La faillite du voyagiste britannique Thomas Cook a impliqué l’annulation des réservations de milliers de vacanciers et la perte d’emploi de 9 000 employés. L’agence, et d’autres entreprises britanniques de son groupe, ont été mises en liquidation judiciaire et les cybercriminels ont rapidement profité de cette situation pour en tirer profit. Des dizaines de noms de domaines liés à Thomas Cook ont été créés à la suite de l’effondrement de l’entreprise et plusieurs attaques de phishing ont été détectées.
Pour rappel, des remboursements ou une autre forme de compensation ont été promis à de nombreux clients de Thomas Cook suite à l’annulation de leurs projets de vacances pour lesquels ils avaient déjà payé. Mais les escrocs ont sauté sur la situation, dans l’espoir d’arnaquer les vacanciers sans méfiance. En réalité, ils ont lancé des attaques de phishing pour obtenir des informations sur les comptes bancaires et les cartes de crédit de leurs victimes.
Les clients qui ont réservé des vacances auprès de Thomas Cook sont protégés par le système ATOL et les remboursements sont en cours de traitement par la Civil Aviation Authority (CAA). Cet organisme a créé un sous-domaine sur son site web (thomascook.caa.co.uk) où les clients peuvent soumettre leurs demandes de remboursement.
Plus de 360 000 vacances ont été réservées par plus de 800 000 vacanciers. Dès le premier jour de la création du portail en ligne, plus de 60 000 clients ont soumis des formulaires de demande de remboursement. Selon la CAA, il fallait 60 jours pour que les remboursements soient effectués.
Les personnes qui n’ont pas encore soumis leur demande doivent faire preuve de prudence, car de nombreuses escroqueries de phishing ont été lancées par des pirates. Ces derniers affirment qu’ils offrent des remboursements pour les vacances annulées, le remboursement de dépenses personnelles que les clients ont effectuées et de fausses mises à jour de leur statut de demande de remboursement. Tout e-mail que vous recevez et qui est lié à l’agence Thomas Cook doit être considéré comme une menace potentielle.
Les escroqueries peuvent être menées dans le but de répandre des malwares ou des ransomwares. Un code malveillant est intégré dans les pièces jointes aux e-mails de phishing. L’ouverture de la pièce jointe peut déclencher le téléchargement de malwares.
Le message peut également contenir des hyperliens qui redirigent les victimes vers des sites web malveillants. Ces sites web les incitent à saisir des informations sensibles comme leur numéro de carte de crédit et de compte bancaires.
Les escrocs savent très bien que pour duper leurs victimes, ils devaient créer des formulaires de phishing utilisant de faux domaines de l’agence Thomas Cook.
Bien que les e-mails ne soient pas authentiques, certaines escroqueries de phishing de Thomas Cook sont pratiquement impossibles à distinguer des communications légitimes. De plus, les banques ont avisé leurs clients par e-mail, ce qui a donné aux fraudeurs encore plus d’occasions de tromper leurs cibles.
On a également signalé que d’anciens employés ont été la cible d’arnaqueurs qui leur offraient une rémunération.
La règle d’or pour éviter d’être victime de ce type d’escroquerie est de ne jamais répondre à une demande dans un e-mail non sollicité. Il ne faut jamais ouvrir les pièces jointes ou cliquer sur les hyperliens dans les messages. Au lieu d’utiliser les coordonnées incluses dans le corps du message, vous devriez consulter les canaux de communication officiels tels que le site web de la CAA et communiquer directement avec votre banque ou votre compagnie d’assurance voyage en utilisant des coordonnées vérifiées.
Si vous êtes à la recherche d’une alternative à Cisco Umbrella, vous n’êtes certainement pas le seul. TitanHQ a aidé des centaines d’entreprises à passer de cette solution de WebTitan Cloud. Dans la plupart des cas, la principale raison pour laquelle les entreprises cherchent une alternative à Cisco Umbrella est d’économiser de l’argent.
Le coût de la solution Cisco Umbrella est difficile à justifier pour de nombreuses PME et fournisseurs de services gérés (MSP). Le coût par utilisateur est considérablement plus élevé que de nombreuses autres solutions sur le marché. En fait, vous pourriez être surpris de voir combien d’argent vous pourriez économiser en changeant votre fournisseur de filtre Web.
Combien coûte la solution de sécurité Cisco Umbrella ?
Pour une entreprise de 100 utilisateurs, le coût de Cisco Umbrella en 2019 est de 1,99 euros par utilisateur par mois. C’est certainement un prix raisonnable étant donné le niveau de protection que cette solution fournit. Mais il existe d’autres alternatives qui sont accessibles à un coût réduit et qui fournissent le même niveau de protection contre les menaces web. Elles permettent un contrôle minutieux des types de contenus malveillants qui peuvent être consultés par les utilisateurs finaux.
Si vous avez 100 utilisateurs, vous dépenserez environ 200 euros par mois si vous optez pour Cisco Umbrella, soit 2 400 euros par an. Ce prix est raisonnable si vous comparez cela au coût généré suite à une infection malveillante, à une attaque de ransomware, à une violation de données ou à une attaque de phishing. Mais il est possible d’avoir le même niveau de protection à un tiers de ce prix si vous passez de Cisco Umbrella à WebTitan Cloud.
Combien peut-on économiser en passant de Cisco Umbrella à WebTitan Cloud ? Le coût du WebTitan Cloud est de 0,82 euro par utilisateur par mois. Cela représente un coût mensuel de 81,56 euros, soit environ 980 euros par an.
Vous l’avez sûrement compris, en choisissant cette alternative, vous pourrez économiser 1420 euros par an.
Une alternative idéale à la solution Cisco Umbrella
Le coût n’est pas la seule considération lorsque vous recherchez une alternative à Cisco Umbrella. Si vous changez de fournisseur de solutions de sécurité, vous devrez vous assurer que le nouveau produit possède toutes les caractéristiques dont vous avez besoin. Comme WebTitan Cloud et Cisco Umbrella sont conçus sur les mêmes principes de base, à bien des égards, les solutions sont équivalentes. Mais il y a plusieurs fonctionnalités de WebTitan Cloud qui ne sont pas disponibles avec Cisco Umbrella. Cette alternative de TitanHQ présente d’autres avantages importants pour les PME et pour les fournisseurs de services mobiles.
TitanHQ a une politique de prix parfaitement transparente. Vous payez un seul prix et vous obtenez toutes les fonctionnalités. Il n’y a pas d’options supplémentaires qui augmentent le coût et pas de forfaits Premium, sans lesquels vous ne pourrez pas bénéficier de protections supplémentaires. En effet, chaque utilisateur bénéficie du même niveau élevé de protection.
L’équipe de TitanHQ est également heureuse de négocier avec les entreprises et les ESN et peut conclure des accords commerciaux qui conviennent à toutes les parties.
L’une des caractéristiques de WebTitan Cloud – et qui est particulièrement attractive pour les MSP, est la possibilité d’héberger la solution localement dans leurs propres environnements. La plupart des entreprises choisiront d’héberger WebTitan Cloud de TitanHQ tout simplement, mais vous pouvez aussi choisir WebTitan Cloud en marque blanche. Autrement dit, vous pouvez retirer le marquage TitanHQ si vous voulez ajouter votre propre marquage.
