64 milliards d’attaques par bruteforce dans l’e-commerce, l’hôtellerie et le voyage

64 milliards d’attaques par bruteforce dans l’e-commerce, l’hôtellerie et le voyage

L’un des principaux avantages de la migration vers le cloud est d’atteindre l’extensibilité.

En fait, la possibilité de déployer et de retirer des actifs numériques de manière automatisée est actuellement un aspect important du processus de transformation numérique.

Mais l’évolutivité ne profite pas seulement aux entreprises. Elle profite également aux pirates et aux cybercriminels qui tentent de s’introduire dans les réseaux d’entreprise.

Imaginez le temps qu’il faudrait pour crocheter la serrure de chaque casier d’un bâtiment de lycée. Ce serait pour le moins peu pratique.

Mais que se passerait-il si tout ce que vous aviez à faire était de forcer l’un d’entre eux afin d’obtenir un accès potentiel à tous.

Et si vous disposiez d’un outil capable de crocheter toutes les serrures simultanément ?

En quelques minutes, vous pourriez simplement essayer n’importe quelle combinaison de chiffres par défaut ou facile à retenir sur chaque cadenas jusqu’à ce que l’un d’entre eux fonctionne.

C’est ainsi que fonctionnent aujourd’hui les attaques par force brute, connues sous le nom de « Credential Stuffing ».

Ce sont des attaques à grande échelle conçues pour trouver rapidement et facilement le maillon le plus faible de votre système de sécurité.

Pourquoi les attaques par force brute sont-elles si efficaces ?

Les attaques automatisées par force brute menées par les grands botnets offrent aux attaquants une évolutivité presque illimitée grâce aux sites qui rassemblent des millions de comptes d’utilisateurs dans un seul espace, c’est-à-dire dans le cloud.

Les organisations qui utilisent des services de messagerie électronique dans le cloud tels qu’Office 365 subissent en permanence de grandes quantités d’attaques par force brute.

Les organisations criminelles déploient des robots de force brute qui s’attaquent continuellement aux boîtes de messagerie de votre entreprise, en utilisant des mots de passe communs jusqu’à ce qu’ils soient trouvés.

Une fois qu’un compte est compromis, ils peuvent l’utiliser pour lancer des attaques de phishing ou du type BEC convaincantes contre d’autres utilisateurs internes.

En ciblant la voie de moindre résistance, les cybercriminels peuvent s’introduire dans le réseau de votre entreprise et s’en servir pour mener des attaques sans qu’il soit nécessaire de recourir à l’interaction humaine.

Mais la recherche de proies faciles sur Office 365 n’est que la partie visible de l’iceberg.

Si l’obtention d’un accès à l’échelle de l’entreprise peut être la fin d’une attaque par force brute, la compromission d’un seul compte utilisateur peut apporter quelque chose de valeur aux pirates.

Le fait est que la plupart des utilisateurs choisissent une adresse électronique comme nom d’utilisateur pour de nombreux sites Internet.

Ils aggravent ensuite le problème en recyclant les mots de passe.

Une fois qu’un pirate informatique parvient à deviner votre identifiant de connexion à un site, il y a de fortes chances qu’il puisse utiliser ce jeu de mots de passe pour un autre site :

  • Votre banque
  • Votre site de médias sociaux
  • Votre application de streaming
  • Votre magasin de vente au détail en ligne.

Inversement, les pirates peuvent cibler n’importe lequel de ces sites afin d’obtenir vos identifiants de connexion.

Les sites de vente au détail et d’hôtellerie sont les principales cibles

La réalité d’aujourd’hui est que si un attaquant peut capturer vos identifiants de connexion chez votre détaillant en ligne préféré, il peut également les utiliser pour accéder à d’autres sites.

Et comme la majorité des consommateurs effectuent aujourd’hui la plupart de leurs achats via Internet, les sites de commerce électronique sont devenus une cible privilégiée pour les pirates.

Selon un récent rapport intitulé « Loyalty for Sale », plus de 60 % des attaques par force brute détectées au cours des deux dernières années ont visé des magasins de vente au détail, de voyage et d’hôtellerie.

L’entreprise qui a rédigé le rapport a déclaré qu’entre le 1er juillet 2018 et le 30 juin 2020, plus de 64 milliards d’attaques par force brute sur les 100 milliards détectées ont visé des comptes d’utilisateurs ouverts dans ces trois secteurs.

