vous devrez annuler cette action en vous rendant sur l’option dédiée à cet effet. Si vous ne parvenez pas à annuler certaines actions, comme la modification de votre mot de passe, signalez le compte à Instagram.
Dans d’autres cas, vous n’allez plus pouvoir accéder à votre compte, ou bien vos identifiants de connexion ne fonctionneront plus. Le mieux à faire est donc de récupérer votre compte, en envoyant une demande à Instagram et en suivant les instructions spécifiques qui vous seront fournies.
Enfin, si vous ne pouvez plus récupérer votre compte via le code de sécurité qui vous est envoyé, signalez le compte piraté en envoyant un e-mail à l’adresse phish@instagram.com.
Utilisez une solution fiable comme WebTitan pour éviter les attaques de phishing
Les entreprises peuvent encore améliorer leurs défenses contre le phishing avec une solution de filtrage web telle que WebTitan. Avec WebTitan en place, elles peuvent contrôler soigneusement les types de sites web que leurs employés peuvent visiter sur leurs ordinateurs de travail.
WebTitan empêche également les utilisateurs d’accéder à tout site web connu pour être utilisé à des fins de phishing, de distribution de malwares ou à d’autres fins malveillantes. De plus, WebTitan effectue des contrôles en temps réel pour évaluer la légitimité d’un site web. Si les vérifications échouent, le site sera bloqué et l’utilisateur sera informé qu’il ne pourra pas y accéder.
Conclusion
Que vous soyez intéressé par des applications de messagerie instantanée ou d’autres outils en ligne, assurez-vous toujours de ne télécharger que des applications qui proviennent des développeurs de confiance. Même si une application a reçu des dizaines de commentaires positifs, ceux-ci pourraient toujours être faux.
Informez-vous sur les attaques de phishing via les médias sociaux, comme celle utilisant Instagram. Sur Internet, vous trouverez des tonnes d’informations et de conseils utiles à ce sujet.
Gardez à l’esprit que vos employés constituent la véritable ligne de défense de votre entreprise, quelle que soit sa taille. Pourtant, ils sont de plus en plus exposés aux escroqueries de phishing et ont donc besoin d’une formation sur la manière de mieux sécuriser votre entreprise et vos données.
Pour plus d’informations sur la façon dont un filtre web peut améliorer séla curité web de votre entreprise et protéger vos employés contre les attaques de phishing, contactez l’équipe TitanHQ dès aujourd’hui.
Questions fréquentes sur le phishing Instagram
Comment l’Authentification Multi Facteurs (AMF) contribue-t-elle à protéger les comptes des membres d’Instagram ?
L’AMF fournit une couche de sécurité qui va au-delà des simples identifiants de connexion. Si un pirate tente de se connecter à votre compte en utilisant des identifiants volés, il sera confronté à ce processus. S’il est incapable de fournir un deuxième facteur d’authentification, il ne pourra pas accéder à votre compte.
L’authentification multifacteurs ne risque-t-elle pas de bloquer mon compte Instagram ?
Ce processus peut bloquer votre compte si un pirate tente de s’y connecter et échoue plusieurs fois, en saisissant des noms d’utilisateurs et des mots de passe incorrects. Il est possible que vous ne puissiez pas vous connecter à votre compte pendant quelques heures, mais cela reste un moyen efficace de vous protéger contre les attaques de phishing. Il suffit d’attendre que la période de verrouillage soit expirée.
Que faire si mon compte Instagram semble piraté ?
La meilleure chose à faire est de mettre à jour vos coordonnées, comme votre adresse électronique, votre numéro de téléphone principal et votre numéro de téléphone secondaire. Si quelqu’un tente encore d’usurper votre identité et que les réponses aux questions sont incorrectes, il sera bloqué par le service d’Instagram.
Quelle devrait être la fréquence de la mise à jour d’une MFA pour une entreprise ?
Vous devez le faire chaque fois qu’un abonné accède au portail via un nouvel appareil, en utilisant votre réseau d’entreprise. Dans ce cas, l’employé devra suivre une procédure d’AMF qui peut évoluer au fur et à mesure que de nouvelles fonctions de sécurité sont ajoutées à votre compte Instagram.
Mais selon cet article, l’authentification à deux facteurs pourrait encore être ciblée, même si on utilise l’AMF. Alors que faire ?