Il peut y avoir des moments où vous devez contourner les contrôles de filtrage. Pour rendre cela aussi simple que possible, nous avons développé des nuages de mots-clés. Ceux-ci peuvent être utilisés pour contourner une partie ou la totalité de vos contrôles de filtrage, plutôt que de changer les stratégies d’un utilisateur et revenir en arrière lorsqu’une tâche particulière est effectuée. La solution cloud peut être configurée pour expirer après un certain nombre d’utilisations ou après une certaine période de temps.
Nous avons développé WebTitan Cloud pour qu’il soit facile à configurer, à utiliser et à mettre à niveau, mais il y aura naturellement des moments où les choses ne se passeront pas comme prévues. Heureusement, en cas de problème, tous les utilisateurs bénéficient d’un support de classe mondiale. Nos ingénieurs qualifiés et notre service à la clientèle sont à votre disposition pour vous aider. Cela s’applique à tous les utilisateurs, même ceux qui sont encore au stade d’essai gratuit du produit. Le support n’est pas une option supplémentaire pour laquelle vous devriez payez plus.
Avantages de WebTitan Cloud pour les MSP
Comment les utilisateurs notent-ils WebTitan par rapport à Cisco Umbrella ?
Toutes les solutions de filtrage Web n’offrent pas le même niveau de protection et beaucoup d’entre elles ne sont pas à la hauteur des attentes une fois installées. Pour ce qui est de WebTitan Cloud, non seulement, vous pouvez économiser beaucoup d’argent, mais notre solution de filtrage DNS est facile à installer, à utiliser et à mettre à niveau. De plus, si jamais vous rencontrez des problèmes, ou bien si vous avez besoin d’aide, vous bénéficierez toujours d’un service à la clientèle fiable.
Naturellement, nous chantons les louanges de WebTitan Cloud de manière à ce que nous essayions de vendre notre produit. Mais la plupart des utilisateurs de WebTitan sont d’accord avec nous et aiment utiliser notre produit. Vous pouvez le voir sur les sites d’évaluation tels que G2 Crowd.
G2 Crowd est un site indépendant d’évaluation de logiciels d’entreprise auquel les chefs d’entreprise font confiance pour fournir des informations sur les meilleures solutions logicielles sur le marché. Le site compte actuellement plus de 650 000 commentaires publiés par des utilisateurs vérifiés et vous donne un aperçu des différents produits du marché pour vous permettre de les comparer.
Une nouvelle campagne de phishing va Stripe a été détectée. Elle utilise de faux avertissements pour aviser les utilisateurs d’un compte invalide afin de les inciter à divulguer des informations sur leurs justificatifs d’identité et leurs comptes bancaires.
Stripe est un outil utilisé par de nombreuses entreprises sur leurs sites de commerce électronique pour accepter les paiements de leurs clients. Mais à cause de cela, elles deviennent une cible parfaite pour l’usurpation d’identité. En réalité, la plupart des gens savent que l’entreprise traite les paiements et n’hésitent pas à fournir leurs justificatifs d’identité et les informations sur leurs comptes bancaires pour que les paiements soient traités.
L’escroquerie commence par un e-mail de phishing censé provenir du service d’assistance Stripe. Le message informe le client que les informations associées à son compte sont actuellement invalides. Le message est envoyé à titre d’avis de courtoisie, avertissant l’utilisateur que son compte sera mis en attente jusqu’à ce que le problème soit corrigé. L’utilisateur est invité à revoir les informations qui lui concernent pour corriger le problème. Pour ce faire, il doit cliquer sur un bouton inclus dans l’e-mail.
Les messages contiennent des fautes d’orthographe et une grammaire douteuse. Les individus vigilants n’auront donc aucune difficulté à les identifier comme suspects. De plus, les entreprises leur fournissent souvent des formations de sensibilisation à la sécurité pour qu’ils sachent survoler un hyperlien avec leur curseur dans le but de connaître l’URL réelle.
Le problème est que, dans cette campagne, cette méthode ne fonctionne pas. Les attaquants ont ajouté un titre à la balise HTML de l’hyperlien. Il y est incorporé, de sorte que lorsque le curseur de la souris se trouve sur le bouton « Revoir vos détails », c’est un texte qui s’affiche, plutôt qu’un URL.
Si l’utilisateur clique sur le bouton, il sera dirigé vers une page de connexion Stripe apparemment légitime. Mais la boîte de connexion n’est qu’un clone de la page de connexion réelle. Une série de boîtes s’affichent donc, chacune nécessitant des informations différentes à saisir, y compris les informations de compte bancaire et de contact.
Lorsque l’utilisateur est tenu d’entrer son mot de passe, peu importe le mot saisi, il sera avisé qu’il a entré un mot de passe incorrect et on lui demandera de le saisir de nouveau. L’utilisateur est alors dirigé vers la page d’ouverture de session légitime de Stripe pour faire croire qu’il a toujours été sur le bon site web de Stripe.
Des tactiques similaires sont utilisées dans d’innombrables autres campagnes de phishing ciblant d’autres entreprises bien connues. La présence de fautes d’orthographe et d’erreurs grammaticales dans les messages devrait avertir les utilisateurs finaux que l’e-mail est une tentative de phishing. Mais trop souvent, les utilisateurs finaux ne remarquent pas ces erreurs et cliquent sur le bouton, divulguant ainsi leurs informations sensibles.
L’un des problèmes est le manque de formation en matière de cybersécurité sur le lieu de travail. Si les employés ne sont pas formés à identifier les e-mails de phishing, il est inévitable que certains finissent par tomber dans le piège de ces arnaques et divulguent leurs titres de compétences. Ces informations d’identification peuvent être utilisées pour accéder à des comptes bancaires ou à des comptes de messagerie électronique. Ces derniers étant souvent utilisés pour mener d’autres attaques de phishing contre leurs entreprises. En effet, une seule brèche dans un compte de messagerie suffit pour qu’un pirate informatique puisse exploiter des douzaines de brèches.
Par exemple, une attaque de phishing contre un fournisseur de soins de santé américain a commencé avec un seul e-mail de phishing. Cela a entraîné la compromission de 73 comptes de messagerie.
Quant à la formation de sensibilisation à la cybersécurité, elle est souvent inexistante. Une étude récente portant sur 2 000 employés au Royaume-Uni a révélé que les trois-quarts d’entre eux n’avaient reçu aucune formation en matière de cybersécurité dans leur milieu de travail.
Vous pensez que vous êtes protégé par la solution anti-phishing de Microsoft Office 365 ? Vous en êtes sûr ?
Le saviez-vous ? Un e-mail sur 99 est un e-mail de phishing. Il est donc important de vous assurer que vos défenses sont capables de bloquer ces messages. De nombreuses entreprises croient à tort qu’elles sont protégées contre ces messages malveillants par les contrôles anti-phishing de Microsoft Office 365.
Bien que ces solutions bloquent les spams et certains messages de phishing, une étude récente d’Avanan a révélé que 25 % des attaques de phishing échappent aux défenses d’Office 365 et sont envoyées dans des boîtes de réception des utilisateurs finaux. Pour une entreprise moyenne, cela signifie que plusieurs e-mails de phishing parviendront chaque jour dans leurs boîtes de réception. Pour assurer la protection de votre entreprise contre ces attaques, des contrôles anti-phishing supplémentaires sont requis en plus d’Office 365.