Bien que les chiffres soient stupéfiants, ce n’est pas nouveau. L’année précédente, le secteur de la vente au détail était également la première cible des attaques par force brute.

En 2018, on a recensé 773 millions d’adresses électroniques uniques et 22 millions de mots de passe uniques. Les justificatifs d’identité comprenaient plus de 87 Go de données.

Depuis le début de la crise liée au COVID-19, les cybercriminels recyclent les listes de justificatifs d’identité stockées comme celles-ci pour trouver des comptes en ligne nouvellement actifs pour des sites de vente au détail.

Se protéger contre les attaques par force brute

L’un des moyens les plus efficaces de lutter contre les attaques par force brute est d’utiliser des comptes uniques pour chaque site auquel vous accédez.

Ainsi, si l’un de vos comptes est compromis, il ne peut pas être utilisé successivement sur les autres sites que vous fréquentez.

Les utilisateurs doivent également changer régulièrement leurs mots de passe, car les informations volées sont conservées pendant des années par des criminels.

Afin de se protéger contre la compromission de leurs identifiants de connexion, les entreprises ont besoin d’une solution de sécurité de la messagerie électronique adaptée pour déjouer les attaques.

Un exemple est « SpamTitan Cloud », qui offre aux entreprises un système de protection hautement évolutif pour sécuriser la messagerie électronique.

SpamTitan a été créé pour protéger votre organisation contre les attaques de type « zero day » et les techniques de phishing les plus avancées.

Il utilise également des outils de nouvelle génération, tels que le sandboxing et les règles de prévention des fuites de données.

Avec SpamTitan, vous pouvez faire évoluer votre sécurité afin de vous protéger contre les cyberattaques hautement évolutives d’aujourd’hui.

Des nouvelles campagnes de phishing liées au COVID-19

Des nouvelles campagnes de phishing liées au COVID-19

Les cybercriminels changent constamment de tactiques pour tromper les employés dans le but de les amener à cliquer sur des liens malveillants ou à divulguer leurs informations d’identification.

Pendant la pandémie, de nombreux escrocs ont abandonné leurs campagnes éprouvées en utilisant des leurres classiques à thème commercial, tels que :

  • De fausses factures
  • Des bons de commande
  • Des avis d’expédition.

Ces leurres sont d’actualité et ciblent les personnes qui sont avides d’informations sur le coronavirus.

Les cybercriminels utilisent de fausses notes internes sur les changements apportés aux politiques de travail à domicile

Une nouvelle campagne de phishing a vu le jour: elle tire parti des nouvelles pratiques commerciales dues au COVID-19.

De nombreux employés travaillent actuellement à distance, même si leurs employeurs ont commencé à rouvrir leurs bureaux.

Pendant la pandémie, les employés se sont habitués à recevoir régulièrement des mémos et des mises à jour internes de leur entreprise.

La nouvelle campagne de phishing cible le département des ressources humaines d’une entreprise lors de laquelle les pirates envoient des e-mails automatisés, similaires aux messages que les employés sont habitués à recevoir.

Les e-mails prétendent contenir des pièces jointes de messagerie vocale, qui seront également familières à de nombreux travailleurs à distance.

Les pièces jointes au format HTML sont personnalisées avec le nom du destinataire afin de rendre le message plus crédible.

Si la pièce jointe est ouverte, l’utilisateur se verra présenter un lien sur lequel il devra cliquer pour recevoir les informations sur l’entreprise.

Lors de cette campagne, il s’agissait d’un lien SharePoint, bien que d’autres services dans le cloud puissent être utilisés de la même manière.

Le lien dirige l’utilisateur vers SharePoint et fournit une mise à jour sur la politique de travail à distance de l’entreprise.

Après avoir lu le message, le travailleur est tenu de cliquer sur un lien qui le dirige vers la page de phishing proprement dite où sont recueillies des informations sensibles.

Les messages envoyés lors de cette campagne sont très réalistes.

La fausse politique de travail à distance est bien écrite et plausible et stipule que si les employés souhaitent continuer à travailler à domicile après la pandémie, ils doivent remplir un formulaire de leur département de ressources humaines afin de fournir un avis écrit.