C’est la triste réalité, mais vous pouvez toujours mettre en place une couche de protection tierce pour protéger votre organisation contre le phishing, qu’il soit lancé via les e-mails, le web ou les réseaux sociaux.
Les contribuables et les professionnels de l’impôt sont ciblés par des escrocs qui se font passer pour l’IRS (Internal Revenue Service). L’objectif de cette nouvelle attaque de phishing est de diffuser des malwares qui volent des informations. Le logiciel malveillant récolte des informations d’identification qui sont ensuite utilisées pour accéder à des comptes financiers et les vider.
La campagne utilise au moins deux lignes d’objet pour les e-mails : « Electronic Tax Return Reminder » et « Automatic Income Tax Reminder ». Les e-mails contiennent un hyperlien qui dirige l’utilisateur vers un site web qui ressemble de près à IRS.gov. Les e-mails comprennent un mot de passe unique que la personne ciblée peut utiliser pour ouvrir une session afin de soumettre une demande de remboursement d’impôt.
Lorsque l’utilisateur ouvre une session sur le site, le message l’informe qu’il doit télécharger un fichier afin de soumettre son remboursement. En réalité, le fichier contient un malware enregistreur de frappe qui enregistre les frappes sur un ordinateur infecté, permettant ainsi aux attaquants de soutirer des informations sensibles concernant leurs cibles.
Des avertissements ont été émis après que plusieurs contribuables et professionnels de l’impôt aient signalé les e-mails de phishing à l’IRS. Des efforts ont été menés dans le but de perturber la campagne, mais l’IRS note que des douzaines de sites web compromis et d’URL malveillantes sont utilisés par les escrocs.
L’IRS a déjà contacté les sociétés d’hébergement web pour qu’elles ferment les sites malveillants, mais le nombre d’URL utilisées rend la tâche très difficile. Dès qu’une URL est supprimée, d’autres apparaissent.
Les arnaqueurs misent sur l’offre de remboursement d’impôt ou la menace d’une action en justice pour des questions fiscales. C’est ce qui a incité de nombreuses personnes à cliquer sur les liens malveillants contenus dans les messages, sans avoir préalablement évalué le contenu du message et la légitimité de la demande.
Le conseil de l’IRS est de ne jamais cliquer sur un lien contenu dans un e-mail non sollicité prétendant provenir de l’IRS. L’IRS ne prend jamais l’initiative de communiquer avec les contribuables par e-mail, par message texte ou par les médias sociaux, et aucune demande de renseignements personnels n’est jamais envoyée via ces canaux.
Le dernier avertissement survient quelques mois seulement après que l’IRS et les partenaires du Security Summit aient rappelé que tous les préparateurs de déclarations de revenus professionnels sont tenus par la loi « FTC Safeguards Rule » et doivent mettre en œuvre un plan écrit de sécurité des informations pour s’assurer que les informations fiscales de leurs clients sont correctement protégées.
Ce rappel a été émis parce qu’il était devenu évident que de nombreux professionnels de l’impôt n’étaient pas conscients de leurs obligations de mettre en œuvre un plan de sécurité pour protéger les données fiscales de leurs clients.
Le plan de sécurité de l’information doit comporter plusieurs éléments :
Désigner un ou plusieurs employés pour coordonner le plan de sécurité de l’information
Effectuer une analyse des risques afin de déterminer les risques pour la confidentialité des données des clients
Évaluer l’efficacité des mesures de protection actuelles
Mettre en œuvre, surveiller et mettre à l’essai le programme de garanties
Opter uniquement pour des fournisseurs de services qui peuvent maintenir des mesures de protection appropriées et superviser le traitement des données des clients
Évaluer et mettre à jour le programme de sécurité, s’il y a lieu, en fonction des changements apportés aux pratiques commerciales et aux opérations
Les exigences relatives au plan de sécurité de l’information sont souples. Par exemple, les préparateurs de déclarations peuvent choisir les mesures de protection à mettre en œuvre en fonction de leur propre situation et des résultats de leurs analyses de risque.
