Une nouvelle attaque de phishing sur PayPal a été détectée. Elle utilise des alertes d’activités inhabituelles comme appât pour inciter les utilisateurs à se connecter à PayPal afin de sécuriser leur compte. Il s’agit d’une tactique courante qui a déjà été utilisée pour voler des identifiants PayPal, mais cette campagne est différente, car les attaquants cherchent faire table rase.
Outre le fait de voler des informations d’identification PayPal, les pirates cherchent également à obtenir les données de carte de crédit, les adresses email, les mots de passe de leurs victimes, ainsi que les questions/réponses concernant la sécurité informatique.
L’escroquerie de phishing sur PayPal est l’une des plus dangereuses à ce jour en termes de préjudice financier qu’elle pourrait causer. En effet, elle permet aux attaquants de vider les comptes PayPal de leurs victimes, d’utiliser au maximum leurs cartes de crédit, de voler des informations sensibles sur les comptes de messagerie électronique et d’utiliser ensuite ces comptes de messagerie électronique pour mener d’autres attaques de phishing sur les membres de leurs familles, leurs amis et leurs contacts.
L’escroquerie de phishing sur PayPal commence par un avertissement destiné à inciter le destinataire du message malveillant à prendre des mesures immédiates pour sécuriser son compte. Il est informé que son compte PayPal a été consulté à partir d’un nouveau navigateur ou appareil. Il est informé que les contrôles de sécurité de PayPal ont été activés et que, par conséquent, il doit se connecter à son compte pour confirmer son identité et supprimer les limitations qui ont été imposées au compte.
L’email souligne que PayPal n’a pas pu déterminer s’il s’agissait d’une tentative légitime d’accéder à leur compte à partir d’un nouveau navigateur ou d’un nouveau dispositif, ou s’il s’agissait d’une tentative frauduleuse. Dans les deux cas, une action est nécessaire pour confirmer l’identité de la victime. Un lien est intégré au message pour lui permettre de faire cette confirmation.
Si l’utilisateur clique sur ce lien, il sera dirigé vers un faux site PayPal où il devra se connecter pour restaurer son compte. Au cours de cette première étape, les pirates peuvent obtenir les informations d’identification de son compte. Il sera ensuite dirigé vers une nouvelle page où on lui demande de mettre à jour son adresse de facturation. En plus de son adresse, il devrait également entrer sa date de naissance et son numéro de téléphone.
La page suivante lui demande son numéro de carte de crédit, son code de sécurité et sa date d’expiration pour qu’il n’ait plus besoin de saisir à nouveau ces informations lorsqu’il utilise de nouveau le service PayPal. Lors de la seconde étape, l’utilisateur doit confirmer ces informations pour s’assurer qu’aucune erreur n’a été commise lors de la saisie des informations relatives à sa carte de crédit. Enfin, il est dirigé vers une autre page où il est invité à saisir son adresse électronique et son mot de passe pour le relier à son compte PayPal. Une fois que toutes les informations ont été saisies, on lui indique que le processus est terminé et que son compte a été sécurisé et restauré avec succès.
Toutes ces pages de phishing ont l’apparence des véritables pages web de PayPal, avec des logos et des pieds de page authentiques du fournisseur de services. Les domaines utilisés pour l’escroquerie sont naturellement faux, mais ils ont un certain rapport avec PayPal. De plus, les noms de domaines ont des certificats SSL authentiques et affichent le cadenas vert dans le navigateur.
Bien entendu, vous devez prendre au sérieux tout avertissement de sécurité que vous recevez, mais ne prenez pas les avertissements au pied de la lettre. Google, PayPal et d’autres fournisseurs de services envoient souvent des avertissements de sécurité pour prévenir les utilisateurs d’une activité suspecte. Cette escroquerie de phishing sur PayPal montre que ces avertissements ne sont pas toujours authentiques et que vous devez toujours faire preuve de prudence.
La règle d’or est de ne jamais cliquer sur les liens contenus dans les emails. Visitez toujours le site du fournisseur de services en saisissant les informations correctes dans votre navigateur web pour vous connecter. Et surtout, vérifiez toujours et soigneusement le nom de domaine avant de fournir des informations d’identification.
C’est une chose importante, car il y a eu une augmentation des attaques de typosquattage, où les cybercriminels profitent des utilisateurs qui orthographient mal les noms de domaine dans la barre d’adresse de leur navigateur lorsqu’ils cherchent à consulter un site web particulier.
La majorité des entreprises ont subi une attaque de phishing au cours de l’année passée et, selon une enquête sur les PME aux États-Unis, 72 % d’entre elles ont subi une attaque de phishing au cours des trois derniers mois.
Dans le secteur de la santé, le phishing est la principale cause de fuites de données. En novembre 2019, 17 cas de violations de données sur 33 ont été signalés comme liées au phishing au Bureau des droits civils (OCR ou Official Rights Bureau) du Département de la santé et des services sociaux.
Si on considère que l’OCR ne rend public que les rapports de violation ayant entraîné l’exposition de 500 enregistrements ou plus, le nombre total d’attaques de phishing pourrait encore être plus élevé.
Les attaques de phishing sont en augmentation. La raison est simple : le phishing est le moyen le plus simple d’attaquer une organisation pour diffuser des malwares ou pour obtenir des informations sensibles. En effet, le phishing cible le maillon le plus faible d’une organisation, c’est-à-dire les employés.
Les employés s’améliorent dans l’identification des emails de phishing grâce à des formations de sensibilisation à la sécurité. Mais les cybercriminels sont aussi conscients de ce fait et ont réagi, en créant désormais des attaques de phishing très sophistiquées et beaucoup plus difficiles à identifier pour les employés.
Qu’est-ce qu’une attaque de spear-phishing ?
On constate également une augmentation des attaques de spear-phishing. Il s’agit d’une forme de phishing beaucoup plus ciblée. Au lieu d’envoyer des millions d’emails dans le cadre d’une campagne, les pirates n’en envoient qu’une poignée à des cibles très précises. Les messages sont rédigés de manière à maximiser les chances de succès et sont généralement personnalisés.
Le spear-phishing est une tentative qui vise essentiellement à voler des informations sensibles comme des identifiants de connexion ou des informations financières à une victime spécifique.
Comment fonctionne le spear-phishing ?
Les attaques de spear-phishing peuvent sembler simples à réaliser, mais ce n’est pas le cas. Au cours des dernières années, les pirates doivent s’efforcer d’améliorer leurs tactiques lorsqu’ils rédigent leurs e-mails pour augmenter leurs chances de réussite. Ainsi, les messages malveillants sont devenus très difficiles à détecter si vous n’avez pas de connaissances préalables en matière de protection contre le spear-phishing.
Les attaquants ciblent les victimes qui mettent des informations personnelles sur Internet. En parcourant un site de réseau social, ils peuvent par exemple consulter des profils individuels et connaître la ville natale de leurs cibles, leurs contacts, leurs employeurs ou encore les produits qu’elles ont récemment achetés en ligne.
Les pirates peuvent alors se faire passer pour une entité familière ou un ami et envoyer des e-mails convaincants mais frauduleux à leurs cibles. Ces messages renferment souvent des explications urgentes sur la raison pour laquelle les pirates ont besoin de ces informations.
Ensuite, les victimes sont invitées à cliquer sur un lien intégré à l’e-mail, qui les redirige vers un site web usurpé ou à ouvrir une pièce jointe malveillante. Dans d’autres cas, elles sont invitées à fournir leurs numéros de compte ou leurs codes PIN.
Un pirate qui se fait passer pour un ami peut aussi demander des noms d’utilisateur et des mots de passe pour diverses plateformes en ligne – comme Facebook ou Zoom – afin de pouvoir accéder aux photos que ses victimes ont publiées. Ces mots de passe lui permettront d’accéder à différents sites web contenant des informations confidentielles comme des informations sur les cartes de crédit ou des numéros de sécurité sociale. Grâce à cela, les criminels peuvent accéder aux comptes bancaires de leurs victimes, voire créer une nouvelle identité en utilisant les informations qu’il a collectées.
Enfin, une attaque de spear-phishing peut consister à une incitation des utilisateurs du web à télécharger des malwares ou des codes malveillants lorsque ces derniers ouvrent des pièces jointes ou cliquent sur des liens fournies dans les messages malveillants.
Les 3 principaux catégories de spear-phishing
Pour résumer, on peut subdiviser les attaques de spear-phishing en trois grandes catégories, notamment :
Le clone phishing,
La compromission d’emails professionnels (Business Email Compromise – BEC),
Le whaling.
Un rapport de la société de sécurité Barracuda a révélé que 83 % des attaques de spear-phishing reposent sur le clone phishing, une tactique qui vise l’usurpation d’identité. Dans le cadre d’une telle attaque, les escrocs créent une réplique presque identique d’un message électronique authentique dans le but de faire croire aux victimes qu’il est légitime. En général, le message semble provenir d’une adresse électronique réelle, car il utilise un domaine typosquatté ou une fausse URL donnant l’impression que l’e-mail est valide. Cependant, le message contient une pièce jointe ou un lien hypertexte qui renvoie la victime vers un site web cloné avec un domaine usurpé, où elle sera invitée à communiquer ses informations sensibles.
Quant à l’attaque de type BEC, ou littéralement la compromission de l’email professionnel, elle permet aux cybercriminels d’usurper le compte de messagerie d’un cadre supérieur, comme le PDG d’une société. Une fois que les pirates obtiennent l’accès au compte, ils vont l’utiliser pour demander des informations de connexion, de l’argent et d’autres informations sensibles à ses subalternes (cadres supérieurs, responsables informatiques, etc.). Une attaque BEC réussie permet au pirate d’obtenir un accès illimité au compte de la victime, ce qui peut avoir des effets très néfastes et entraîner d’énormes pertes financières pour son organisation.
Lors d’une attaque de whaling (également appelée « la chasse à la baleine »), les pirates informatiques ciblent les hauts responsables pour voler les informations les plus précieuses de leur entreprise. Étant donné que les PDG et les directeurs ont souvent beaucoup de pouvoir au sein de leur organisation, ils ont aussi accès aux des données les plus sensibles. Les cybercriminels préfèrent donc cibler ces « baleines » plutôt que d’hameçonner les petits « poissons » de l’entreprise. A titre d’exemple, un pirate peut envoyer un e-mail qui accuse un haut responsable d’avoir téléchargé ou visionné du contenu à caractère sexuel puis le convaincre de verser de l’argent à son compte. Dans ce cas, il peut menacer sa victime de divulguer le contenu compromettant à ses contacts au cas où il ne paie pas la rançon. A noter que les attaques de whaling ne visent pas seulement les dirigeants d’entreprises, mais aussi les personnes célèbres comme les stars et les hommes politiques.