Le formulaire Excel hébergé par SharePoint-Host, où l’utilisateur est dirigé, est également plausible, mais en plus de la demande de continuer à travailler à domicile, l’utilisateur doit fournir ses références d’e-mail.

Une campagne de phishing offre une aide financière du gouvernement aux travailleurs affectés par le COVID-19

Une autre campagne de phishing a été identifiée.

Elle est également liée à la pandémie, en usurpant l’identité des agences gouvernementales et en offrant une aide financière liée à la pandémie aux personnes qui ne peuvent plus travailler en raison des restrictions liées au COVID-19 ou celles qui ont été affectées d’une autre manière.

Cette campagne a ciblé les citoyens américains, bien que d’autres campagnes similaires puissent être menées dans d’autres pays.

Dans cette campagne, dont le sujet est « Le gouvernement américain doit accorder aux citoyens une aide financière d’urgence », le message indique que le gouvernement a commencé à verser des indemnités en espèces en octobre 2020.

Le message précise que le paiement n’est accordé qu’aux résidents des États-Unis et que le montant maximum est de 5 800 dollars.

Un lien est fourni dans l’e-mail sur lequel l’utilisateur doit cliquer pour faire une demande de subvention. L’e-mail indique qu’il sera examiné par un représentant de l’assistance qui enverra une réponse personnelle dans les 24 heures. L’utilisateur doit saisir son nom, sa date de naissance, son adresse, ses coordonnées, son numéro de sécurité sociale et son numéro de permis de conduire sur un second formulaire.

Le phishing : le type de cybercriminalité le plus courant

Une récente enquête menée par Clario et Demos a confirmé que le phishing et les attaques lancées via la messagerie électronique sont les types de cybercriminalité les plus courants signalés aux États-Unis et au Royaume-Uni.

La pandémie a facilité le succès des attaques de phishing. Les cybercriminels profitent de l’incertitude quant aux changements apportés aux nouvelles méthodes de travail à cause de la pandémie.

De nombreuses personnes travaillent seules à la maison sans un niveau de soutien en matière de protection contre les cybercriminalités. De nombreuses vulnérabilités ont donc été introduites à la suite du passage au travail à domicile.

Les entreprises peuvent mieux protéger leurs employés en utilisant des solutions de filtrage du courrier électronique et du web basées dans le cloud.

Ces solutions fonctionnent en tandem pour bloquer les e-mails malveillants, les attaques de phishing et des campagnes de distribution de malwares.

Une solution de filtrage du courrier électronique basée dans le cloud peut filtrer la majorité des messages malveillants et maintient les boîtes de réception à l’abri des menaces en ligne.

Un filtre web empêchera également les utilisateurs finaux de visiter des liens malveillants, de télécharger des pièces jointes malveillantes ou de visiter des sites web malveillants lorsqu’ils travaillent au bureau ou à distance.

TitanHQ a développé deux solutions de sécurité du web et du courrier électronique faciles à utiliser, faciles à mettre en œuvre et très efficaces pour protéger les travailleurs au bureau et à distance contre toutes les menaces du web et du courrier électronique, y compris les e-mails de phishing et les attaques de type « zero day ».

L’utilisation de l’intelligence artificielle : le nouvel outil des cybercriminels

L’utilisation de l’intelligence artificielle : le nouvel outil des cybercriminels

Les cybercriminels semblent toujours avoir une avance sur les entreprises en matière de cybercriminalité.

Tous les secteurs sont confrontés à un assaut continu d’attaques cybercriminelles, à tel point que la protection de votre organisation est devenue une nécessité.

La pandémie du COVID-19 et le travail à distance qui a suivi n’ont fait qu’exacerber la situation.

En mars et avril 2020, le fournisseur de services de sécurité Kaspersky a constaté une augmentation de 400 % des cyberattaques visant les ordinateurs de bureau distants.

Le nombre d’escroqueries lancées via les e-mails s’est également accru pendant la pandémie, avec une augmentation de 667 % des arnaques liées au COVID-19 en mars dernier.

L’automatisation est à l’origine de nombreuses cyberattaques, ce qui a pour effet d’huiler les rouages des méthodes d’attaque des pirates et de rendre l’atténuation des dégâts plus difficile.