Les entreprises peuvent protéger leurs comptes Office 365 contre le phishing en superposant SpamTitan à Office 365. SpamTitan est une solution avancée qui offre une protection supérieure contre le phishing, les malwares, le spear phishing et les attaques de type « zero-day » .
Des règles heuristiques sont utilisées pour analyser les en-têtes de messages et celles-ci sont constamment mises à jour pour inclure les dernières menaces. L’analyse bayésienne et l’heuristique sont utilisées pour vérifier le contenu des messages et, parallèlement aux techniques de l’apprentissage machine, les nouvelles menaces sont bloquées et empêchées d’atteindre les boîtes de réception des utilisateurs finaux. Des tests sont également utilisés pour évaluer les pièces jointes aux e-mails afin de détecter les codes malveillants utilisés pour installer les nouveaux malwares, en plus du moteur antivirus qui peut bloquer les malwares connus.
Grâce à ces mesures avancées, les boîtes de réception d’Office 365 sont protégées et votre organisation peut empêcher efficacement les attaques de phishing, de spear phishing et de malwares.
Le malvertising est le nom donné à l’abus des réseaux publicitaires pour diffuser des publicités sur des sites web légitimes dans le but d’escroquer les visiteurs, en affichant des pop-ups ou en les dirigeant vers des sites web malveillants. Ces sites hébergent des formulaires de phishing ou un code d’exploitation qui permet aux cybercriminels de diffuser en silence des malwares.
De nombreux propriétaires de sites web placent des blocs publicitaires de tiers sur leurs plateformes en ligne dans le but d’augmenter leurs revenus. Bien que les réseaux publicitaires aient mis en place des contrôles pour prévenir les abus, les cybercriminels réussissent souvent à contourner ces mesures de sécurité.
Un groupe cybercriminel a été particulièrement actif au cours de l’année dernière et a mené des attaques à grande échelle. Les chercheurs de Confiant ont suivi l’activité du groupe – connu sous le nom d’eGobbler – et rapportent qu’il a diffusé de fausses publicités sur 500 millions de sessions utilisateurs en Europe et aux États-Unis au cours de la dernière semaine seulement. Les campagnes sont vraiment massives. L’une des dernières campagnes, menée entre le 1er août et le 23 septembre, a permis aux pirates d’enregistrer environ 1,16 milliard d’impressions publicitaires.
Généralement, les criminels derrière ces campagnes ciblent les utilisateurs mobiles, car les protections de sécurité sur leurs appareils sont loin d’être aussi robustes que sur les ordinateurs de bureau. Mais cette fois, la campagne ciblait les utilisateurs d’ordinateurs de bureau sous Windows, Linux et MacOS.
Plusieurs réseaux de partage de contenu ont été utilisés pour diffuser les publicités malveillantes, redirigeant les utilisateurs vers des sites web qui exploitent deux vulnérabilités de navigateur. Les pirates ont ainsi pu diffuser leurs charges utiles malveillantes.
La première vulnérabilité est un bug dans le navigateur Chrome – CVE-2019-5840 – qui a été corrigé par Google en juin. La seconde est une vulnérabilité de type « zero-day » dans WebKit, le moteur de navigation utilisé par les anciennes versions de Chrome et le navigateur Web Safari. Le bogue a déjà été corrigé pour Safari, contrairement à Google qui n’a pas corrigé Chrome. Comme le dernier moteur de navigation utilisé par Chrome est basé sur WebKit, les versions ultérieures ont été également affectées.
Alors que les fonctions de sandboxing protègent les iframes publicitaires, la vulnérabilité zero-day a permis au groupe les contourner et d’afficher du code malveillant pour les visiteurs ou pour les rediriger vers des sites malveillants.
Ce groupe cybercriminel est atypique de la plupart de ceux qui utilisent la publicité malveillante pour diffuser des malwares. Il est hautement qualifié et capable de trouver des bugs dans le code source des navigateurs et de mener des campagnes à grande échelle. eGobbler représente une menace importante pour les utilisateurs d’Internet, bien que des mesures puissent être prises pour réduire la probabilité d’une attaque réussie.
Les utilisateurs peuvent renforcer leurs défenses en utilisant des bloqueurs de pub et en s’assurant qu’ils maintiennent leurs navigateurs à jour. De même, les entreprises doivent s’assurer que les navigateurs sont mis à jour et qu’ils peuvent bloquer les publicités malveillantes à l’aide d’une solution de filtrage Web.
En plus de bloquer les publicités malveillantes, un filtre web peut être configuré pour bloquer le téléchargement de fichiers malveillants et empêcher les employés de visiter des sites de phishing et d’autres sites web malveillants. Un filtre web peut également être utilisé par les entreprises pour appliquer des politiques d’utilisation d’Internet acceptables.
TitanHQ a développé une puissante solution de filtrage Web basée sur le DNS pour les PME et les MSP. Il s’agit de WebTitan, une solution qui offre une protection contre la publicité malveillante et d’autres types d’attaques sur Internet. Ce filtre web est facile à utiliser et peut être rendu opérationnel en quelques minutes, sans avoir besoin d’une compétence technique particulière.
Compte tenu du niveau de protection offert par WebTitan, vous serez probablement surpris du faible coût de cette solution. Si vous voulez en savoir plus ; si vous voulez voir par vous-même comment fonctionne WebTitan; ou bien si vous voulez bénéficier d’un essai gratuit de la solution complète, appelez l’équipe commerciale de TitanHQ.
Racoon Stealer est une forme relativement nouvelle de malware qui a été détecté pour la première fois en avril 2019. Le malware n’est pas sophistiqué, car il n’intègre aucune fonctionnalité jamais vue auparavant. Bref, il n’a rien d’extraordinaire.
Ce malware peut prendre des captures d’écran, collecter des informations sur le système, surveiller les e-mails et voler des informations de navigateurs, comme les mots de passe, les identifiants bancaires en ligne et les numéros de carte de crédit.
Cependant, le malware est efficace et très populaire. Au cours des six derniers mois, Racoon Stealer a été installé sur des centaines de milliers d’appareils Windows et il est maintenant l’une des variantes de malwares les plus connues sur les forums underground.
Ce qui distingue Racoon Stealer, c’est qu’il utilise une campagne de marketing très agressive visant à recruter le plus grand nombre d’affiliés possible. Il est commercialisé en tant que malware-as-a-service (MaaS) sur les forums underground et les affiliés peuvent s’inscrire pour utiliser le malware pour un montant forfaitaire d’environ 180 euros par mois.
Le malware peut être utilisé pour voler toute une série d’informations sensibles comme les mots de passe, les numéros de carte de crédit et les cryptomonnaies. Dans ce modèle de distribution, les affiliés n’ont pas besoin de développer leurs propres malwares, et ils n’ont besoin que de peu de compétences pour commencer à mener des campagnes malveillantes. Les développeurs du malware fournissent également un hébergement à toute épreuve et sont disponibles pour offrir aux affiliés un support 24h/24, 7j/7 et 365j/an. De plus, le pack est livré avec un système back-end (arrière-plan) facile à utiliser.