Ces trois types d’attaques sont des exemples parfaits de spear-phishing. Ce qui les caractérise, c’est que leur mise en œuvre nécessite plus de temps et d’efforts de la part des pirates informatiques que les attaques de phishing ordinaires.
Conseils à donner aux employés pour éviter d’être victime d’une attaque de spear-phishing
Malheureusement, il n’existe pas de solution miracle. Les entreprises doivent adopter une approche de défense en profondeur pour améliorer de manière significative leur résistance aux attaques de phishing.
Faites attention avant de divulguer vos données personnelles sur Internet. S’il y a certaines informations que vous ne voulez pas qu’un pirate potentiel voie, ne les publiez pas. Si vous devez le faire, assurez-vous au moins que vous avez configuré les paramètres de confidentialité de la plate-forme en ligne utilisé pour limiter ce que les autres peuvent voir.
L’autre chose importante à retenir est de ne pas utiliser un seul mot de passe (ou des variations d’un mot de passe) pour chaque compte que vous possédez. Si vous le faites, et au cas où un pirate parviendrait à déchiffrer l’un de vos mots de passe, il aura effectivement accès à tous vos comptes. Comme astuce, utilisez des mots de passe composés de chiffres, de phrases, de caractères spéciaux et de lettres aléatoires.
Mettez également vos logiciels à jour : dès que votre fournisseur de logiciels publie une nouvelle mise à jour, appliquez-la immédiatement pour vous aider à vous protéger contre les attaques courantes.
Ne cliquez pas sur les liens dans les emails : si une organisation qui vous semble familière – comme votre banque – vous invite à cliquer sur un lien, ne le faites pas. Le mieux serait de lancer votre navigateur et de vous rendre directement sur le site officiel de votre banque au lieu de cliquer sur le lien lui-même. Il est dans votre intérêt de vérifier la destination du lien en le survolant simplement avec votre souris. Si l’URL qui s’affiche ne correspond pas au texte d’ancrage du lien ou à la destination indiquée dans le message électronique, il est fort probable que le lien soit malveillant. Attention toutefois, car de nombreux pirates qui utilisent le spear-phishing peuvent brouiller les destinations des liens en utilisant un texte d’ancrage ressemblant à une URL légitime.
Faites preuve de logique lorsque vous ouvrez un e-mail. Lorsque vous recevez un message de la part de l’un de vos contacts et qui vous demande des informations personnelles, vérifiez toujours que l’adresse email est une adresse que vous avez déjà utilisée ou vue par le passé. Une entreprise réelle ne vous enverrait pas un message qui vous demande votre mot de passe ou votre nom d’utilisateur, entre autres. En cas de doute, contactez la personne ou l’entreprise qui vous a envoyé le message via d’autres moyens comme le téléphone ou le site web officiel de l’entreprise pour vous assurer que c’est bien elle qui vous a contacté.
Comment une entreprise peut-elle améliorer ses défenses contre le phishing et le spear-phishing ?
Les employés constituent le maillon faible souvent visé par les cybercriminels. Vous devez donc vous assurer qu’ils soient formés à la reconnaissance des emails de phishing. Vous devez leur dispenser régulièrement une formation de sensibilisation afin de développer une culture de sensibilisation à la sécurité dans votre organisation. Avec le temps, vos employés seront capables de réagir correctement et de signaler les menaces de phishing à l’équipe de sécurité.
Effectuez également des exercices de simulation de phishing pour vous assurer que la formation a été efficace. Si un ou plusieurs employés ne réussissent pas à la simulation de phishing, vous pourrez donc les identifier et leur dispenser une formation complémentaire.
Si toutes les défenses ci-dessus échouent, il existe encore une autre couche que vous pouvez mettre en place pour assurer la protection de votre entreprise : l’authentification à facteurs multiples. L’authentification à facteurs multiples exige qu’un autre facteur soit utilisé avant de pouvoir accéder à un compte de messagerie ou à un autre système.
Si les identifiants de connexion d’un employé sont divulgués lors d’une attaque de phishing, l’authentification à facteurs multiples devrait empêcher un cybercriminel d’utiliser uniquement ces informations pour accéder à des comptes de messagerie électronique et à d’autres systèmes.
Dans la mesure du possible, il est vital pour les organisations de veiller à activer les mises à jour automatiques de leurs logiciels. Elles se protègent ainsi des dernières attaques en ligne. Cela permet également aux clients de messagerie, aux outils de sécurité et aux navigateurs web d’avoir les meilleures chances d’identifier les attaques de spear-phishing et de minimiser les dommages potentiels. Veillez également à ce qu’un programme de protection des données et une technologie de prévention des pertes de données soient mis en place au sein de votre organisation afin de protéger les données contre le vol et les accès non autorisés.
N’oubliez pas de mettre en place un programme de protection des données dans votre entreprise. Un programme de protection des données doit inclure la formation des utilisateurs aux meilleures pratiques en matière de sécurité des données et de cyberhygiène.
Le filtrage du spam, la solution idéale pour se protéger du spear-phishing ?
Le meilleur point de départ est la mise en place d’une solution de sécurité avancée pour la messagerie électronique. Le phishing nécessite une certaine forme d’action manuelle de la part de vos employés pour réussir.
Si vous empêchez les emails de phishing d’atteindre leurs boîtes de réception, ils ne pourront pas cliquer sur les liens dans ces messages malveillants ou télécharger des malwares. En effet, une solution avancée de sécurité des emails peut donc bloquer la grande majorité des emails de phishing avant qu’ils n’atteignent votre système de messagerie.
Vous avez sans doute déjà mis en place une solution de filtrage du spam, mais est-elle efficace ? Des emails de phishing arrivent-ils toujours dans votre boîte de réception ou celles de vos employés ?
Une erreur courante des PME est de croire que leur environnement Office 365 est bien protégé par défaut, alors qu’en réalité, l’EOP (Exchange Online Protection) fournie avec Office 365 ne parvient pas à bloquer de nombreuses tentatives de phishing.
Une étude a montré que 25% des emails de phishing n’étaient pas bloqués par EOP. Si vous souhaitez améliorer vos défenses contre le phishing, vous devriez donc utiliser une solution antispam et antiphishing tierce en plus de l’EOP.
L’une des solutions efficaces que vous pouvez adopter en guise de complément de l’EOP et qui offre une meilleure protection web est SpamTitan.
Si vous parvenez à bloquer les emails de phishing, votre sécurité sera bien meilleure, mais vous ne devez pas vous arrêter là. Force est de constater qu’il n’existe aucune solution qui pourra bloquer toutes les menaces de phishing à tout moment. Il suffit que l’un de vos employés clique sur un email de phishing pour qu’une violation de données se produise. Vous devez donc ajouter une autre couche à vos défenses.
Se protéger du phishing avec une solution de filtrage internet DNS
Une solution de filtrage DNS offre une meilleure protection web contre les attaques de phishing. Au cas où un employé cliquerait sur un lien dans un email et s’il sera dirigé vers une fausse page de connexion d’Office 365 ou vers un site où un malware pourrait être téléchargé, la tentative d’accès au site malveillant est bloquée.
Un filtre DNS bloque les tentatives d’accès aux sites de phishing avant le téléchargement de tout contenu web. Si une tentative d’accès à un site de phishing se produit, l’employé sera dirigé vers une page de blocage avant qu’un quelconque préjudice ne soit causé. Les filtres DNS peuvent également bloquer les téléchargements de malwares provenant de sites qui ne sont pas encore connus pour être malveillants.
Les administrateurs savent bien que lorsqu’on parle de filtres DNS, il faut également parler des protocoles DKIM, SPF et DMARC, lesquels peuvent contribuer à réduire les violations de données, les pertes financières et plusieurs autres menaces en ligne.
Le protocole DKIM
DKIM, ou « DomainKeys Identified Mail » est un protocole de vérification cryptographique des e-mails. Il peut être utilisé pour bloquer les l’usurpation d’identité. Il peut également être utilisé pour garantir l’intégrité des e-mails, ou pour s’assurer que les messages n’ont pas été modifié à partir du moment où il quitte le serveur de messagerie d’origine jusqu’à ce qu’il arrivé au vôtre.
Pour les messages entrants, lorsque le serveur récepteur voit qu’un message a été signé par DKIM, il récupère la clé publique dans les enregistrements DNS du serveur expéditeur, puis compare cette clé à la signature cryptographique du message pour en déterminer la validité.
Si le message entrant ne peut être vérifié, le serveur récepteur saura donc qu’il contient une adresse usurpée ou qu’il a été altéré ou modifié. Un message qui échoue à ce test peut alors être rejeté ou accepté, mais son score de spam peut être modifié.
Le protocole SPF
Il s’agit d’un autre protocole qui permet d’éviter l’usurpation d’identité. Le SPF ou « Sender Policy Framework » permet aux propriétaires de domaines de publier des enregistrements DNS, ou enregistrements SPF, afin d’identifier les emplacements qui seront autorisés à envoyer des messages pour leur domaine.
En effectuant une recherche SPF sur les messages entrants, il est possible de déterminer si le serveur d’envoi est autorisé ou non à distribuer des messages pour le domaine d’envoi supposé et pour déterminer si l’adresse de l’expéditeur a été usurpée ou falsifiée.
Pour protéger votre serveur contre les attaques de spear-phishing qui tentent d’usurper votre propre domaine, il est donc recommandé de configurer un enregistrement SPF dans votre serveur DNS.
Le protocole DMARC
Créé conjointement par Google, PayPal, Microsoft et Yahoo, le protocole DMARC, ou « Domain-based Message Authentication, Reporting and Conformance », donne aux organisations un aperçu et un contrôle de leur serveur de messagerie. Il protège les marques contre l’utilisation du phishing et d’autres attaques de spear-phishing.
Lorsque ce protocole est mis en œuvre dans votre enregistrement DNS, l’enregistrement DMARC d’un expéditeur indiquera au destinataire les actions à effectuer, à savoir accepter, mettre en quarantaine ou rejeter un e-mail qui prétend provenir d’un expéditeur suspect.
En fait, l’utilisation de ces trois protocoles est plus que recommandée aujourd’hui. C’est devenu une norme pour la sécurisation de la messagerie électronique.