Alors que les cybercriminels améliorent leurs méthodes et utilisent de nouvelles techniques plus sophistiquées pour voler et piller des données sensibles, quels sont les outils qui peuvent aider votre organisation à contrer ces attaques ?

Voici nos conseils !

Les cyberattaques automatiques de l’intelligence artificielle

De nombreuses cyberattaques modernes sont menées via l’automatisation et certaines commencent même à tirer parti de l’intelligence artificielle (IA).

Nombre de ces attaques sont porteuses de malwares qui sont capables de persister dans un système et qui sont difficiles à détecter et à éradiquer. On les appelle « Advanced Persistent Threat » ou APT.

Des exemples récents montrent les éléments les plus intelligents des cybermenaces modernes.

La sophistication de l’APT au troisième trimestre 2020

Les chercheurs de Kaspersky ont constaté que la dernière série d’APT a pris un nouveau caractère.

L’une des nouvelles tactiques renvoie à une ancienne méthode connue sous le nom de « sténographie ». Cette technique utilise l’obscurcissement pour cacher des malwares.

Le malware est caché dans un fichier exécutable légitime de Microsoft Defender, ce qui le rend extrêmement difficile à détecter.

La conclusion de Kaspersky est qu’il faut investir des ressources dans la chasse aux activités malveillantes dans de nouveaux environnements éventuellement légitimes qui étaient moins surveillés dans le passé.

Le programme DD Perks de Dunkin Donuts et l’attaque automatisée de forçage d’identifiants

La fraude par carte de fidélité est un problème croissant.

La raison ?

Les programmes de fidélisation contiennent des récompenses et des points lucratifs ainsi que des données personnelles, ce qui les rend attrayants pour les cybercriminels.

La prise de contrôle des comptes par une technique appelée « forçage d’identifiants » est un problème pour toute entreprise proposant un programme de récompenses.

Lors de l’attaque contre Dunkin Donuts, les pirates informatiques ont utilisé des identifiants volés en recourant à des techniques telles que le phishing et les sites web malveillants.

Les fraudeurs utilisent ensuite des outils d’automatisation, tels que Snipr, pour tester ces informations d’identification sur des comptes existants. L’automatisation a rendu ces attaques beaucoup plus faciles et plus lucratives.

Business Email Compromise, IA et Deepfakes

Le Business Email Compromise (BEC) permet aux fraudeurs de soutirer de grosses sommes d’argent aux entreprises. En 2019, on estime à plus de 1,45 milliard d’euros le coût des fonds volés en raison de la fraude du type BEC.

Aujourd’hui, le nombre de fraudes du type BEC peut encore augmenter à cause de l’utilisation de la technologie Deepfake, basée sur la vidéo et l’audio générées par l’Intelligence artificielle.

L’un des Deepfakes les plus tristement célèbres a impliqué une fausse vidéo de Mark Zuckerberg de Facebook.

Cette technologie est de plus en plus répandue, avec 14 698 vidéos Deepfake en ligne découvertes par les chercheurs de DeepTrace en 2019, soit une augmentation de 50 % par rapport à 2018.

Cette technologie basée sur l’IA se fraye un chemin dans les cyberattaques, dont beaucoup sont lancées à l’aide de tactiques telles que les e-mails de spear phishing.

En 2019, une prétendue attaque BEC lancée par DeepTrace a été enregistrée.

Un PDG britannique a été amené à transférer plus de 197 000 euros à un escroc, qui aurait utilisé la technologie Deepfake pour créer une voix frauduleuse d’une personne influente au sein de son entreprise.

Lors d’un appel avec la fausse personne, le PDG a été invité à transférer d’urgence une somme d’argent qui se retrouvait finalement sur le compte bancaire de l’escroc.

Ce dernier exemple est l’un des plus préoccupants, car il utilise une fusion de l’automatisation de l’IA avec l’ingénierie sociale.

L’intelligence artificielle et l’analyse à la rescousse

Si les cybercriminels utilisent des technologies intelligentes telles que l’IA pour lancer des attaques, alors nous devons y répondre de manière intelligente.

L’IA et l’apprentissage machine (ou « machine learning » — ML) offrent tous deux un moyen puissant d’atténuer les menaces.

Les cybercriminels utilisent l’IA et l’automatisation pour transformer des vecteurs d’attaque éprouvés et fiables en armes hyper puissantes.