Bien que le coût soit certainement élevé par rapport à ceux des autres offres de MaaS et de ransomware-as-a-service, les affiliés sont susceptibles de gagner bien plus grâce aux informations qu’ils peuvent voler. Voici pourquoi les acheteurs de ce malware sont de plus en plus nombreux.
Comment le malware Racoon Stealer est-il distribué ?
Les affiliés distribuent Racoon Stealer par le biais d’e-mails de phishing contenant des fichiers Office et PDF incorporant le code qui télécharge la charge utile. Il est intégré à des logiciels sur des sites web tiers, bien qu’un pourcentage important des infections provienne de kits d’exploitation.
Racoon Stealer est ajouté aux kits d’exploitation Fallout et Rig qui sont chargés sur des sites Web compromis et des domaines appartenant à des pirates informatiques. Le trafic est envoyé vers ces sites via des publicités malveillantes sur des réseaux publicitaires tiers (malvertising).
Lorsqu’un utilisateur atterrit sur une page Web hébergeant un kit d’exploitation, son appareil est testé pour détecter les vulnérabilités. Si une vulnérabilité est trouvée, elle est exploitée et le Racoon Stealer est téléchargé à l’insu de l’utilisateur.
Une fois installé, Racoon Stealer se connecte à son serveur C2. Les ressources nécessaires pour commencer à voler des informations sont ainsi obtenues et peuvent être vendues sur le marché du darknet ou utilisées par les affiliés pour mener leurs propres attaques.
Compte tenu de l’énorme potentiel de profit qu’ils peuvent réaliser, il n’est pas surprenant que les développeurs de malwares optent aujourd’hui pour ce genre d’attaque. Le problème risque de s’aggraver avant qu’il ne s’améliore et la menace que représentent ces offres de MaaS demeure importante.
Comment bloquer Racoon Stealer et d’autres menaces par e-mail et sur le web ?
Heureusement, il existe des mesures que les entreprises peuvent prendre pour améliorer leurs défenses contre les campagnes de MaaS.
Les kits d’exploitation intègrent généralement des exploits pour un petit nombre de vulnérabilités connues plutôt que pour des vulnérabilités du type zéro-day pour lesquelles aucun correctif n’a été publié. Pour bloquer ces attaques par kit d’exploitation, les entreprises doivent appliquer des correctifs et mettre à jour leurs logiciels rapidement.
Il n’est pas toujours possible pour les entreprises d’appliquer les correctifs rapidement, car des tests approfondis peuvent être nécessaires avant que les correctifs puissent être appliqués. Certains périphériques peuvent être ignorés – accidentellement ou délibérément – en raison de problèmes de compatibilité. Ces dispositifs resteront donc vulnérables aux attaques.
Le patch est important, mais il n’empêchera pas les téléchargements de malwares à partir d’Internet qui n’impliquent pas de kits d’exploitation. Ce qu’il faut donc, c’est une solution de sécurité Web qui peut bloquer l’accès aux sites malveillants et empêcher le téléchargement de fichiers à risque.
Une solution de filtrage DNS telle que WebTitan fournit une couche de sécurité supplémentaire pour bloquer ces menaces Web. Grâce à une combinaison de listes noires, de contrôle du contenu et d’analyse des sites Web pour rechercher du contenu malveillant, les entreprises peuvent se protéger contre les attaques sur le web. Un filtre DNS empêchera également les employés de visiter les sites de phishing.
Le blocage des attaques qui se produisent par la messagerie électronique nécessite de solutions de sécurité solides. Un filtre anti-spam avancé tel que SpamTitan peut empêcher les e-mails malveillants et les pièces jointes d’atteindre les boîtes de réception des utilisateurs finaux. SpamTitan analyse tous les e-mails entrants pour rechercher les malwares à l’aide de deux moteurs antivirus. Il est également efficace pour bloquer les menaces du type zero-day. Enfin, sachez que SpamTitan inclut un bac à sable alimenté par Bitdefender, où les pièces jointes suspectes sont soumises à une analyse approfondie pour identifier toute intention potentiellement malveillante.
Avec ces deux solutions en place, les entreprises seront bien protégées contre les menaces de malwares et les attaques de phishing.
Alors que le phishing et les ransomwares sont toujours considérés comme les cyber-attaques les plus importantes, une nouvelle tendance en matière de malwares implique des attaques « sans fichier ». Les fichiers utilisés dans ces attaques ne peuvent pas exécuter une charge utile significative par eux-mêmes, mais utilisent plutôt une technique appelée « Living off the Land Binaries » ou LOLBins.
En effet, les fichiers ont besoin de systèmes binaires pour livrer leurs charges utiles. L’attaque utilise plusieurs étapes pour télécharger les exécutables nécessaires pour fonctionner, impliquant généralement des outils natifs de shell et de script pour extraire le contenu malveillant d’Internet vers le périphérique local.
Campagnes Nodersok et Node.js : les malwares à surveiller en 2020
L’attaque sans fichier la plus importante est celle de Nodersok. Ce malware incite les utilisateurs à télécharger un fichier HTA. Les fichiers HTA sont d’anciennes applications HTML Windows utilisées pour envelopper des pages web personnalisées dans une instance Internet Explorer. L’avantage était que l’utilisateur pouvait exécuter VBScript et d’autres fichiers locaux dans un navigateur. Ces applications sont relativement dépassées, mais Nodersok profite de la propension des utilisateurs à télécharger des fichiers avec des extensions qui semblent inoffensives.
Une fois le fichier HTA téléchargé, Nodersok effectue plusieurs étapes d’une manière élaborée pour éviter les systèmes antimalware. Il utilise JavaScript dans l’application HTA pour télécharger des fichiers supplémentaires, puis utilise l’application Windows PowerShell pour éventuellement télécharger Node.exe. Node.exe est la variante Windows du framework Node.js.
Le framework Node.js transforme n’importe quelle machine en proxy, ce qui est le but du Nodersok. Après une infection réussie, ce malware utilise ses capacités proxy pour réaliser des clics frauduleux. Une fois que les utilisateurs cliquent sur les publicités des annonceurs, le créateur de malwares gagne de l’argent grâce à ces clics frauduleux, mais qui semblent constituer un trafic valide sur le réseau publicitaire.
L’utilisation d’outils natifs est ce qui fait de cette dernière attaque de malware sans fichier une nouvelle tendance innovante pour les cybercriminels. Il rend la détection de l’attaque beaucoup plus difficile pour les applications anti-malware en raison de la nature « inoffensive » du fichier original téléchargé par l’utilisateur. De plus, Nodersok utilise PowerShell pour désactiver les applications antivirus afin d’éviter toute détection.
Microsoft rapporte que la plupart des attaques se concentrent sur les consommateurs, et la dernière vague de campagne cible principalement les appareils aux États-Unis et en Europe.
Protection des périphériques d’entreprise
Comme Nodersok désactive les outils anti malwares locaux, il est difficile pour les entreprises de contrôler les infections étendues des périphériques. La première étape de l’attaque consiste à arnaquer les utilisateurs, en les incitant à télécharger le fichier HTA malveillant. La formation des utilisateurs aide à stopper ces attaques et fournit aux utilisateurs la formation adéquate pour identifier les attaques et avertir le personnel informatique, mais il suffit qu’un utilisateur soit dupé pour répandre le malware sur plusieurs périphériques d’entreprise.