Le mot de la fin
Toutes les couches de sécurité susmentionnées sont nécessaires pour bloquer les menaces de phishing sophistiquées d’aujourd’hui. Cela peut sembler très coûteux, mais les mesures anti-phishing ci-dessus ne doivent pas l’être.
De plus, face à la crise de la COVID-19, qui affecte également l’univers de la communication numérique, les pirates informatiques trouvent de nouvelles tactiques pour augmenter les chances de réussite de leurs campagnes de phishing et de spear-phishing. Par conséquent, le fait de sécuriser et d’authentifier les e-mails entrants et sortants est devenu plus que nécessaire si vous voulez éviter de vous faire pirater.
Même si TitanHQ ne peut pas former vos employés à devenir des titans de la sécurité, la marque vous propose des solutions fiables pour le filtrage des contenus web et des e-mails. Grâce à SpamTitan et au filtre DNS de WebTitan, vous bénéficierez des meilleures protections anti-phishing du marché.
Une nouvelle campagne de spam vient d’être détectée. Elle s’appuie sur la popularité de Greta Thunberg et utilise le nom de la militante écologiste afin d’inciter les individus à installer le cheval de Troie bancaire Emotet.
Emotet est l’une des menaces de malwares les plus actives. Il a été détecté pour la première fois en 2014. À l’origine, ce cheval de Troie a été utilisé pour voler les informations d’identification bancaires en ligne des utilisateurs de Windows en interceptant le trafic internet.
Au fil des ans, il a fait l’objet de plusieurs mises à jour pour permettre aux pirates d’ajouter de nouvelles fonctionnalités. Un module de spam malveillant a été ajouté, ce qui lui permet d’envoyer des copies de lui-même par email aux contacts d’un utilisateur. Emotet comprend également un téléchargeur de malwares qui lui permet de télécharger une série d’autres variantes de malwares comme d’autres chevaux de Troie bancaires et des ransomwares.
Les malwares sont utilisés dans les attaques contre les particuliers, les entreprises et les organismes gouvernementaux, mais ces deux derniers sont les principales cibles des pirates. Emotet est principalement diffusé par le biais des emails non sollicités, et si les kits d’exploitation ne sont pas utilisés pour infecter d’autres appareils sur le réseau – à l’exemple d’EternalBlue – d’autres variantes de malwares téléchargés par Emotet peuvent le faire, comme TrickBot.
La campagne de spam Greta Thunberg vise à inciter les utilisateurs à ouvrir une pièce jointe Word malveillante et à activer son contenu. Si cela se produit, Emotet sera téléchargé en silence sur l’appareil de l’utilisateur. Les pirates peuvent alors voler des informations bancaires sensibles et télécharger d’autres malwares.
La campagne s’est déroulée pendant les vacances et a utilisé divers leurres sur le thème de Noël pour inciter les utilisateurs à ouvrir la pièce jointe à l’email. D’autres emails ne contenaient pas de pièce jointe et utilisaient plutôt un lien hypertexte qui dirige l’utilisateur vers un site web où le document malveillant pouvait être téléchargé.
L’un des emails souhaitait un joyeux Noël à son destinataire et l’exhorte à considérer l’environnement en cette période de Noël et à se joindre à une manifestation pour protester contre le manque d’action des gouvernements pour lutter contre la crise climatique. Le message prétendait que les détails concernant l’heure et le lieu de la manifestation étaient inclus dans le document Word. Il demandait également au destinataire d’envoyer immédiatement l’email à tous ses collègues, ses amis et ses parents afin d’obtenir leur soutien. Plusieurs variantes d’attaques sur ce thème ont été détectées.
Afin d’augmenter la probabilité que le destinataire active le contenu lorsque le document est ouvert, l’email affiche un avertissement qui semble avoir été généré par Microsoft Office. L’utilisateur est informé que le document a été créé dans OpenOffice et qu’il est nécessaire d’activer d’abord l’édition puis le contenu. Cette dernière opération activera les macros qui lanceront le processus d’infection.
Les emails sont bien écrits et ont été conçus pour obtenir une réponse émotionnelle, ce qui augmente la probabilité que l’utilisateur exécute l’action demandée. Les emails ont été envoyés en plusieurs langues dans de nombreux pays différents.
Chaque fois qu’un événement d’actualité important survient, tel qu’un tournoi sportif populaire ou tout autre événement suscitant un intérêt mondial, les cybercriminels en profitent. Quel que soit le thème de l’email, s’il est non sollicité et s’il vous demande de cliquer sur un lien ou d’ouvrir une pièce jointe, il est préférable de supposer qu’il est malveillant.
Les entreprises peuvent protéger leurs réseaux contre de telles menaces en mettant en œuvre une solution avancée de filtrage du spam telle que SpamTitan. SpamTitan identifiera les menaces comme les attaques de phishing et empêchera les messages d’atteindre les boîtes de réception des utilisateurs finaux. SpamTitan comprend également deux moteurs anti-virus qui lui permettent de détecter les malwares connus et les techniques d’apprentissage machine. Par ailleurs, cette solution intègre le « sandboxing » qui permet d’identifier et de bloquer les malwares de type « zero-day ».
Pour plus d’informations sur la façon dont SpamTitan peut protéger votre entreprise contre les menaces de ce type, contactez TitanHQ dès aujourd’hui.
Les clients des banques canadiennes ont été ciblés par des cybercriminels dans le cadre d’une vaste campagne de phishing qui se poursuit depuis au moins deux ans, selon Check Point Research qui a découvert la campagne.
Comme pour beaucoup d’autres escroqueries par phishing financier, les attaquants utilisent le nom de domaine d’un site web d’une banque connue pour créer une copie malveillante de sa page d’accueil. Le nom de domaine malveillant ne diffère souvent de celui du site authentique de la banque légitime que par une ou deux lettres.
Un lien vers le site frauduleux est ensuite envoyé dans le cadre d’une campagne de spamming de masse aux adresses email sur le domaine de premier niveau du pays spécifique où la banque opère.
Ces emails invitent les utilisateurs à visiter le site web de la banque et à se connecter, généralement sous le couvert d’une alerte de sécurité. Lorsque l’utilisateur clique sur le lien contenu dans l’email, il est dirigé vers le site usurpé et il risque de ne pas remarquer que le nom de domaine n’est pas tout à fait correct.
Il saisit alors ses identifiants de connexion qui sont capturés par les escrocs. Ces informations sont ensuite utilisées pour effectuer des virements électroniques frauduleux vers des comptes contrôlés par les pirates.
Dans le cadre de cette campagne, les emails comprennent une pièce jointe en format PDF. Les fichiers PDF ont tendance à être plus fiables que les documents Word et les feuilles de calcul. En effet, les utilisateurs finaux ont généralement reçu pour instruction de traiter les documents Word et Excel comme des documents suspects.
Le fichier PDF comprend un lien hypertexte que l’utilisateur est invité à cliquer. Comme l’hyperlien se trouve dans le document plutôt que dans le corps du message, il est moins susceptible d’être scanné par les solutions de sécurité de la messagerie et a plus de chances d’être livré dans les boites de réception des utilisateurs finaux.
L’utilisateur est informé qu’il doit mettre à jour son certificat numérique pour continuer à utiliser le service bancaire en ligne. Le fichier PDF comprend le logo de la banque et un code de sécurité que l’utilisateur doit entrer lorsqu’il se connecte. Le code est inclus dans le PDF, plutôt que dans le corps du message.
Comme pour la plupart des escroqueries de phishing, les pirates mettent en avant l’urgence du message. Le destinataire est informé que le code expire dans 2 jours et qu’il doit s’inscrire dans ce délai pour éviter de voir son compte bloqué.
La page d’atterrissage du site web est identique à celle utilisée par la banque, car les attaquants ont simplement pris une capture d’écran de sa page d’atterrissage légitime. Pourtant, ils ont également ajouté des zones de texte où le nom d’utilisateur, le mot de passe et le numéro jeton électronique doivent être saisis. Les utilisateurs sont ensuite invités à confirmer les détails qu’ils ont saisis. Pendant ce temps, les attaquants tentent d’accéder à leur compte en temps réel et d’effectuer un transfert frauduleux.
Les escroqueries de ce type sont monnaie courante. Ce qui est surprenant, c’est la durée pendant laquelle la campagne visant les clients des banques canadiennes n’a pas été détectée. Les escrocs ont pu opérer sans être détectés et ont pu créer de nombreux domaines similaires qui ont été utilisés pendant une courte période.
En réalité, des centaines de domaines différents ont été créés et utilisés lors de cette arnaque. Au moins 14 grandes banques canadiennes ont vu leurs pages de connexion usurpées, dont TD Canada Trust, la Banque Scotia, la Banque royale du Canada et la BMO Banque de Montréal.
Tous les sites web utilisés dans l’escroquerie ont maintenant été démantelés, mais il est pratiquement certain que d’autres domaines similaires seront enregistrés et que d’autres escroqueries seront encore menées par d’autres pirates.
Les attaques de ransomware WannaCry, qui ont commencé le 12 mai 2017, ont été bloquées rapidement lorsqu’un « kill switch » a été identifié et activé. Mais combien d’argent les cybercriminels ont-ils gagné grâce à WannaCry pendant cette période ?
WannaCry était une cyberattaque mondiale dévastatrice, comme l’avaient prédit de nombreux professionnels de la cybersécurité. Et c’était vraiment le cas, car WannaCry était devenu le ransomware qui s’est répandu le plus rapidement dans le monde.
WannaCry utilisait un ransomware et un ver, ce qui lui permettait de se propager automatiquement et d’infecter un grand nombre d’appareils sur de nombreux réseau dans le monde. Le ransomware exploitait une vulnérabilité dans Windows Server Message Block (SMBv1) en utilisant un kit d’exploitation de la NSA appelé EternalBlue.
La faille exploitée par EternalBlue avait été signalée à Microsoft et un correctif a été publié en mars 2017, deux mois avant le début des attaques. Cependant, de nombreuses entreprises ont tardé à appliquer le correctif et étaient vulnérables aux attaques.
En quelques heures, environ 200 000 ordinateurs ont été infectés dans 150 pays. Il convient de noter que de nombreux postes ne sont toujours pas soingés deux ans et demi après la publication du correctif, malgré une large couverture médiatique sur la menace d’attaque et son coût énorme. WannaCry est toujours l’une des plus grandes menaces de ransomware et représente un pourcentage important de toutes les attaques de ransomware réussies en 2019.