Les deux principales mesures de protection qui protègent les entreprises contre le phishing et les attaques de malwares sont un filtre anti-spam et un filtre web. Le filtre anti-spam protège le système de messagerie en identifiant et en bloquant les messages malveillants tels que les e-mails de phishing et les spams, tandis qu’un filtre web bloque les attaques sur le web et les téléchargements de malwares. Ces deux solutions sont très efficaces pour bloquer le phishing et les attaques de malwares, tout en étant peu coûteuses à mettre en œuvre.
Pour en savoir plus sur la façon dont les filtres anti-spam et les filtres web peuvent protéger votre entreprise et vous aider à assumer vos responsabilités légales, contactez TitanHQ dès aujourd’hui.
UCEProtect est un DNSBL (DNS Black Listing) public.
Il s’agit d’une méthode qui permet de consulter la liste noire des émetteurs d’e-mails en utilisant le protocole DNS. Il répertorie les adresses IP qui envoient du spam à leurs pièges à spam (adresses e-mail non valides conçues pour identifier les abus).
Certaines adresses qui figurent dans les listes noires peuvent, et vont probablement, causer des dommages collatéraux à des utilisateurs innocents lorsqu’elles sont utilisées pour bloquer leurs systèmes de messagerie électronique. Et lorsque ces derniers voudront retirer leur adresse IP de la liste noire, UCEProtect facturera les frais de radiation.
TitanHQ avertit les administrateurs de la messagerie électronique de ne pas utiliser la liste noire d’UCEProtect et d’éviter de payer pour le service de radiation. En effet, la liste noire d’UCEProtect applique des politiques de listage agressives. Pour cette raison, et parce que cette liste noire est rarement utilisée, nous ne voyons que très peu d’impact réel sur le flux d’e-mails.
À propos d’UCEProtect et de Backscatterer.org
Les deux entités appartiennent à la même organisation. UCEProtect et Backscatterer ont pour rôle de dresser la liste des adresses IP qui envoient du spam et/ou de la rétrodiffusion (rebondissements mal dirigés).
UCEProtect est un DNSBL public qui répertorie les adresses IP qui envoient du spam dans leurs pièges à spam. La rétrodiffusion se produit lorsqu’un message de rebond est envoyé à un utilisateur innocent, c’est-à-dire un utilisateur qui n’est pas à l’origine du spam.
Ce dernier reçoit donc un message retourné pour des e-mails qu’il n´a jamais envoyés. Ce problème peut devenir frustrant et parfois perturbant pour l’utilisateur, car la rétrodiffusion peut entraîner une augmentation de la charge des flux d’e-mails entrants.
La rétrodiffusion peut être évitée en mettant en place une vérification du destinataire et une validation de l’étiquette d’adresse de rebond (Bounce Address Tag Validation – BATV).
Que faire ensuite ?
TitanHQ vous recommande de ne pas tenir compte lorsqu’UCEProtect exige le paiement pour le service de radiation de sa liste noire.
Le modèle de paiement pour la radiation n’est pas très respecté dans le domaine de la messagerie électronique, car UCEProtect a une portée très limitée. De nombreux pays ont déjà bloqué le serveur UCEProtect à l’échelle mondiale, ce qui signifie que les serveurs de messagerie ne peuvent pas l’utiliser.
Pour plus d’informations sur le fonctionnement des DNSBL de confiance, veuillez consulter l’équipe technique de TitanHQ.
Chaque fois qu’un événement majeur attire l’attention des médias, les cybercriminels sont toujours là pour en profiter.
Il n’est donc pas surprenant que des avertissements soient émis à propos des attaques de phishing contre Travelex.
L’attaque de ransomware contre Travelex, qui a frappé la veille du Nouvel An, impliquait une variante du ransomware appelée Sodinokibi. L’auteur de la menace est l’un des groupes cybercriminels les plus prolifiques utilisant des ransomwares.
Les attaques ont été très ciblées et visaient à chiffrer des réseaux entiers et les demandes de rançon reflètent l’ampleur du chiffrement. Initialement, le groupe de pirates a demandé une rançon de plus de 2,7 millions d’euros à Travelex.
Ce montant a rapidement doublé pour atteindre plus de 5,4 millions d’euros lorsque le paiement n’a pas été effectué dans les délais impartis.
Les retombées de l’attaque ont été immenses, ce qui n’est pas surprenant étant donné que Travelex est le plus grand fournisseur de services de change dans le monde. De nombreuses banques et détaillants comptent sur cette société pour assurer leurs services de change.