Comme le malware utilise des techniques avancées sans fichier, il est difficile de le détecter via des solutions antivirus traditionnelles basées sur les signatures.
Utiliser le filtrage DNS pour se protéger contre Novter
Pour se protéger de ce malware, la solution la plus simple et de mettre en place un système de filtrage de contenu web basé sur DNS. Un tel système empêchera les utilisateurs d’accéder aux sites qui contiennent des fichiers HTA malveillants en fonction d’une politique de contenu établie par les administrateurs. Les filtres de contenu web basés sur le DNS sont supérieurs aux anciens systèmes qui vérifiaient simplement le nom de domaine par rapport à une liste de sites restreints. Au lieu de cela, un utilisateur est incapable d’accéder ou de télécharger du contenu en fonction d’une liste de politiques établies pour bloquer pendant le processus de recherche DNS.
De simples filtres de contenu Web avaient des portes dérobées et des moyens de contourner les filtres, mais les filtres basés sur le DNS ne peuvent être évités en raison de la nature du fonctionnement d’Internet. Chaque fois que l’utilisateur clique sur un lien ou tape un domaine dans un navigateur, une requête DNS est effectuée. Pendant le processus de recherche, un système tel que WebTitan Cloud effectue une recherche supplémentaire sur la politique de contenu Web du réseau. Les politiques peuvent être définies sur des domaines spécifiques et leurs adresses IP associées, mais les administrateurs réseau peuvent également catégoriser les recherches et bloquer les contenus inappropriés. L’utilisateur reçoit un message lui indiquant que son accès au site a été bloqué et les administrateurs reçoivent des notifications l’informant qu’un site de la politique a été interrogé.
Le DNS n’est pas seulement utilisé dans les requêtes du navigateur où l’utilisateur tape un nom de domaine dans la barre d’adresse. Le DNS est également utilisé dans d’autres applications, même en arrière-plan pour les services qui utilisent Internet. Les attaques sans fichier utilisent des applications en mémoire déjà disponibles sur l’appareil local, de sorte qu’un filtre de contenu web basé sur DNS bloquerait toutes les attaques qui utilisent ces outils locaux pour accéder à des sites malveillants. Tout processus qui nécessite un DNS (c’est-à-dire toute requête basée sur Internet) serait bloqué par les filtres de contenu Web.
En choisissant les filtres basés dans le cloud, votre entreprise n’a pas besoin d’investir dans des équipements coûteux pour héberger le système. Les administrateurs lient le DNS local aux filtres où tous les traitements, les notifications et la journalisation s’exécutent dans le cloud.
Voici un autre article qui explique les 6 principales raisons pour lesquelles la sécurité DNS est plus rapide et plus efficace pour tuer les attaques. Il pourrait peut-être vous intéresser.
Les créateurs de malwares continuent de créer de nouvelles façons d’échapper à la détection, et les attaques sans fichier sont la dernière tendance qui pourrait mener à de grandes brèches en 2020. Sachez que des milliers de terminaux aux Etats-Unis et en Europe ont été infectés par ce malware sans fichier au cours des dernières semaines. En se concentrant sur la réduction de la surface d’attaque, cette menace peut être atténuée grâce à de solides contrôles de sécurité. Votre entreprise peut devancer ces attaques en implémentant des filtres DNS comme WebTitan qui détecte les fichiers malveillants, les scripts et qui bloque l’accès aux URL malveillantes.
Selon les chercheurs en cybersécurité, 66% des malwares sont installés via des pièces jointes malveillantes et 64% des entreprises subissent des attaques liées au phishing.
La plupart des attaques commencent par des e-mails dans lesquels des messages envoyés à un utilisateur ciblé lui demandent de cliquer sur un lien, de télécharger une pièce jointe ou d’effectuer une action telle qu’un virement bancaire.
Plus inquiétant encore, beaucoup d’attaquants se livrent actuellement au spear phishing. Pour ce type d’attaque, les pirates ciblent des personnes ayant accès à des fonctions spécifiques telles que la finance ou l’administration informatique. Une stratégie efficace pour arrêter ces attaques est d’utiliser un filtre de contenu web basé sur le DNS.
Qu’est-ce que le filtrage DNS ?
Pour chaque demande sur Internet, un ensemble spécifique de procédures s’exécute avant qu’un utilisateur puisse visualiser le contenu dans un navigateur. Une des premières étapes consiste à interroger le serveur DNS, lequel est configuré soit comme une valeur statique assignée à la carte réseau du périphérique, soit comme une valeur configurée dynamiquement lorsque le périphérique de l’utilisateur démarre.
Les réseaux informatiques des entreprises ont généralement leurs propres serveurs DNS pour les requêtes internes, puis ils dédient des serveurs DNS externes pour les requêtes web. Au lieu d’obliger les utilisateurs à se souvenir des adresses IP complexes (surtout depuis le déploiement des adresses IPv6), le DNS leur permet de saisir des noms conviviaux dans un navigateur et les requêtes contre les serveurs de noms renvoient l’adresse IP associée.
Plusieurs autres requêtes se produisent entre le handshake client-serveur, mais ce sont les requêtes DNS qui lient le nom de domaine convivial avec l’adresse IP du serveur. L’ancien filtrage de contenu web impliquait l’interception des requêtes et le blocage du contenu du domaine sur la base de politiques définies par les administrateurs informatiques, mais ces méthodes étaient imprécises et les utilisateurs pouvaient éviter ces filtres en utilisant plusieurs méthodes.
Le filtrage DNS implémente le filtrage web pendant le processus de requête. Les administrateurs mettent en place des politiques qui bloquent des adresses IP spécifiques classées comme inappropriées pour un environnement d’entreprise. Toutes les adresses IP bloquées ne sont pas nécessairement malveillantes. Les administrateurs peuvent bloquer les adresses IP auxquelles les utilisateurs ne devraient pas pouvoir accéder pendant les heures d’ouverture et les adresses IP jugées malveillantes peuvent également être bloquées. Avec un blocage de contenu efficace, toutes les requêtes d’accès à des adresses IP malveillantes doivent être enregistrées et l’administrateur doit en être informé.
Si plusieurs utilisateurs tentent d’accéder à la même adresse IP malveillante, des alertes avertissent l’administrateur qu’une campagne de phishing pourrait cibler son organisation.
Filtrage DNS du niveau de la page (Page Level DNS Filtering)
Parce que le filtrage DNS est basé sur la recherche de domaine, toutes les pages d’un domaine risquent donc d’être bloquées. Par exemple, le domaine Medium.com héberge plusieurs types de contenu, de sorte que le blocage du domaine Medium.com filtrerait tout le contenu du domaine.
La solution innovante de filtrage DNS basé dans le cloud peut palier à ce problème, en bloquant uniquement les URL et les pages. Grâce aux filtres les plus récents, les administrateurs peuvent bloquer des pages et leur contenu plutôt que l’adresse IP complète. Les administrateurs disposent ainsi d’une approche plus granulaire du filtrage de contenu web, plutôt que d’établir une liste blanche pour chaque URL que les employés pourraient avoir besoin dans leurs tâches quotidiennes.