WannaCry a été bloqué par un chercheur en sécurité britannique. Ce dernier a découvert que le ransomware avait vérifié un nom de domaine avant de chiffrer les données, mais que ce nom de domaine n’avait pas été enregistré. Il a acheté le nom de domaine, empêchant ainsi le chiffrement des fichiers.
Comme le ransomware s’est répandu très rapidement, il a réussi à infecter et à chiffrer de nombreux appareils pendant une courte période de temps. En effet, un grand nombre d’entreprises n’étaient pas protégées avant la désactivation du ransomware via le « kill switch » et beaucoup d’entre elles ont dû payer une rançon pour avoir la clé de déchiffrement de leurs fichiers.
Mais combien les pirates ont-ils vraiment gagné grâce aux attaques par le ransomware WannaCry ?
Le montant de la rançon était très faible, soit environ 270 euros par appareil infecté. Ce montant peut doubler et atteindre environ 541 euros si le paiement n’était pas effectué dans les 3 jours. Il est donc facile de comprendre pourquoi de nombreuses entreprises ont accepté de payer.
De plus, les transactions étaient détaillées dans la chaîne de blocage. Le bénéficiaire reste anonyme, mais ses victimes peuvent consulter les paiements s’ils le souhaitent.
Les trois adresses Bitcoin connues pour avoir été utilisées dans les attaques de WannaCry montrent actuellement que 430 paiements ont été effectués et que plus de 54 Bitcoins ont été envoyés sur ces comptes. La valeur du Bitcoin est quelque peu volatile et était beaucoup plus élevée à certains moments entre aujourd’hui et les attaques, mais au taux de change actuel, cela équivaut à environ 350 000 euros. La plupart des paiements ont maintenant été retirés des comptes, une fois que les attaquants les avaient encaissés. Pourtant, de nombreux autres paiements sont toujours effectués sur ces comptes.
Les derniers paiements à l’une des adresses ont été effectués en décembre 2019.
350 000 euros n’est peut-être pas un gros montant pour les pirates, compte tenu du nombre d’appareils infectés et des dommages causés par l’attaque. De plus, ils devront encore convertir ces cryptomonnaies en argent réel, et une somme considérable sera perdue dans ce processus. Le montant de leur paie était minuscule compte tenu de l’ampleur de l’attaque. Mais pour les entreprises, le coût des attaques était colossal.
Le Service national de santé du Royaume-Uni a été durement touché par WannaCry et le montant de l’opération de nettoyage et le coût des travaux liés à la reprise des activités après l’attaque étaient estimées à plus de 108 millions d’euros.
Ce n’était qu’une seule victime, mais la somme que les pirates ont obtenue était importante. Les estimations du coût total de WannaCry varient actuellement entre des centaines de millions et 3,6 milliards d’euros au niveau mondial.
La prochaine fois que vous tarderez à appliquer un correctif ou à mettre à jour un logiciel, prenez en compte les conséquences dévastatrices que peut causer WannaCry, ainsi que les éventuels coûts relatifs à la réparation de vos équipements et à la récupération de vos données sensibles.
Dans tous les cas ci-dessus – les 200 000 attaques et plus – l’application du correctif aurait permis d’éviter l’attaque et le coût énorme de la réparation des dommages que WannaCry aurait pu causer.
Toute entreprise qui traite des paiements par carte est une cible potentielle pour les cybercriminels, mais les restaurants en particulier sont descibles de prédilection. Au cours des dernières semaines, les pirates ont intensifié leurs efforts pour s’attaquer à plusieurs chaînes de restaurants qui ont ainsi vu leurs systèmes compromis.
Dans tous les cas, des malwares ont été installés sur leurs systèmes de points de vente. Les malwares volent les informations des cartes de paiement au moment où les clients paient leurs repas.
De nombreuses attaques ont touché des chaînes de restaurants dans le Midwest et l’Est des États-Unis, les données des cartes de crédit des clients ayant récemment été mises en vente sur le marché clandestin dénommé Joker’s Stash. Un lot d’environ 4 millions de cartes de crédit et de débit a été mis en vente, provenant d’attaques de malwares chez Moe’s, McAlister’s Deli, Krystal et Schlotzsky.
La cyberattaque contre Krystal a été détectée en novembre 2019, tandis que trois autres chaînes de restaurants, toutes détenues par Focus Brands, ont été attaquées en août dernier. Au total, les chaînes susmentionnées comptent plus de 1 750 restaurants. Près de la moitié de ces établissements de restauration, situés pour la plupart en Alabama (Floride), en Géorgie et en Caroline du Nord et du Sud, ont été touchés.
Catch Hospitality Group a également annoncé en novembre dernier avoir été victime d’une cyberattaque suite à laquelle des malwares avaient été installés sur son système de points de vente. Les malwares exfiltraient les données des cartes de paiement au fur et à mesure que les clients payaient leurs repas. La violation des données a touché les clients des restaurants Catch NYC, Catch Roof et Catch Steak.
Heureusement, les appareils utilisés pour traiter la majorité des paiements n’ont pas été touchés. Pour autant, des malwares étaient présents sur les appareils Catch NYC et Catch Roof entre mars et octobre 2019, et Catch Steak a été touché entre septembre et octobre 2019.
Les restaurants Church’s Chicken ont également été attaqués lors d’un autre incident qui s’est produit octobre. La majorité de ses 1 000 restaurants n’ont pas été touchés, mais au moins 160 établissements en Alabama, en Arkansas, en Floride, en Géorgie, dans l’Illinois, en Louisiane, au Mississippi, au Missouri, en Caroline du Sud, au Tennessee et au Texas avaient été touchés par des malwares qui se sont installés sur leurs systèmes de points de vente.
Parmi les autres chaînes de restaurants qui ont été attaquées en 2019, on compte Checker’s Drive-In, Cheddar’s Scratch Kitchen, Huddle House, Applebee’s, Chilli’s et Earl Enterprises (Buca di Beppo, Chicken Guy, Tequila Taqueria, Mixology, Planet Hollywood). Les malwares qui se sont installés dans les systèmes de points de vente d’Earl Enterprises étaient présents depuis près d’un an avant d’être détectés.
Comment améliorer la cybersécurité dans les restaurants ?
Les restaurants traitent plusieurs milliers de transactions par carte bancaire, ce qui en fait d’eux des cibles attrayantes pour les pirates informatiques.
Les restaurants utilisent souvent des systèmes d’exploitation obsolètes, disposent des matériels anciens qui présentent des vulnérabilités, et leurs solutions de cybersécurité sont souvent à désirer. Par conséquent, les cyberattaques contre les restaurants sont relativement faciles à réaliser, du moins par rapport à de nombreux autres types d’entreprises.
Pour infecter un système de points de vente, les attaquants doivent disposer d’un accès au réseau de l’établissement. Le plus souvent, cet accès est obtenu par le biais d’emails de phishing, de téléchargements de malwares en mode « drive-by » ou en abusant des outils d’accès à distance.
Les pirates peuvent aussi mener des attaques directes à l’aide de diverses techniques telles que l’injection SQL et l’exploitation de mots de passe faibles qui leur permettent de les deviner facilement via des attaques par force brute.
Les malwares qui s’installent sur les systèmes et qui exfiltrent les données ont généralement une très petite empreinte. Ils sont souvent furtifs, car ils peuvent être présents dans votre réseau pendant de longues périodes afin de collecter les données des cartes de paiement. Il vous sera donc très difficile de les détecter une fois qu’ils sont installés.
Pour contrer ces menaces, vous devez améliorer vos défenses et vous assurer qu’aucun malwares n’est pas déjà installé sur votre réseau. En d’autres termes, vous devez empêcher les pirates d’accéder à votre réseau.
Vous trouverez ci-dessous quelques mesures faciles à mettre en œuvre et qui pourront aider les gérants des restaurants à améliorer leur posture de sécurité et à bloquer les attaques. L’une des meilleures solutions est de mettre en place une solution de sécurité en profondeur et à plusieurs niveaux.
Utiliser un pare-feu d’entreprise
Veillez à ce qu’un pare-feu d’entreprise soit mis en place. Cela empêchera les personnes non autorisées d’accéder à vos ressources réseau.
Appliquez rapidement des correctifs et mettez à jour tous vos logiciels et programmes
Veillez à ce que les correctifs soient appliqués rapidement et à ce que les mises à jour des logiciels et microprogrammes soient mises en œuvre dès leur publication.
Cela inclut tous les systèmes et appareils qui peuvent se connecter à votre réseau, et pas seulement vos points de vente.
Mettez vos équipements à niveau
Lorsque vos matériels arrivent en fin de vie, il est temps de les mettre à niveau. Souvent, les matériels et logiciels qui ne sont plus pris en charge ne pourront plus être mis à jour et les vulnérabilités ne seront plus corrigées.
Verrouillez vos points de vente
Utilisez la liste blanche et verrouillez vos systèmes de points de vente pour rendre l’infection par des malwares plus difficile.
N’autorisez que les applications de confiance à s’exécuter sur vos systèmes de points de vente.
Installez un logiciel antivirus puissant
Veillez à ce que tous vos appareils soient protégés par une solution antivirus puissante et qu’ils soient configurés pour mettre à jour automatiquement leur base de données concernant les virus.
Recherchez régulièrement les malwares sur le réseau, en particulier sur vos points de vente.
Mettez en place un système de détection des intrusions
Ces systèmes surveillent votre réseau dans le but de détecter toute activité inhabituelle qui pourrait indiquer une infection par un malware, les tentatives d’intrusion par des pirates dans vos points de vente et tout autre trafic inhabituel qui pourrait être dangereux.
À première vue, SpamTitan et VadeSecure semblent être des produits équivalents.
Dans cet article, nous proposons une comparaison de SpamTitan et de VadeSecure pour aider les fournisseurs de services managés (MSP) à différencier ces deux solutions.
SpamTitan et VadeSecure : c’est quoi ?
SpamTitan et VadeSecure sont deux solutions de sécurité de la messagerie électronique qui bloquent les spams, les emails de phishing et les spams – des spams qui livrent des malwares ou des téléchargeurs de malwares – qui nuisent à la productivité de votre entreprise.
Ces solutions basées dans le cloud évaluent tous les emails entrants et déterminent s’il s’agit de véritables communications, de spams ou de messages malveillants. Elles traitent les messages en conséquence, dans le but d’empêcher les employés de les ouvrir s’ils sont malveillants.
Qui est TItanHQ ?