Sans accès à ces services en ligne, les services de change ont cessé de fonctionner. Il a fallu deux semaines à Travelex pour commencer à remettre certains de ses services en ligne, mais son site Web était resté en panne, sans compter les perturbations que cela a engendrées.
Les attaquants ont affirmé avoir volé de grandes quantités de données clients à Travelex. Ils ont menacé de publier ou de les vendre si la rançon n’était pas payée. Cette tactique est de plus en plus prisée par pirates pour attaquer les organisations via des ransomwares.
Dans ce cas, le groupe derrière Sodinokibi a prétendu avoir eu accès aux systèmes Travelex 6 mois auparavant et a déclaré avoir volé des données client, notamment des noms, des informations de carte de paiement, des numéros de sécurité sociale et des numéros d’assurance nationale.
Il affirmait également avoir récemment attaqué la société informatique américaine Artech Systems et avait publié 337 Mo de données volées lors de cette attaque, ceci afin de démontrer que ce n’était pas une menace vide de sens.
Travelex a soutenu qu’aucune donnée client n’avait été volée, mais cela reste à confirmer.
Avertissement émis à propos des attaques de phishing contre Travelex
Les clients de Travelex doivent naturellement faire preuve de prudence et surveiller leurs comptes pour détecter tout signe d’utilisation frauduleuse de leurs informations. Force est toutefois de constater qu’il existe d’autres risques d’une attaque comme celle-ci.
Travelex a émis un avertissement à ses clients, leur recommandant d’être vigilants à propos des attaques de phishing par e-mail et par téléphone. Les escrocs profitent souvent d’événements majeurs tels que celui-ci, comme ce fut le cas lors d’une atteinte à la protection de données contre la société TalkTalk.
Ces escroqueries par phishing sont susceptibles d’être plus efficaces sur les clients de Travelex qui ont perdu de l’argent à la suite de l’attaque. En effet, les pirates peuvent proposer une offre d’indemnisation ou de remboursement, en utilisant ce leurre pour duper leurs victimes.
Pour les consommateurs, le conseil est de ne jamais ouvrir les pièces jointes aux e-mails ou de cliquer sur les liens dans les e-mails non sollicités. Les entreprises doivent également prendre des mesures pour protéger leurs réseaux contre les malwares et les attaques de phishing.
Les entreprises devraient adopter une stratégie de défense en profondeur pour se protéger contre les escroqueries par phishing et les attaques de malwares.
Une solution de sécurité des e-mails avancée telle que SpamTitan doit être utilisée pour protéger les comptes Office 365. SpamTitan améliore la protection contre les malwares du type « zero day » et les menaces de phishing et bloque les menaces au niveau de la passerelle.
Une solution de filtrage Web telle que WebTitan doit être utilisée pour bloquer le composant web des campagnes de phishing, les malwares envoyés par e-mails, et empêcher les utilisateurs finaux de visiter des sites web malveillants. La formation des utilisateurs finaux est également indispensable.
Il est important d’enseigner aux employés comment identifier les e-mails de phishing et ceux qui sont susceptibles de diffuser des malwares, puis de les former à la façon de répondre aux e-mails suspects qu’ils reçoivent.
Les clients des banques canadiennes ont été ciblés par des cybercriminels dans le cadre d’une vaste campagne de phishing qui s’est déroulé depuis au moins deux ans, selon Check Point Research qui a découvert la campagne.
Comme pour beaucoup d’autres escroqueries de phishing financier, les attaquants usurpent le site web d’une banque connue, en créant une copie virtuelle de la page d’accueil et en utilisant un domaine ressemblant, qui ne diffère souvent du nom de domaine authentique que par une ou deux lettres.
Un lien vers le site frauduleux est ensuite envoyé dans le cadre d’une campagne de spam de masse à des adresses électroniques sur le domaine de premier niveau du pays où la banque opère. Ces emails invitent les utilisateurs à visiter le site web de la banque et à se connecter, généralement sous le couvert d’une alerte de sécurité.
Lorsque l’utilisateur clique sur le lien contenu dans le courriel, il est dirigé vers le site usurpé et peut ne pas remarquer que le nom de domaine n’est pas tout à fait correct. Il saisit alors ses identifiants de connexion qui sont capturés par les escrocs. Ces informations sont ensuite utilisées pour effectuer des virements électroniques frauduleux vers des comptes contrôlés par les pirates.