Reprenons l’exemple de Medium.com, grâce au filtrage DNS basé dans le cloud, les administrateurs peuvent bloquer certains contenus en fonction des catégories de stratégies, puis autoriser le contenu approprié que les salariés peuvent avoir besoin pour mener à bien leurs attributions.
Cette approche hybride du filtrage donne aux administrateurs un niveau de contrôle plus granulaire sur le contenu. La plupart des attaques sont basées sur les pages plutôt que sur le domaine. Les attaquants peuvent donc utiliser des hôtes connus et cacher des pages dans des contenus inoffensifs et utiles. Ces pages devraient aussi être bloquées de telle sorte que le reste du domaine puissent rester accessible aux employés.
Même avec une approche hybride, les administrateurs informatiques ont toujours la possibilité de bloquer des domaines entiers. Le blocage d’un domaine entier peut s’avérer nécessaire si le même domaine a plusieurs URLs qui pourraient nuire à la sécurité et à la stabilité du réseau.
Les domaines qui hébergent du contenu généré par l’utilisateur pourraient intégrer un contenu malveillant ou de liens de redirection vers un site contrôlé par un attaquant. Grâce à l’approche hybride, les administrateurs peuvent choisir de bloquer l’ensemble du domaine au niveau DNS ou de bloquer uniquement les URL spécifiques contenus dans le nom de domaine.
Quel type de filtrage web peut bloquer les techniques de phishing ?
Les pirates informatiques disposent de nombreuses méthodes pour inciter les utilisateurs à accéder à un site qu’ils contrôlent ou à télécharger une pièce jointe malveillante. Les e-mails contenant des liens simples sont également utilisés pour inciter les utilisateurs à accéder à une page web malveillante. Toute requête web est analysée à l’aide d’une solution de filtrage DNS basé dans le cloud et le contenu jugé inapproprié ou malveillant peut donc être bloqué.
Plus important encore, un bon filtre web peut générer des notifications et des journaux qui permettent à un administrateur d’identifier une attaque possible si la même adresse IP est demandée par plusieurs utilisateurs. Le fait de savoir qu’une campagne de spear-phishing ou une attaque en cours cible une organisation peut aider énormément à éviter les atteintes coûteuses aux données. Lorsqu’ils sont bien informés, les aux administrateurs réseau peuvent bloquer les e-mails malveillants et les pièces jointes qui pourraient télécharger des malwares ou infecter le réseau.
Le filtrage DNS de WebTitan inclut la catégorisation de contenus et la détection d’URL malveillantes. Il propose également des mises à jour en temps réel et automatisées lorsque de nouveaux contenus et sites malveillants sont détectés. WebTitan peut détecter plus de 60 000 nouvelles itérations de programmes malveillants chaque jour.
WebTitan est hautement évolutif. Il est hautement évolutif. Il prend en charge de petits déploiements via des fournisseurs d’accès Internet et des déploiements avec des millions d’utilisateurs, avec des performances de requête en URL exceptionnelles. WebTitan offre également une précision, une couverture et une détection de sites web malveillants à la pointe du marché, et ce, grâce à une API facile à intégrer. Nos catégories web sont rassemblées grâce à des analyses avancées et à la détection en temps réel de 500 millions d’utilisateurs finaux et de plus de 5 milliards de requêtes web par mois, couvrant 99,9 % du web actif.
Pour plus d’informations sur le filtrage DNS de WebTitan, visitez notre page produit. Ou mieux encore, testez WebTitan par vous-même en vous inscrivant pour un essai gratuit. Contactez-nous pour de plus amples renseignements ou pour prenez rendez-vous avec l’un de nos spécialistes pour évaluer par vous-mêmes l’efficacité de notre produit.
La version 7.06 de SpamTitan est sortie le 12 novembre 2019. La dernière version inclut plusieurs mises à jour de sécurité importantes pour résoudre des problèmes connus avec le moteur de reporting. Les correctifs de sécurité et les images ISO/OVA peuvent maintenant être téléchargés et ont été mis à disposition des utilisateurs pour plusieurs paquets, incluant OpenSSH, OpenSSL, Sudo, PHP et ClamAV.
La mise à jour a été publiée à la fois pour le service anti-spam dans le cloud – qui a déjà été mis à jour pour tous les utilisateurs – et pour la solution logicielle SpamTitan de TitanHQ, à savoir SpamTitan Gateway. Les utilisateurs du logiciel peuvent télécharger la nouvelle version sur leurs appareils, mais les administrateurs devront se connecter à leur interface utilisateur pour appliquer les mises à jour et les correctifs de sécurité.
La dernière version est accompagnée d’un nouveau RESTapi, l’une des améliorations les plus importantes de SpamTitan v7.06. Le RESTapi a été publié pour faciliter la mise en œuvre des intégrations par les clients et les partenaires.
Ronan Kavanagh, le PDG de TitanHQ, a déclaré : « La mise en œuvre du RESTapi et l’encouragement de l’adoption de l’API sont des étapes vitales dans nos plans d’expansion de partenariat. Après avoir connu une croissance de 30 % en 2019, TitanHQ s’attend à ce que ces améliorations de produits et de nouvelles fonctionnalités fassent de 2020 une autre année record. »
Les utilisateurs ne doivent rencontrer aucun problème pour mettre à jour leur version de SpamTitan, mais si des problèmes surviennent ou s’ils veulent obtenir des conseils sur la mise à jour, ils peuvent contacter l’équipe du service client en envoyant un e-mail à spamtitan@titanhq.com. Ils peuvent également trouver les spécifications techniques du nouveau REStapi sur https://api-spamtitan.titanhq.com/
Par le passé, les médias sociaux représentaient une grande menace pour les entreprises dans la mesure où ils créaient de distraction pour les employés et réduisent leurs temps de travail.
La perte de productivité est une chose, mais de nos jours, l’une des principales préoccupations des entreprises est qu’ils servent de moyens permettant aux pirates informatiques d’attaquer directement dans votre organisation par le biais de leur collection de codes malveillants.
Une nouvelle étude menée par Bromium au mois de février dernier a révélé qu’une organisation sur cinq a été infectée par des malwares distribués via une plate-forme de média sociale. Ce qui est encore plus alarmant, c’est que 12 % des organisations victimes d’une telle attaque ont subi une atteinte à la protection des données.
Réseaux sociaux : le cheval de Troie parfait
Les médias sociaux s’avèrent être le cheval de Troie parfait. Selon les dernières statistiques, 2,8 milliards de personnes utilisent un ou plusieurs comptes de médias sociaux. De la même manière que les voleurs à la tire traînent dans les aéroports, les gares et les zones touristiques bondés, les cybercriminels ont appris que les utilisateurs sont rassemblés toute la journée sur les médias sociaux. À cela s’ajoute le sentiment de confiance que les utilisateurs éprouvent à l’égard de leurs plateformes de médias sociaux, ce qui diminue leur vigilance lorsqu’ils visitent quotidiennement leurs sites préférés.
Les utilisateurs se sentent suffisamment à l’aise pour afficher leurs informations personnelles comme leur date de naissance, leur lieu de résidence actuel et leurs préférences personnelles pour communiquer avec des tiers inconnus. Nombreux sont ceux qui acceptent ouvertement les demandes de messages provenant de parfaits inconnus. Après tout, les médias sociaux ne sont-ils pas simplement une grande et heureuse famille de personnes désireuses de se connecter ?