TitanHQ est le principal fournisseur de solutions de sécurité de la messagerie électronique et du web basées dans le cloud. Il assure la sécurité de la messagerie électronique des MSP depuis plus de deux décennies. SpamTitan est l’offre de TitanHQ en matière de sécurité de la messagerie électronique. Elle a été développée pour les PME et les MSP qui desservent le marché des PME.
Qui est Vadesecure ?
VadeSecure est une société française qui a développé une solution de sécurité de la messagerie électronique pour les PME.
Comme SpamTitan, VadeSecure offre une protection contre les menaces basées sur la messagerie électronique et fournit une couche de sécurité supplémentaire importante, en particulier pour les environnements Office 365.
L’entreprise s’aventure maintenant sur le marché des MSP et a récemment levé 79 millions de dollars supplémentaires en capital-risque pour l’aider à faire son entrée dans ce secteur. Toutefois, pour l’heure, la solution qu’elle fournit est principalement destinée aux PME plutôt qu’aux MSP.
Protection renforcée contre le phishing pour les comptes Office 365
Office 365 est le service dans le cloud le plus utilisé en termes de nombre d’utilisateurs. Les chiffres de 2019 montrent que les services dans le cloud d’Office 365 sont utilisés par un employé d’entreprise sur cinq, la messagerie électronique d’Office 365 étant le plus courant.
Avec autant d’entreprises qui utilisent Office 365, il n’est pas surprenant que les comptes de messagerie électronique d’Office 365 soient fortement ciblés par les pirates et les escrocs.
Microsoft a mis en place des mesures pour bloquer les spams et les attaques de phishing, mais le niveau de protection fourni par Exchange Online Protection (EOP) n’est pas suffisant pour de nombreuses entreprises.
Selon une étude d’Avanan, 25 % des emails de phishing parviennent à contourner les défenses de Microsoft EOP et arrivent dans les boîtes de réception des utilisateurs d’Office 365.
Par conséquent, une protection supplémentaire est nécessaire. De nombreuses entreprises choisissent alors de mettre en place une solution anti-phishing fournie par des tiers tels que SpamTitan et VadeSecure. Les MSP proposent également des solutions tierces pour bloquer les attaques de phishing sur les comptes Office 365, non seulement pour mieux protéger leurs clients, mais aussi pour réduire le temps qu’ils consacrent à l’atténuation des attaques de phishing qui n’ont pas été bloquées par l’EOP.
SpamTitan et VadeSecure ont été conçus pour fonctionner en complément d’Office 365, en ajoutant une importante couche de protection supplémentaire pour la messagerie électronique.
Aujourd’hui, nous nous concentrerons sur la comparaison entre SpamTitan et VadeSecure, en mettant l’accent sur les fonctionnalités et les avantages pour les MSP, plutôt que pour les PME.
Comparaison entre SpamTitan et VadeSecure pour les MSP au service des PME
Comme VadeSecure s’est historiquement concentré sur le marché des télécoms, sa solution de sécurité de la messagerie électronique manque de nombreuses fonctionnalités pour faciliter la tâche des MSP.
Elle n’offre pas le niveau de contrôle, de flexibilité, ni les outils de gestion et de rapports que les MSP recherchent. Quant à SpamTitan, il a été développé par des MSP pour des MSP pour que les fonctionnalités importantes pour les MSP soient les plus complètes possible.
Nous aborderons ces fonctionnalités dans les paragraphes qui suivent.
Les fonctionnalités de SpamTitan pour les MSP ne sont pas proposées par VadeSecure
Cette comparaison entre SpamTitan et VadeSecure peut sembler un peu unilatérale, et ce, parce que VadeSecure est très axé sur les utilisateurs finaux plutôt que sur les MSP.
Il ne fait aucun doute que la solution sera mise à jour pour incorporer des fonctionnalités plus conviviales pour les MSP au fil du temps, au fur et à mesure que la société tentera de se tailler une part de marché dans le secteur des MSP.
Pour l’instant, de nombreuses fonctionnalités fournies par SpamTitan ne sont pas proposées par VadeSecure.
Flexibilité de la configuration et potentiel de personnalisation
L’un des plus gros problèmes de VadeSecure est qu’il ne peut pas être configuré pour répondre aux besoins des MSP. Par exemple, il ne permet pas la création des règles personnalisées. Les MSP doivent donc utiliser la fonctionnalité d’administration d’Exchange d’Office 365.
Avec SpamTitan, les MSP peuvent créer des règles basées sur leurs propres exigences et les besoins de chacun de leurs clients. Ces règles peuvent être très granulaires et peuvent facilement être appliquées à des groupes d’utilisateurs ; à un utilisateur individuel ou à des domaines spécifiques.
Ce niveau de granularité et la facilité de personnalisation permettent aux MSP d’affiner les politiques de filtrage, ce qui maximise la détection des menaces, tout en minimisant les faux négatifs.
Ainsi, les MSP peuvent facilement sélectionner des politiques plus acceptables ou plus agressives pour chaque client.
Par contre, avec VadeSecure, il n’y a pas d’option de personnalisation pour chaque client.
Une véritable option multi-tenant
SpamTitan comprend une vue complète de tous les clients, avec plusieurs rôles de gestion.
Cela permet aux MSP de surveiller facilement l’ensemble de leurs clients et de leur base d’essai ; d’évaluer la santé des déploiements ; de visualiser les volumes d’activité de tous les clients et d’identifier rapidement les problèmes qui nécessitent une attention particulière.
Avec VadeSecure, il n’y a pas de possibilité d’intégration avec les PSA et les RMM, et il n’y a pas de vue de l’ensemble du système pour l’ensemble des clients.
Rapports très granulaires
Les MSP peuvent dire à leurs clients combien il est important d’améliorer leurs défenses de sécurité, mais ils doivent également être en mesure de démontrer que les solutions qu’ils proposent sont efficaces pour bloquer les menaces. Ainsi, ils pourront s’assurer qu’ils pourront continuer à fournir ces services à leurs clients, et donc à recevoir des revenus réguliers et répétitifs.
Avec SpamTitan, les MSP disposent de rapports très granulaires qui leur donnent une visibilité totale sur ce qui se passe sur leur système. Cette option leur permet également d’avoir une vue détaillée des performances de leur système. Les rapports des clients peuvent facilement être générés pour leur montrer l’efficacité de la solution et pourquoi il est important de la maintenir en place.
En outre, ce niveau de rapport – par domaine, par groupe ou par client – donne aux MSP les informations dont ils ont besoin pour identifier les problèmes potentiels et leur permet d’obtenir des informations détaillées sur les spams.
D’ailleurs, la solution dispose des capacités de gestion nécessaires pour permettre d’identifier et de corriger rapidement tout problème afin de garantir que la solution reste efficace dans le temps.
Avec VadeSecure, les options de visibilité et de contrôle font défaut et il n’y a pas d’options pour que les MSP puissent démontrer l’efficacité de la solution à leurs clients.
Marges élevées et potentiel de revenus importants
La flexibilité et la possibilité de personnalisation constituent un réel avantage pour les MSP, car elles leur permettent d’apporter une plus grande valeur ajoutée grâce à des capacités de gestion supérieures. Cela signifie que les MSP peuvent élaborer des solutions qui profitent réellement à leurs clients.
Cela les aide à devenir un partenaire stratégique que les fournisseurs de services informatiques. En effet, il est beaucoup plus difficile pour les clients de changer de partenaire stratégique que de changer de fournisseur de services informatiques.
VadeSecure ne dispose pas de cette option de personnalisation, ce qui signifie qu’il n’est pas possible pour les MSP d’ajouter de la valeur pour générer des revenus fiables et récurrents.
Par ailleurs, avec VadeSecure, vous ne pouvez obtenir qu’un seul produit. Par contre, TitanHQ propose aux MSP un trio de solutions qui leur permet de mieux protéger leurs clients et d’ajouter des flux de revenus plus récurrents.
Grâce au programme TitanShield for Service Providers, les MSP ont également accès au filtrage DNS de WebTitan et à l’archivage des emails d’ArcTitan.
Grace à ces trois solutions, les MSP peuvent maximiser les revenus de chaque client en vendant de nouveaux services, tout en offrant un ensemble de mesures de sécurité à plusieurs niveaux pour les protéger contre les nombreuses menaces liées à la messagerie électronique et au web.
Une tarification totalement transparente
VadeSecure – comme de nombreuses autres solutions de sécurité de la messagerie électronique – manque de transparence en matière de tarification et le modèle qu’il propose est à la fois complexe et coûteux. Plusieurs fonctionnalités ne sont pas incluses dans la version standard.
Elles ne sont accessibles que si les MSP font des dépenses supplémentaires. Il est donc difficile d’effectuer une comparaison des prix de SpamTitan et de VadeSecure.
Par exemple, avec VadeSecure, la solution est tarifée par module, de sorte que les options Greymail, Spam et Virus Protection ne sont pas fournies en standard et doivent être ajoutées, moyennant un coût supplémentaire. D’après les commentaires que nous avons reçus des MSP, la solution est coûteuse, ce qui réduit leurs bénéfices et rend la solution de sécurité de la messagerie électronique plus difficile à vendre aux PME.
Avec VadeSecure, le nombre total d’utilisateurs n’est pas agrégé, ce qui montre un manque d’expérience de travail avec les MSP. Un MSP disposant de 100 licences de 10 places aura une rémunération de 10 places chacune au lieu de 1 000 places au total. Les réductions seront donc beaucoup moins importantes.
Avec SpamTitan, il n’y a qu’un seul prix qui comprend toutes les fonctionnalités, y compris le bac à sable, l’assistance complète, la double protection antivirus, tous les modules de sécurité et les mises à jour. En outre, le prix est exceptionnellement compétitif, soit environ 0,91 euro par utilisateur. Le modèle de prix a été créé pour intégrer la flexibilité nécessaire pour faire face à la fluctuation du nombre de clients.
Efficacité dans le blocage des menaces
Le prix, la facilité d’utilisation et la flexibilité sont des caractéristiques importantes pour les MSP, mais ce ne sont que la cerise sur le gâteau. Les solutions de sécurité de la messagerie électronique sont conçues pour protéger les PME contre les menaces. L’efficacité de la solution est donc l’élément le plus important. SpamTitan et VadeSecure sont efficaces pour bloquer les menaces et fournir une couche de sécurité supplémentaire importante pour les utilisateurs d’Office 365. Pourtant, les commentaires que nous avons reçus des MSP montrent qu’il y a un gagnant évident.