Si les cybercriminels peuvent utiliser l’IA pour renforcer les formes existantes de cyberattaques, les organisations peuvent également, par la même occasion, utiliser ces technologies pour riposter.

L’IA et le ML, associés à des analyses avancées, peuvent être utilisés pour contrecarrer les cyberattaques, y compris celles basées sur l’automatisation.

Voici quelques exemples de l’utilisation de l’IA pour améliorer la cybersécurité :

Filtrage intelligent du web

Les cybercriminels placent des contenus malveillants sur des sites web et utilisent ensuite l’ingénierie sociale pour attirer les employés vers ces sites.

Ces sites peuvent être très difficiles à détecter et 78 % d’entre eux trompent les utilisateurs parce qu’ils semblent être des sites sécurisés.

Une solution de filtrage web DNS basée dans le cloud, alimentée par l’IA, offre une protection contre les menaces en ligne, notamment les malwares, les ransomwares et le phishing.

Les solutions de filtrage web basées sur l’IA utilisent l’automatisation et des analyses avancées pour effectuer des recherches parmi des milliards d’URL/IP et de sites de phishing qui pourraient compromettre votre réseau d’entreprise.

La solution de filtrage DNS de WebTitan offre une protection alimentée par l’IA contre les URL de phishing actives et émergentes, y compris les menaces du type « zéro day ».

Filtrage et analyse intelligents du courrier électronique

Le courrier électronique est l’arme de prédilection des cybercriminels, car c’est un excellent moyen de pénétrer le réseau d’une organisation.

Généralement, un mélange d’ingénierie sociale et de liens malveillants constitue le modus operandi de cette méthode de cyberattaque.

Toutefois, les pièces jointes malveillantes peuvent également provoquer l’infection de malwares.

Le rapport d’enquête sur les atteintes aux données de Verizon (DBIR) pour 2020 a révélé que 20 % des attaques de malwares sont lancées à l’aide de pièces jointes à des e-mails.

Un mélange de technologies d’apprentissage machine et d’analyse comportementale peut aider à détecter les e-mails suspects et à les isoler, en les empêchant d’atteindre les boîtes de réception des utilisateurs finaux.

Certaines technologies vont même plus loin en plaçant ces e-mails malveillants et leurs pièces jointes dans des bacs à sable sûrs (sandbox) afin de faire croire aux cybercriminels qu’ils ont atteint leur cible.

Cela donne également à l’administrateur système la possibilité de contrôler les e-mails entrants.

Les solutions avancées de sécurité du courrier électronique comme SpamTitan utilisent une combinaison de listes noires d’adresses IP malveillantes connues :

  • D’analyse des en-têtes et du contenu des courriers électroniques
  • D’analyse des liens
  • D’analyse antivirus et de sandboxing.

Elles utilisent également les protocoles SPF, DKIM et DMARC pour détecter et bloquer les attaques d’usurpation d’identité via le courrier électronique. Par ailleurs, elles intègrent l’IA et le ML pour identifier les attaques de phishing du type « zero day ».

Quelle que soit la méthode utilisée pour exploiter le courrier électronique, une entreprise doit être en mesure de filtrer les e-mails malveillants avant qu’ils n’arrivent dans la boîte de réception des employés.

Mais l’entreprise moderne doit faire face à un nombre massif d’e-mails. Même les petites entreprises sont inondées de spams. Le rapport Radicati prévoit que d’ici 2023, il y aura 347 milliards d’e-mails envoyés et reçus chaque jour.

Les systèmes de filtrage du courrier électronique de première génération ont été contournés par les cybercriminels et ne fonctionnent plus efficacement face à une telle quantité d’e-mails envoyés chaque jour.

L’utilisation du ML dans le filtrage et l’analyse du courrier électronique est venue à la rescousse. Cette technique offre un moyen de repérer les contenus malveillants, parmi tant d’autres.

Les solutions intelligentes de filtrage du courrier électronique utilisent des données réelles pour former un algorithme d’apprentissage automatique et ces données sont mises à jour en temps réel.

Plus il y aura d’e-mails malveillants ou non, plus la réponse sera précise.

Certains systèmes sont encore plus avancés, utilisant l’échantillonnage en continu et des superviseurs humains pour

  • Former les systèmes d’apprentissage machine supervisés
  • Ajuster ou optimiser leur efficacité, la précision et l’efficacité globale des systèmes de détection des actes malveillants.