Ajoutez à cela le nombre ahurissant d’utilisateurs qui ont le sentiment de confiance immérité au regard des médias sociaux.
Il est donc plus facile de comprendre comment les pirates informatiques peuvent atteindre et infecter tant de millions d’utilisateurs à l’échelle mondiale.
Ne sous-estimez pas la menace liée à l’utilisation des médias sociaux
Selon un article paru dans Computer Weekly cette année, les cybercriminels ont gagné 3,25 milliards de dollars l’an dernier en exploitant des plateformes sociales. L’article résume l’information tirée d’une vaste étude menée par l’Université de Surrey au sujet de la tendance inquiétante concernant l’utilisation des médias sociaux pour distribuer des malwares. Voici quelques-unes de ces constatations :
Les informations faisant état de cybercriminalité et impliquant les médias sociaux ont augmenté de plus de 30 000 % entre 2015 et 2017 aux États-Unis. Au Royaume-Uni, elles ont quadruplé entre 2013 et 2018.
Plus de 1,3 milliards d’utilisateurs de médias sociaux ont vu leurs données compromises au cours des 5 dernières années.
Entre 45 et 50 % du commerce illicite de données entre 2017 et 2018 pourrait être associé à des violations des plateformes de médias sociaux.
Parmi les 20 premiers sites web mondiaux qui hébergent des logiciels d’extraction de crypto-comptes, 11 sont des plates-formes de médias sociaux.
Si les plates-formes de médias sociaux constituent un moyen efficace de distribuer des malwares, c’est parce qu’il existe également de nombreuses autres méthodes de diffusion de codes malveillants. On compte par exemple la publicité malveillante, les liens et images partagés, les plug-ins et les médias numériques. En effet, le partage constant de contenus, voire de profils, favorise la propagation des malwares.
Quelques exemples concrets
La prolifération des images sur les médias sociaux permet aux pirates d’injecter du code JavaScript malveillant directement dans les photos qui sont ensuite envoyées via Facebook Messenger. Des graphiques animés sont également utilisés, de sorte que lorsqu’on clique dessus, l’installation d’une extension de navigateur est lancée afin de visualiser le fichier. L’extension est créée pour émuler une vidéo YouTube, mais le fichier vidéo supposé télécharge un malware vers l’appareil.
Les utilisateurs de médias sociaux se sentent à l’aise en cliquant sur des objets sur leurs plates-formes de confiance, est c’est ce que les pirates tentent d’exploiter. Les cybercriminels utilisent de faux e-mails pour tenter de rediriger les utilisateurs de LinkedIn vers des sites malveillants. L’une des stratégies les plus courantes est aussi de poster des commentaires sur Instagram pour diriger les utilisateurs vers des sites malhonnêtes.
Par ailleurs, il y a l’utilisation éprouvée de liens de phishing qui se révèlent plus efficaces sur les réseaux sociaux que via la messagerie électronique, car les utilisateurs de la messagerie électronique ont accru leur sensibilisation à la sécurité à ce type d’arnaque.
Selon un article paru dans Inc Magazine, Facebook a admis avoir désactivé 1,3 milliards de faux comptes. Les pirates informatiques utilisent de faux comptes et les relient ensuite à d’autres faux profils afin d’accroître leur crédibilité et leur reconnaissance. Par la suite, des bots (agents logiciels automatiques) utilisent ces faux comptes pour distribuer du contenu malveillant, pour générer des faux j’aime, des retweets et des vues. Ils peuvent également mener une attaque du type DDoS dans lequel les commentaires sont créés si rapidement sur le profil de la marque d’une entreprise. De cette manière, l’entreprise ciblée ne peut pas les supprimer assez rapidement.
Le nouveau dark web
Les pirates informatiques commencent à orienter certains de leurs efforts promotionnels du dark web vers les médias sociaux.
Des outils, services et botnets malveillants sont commercialisés ouvertement sur des plateformes bien connues. Ces efforts promotionnels servent à recruter de nouveaux talents et à vendre des outils et services malveillants sur le marché libre.
Précautions de sécurité sur les médias sociaux
Vous pouvez prendre certaines mesures élémentaires et de bon sens pour vous protéger des menaces sur les médias sociaux.
Méfiez-vous toujours des messages et des demandes de connexion provenant des personnes que vous ne connaissez pas.
Évitez d’afficher vos renseignements personnels sur votre profil ou sur vos messages.
Évitez de cliquer sur des liens envoyés par quelqu’un que vous ne connaissez pas.
Ne vous impliquez pas dans les sondages sur les médias sociaux.
Utilisez toujours la protection des nœuds d’extrémité sur n’importe quel périphérique utilisé pour analyser les médias sociaux.
Signalez les messages non sollicités ou les messages à l’assistance des médias sociaux.
Une étude récente de Spiceworks a révélé l’ampleur de ce genre de menace. 28 % des employés des grandes entreprises (de plus de 1 000 employés) consacrent plus de quatre heures par semaine à l’utilisation personnelle d’Internet, et ce pourcentage va jusqu’à 45 % pour les moyennes entreprises et jusqu’à 51 % pour les petites entreprises. La différence entre ces chiffres reflète le fait que les grandes entreprises sont plus déterminées à mettre en place des filtres web. 89 % d’entre elles ont mis en place un filtre web pour limiter ou prévenir l’utilisation personnelle d’Internet et, par conséquent, bénéficié d’une augmentation de la productivité de la main-d’œuvre.
Le filtrage Web est essentiel en termes de cybersécurité
L’étude de Spiceworks a révélé que :
90 % des grandes entreprises utilisent un filtre Web pour bloquer les infections par des malwares et des ransomwares. Un filtre web empêche les employés d’accéder à des sites web connus qui peuvent être utilisés pour le phishing ou qui hébergent des malwares.
38 % des entreprises ont connu au moins un incident de sécurité au cours de l’année écoulée lorsque des employés ont visité des pages Web à des fins personnelles, le plus souvent via la messagerie web et les médias sociaux.
Parmi les autres avantages du filtrage Web, on compte l’amélioration des performances du réseau et la disponibilité d’une bande passante suffisante pour tous les utilisateurs. En effet, le filtre web peut bloquer l’accès aux activités en ligne qui sont très gourmandes en bande passante comme les jeux et le streaming vidéo.
Outre les gains de productivité qu’il procure, un filtre web peut aussi s’amortir tout seul. Ajoutez à cela l’économie d’argent que vous pourrez réaliser si vous parvenez à bloquer les attaques de malwares et de phishing. Enfin, n’oubliez pas que le déploiement et l’utilisation d’un filtre web sont très faciles.
Une campagne de phishing réussie nécessite certains éléments, et l’un d’entre eux consiste à convaincre les destinataires que les messages proviennent d’une organisation légitime.
La plupart des e-mails malveillants incitent les utilisateurs à divulguer des informations sensibles ou les convainquent de cliquer sur un lien qui mène à un site contrôlé par un attaquant. D’autres trompent les utilisateurs pour que les destinataires puissent télécharger une pièce jointe avec un contenu malveillant.