VadeSecure comprend une protection contre les hyperliens intégrés, qui réécrit les URL et les envoie à un scanner. C’est une solution intéressante, mais les MSP ont signalé que la détection des emails de phishing peut prendre beaucoup de temps avec ce processus, même après que les menaces aient été bloquées par Chrome. Cela signifie que beaucoup d’emails de phishing peuvent encore être livrés dans les boites de réception des utilisateurs et qu’il existe une faille à travers laquelle une attaque cybercriminelle pourrait se produire et réussir. Cette fonction de clic sur l’URL ne semble fonctionner que dans OWA ou Outlook, car il s’agit d’une intégration API avec Office 365.
SpamTitan comprend des méthodes de détection plus avancées pour garantir que les URL malveillantes soient détectées et que les emails de phishing soient filtrés. SpamTitan inclut le filtrage SURBL et d’autres mécanismes de détection des URL malveillantes qui complètent les mécanismes par défaut d’Office 365, tels que les protocoles de vérification des destinataires, les cadres de politique d’envoi et les agents de filtrage de contenu. Les utilisateurs finaux sont ainsi mieux protégés et la probabilité qu’un email de phishing échappe à la détection est beaucoup plus faible.
Une double protection anti-virus est également fournie et SpamTitan dispose d’une sandbox où les pièces jointes suspectes peuvent être analysées en toute sécurité pour détecter les actions malveillantes. Cela offre une protection supérieure contre les malwares, les ransomwares et les menaces du type « zero-day » qui ne sont pas détectées par les deux moteurs antivirus.
Vous avez sans doute entendu parler de l’attaque du type « Man-in-the-Middle » (MiTM).
Nous définissons ici cette méthode d’attaque et nous vous expliquerons comment se produit une attaque MiTM.
Ensuite, nous vous montrons comment empêcher une telle attaque et comment mieux sécuriser vos appareils et vos réseaux informatiques.
Qu’est-ce qu’une attaque du type « Man-in-the-Middle » ?
Les attaques MiTM sont souvent citées comme une menace, mais en quoi consistent-elles exactement ?
Comme leur nom l’indique, il s’agit d’un scénario dans lequel une personne s’insère entre deux systèmes de communication dans le but d’intercepter les conversations ou les données envoyées entre les deux.
Il s’agit de l’équivalent informatique de l’écoute d’un appel téléphonique où aucune des parties n’est consciente que sa conversation n’est pas privée et confidentielle.
Dans le cas d’un appel téléphonique, l’écoute permettrait à un pirate de recueillir une foule d’informations sensibles, lesquelles sont divulguées verbalement entre les deux parties. Dans ce scénario, le pirate n’influence pas la conversation. Il doit attendre qu’une précieuse pépite d’informations soit divulguée par l’une ou l’autre des parties.
Une attaque MiTM vise à intercepter les données transférées entre deux parties. Il peut s’agir de données envoyées via une application pour Smartphone vers un serveur, via une application de messagerie instantanée telle que WhatsApp, ou par le biais d’un email entre les deux parties. Il peut également s’agir d’une communication entre le navigateur d’un utilisateur et un site web.
Contrairement au scénario de l’appel téléphonique, qui est passif, dans une attaque MiTM, l’attaquant peut influencer ce qui est dit. Lors d’une attaque MiTM, les deux personnes ou systèmes qui croient échanger des données ou informations sensibles ne communiquent pas vraiment entre eux.
En réalité, chacun d’eux communique avec l’attaquant.
Prenons l’exemple de la messagerie électronique. Si une personne A entamé une conversation par email avec une personne B et demande un virement bancaire pour payer un quelconque service rendu. La personne A peut fournir les coordonnées bancaires, et la personne B accepte le virement. Divers détails sont discutés et le virement est finalement effectué.
Il peut y avoir 10 messages ou plus envoyés par chaque partie lors de la conversation. Pourtant, chaque email échangé entre les deux parties peut être modifié par l’attaquant, notamment les coordonnées bancaires pour le virement. Aucune des deux personnes n’a communiqué avec l’autre, mais les deux parties pourraient être dupées et convaincues qu’elles le font vraiment.
Quelques types d’attaques MiTM
L’objectif d’une attaque MiTM est d’intercepter des informations sensibles, généralement dans un but de réaliser un gain financier. Mais les pirates peuvent utiliser différentes manières pour y escroquer ses victimes. En règle générale, une attaque MiTM peut se faire de quatre manières principales :
Le reniflage de paquets (packet sniffing)
L’injection de paquets
Le détournement de session
La redirection des utilisateurs des sites malveillants.
Le reniflage de paquets est l’une des méthodes d’attaque MiTM les plus courantes et constitue une forme d’écoute ou de mise sur écoute, sauf que ce ne sont pas des conversations téléphoniques que les pirates essayent d’obtenir. Il s’agit de paquets de données envoyés entre les deux systèmes.
Le reniflage de paquets est beaucoup plus facile lorsque les données sensibles ne sont pas chiffrées, par exemple lorsque des informations sont divulguées entre un navigateur et un site web HTTP, plutôt que HTTPS où la connexion est chiffrée.
Les attaques par reniflage et leurs types
Le reniflage est le processus de surveillance et de capture de tous les paquets de données qui passent par un réseau informatique par le biais des renifleurs de paquets. Les administrateurs réseau utilisent les renifleurs de paquets pour suivre le trafic de données qui passent par leur réseau. Dans ce cas, ils sont appelés analyseurs de protocole réseau. De la même manière, les pirates informatiques utilisent ces outils pour capturer des paquets de données dans un réseau à des fins malveillantes.
Les pirates utilisent ensuite les paquets de données capturés sur un réseau pour extraire et voler des données sensibles comme des noms d’utilisateur, des mots de passe, des informations sur les cartes de crédit, etc. Les cybercriminels installent ces renifleurs dans votre système sous forme de matériel ou de logiciels. En réalité, il existe différents types d’outils de reniflage qui peuvent être utilisés, notamment BetterCAP, Ettercap, Tcpdump, WinDump, Wireshark, etc.
Quelle est la différence entre reniflage de paquets et usurpation d’identité ?
En reniflant les paquets, le pirate « écoute » le trafic de données de votre réseau et capturent les paquets de données à l’aide de renifleurs de paquets. Lors d’une usurpation d’identité, il tente de voler les informations d’identification d’un utilisateur dans le but de les utiliser dans un système en tant qu’utilisateur légitime.
Les différents types de reniflage
Le reniflage peut être classé en deux principales catégories : le reniflage actif et le reniflage passif.
En ce qui concerne le reniflage actif, il est effectué sur un réseau commuté, c’est-à-dire qu’il y a un appareil (commutateur) qui relie deux appareils de réseau entre eux. Le commutateur utilise l’adresse MAC ou « Media Access Control » pour transmettre des données à leurs ports de destination. Pour permettre le reniflage et en tirent profit, les pirates informatiques injectent du trafic dans le réseau local.
Quant au reniflage passif, le principe consiste à utiliser des commutateurs qui fonctionnent de la même manière que les commutateurs actifs, mais ils utilisent l’adresse MAC pour lire les ports de destination des données. L’attaquant se contente donc de se connecter simplement au réseau local pour pouvoir renifler le trafic de données dans votre réseau.
Le reniflage peut causer beaucoup de préjudices à l’utilisateur ou à un système de réseau, car le pirate peut renifler divers types d’informations (trafic de courrier électronique, trafic web, mots de passe FTP, sessions de chat, mots de passe Telnet, configuration du routeur, trafic DNS, etc.).
L’injection de paquets
Comme toute entreprise ou toute autre organisation, la collecte et l’analyse de données sont essentielles. Ceci nécessite l’utilisation des ressources internes. Pour contrôler ces ressources à distance, on peut installer un logiciel directement sur un ordinateur, utiliser un téléphone ou d’autres types d’appareils. Ce sont les moyens privilégiés par les pirates de surveiller les informations, mais ce ne sont pas les seuls.
L’injection de paquets sans fil peut également être utilisée pour accéder et surveiller le trafic sur votre réseau, voire exécuter des attaques par déni de service (DDoS). Cependant, de nombreux pirates préfèrent utiliser des outils et des logiciels d’injection de paquets comme Aircrack-ng pour les tests de pénétration des réseaux WiFi.
Il est important de comprendre l’injection de paquets, car les pirates peuvent l’utiliser pour voler les informations que vous envoyez sur les réseaux publics. Ils peuvent également s’en servir pour accéder à votre réseau personnel ou pour installer un botnet sur vos appareils IoT.
Le détournement de session
Le terme « détournement de session » est une pratique lors de laquelle un pirate parvient à prendre le contrôle d’une partie d’une session — souvent une conversation via un réseau — et à agir comme l’un des participants. Le détournement de session est généralement une extension du reniflage, sauf que le reniflage est passif et que le détournement de session requiert une participation active.
Le principe du détournement est d’exploiter les faiblesses des réseaux et de protocoles non chiffrés. Le reniflage exploite également les mêmes faiblesses. Mais en plus de surveiller les informations, les pirates peuvent également utiliser le détournement pour injecter un paquet ou une trame qui prétend être l’un des hôtes de communication.
Dans la plupart des cas, lorsqu’un employé se connecte à une application web, son serveur place un cookie de session temporaire dans son navigateur afin de se souvenir qu’il est actuellement connecté et authentifié. Pour effectuer un détournement de session, le pirate doit donc connaître son identifiant de session. Pour ce faire, il peut voler le cookie de session ou persuader l’employé de cliquer sur un lien malveillant contenant un identifiant de session usurpé. Dans les deux cas, une fois que l’employé s’est authentifié sur le serveur de l’entreprise, le pirate peut prendre le contrôle (c’est-à-dire détourner) la session en utilisant le même identifiant de session pour sa propre session de navigateur. Le serveur pourrait alors traiter la connexion du pirate comme la session valide de l’employé.
Qu’est-ce qu’un pirate informatique peut faire après un détournement de session réussi ?
En cas de succès, le cybercriminel peut effectuer toutes les actions que l’employé est autorisé à faire pendant une session active. À titre d’exemple, il peut transférer de l’argent de son compte bancaire ; se faire passer pour l’employé pour accéder à des informations sensibles et détaillées en usurpant son identité ; voler les données personnelles des clients ou chiffrer des données précieuses de son entreprise, exiger une rançon pour déchiffrer des fichiers corrompus, etc.