L’IA apporte un équilibre à la lutte contre la cybersécurité

Les pirates informatiques sont toujours à la recherche de nouvelles manières de commettre des cyberattaques.

Cependant, ils reviennent souvent à l’utilisation du courrier électronique, qui agit comme une autoroute menant directement au centre de votre entreprise.

Au fur et à mesure que les entreprises ripostent, les cybercriminels et les pirates modifient leurs tactiques pour contourner les mesures de cybersécurité.

L’IA fournit les moyens de tirer parti de notre monde saturé de données et d’utiliser ces données pour créer des systèmes de cybersécurité plus proactifs.

En se tournant vers des systèmes avancés et intelligents qui utilisent l’IA, le ML et des analyses avancées, votre entreprise pourra faire face à ces attaques cybercriminelles.

Contactez-nous dès aujourd’hui pour parler de la protection de WebTitan contre les URL de phishing actives et émergentes, y compris les menaces du type « zéro day », grâce à l’intelligence artificielle.

Sécurité des emails et du web en 2020 : 5 menaces

Sécurité des emails et du web en 2020 : 5 menaces

Les cyberattaques n’ont cessé d’augmenter depuis l’apparition du COVID-19, et nous n’avons peut-être pas encore atteint le sommet.

Une étude a montré une augmentation de 30 % des cyberattaques entre les mois de juillet et août de cette année.

Le 18 août, 1 746 611 cyberattaques ont été enregistrées sur une période de 24 heures, ce qui constitue un record. Il est donc essentiel d’analyser les 5 principales menaces pour la sécurité du courrier électronique et du web en 2020.

Les menaces pour la sécurité des emails et du web en 2020

Même si nous voulons oublier l’année en cours, nous devons prendre le temps de l’analyser du point de vue de la cybersécurité afin de mieux nous protéger en 2021.

Voici un bref résumé des menaces qu’encourt en 2020 la sécurité des emails et du web.

Le travail à distance

Avant l’apparition de la pandémie, environ 5,2 % des employés américains travaillaient à distance à temps plein, selon le recensement américain.

Ce pourcentage était inférieur à celui de nombreuses entreprises en Europe, en particulier aux Pays-Bas, qui, pendant des années, ont mené le mouvement mondial en faveur du travail à distance avec un taux de 14,1 %.

Puis le COVID-19 a fait son apparition. Le PDG de Barclays a résumé la « nouvelle normalité » en une phrase : « Mettre 7 000 personnes dans un bâtiment peut être une chose du passé ».

Alors que les entreprises ont pu faire la transition vers des stratégies de travail à distance avec une relative facilité, la sécurisation du processus de travail lui-même est très difficile.

Les méthodes de sécurité conventionnelles se sont centrées sur une architecture de périmètre qui n’existe plus. Les employés travaillant à distance, isolés de l’informatique interne et de leurs pairs, sont beaucoup plus vulnérables aux cyberattaques.

La cyberguerre sera désormais menée sur mille fronts, plutôt que sur un seul périmètre.

Les attaques contre Microsoft Office 365

Microsoft Office 365 est rapidement devenu le cœur de beaucoup d’entreprises aujourd’hui.

Qu’il s’agisse de services de courrier électronique, d’applications Office ou de stockage de fichiers personnels, les entreprises et les écoles ont procédé à une migration active de leurs services essentiels vers le cloud O365.

En conséquence, les pirates informatiques en ont fait une cible privilégiée pour les attaques.

Ironiquement, les cybercriminels s’abonnent à ces mêmes services afin de découvrir ses vulnérabilités.

Qu’il s’agisse d’attaques à grande échelle de forçage d’identifiants ou d’attaques de phishing bien conçues (demandant aux utilisateurs de réinitialiser un mot de passe ou d’accéder à un OneDrive partagé), les utilisateurs de Microsoft Office 365 sont continuellement attaqués.

Pour contrer ces attaques, les entreprises doivent appliquer des mots de passe complexes ainsi qu’une authentification à plusieurs facteurs.

Les services informatiques internes doivent renforcer le système Microsoft Office 365 par une sécurité dédiée au courrier électronique, et surveiller régulièrement leurs environnements Microsoft Office 365 afin de pouvoir identifier les activités de connexion anormales.