Dans le cadre de cette campagne, les emails comprennent une pièce jointe en format PDF. Les fichiers PDF ont tendance à être plus fiables que les documents Word et les feuilles de calcul, que les utilisateurs finaux ont généralement reçu pour instruction de traiter comme des documents suspects.
Le fichier PDF comprend un lien hypertexte que l’utilisateur est invité à cliquer. Comme l’hyperlien se trouve dans le document plutôt que dans le corps du message, il est moins susceptible d’être détecté par les solutions de sécurité des emails et a plus de chances d’être livré dans les boites de réceptions des victimes.
L’utilisateur est informé qu’il doit mettre à jour son certificat numérique pour continuer à utiliser le service bancaire en ligne. Le fichier PDF comprend le logo de la banque et un code de sécurité qu’il doit entrer lorsqu’il se connecte. Le code est inclus dans la pièce jointe du PDF plutôt que dans le corps du message pour des raisons de sécurité.
Comme pour la plupart des attaques de phishing, le message semble urgent. Le destinataire est informé que le code expire dans 2 jours et qu’il doit s’inscrire dans ce délai pour éviter de voir son compté bloqué.
Les pages d’atterrissage des sites web malveillants sont identiques à celles utilisées par les banques, car les attaquants ont simplement pris une capture d’écran de la page d’atterrissage de la banque légitime. Des zones de texte ont été ajoutées où le nom d’utilisateur, le mot de passe et le numéro de jeton doivent être saisis. Les utilisateurs sont ensuite invités à confirmer les détails qu’ils ont saisis pendant que les attaquants tentent d’accéder à leur compte en temps réel et d’effectuer un transfert frauduleux.
Ces tactiques ne sont pas nouvelles. Les escroqueries de ce type sont monnaie courante. Ce qui est surprenant, c’est la durée pendant laquelle la campagne n’a pas été détectée. Les escrocs ont pu opérer sans être détectés en enregistrant de nombreux domaines similaires qui sont utilisés pendant une courte période. Des centaines de domaines différents ont été enregistrés et utilisés dans l’arnaque. Au moins 14 grandes banques canadiennes ont vu leurs pages de connexion usurpées, dont TD Canada Trust, la Banque Scotia, la Banque royale du Canada et la BMO Banque de Montréal.
Tous les sites web utilisés dans l’escroquerie ont maintenant été démantelés, mais il est pratiquement garanti que d’autres domaines similaires seront enregistrés et que d’autres escroqueries seront menées.
En juillet 2019, une brèche a été découverte dans la société mondiale d’hôtellerie Choice Hotels.
La brèche impliquait une base de données MongoDB hébergée par un fournisseur qui fournit des services à la société. Comme beaucoup d’autres brèches, elle est passée complètement inaperçue du personnel interne, mais a été découverte par un consultant en sécurité externe qui scanne périodiquement Internet à la recherche de connexions ouvertes.
La base de données a été exposée au monde extérieur par le biais d’une connexion ouverte qui ne nécessitait aucun mot de passe ou d’autres moyens d’authentification pour y accéder. Lors de la découverte de la brèche, le consultant a trouvé une carte de visite numérique. Le pirate a annoncé qu’il était en possession de la base de données client, et demandait une rançon de 3900 euros.
L’intrus avait l’intention de chiffrer la base de données, mais la tentative a échoué. La base de données volée était donc restée intacte, car la société l’a sécurisée et a fermé la connexion dans les quatre jours suivant la découverte.
Fuite de données dans l’hôtellerie : 700 000 invités ont vu leurs données personnelles exposées
La base de données contenait 5,7 millions d’enregistrements, bien que Choice Hotels ait déclaré que la plupart d’entre eux étaient des enregistrements tests et que seulement 700 000 étaient des clients réels.
Les enregistrements de ces anciens clients comprenaient des informations personnelles :
Noms complets
Adresses
Numéros de téléphone
emails
Statuts de consentement.
La direction de l’entreprise a insisté sur le fait qu’aucune information relative aux paiements, aux mots de passe ou aux réservations n’était compromise.
Ils ont également déclaré que l’entreprise contacterait les clients concernés dans les jours à venir.