Pour les grandes organisations, ce type d’attaque peut représenter un énorme danger. En fait, les cookies peuvent être utilisés pour identifier des utilisateurs authentifiés dans les systèmes de signature unique ou SSO (Single Sign-On). Autrement dit, si le pirate réussit à détourner une session, il aura accès à de multiples applications web, des dossiers clients, des systèmes financiers et aux systèmes de ligne d’affaires qui peuvent contenir une propriété intellectuelle précieuse.
La redirection
Il s’agit également d’une forme de menace MiTM. La redirection consiste à amener les utilisateurs vers des sites malveillants. Pour ce cas précis, même si l’employé utilise une session HTTPS — qui est censé être sécurisée – celle-ci peut être chiffrée, déchiffrée puis transformée en HTTP par les pirates pour qu’ils puissent obtenir les données sensibles de leurs victimes à leur insu.
En réalité, lorsque la victime souhaite consulter site web, il doit suivre un lien, mais il sera redirigé vers un site complètement différent. Il peut s’agir d’une publicité malveillante, d’un téléchargeur de malwares ou d’une fausse version du site légitime. Cette technique est l’un des moyens les plus courants de détourner le trafic web.
Notons toutefois que la redirection n’affecte pas toujours tous les utilisateurs. Pourtant, quelle que soit la façon dont elle fonctionne, elle peut poser de sérieux problèmes au propriétaire du site ainsi qu’aux internautes. Au cas où des redirections malveillantes s’infiltreraient sur votre site web d’entreprise, il est important de vous en débarrasser. Vous devez aussi trouver et corriger les vulnérabilités qui sont à l’origine de l’incident et améliorer la protection de votre site web.
Quelles sont les conséquences des redirections malveillantes ?
Deux types de scénarios peuvent se produire lorsque les navigateurs sont incorrectement redirigés. D’une part, le visiteur ne pourra pas retrouver le contenu qu’il cherchait. Il atterrit probablement sur une page publicitaire pour des offres de pornographie d’un site de téléchargement de malwares ou d’escroquerie. D’autre part, le site redirigé peut sembler appartenir au site légitime. Il sera donc difficile pour le visiteur de dire lequel est le pire.
Concrètement, les visiteurs peuvent être dupés et perdre de l’argent ou subir des attaques de malwares. Ils vont reconnaître ce qui s’est passé et fermer la page. Ils ne feront plus confiance même au site légitime qu’ils essayaient de visiter, et beaucoup d’entre eux ne vont plus consulter à nouveau le site web de votre entreprise. Ceci résultera en une perte de réputation de votre organisation et d’opportunités commerciales. De plus, les moteurs de recherche pourront rétrograder le classement de votre site ou l’excluront complètement.
Pour une protection solide de votre site web, utiliser des solutions qui permettent de détecter les malwares et les supprimer, tout en fournissant un pare-feu pour vos applications web. Ainsi, vos employés ne verront que les pages web qu’ils devraient voir et auront une expérience sûre pendant leur navigation sur Internet.
Exemple d’attaque de l’homme du milieu
Lors ‘une récente attaque MiTM, CrowdStrike avait identifié un module Trickbot appelé shaDll. Ce module installait des certificats SSL illégitimes sur les ordinateurs infectés, permettant à l’outil d’accéder au réseau de l’utilisateur. Ceci a permis au module de rediriger l’activité web des utilisateurs, d’injecter du code malveillant, de prendre des captures d’écran et de collecter des données sensibles.
Ce qui rendait cette attaque tout particulièrement intéressante, c’est qu’il s’agissait d’une collaboration apparente entre deux groupes cybercriminels connus, à savoir WIZARD SPIDER et LUNAR SPIDER. Le module utilisait le module proxy BokBot de LUNAR SPIDER comme base puis déployait le module TrickBot de WIZARD SPIDER pour réussir l’attaque. Une telle collaboration entre ces deux adversaires démontre la sophistication croissante des attaques MITM.
Heureusement, les attaques MiTM peuvent être difficiles à réaliser : le potentiel d’une attaque peut donc être limité.
Néanmoins, il existe des pirates informatiques qualifiés qui peuvent mener ce genre d’attaque et accéder à des données sensibles et à des comptes bancaires des victimes.
L’un des exemples les plus courants est le scénario d’un café où un attaquant crée un double point d’accès malveillant appelé « Evil Twin ».
Evil-Twin, l’une des menaces WiFi les plus dangereuses
L’attaque Evil Twin est l’une des attaques MiTM très connues et les plus utilisées par les pirates informatiques. Étonnamment, ce type de menace existe depuis près de deux décennies. Récemment, le ministère américain de la justice a accusé des cybercriminels au sein de l’agence militaire russe d’avoir mis en œuvre des attaques Evil Twin dans le but de voler des identifiants et d’implanter des logiciels espions (malwares). Ces attaques visaient des organisations comme les agences antidopage, les laboratoires de tests chimiques et les centrales nucléaires.
Comment les attaques Evil-Twin fonctionnent-elles ? En fait, le processus se fait en quatre étapes :
1. Le pirate installe de faux points d’accès sans fil
Dans un premier temps, l’attaquant met en place de faux points d’accès sans fil. Mais, avant cela, il analyse et choisit des endroits où il y a beaucoup de points d’accès, tels que les aéroports, les arrêts de bus, les supermarchés ou les hôtels. Ensuite, il fait exactement la même chose que vous faites parfois pour partager une connexion avec vos amis. Vous utilisez par exemple votre téléphone comme un hotspot, et c’est ce que fait aussi le pirate informatique. Mais au lieu d’utiliser son propre SSID (Service Set Identifier), il utilise le même nom de la connexion légitime disponible à l’endroit où il se trouve.
2. Le pirate crée un faux portail captif qui semble légitime
Si vous avez déjà utilisé le WiFi public, vous avez certainement remarqué qu’il y a une page qui, en général, demande quelques informations de base sur vous. Cette page peut aussi vous inviter à entrer un identifiant et un mot de passe WiFi. C’est ce qu’on appelle le « portail captif ». Si le réseau WiFi est ouvert au public et n’a pas besoin d’un identifiant, le pirate passera outre. Par contre, si le réseau WiFi en a besoin, le pirate peut falsifier un portail captif qui lui permettra d’obtenir des informations de connexion et se connecter au réseau.
3. L’utilisateur se connecte au réseau Evil-Twin
Le pirate a maintenant réussi à mettre en place un double point d’accès WiFi et créé le faux portail captif. Il devra maintenant tromper les gens pour qu’ils se connectent au réseau malveillant. Ainsi, pour attirer les utilisateurs, ils peuvent, soit tenter de créer un signal WiFi plus puissant (en se positionnant plus près de leurs victimes), soit ils inondent le réseau légitime avec des paquets de désauthentification. De cette manière, les appareils connectés au réseau légitime seront déconnectés, ce qui ramènera les utilisateurs à leur page de connexion WiFi. Dès qu’ils voient un autre wifi du même nom (le SSID malveillant) et avec une connexion forte, ils s’y connectent.
4. Redirection
Enfin, lorsque les internautes saisissent leurs identifiants de connexion dans le faux portail captif, le cybercriminel peut désormais collecter différentes sortes d’informations, surveiller le trafic du réseau et tout ce que les internautes connectés au point d’accès malveillant font en ligne.
À noter que les réseaux Evil Twin ne sont pas limités aux WiFi publics. Ces attaques peuvent se produire dans d’autres endroits comme les bureaux, les dortoirs, les hôtels… bref, partout où les victimes peuvent être amenées par la ruse à se connecter à des faux points d’accès sans fil.
Dans une entreprise, un pirate informatique peut définir son SSID comme étant le même que le point d’accès au hotspot local ou au réseau sans fil légitime de l’organisation. Il perturbe ou désactive ensuite la connexion légitime en la déconnectant, puis en dirigeant un déni de service contre elle. Il peut aussi créer des interférences autour de cette connexion. Les employés vont donc perdre leur connexion au point d’accès légitime et se reconnectent au réseau Evil Twin, ce qui permet au pirate d’intercepter tout le trafic vers cet appareil.
Comment prévenir une attaque du type « Man-in-the-Middle » ?
Ne divulguez jamais de données sensibles lorsque vous vous connectez à un réseau WiFi public non fiable. Ne vous connectez que via un VPN et, dans l’idéal, attendez d’être sur un réseau WiFi de confiance pour accéder à vos comptes bancaires en ligne.
Assurez-vous que le site web est protégé par un certificat SSL comme HTTPS. Toutefois, n’oubliez pas que les pirates peuvent aussi utiliser des certificats SSL. Ceci signifie que, même si un site utilise HTTPS, cela ne veut pas dire qu’il est authentique.
N’utilisez pas les hyperliens inclus dans les emails, visitez toujours le site web directement en tapant l’URL correcte dans votre navigateur ou en cherchant l’URL correcte via une recherche Google.
N’installez pas de logiciels non autorisés, ni d’applications provenant de magasins d’applications tiers. Ne téléchargez pas et n’utilisez pas de logiciels que vous ne connaissez pas, car ils sont souvent piratés.
Votre entreprise doit mettre en place une solution de filtrage DNS pour protéger vos employés et les empêcher de visiter des sites web malveillants.
Assurez-vous que vos réseaux sont sécurisés et que des outils de sécurité appropriés sont installés.
Désactivez les protocoles SSL/TLS non sécurisés sur votre site web – seuls les protocoles TLS 1.1 et TLS 1.2 doivent être activés – et mettez en place le module STEH qui fera office de contrôleur de domaine principal.
Conclusion
Obtenir un accès gratuit ou non à Internet est une chose à la fois amusante et enrichissante. Cela peut constituer un atout concurrentiel pour une organisation, mais il existe différentes menaces qui peuvent entraîner le vol d’identifiants et de données sensibles ou encore le téléchargement de malwares. Vous devez donc être plus vigilants avant d’utiliser un réseau WiFi notamment en ce qui concerne les attaques du type MiTM.
Malheureusement, la plupart des innovations en termes de connexion sans fil se sont limitées à des éléments comme la portée radio ainsi que la vitesse de connexion, au lieu de la sécurité. Sans une meilleure prise en compte de la sécurité du WiFi, de nombreux professionnels des réseaux et de la sécurité ne parviennent pas à se protéger efficacement contre les menaces en ligne. C’est pour cela qu’il faut des couches de protection supplémentaires contre les malwares et bien d’autres attaques en ligne lancées via le WiFi. Pour plus d’informations concernant la protection de votre organisation, contactez l’équipe de TitanHQ dès maintenant.