Les étudiants sont les cibles les plus récentes d’une campagne de phishing qui contient des messages prétendant provenir de la bibliothèque de l’université et mentionnant que les étudiants doivent renouveler leur carte pour continuer à l’utiliser.
Enseignement supérieur et attaques de phishing
Selon le dernier rapport Verizon sur les fuites de données en 2019, le secteur de l’éducation est le cinquième secteur le plus ciblé par les cybercriminels, et cette tendance continue de s’accentuer. Ce ciblage massif est dû aux nombreux points de données disponibles pour les attaquants après une campagne de phishing réussie. Les étudiants sont moins susceptibles d’être éduqués et formés pour identifier les attaques de phishing. Sans aucune formation, les utilisateurs sont plus vulnérables aux attaques de phishing et à la divulgation d’informations sensibles.
L’e-mail de la campagne de phishing susmentionnée, ainsi que la page d’atterrissage malveillante, demandent aux étudiants d’entrer leurs coordonnées personnelles et un mot de passe pour accéder au faux site web de l’université. Dans de nombreux cas, les étudiants et les autres utilisateurs utilisent le même mot de passe pour plusieurs comptes.
Après avoir obtenu le mot de passe de l’utilisateur, l’attaquant tentera de l’utiliser avec son compte de messagerie pour corrompre d’autres comptes. Grâce à cela, il peut accéder à des comptes bancaires, à des informations financières ou à des données personnelles supplémentaires.
Comme pour la plupart des e-mails de phishing, le message tente d’obliger l’utilisateur à cliquer sur un lien qui y est intégré et à saisir rapidement l’information, sinon le compte sera annulé.
Le message se présente comme suit :
« Votre compte de bibliothèque a expiré, vous devez donc le réactiver immédiatement sinon il sera fermé automatiquement. Si vous avez l’intention d’utiliser ce service à l’avenir, vous devez agir immédiatement ! »
Les attaquants ont déployé des efforts dans le cadre de cette campagne de phishing en cours et apposent un nom et l’adresse de l’université comme signature. L’adresse de l’e-mail est personnalisée en fonction de l’université de l’étudiant, ce qui la rend plus légitime aux yeux de son destinataire. Les élèves sont invités à cliquer sur un lien intégré et à entrer leurs noms d’utilisateur et leurs mots de passe sur la page malveillante. Celle-ci ressemble à une page web officielle d’une bibliothèque universitaire, avec des éléments appartenant à l’université. Elle intègre même une case à cocher où les utilisateurs peuvent vérifier s’ils veulent rester connectés à l’application.
Arnaques supplémentaires à l’égard des ransomwares
Le phishing n’est pas le seul mobile des agresseurs. Les ransomwares sont également l’un des moyens les plus utilisés pour mener des attaques contre le secteur éducatif. Le ransomware chiffre les fichiers sensibles afin que les victimes ne puissent récupérer leurs données que si elles paient des rançons. Ces rançons peuvent varier de quelques centaines à quelques milliers d’euros.
Les attaques de ransomware commencent principalement par le phishing. Les attaquants usurpent les adresses des expéditeurs des e-mails et les utilisent, en intégrant des liens ou des pièces jointes malveillants, pour cibler les destinataires avec des privilèges élevés.
Même les utilisateurs qui ne disposent que de peu privilégiés peuvent constituer des cibles potentielles lorsque l’objectif principal est de chiffrer les fichiers dans le but d’extorquer de l’argent. Les attaquants utilisent les pièces jointes et les liens qui redirigent les utilisateurs vers des sites contrôlés pour les inciter à télécharger un malware. Par ailleurs, il faut savoir que les attaques peuvent être multiformes, étant donné que le contenu malveillant peut télécharger des malwares supplémentaires ou donner aux attaquants le contrôle à distance depuis un ordinateur qui se trouve dans les locaux de l’établissement scolaire.
Les ransomwares ciblent les entreprises et les universités dans le but de les mettre dans une situation où elles doivent payer les rançons sinon elles vont subir un impact dévastateur sur leur productivité quotidienne. Certes, les étudiants constituent une cible parfaite pour les attaquants, mais les universités et les entreprises offrent également de meilleures chances de succès aux pirates informatiques. Certaines campagnes de phishing sont couplées à des ransomwares pour une efficacité maximale. L’attaquant peut obtenir des mots de passe et des informations personnelles de l’utilisateur ciblé, tout en générant des revenus grâce à des rançons.
Le coût énorme des cybercriminalités a amené les établissements d’enseignement à souscrire des polices d’assurance qui paient généralement la rançon en cas d’attentat. C’est une solution intéréssante pour les établissements d’enseignement, notamment sur le plan financier. Mais cela constitue également une garantie pour les attaquants qu’ils peuvent réaliser des gains lorsqu’ils menent des attaques. En effet, certaines études montrent que les pirates informatiques choisissent leurs cibles selon qu’ils détiennent ou non une assurance.
Au total, 49 districts scolaires et environ 500 écoles de la maternelle à la terminale (K12) ont été touchés par des attaques de ransomwares cette année. Alors que les attaques de ransomwares contre les districts scolaires se sont répandues dans l’ensemble des États-Unis, les écoles du Connecticut ont été particulièrement durement touchées, avec 7 districts attaqués, comprenant 104 écoles.
Protéger les élèves et les enseignants contre le phishing
Les e-mails envoyés aux adresses des étudiants sont contrôlés par les administrateurs de l’université. Les administrateurs peuvent mettre en place des filtres de messagerie qui piègent les messages malveillants et les mettent en quarantaine en vue d’un examen ultérieur. Les filtres placés sur le système de messagerie d’une université réduiront considérablement les chances de succès d’une campagne de phishing ciblée.
La sécurité de la messagerie électronique peut prendre plusieurs formes. La première est l’utilisation de la sécurité authentification, de rapport et de conformité d’un message basé sur un domaine (DMARC) contre les messages électroniques falsifiés. La DMARC peut être personnalisée par l’administrateur pour déterminer le bon déclencheur de mise en quarantaine. Il est également possible de remédier aux faux positifs et de les envoyer à la boîte de réception du destinataire. Le bon système DMARC limitera le nombre de faux positifs et tentera de « savoir » quels messages sont malveillants par rapport à ceux qui doivent être envoyés dans la boîte de réception de l’utilisateur.
Les filtres de contenu web basés sur le DNS sont une fonction supplémentaire qui bloque l’accès aux sites malveillants. Les utilisateurs qui tombent dans le piège du phishing, en cliquant sur un lien, ne seront pas en mesure d’accéder à un site web. Ces sites web sont classés comme malveillants et l’administrateur peut recevoir des alertes lorsque des utilisateurs tentent d’y accéder.
En utilisant les bons outils de cybersécurité, les administrateurs peuvent protéger les étudiants et le corps professoral contre les attaques de phishing et de ransomwares. Les filtres de contenu basés sur DMARC et DNS réduisent considérablement la capacité d’un attaquant à effectuer une attaque de phishing réussie, ce qui évite à l’université et aux étudiants des erreurs coûteuses.
Vous êtes un professionnel de l’informatique dans une école et vous voulez vous assurer que les données et les appareils sensibles de l’école, des élèves et du personnel sont protégés ? Parlez à un de nos spécialistes ou envoyez-nous un e-mail à info@titanhq.com pour toute question.