Menaces futures pour 700 000 clients
Ces 700 000 clients peuvent sans aucun doute exhaler un soupir de soulagement du fait qu’aucune information de paiement ou donnée hautement confidentielle n’était impliquée. Cependant, ce n’est pas parce qu’il n’y avait pas eu d’impacts financiers que ces personnes sont hors de danger.
C’est l’une des idées fausses concernant les fuites de données importantes.
Imaginez que vous êtes l’une des 700 000 personnes dont les informations ont été exposées. Un pirate possède maintenant l’accès à votre adresse électronique et possède votre numéro de téléphone portable. Il y a de fortes chances que vous soyez victime d’un nombre croissant d’attaques de phishing au cours des prochaines années, car le monde criminel sait désormais qu’il dispose d’une véritable adresse électronique fonctionnelle.
Même si l’auteur initial de la menace n’utilise pas l’adresse volée, il la vendra dans le cadre d’une transaction de masse portant sur des milliers d’adresses électroniques. Il en va de même pour le phishing par SMS.
Cela va au-delà du simple nombre croissant d’attaques potentielles de phishing. Les escrocs peuvent utiliser les données personnelles actuellement en leur possession pour rendre leurs attaques plus convaincantes.
Les futurs auteurs pourraient même se faire passer pour Choice Hotels et tenter d’obtenir des informations plus sensibles. Les conséquences sur le long terme d’une violation de données sont nombreuses et les malheureuses victimes pourraient être leurs prochaines cibles de pirates dans les années à venir.
Les leçons à tirer de cette fuites de données
De nombreuses entreprises se tournent actuellement vers le cloud pour garantir la sécurisation des données essentielles à leur activité. Ironiquement, l’un des principaux facteurs de motivation des pirates est lié à la sécurité.
Si le transfert d’applications web à un tiers peut être un moyen de répercuter le coût et la charge de la sécurisation de vos systèmes, il n’en demeure pas moins que vous ayez la responsabilité de protéger ces données. C’est pourquoi il est essentiel de contrôler tous vos fournisseurs.
Cela devrait inclure une demande formelle de vous fournir les mesures, contrôles et normes de sécurité informatique qu’ils ont mis en œuvre.
Cette brèche est un autre exemple de l’impact d’une connexion ouverte sur l’internet. En janvier 2017, les pirates informatiques ont ciblé près de 28 000 sites MongoDB non authentifiés. MongoDB a répondu que la plupart de ces attaques étaient dues à des paramètres mal configurés, à un manque d’application d’authentification et à des systèmes mal patchés.
Qu’il s’agisse de la base de données d’une grande entreprise ou d’une simple connexion RDP, l’ère des connexions ouvertes est révolue. Choice Hotels et son fournisseur ont tous deux eu la chance que seul un amateur les ait infiltrés. Un professionnel expérimenté aurait pu détourner le serveur et l’utiliser pour diffuser des malwares.
La dépendance continue des solutions de sécurité email
Il y a une autre conséquence cachée de cette fuite et d’autres fuites similaires qui sont menées à grande échelle. Il n’y a pas que les emails personnels qui ont été compromis. De nombreuses personnes font des réservations ou des transactions en ligne en utilisant leur compte de messagerie professionnel.
Cela signifie que leurs employeurs en subiront également les conséquences. Les cybercriminels peuvent s’introduire rapidement dans le serveur d’une organisation et lançant d’autres types d’attaques.
Une fois qu’ils arrivent à compromettre le réseau de l’entreprise, ils peuvent effectuer une reconnaissance pour connaître la culture communicative de l’organisation d’accueil et, plus important encore, qui contrôle les factures et la paie.
C’est à cause de la brèche dans la sécurité de Choice Hotels et de tant d’autres incidents de cybersécurité qui se produisent quotidiennement que toutes les entreprises doivent lutter avec diligence contre le phishing, le BEC (Business Email Compromise, ou arnaque au président) et d’autres types d’attaques via la messagerie électronique.
SpamTitan et son portefeuille de contrôles de sécurité tels que la double protection antivirus, le sandboxing, la prévention des fuites de données, le filtrage du contenu des emails et l’authentification DMARC peuvent garantir que votre entreprise et vos utilisateurs ne sont pas victimes de la négligence d’un tiers.