À l’approche de Noël, les acheteurs ont été avertis de se méfier des typosquatteurs, qui s’attaquent à ceux qui orthographient mal les noms de domaines des sites web qu’ils consultent pour faire leurs achats.
Le « typosquattage » ou « détournement d’URL » est une forme d’attaque fondée principalement sur les fautes de frappe et d’orthographe commises par les internautes au moment où ils saisissent une adresse web d’un site malveillant, mais qui ressemble à un site légitime. Ce n’est pas un phénomène nouveau, mais on a récemment constaté une augmentation significative du nombre de ces sites malveillants sur le web.
Toute entreprise qui acquiert une présence en ligne importante peut faire l’objet d’une attaque par typosquattage. Des marques géantes comme Twitter, Facebook et Google ont toutes été victimes. Par le passé, Facebook et Google ont intenté des procès contre des typosquatteurs présumés, arguant qu’ils portaient atteinte aux marques de l’entreprise, en utilisant des noms de domaine tels que « facebobk.com », « fscecbook.com ».
En réalité, le nom de domaine malveillant peut imiter celui des sites web populaires, grâce à l’utilisation des noms qui semblent mal tapés – comme « Amaon » au lieu de « Amazon » – ou grâce à une substitution de lettres.
Il s’agit d’une technique importante à connaître.
Les achats en ligne sur le lieu de travail compromettent la sécurité des réseaux informatiques des entreprises
Les cybercriminels enregistreraient également des sites légitimes avec de faux suffixes tels que « .org » ou « .net ». Sachez que 80% des achats en ligne ont lieu pendant les heures de bureau.
Les employeurs doivent donc s’assurer que, lorsque leurs employés font des achats en ligne avec l’équipement de l’entreprise, ils accèdent à des sites sûrs et protégés et n’exposent pas le réseau et l’organisation à des menaces qui pourraient avoir de graves conséquences sur la sécurité et, en fin de compte, sur le plan financier.
Le secteur du commerce de détail est l’un des secteurs les plus vulnérables aux cyberattaques. C’est aussi l’un des secteurs les plus ciblés par les pirates.
Les faux sites web ecommerce ont tendance à se multiplier pendant la période des fêtes de fin d’année. Comme les faux sites de bienfaisance, ces faux sites de vente au détail enregistrent souvent des URL similaires à celles du magasin réel et possèdent des certificats TLS valides qui permettent des transactions HTTPS légitimes.
Cela ne diminue en rien les menaces en ligne plus classiques auxquelles le secteur du commerce de détail est confronté, telles que les attaques par écrémage de cartes de paiement, les attaques par bourrage d’identifiants de cartes de crédit et les tentatives de connexion à des bases de données mal sécurisées.
La croissance des réseaux de publicité en ligne facilite la tâche des typosquatteurs
Avec la croissance continue des réseaux de publicité en ligne, il devient plus facile pour les squatteurs de gagner de l’argent grâce à leurs sites malveillants.
Un employé naïf ou négligent peut se laisser duper par un site d’escroquerie, en le croyant légitime. Le réseau et les données de l’entreprise peuvent alors être exposés aux pirates, dont les conséquences peuvent être dévastatrices. Dans la plupart des cas, cela entraîne aussi une opération de nettoyage et de récupération des données très coûteuse.
Pour vos prochains achats de Noël et des soldes de janvier, une saisie minutieuse du nom de domaine d’un site de vente en ligne peut vous aider à garantir que les machines de votre entreprise ne sont pas compromises, mais une saisie minutieuse ne suffira pas à résoudre le problème.
Quelques conseils de sécurité pour la messagerie électronique et le web
Il est crucial de maintenir à jour vos solutions de sécurité de la messagerie électronique et du web
Vos employés doivent savoir que ces sites malveillants existent et quelles sont les conséquences pour leur organisation si un employé tombe dans le piège, en croyant que l’un de ces sites est légitime.
Vos employés doivent taper soigneusement le nom de domaine des sites web qu’ils consultent et ils doivent être conscients que certains sites malveillants peuvent paraître légitimes.
Étant donné que l’attaque par typosquattage a de plus en plus de succès, les attaquants continueront à utiliser cette technique. Si vous voulez être protégé contre le typosquattage, nous vous recommandons d’utiliser le filtrage DNS dans le cloud de WebTitan. Il peut bloquer automatiquement les sites de phishing.
Utilisez-le si vous ne voulez pas être la prochaine victime des typosquatteurs et des autres pirates informatiques.
Dans la hâte d’acheter des cadeaux de Noël en ligne, les consommateurs négligent souvent la question de sécurité de leurs transactions, et les pirates informatiques n’hésitent pas à profiter de cette situation.
Parmi les innombrables emails envoyés par les détaillants pour informer leurs anciens clients des dernières offres et promotions, se cachent de nombreuses escroqueries, notamment pendant les fêtes de fin d’année. Pour un œil non averti, ces emails frauduleux ne semblent pas être différents de ceux envoyés par des détaillants authentiques. D’autre part, il y a les sites de phishing qui peuvent enregistrer les détails et les numéros de leurs cartes de crédit et les sites d’hébergement de kits d’exploitation qui peuvent installer silencieusement des malwares sur les périphériques connectés qu’ils utilisent. Qu’à cela ne tienne, faire des achats en ligne présente donc des risques.
Toutefois, si vous êtes prudent, vous pouvez éviter les escroqueries par emails, les attaques de phishing et les infections par des malwares pendant les fêtes de fin d’année. Voici nos conseils !
Conseils pour rester en sécurité pendant les fêtes de fin d’année
Dans les jours qui précèdent Noël, le nombre d’escroqueries via les emails et le web augmentent. Voici donc quelques conseils qui vous permettront de rester en sécurité lorsque vous allez faire des achats en ligne.
Vérifiez soigneusement l’URL des sites web avant de communiquer les détails de votre carte de crédit
Les sites web usurpés ressemblent souvent aux sites authentiques qu’ils imitent.
Ils utilisent le même arrière-plan, le même style, les mêmes images et la même marque que les sites de vente au détail. La seule chose qui diffère, c’est l’URL.
Avant de renseigner les détails de votre carte, vérifiez l’URL du site et assurez-vous que vous n’êtes pas sur un site web usurpé.
Ne permettez jamais aux détaillants de conserver les détails de votre carte pour de futures transactions
La carte de crédit est un outil qui vous permet de faire des achats rapidement.
Bien entendu, il est pénible de devoir entrer les détails de votre carte chaque fois que vous voulez acheter quelque chose. Pourtant, si vous prenez une minute supplémentaire pour entrer de nouveau les détails de votre carte à chaque fois, vous réduisez le risque que votre compte soit vidé par des escrocs.
Les cyberattaques contre les détaillants sont courantes, et les attaques par injection SQL peuvent donner aux pirates l’accès aux sites web des détaillants et au grand nombre de numéros de cartes de crédit que ces derniers ont stockés.
Les offres alléchantes ne sont pas toujours ce qu’elles paraissent
Vous découvrirez peut-être que vous avez gagné une PlayStation 4 ou le dernier iPhone dans un concours.
Bien qu’il soit possible que vous ayez gagné un prix, il est peu probable que cela se produise si vous n’avez pas participé à un tirage au sort. De même, si on vous offre une réduction de 50 % sur un achat par email, il est fort probable qu’il s’agisse d’une escroquerie. Les escrocs profitent du fait que tout le monde aime les bonnes affaires, et surtout pendant les vacances.
Si vous achetez en ligne, utilisez votre carte de crédit
Pour éviter la foule présente dans les boutiques physiques pendant la période de Noël et la longue attente en caisse, il n’y a rien de mieux que d’acheter vos cadeaux en ligne.
Attention toutefois, car vous aurez intérêt à utiliser votre carte de crédit pour vos achats au lieu d’une carte de débit. Si vous avez été victime d’une escroquerie pendant les vacances ou si les détails de votre carte de débit ont été volés auprès d’un détaillant, il est très peu probable que vous puissiez récupérer les fonds volés.
Avec une carte de crédit, vous bénéficiez de meilleures mesures de sécurité et vous avez beaucoup plus de chances d’être remboursé.
Ne jamais visiter les sites HTTP
Les sites web sécurisés par le protocole SSL sont plus sûrs. Si l’adresse d’un site web commence par HTTPS, cela signifie que la connexion entre votre navigateur et le site web est chiffrée.
Cela rend beaucoup plus difficile l’interception de données sensibles. Alors, ne communiquez jamais les détails de votre carte de crédit sur un site web dont l’adresse ne commence pas par HTTPS.
Vérifiez soigneusement les confirmations de commande et de livraison
Si vous commandez sur Internet, vous voudrez sans doute consulter le statut de votre commande et savoir quand vos achats seront livrés.
Si vous avez envoyé un email contenant des informations de suivi ou une confirmation de livraison, considérez ce message comme potentiellement dangereux. Il est préférable de vous rendre sur le site web de l’entreprise de livraison en entrant l’URL dans votre navigateur, plutôt que de visiter les liens envoyés via la messagerie électronique.
Les fausses confirmations de livraison et les liens de suivi des colis sont courants. Ces liens peuvent vous conduire à des sites de phishing et à des sites qui installent des malwares, tandis que les pièces jointes aux emails contiennent souvent des malwares et des ransomwares.
La période des vacances est mouvementée, mais soyez prudent en ligne
L’un des principaux facteurs de succès des escroqueries via la messagerie électronique pendant les vacances est que les gens sont souvent pressés.
Ils ne prennent pas le temps de lire attentivement les emails qu’ils reçoivent et de vérifier si les pièces jointes et les liens sont authentiques ou non, et les escrocs profitent de ces personnes très occupées. Le conseil à donner est de vérifier l’URL de destination de tout lien intégré à l’email avant de cliquer dessus.
Prenez également le temps de réfléchir avant de prendre des mesures en ligne ou de répondre à une demande par email.
Ayez des mots de passe différents pour plusieurs sites web différents
Vous pouvez décider d’acheter tous vos cadeaux de Noël sur Amazon, mais si vous devez vous inscrire sur plusieurs sites différents, n’utilisez jamais le même mot de passe pour ces sites.
La réutilisation des mots de passe est l’un des principaux moyens dont disposent les pirates informatiques pour saisir les détails d’accès à vos réseaux de médias sociaux et à vos comptes bancaires. Si une violation de données se produit chez un détaillant et que votre mot de passe est pris illégalement, les pirates informatiques tenteront de l’utiliser.