Les attaques de ransomware

Les attaques de ransomwares sont un exemple classique de menaces qui est en constante évolution. Les organisations évoluent au fil du temps pour s’adapter aux nouveaux modes de travail afin de survivre et de s’épanouir.

Il en va de même pour les ransomwares.

Traditionnellement, le ransomware était considéré comme une mine enterrée.

Il reste là, à l’attente d’une malheureuse victime qui tombe dessus arbitrairement. Ceux qui ont déployé la mine n’ont aucun moyen de cibler de manière sélective ceux qui tomberont dessus.

C’était le cas des premiers logiciels de ransomwares. Ils étaient jetés comme un filet géant, sans savoir qui serait la malchanceuse victime.

En général, il était dispersé dans des attaques de phishing à grande échelle.

Dès qu’un utilisateur peu méfiant cliquait sur le lien séduisant mais malveillant, le ransomware était lancé et, en quelques minutes, il commençait à chiffrer tout ce qu’il trouvait.

Ceci étant fait, la demande de rançon est lancée. Les auteurs espéraient alors qu’un nombre suffisant de victimes paieraient.

Le ransomware est maintenant dans sa deuxième phase.

Le ransomware 2.0 est beaucoup plus complexe. Non seulement il est conçu pour échapper aux contrôles de sécurité traditionnels, mais il est souvent contrôlé manuellement.

Les attaques de ransomware 2.0 ne sont plus automatisées ni immédiates. Une fois qu’ils ont pris pied sur le réseau, les auteurs manœuvrent autour du réseau compromis à la recherche de données et d’autres ressources de grande valeur.

Après avoir localisé les données, les pirates les copient et les téléchargent vers un endroit sécurisé. C’est seulement à ce moment que le chiffrement commence.

Si la victime est en mesure de récupérer les données, les criminels menacent alors de vendre ou de divulguer les données volées.

Ils disposent ainsi de multiples moyens pour exiger de l’argent, ce qui augmente les chances de retour sur investissement.

Les attaques de phishing

Le phishing continue d’être une menace de premier plan, comme c’est le cas depuis des années. La raison en est simple : elle est facile à mettre en œuvre.

Aujourd’hui, presque tout le monde dépend du courrier électronique pour son travail, ce qui fait de presque tout le monde une cible d’une attaque de phishing.

Selon le rapport « 2020 Phishing Attack Landscape Report », les entreprises ont subi en moyenne 1 185 attaques par mois jusqu’à présent.

Le rapport comprend les résultats d’une enquête dans laquelle 38 % des personnes interrogées ont déclaré qu’un collègue de travail avait été victime d’une attaque au cours des 12 derniers mois.

Le phishing continue d’être le principal mécanisme de diffusion des ransomwares et des tentatives d’atteinte aux données sensibles des entreprises.

Il est impossible d’avoir une stratégie de cybersécurité efficace qui n’inclut pas un moyen efficace de lutter contre les attaques de phishing.

L’ingénierie sociale

L’ingénierie sociale concerne l’art de la tromperie. Il s’agit de manipuler l’essence de la nature humaine. Le phishing en est l’exemple classique, avec le spear phishing et le whaling qui font passer l’ingénierie sociale au niveau supérieur.

Les cybercriminels effectuent désormais des reconnaissances pendant des semaines ou des mois afin de déterminer les ficelles à tirer au sein d’une organisation. D’autres exemples d’ingénierie sociale sont les tailgating et le watering hole.

De toutes les menaces susmentionnées, la plus importante est, de loin, le fait que Microsoft Office365 est de plus en plus attaqué en raison de scénarios de travail à distance précipités et d’une sécurité inadéquate du courrier électronique et du web.

Pour plus d’informations sur l’amélioration de la protection de vos employés et votre entreprise contre les attaques de phishing et d’autres cybermenaces, appelez l’équipe de TitanHQ.

Vous pouvez également vous inscrire pour un essai gratuit et sans obligation de nos deux solutions de sécurité du courrier électronique et du web afin de les évaluer dans votre propre environnement.

Zoom est la nouvelle cible d’attaques de sextorsion

Zoom est la nouvelle cible d’attaques de sextorsion

L’application de vidéoconférence Zoom a connu un véritable succès pendant la pandémie du Covid-19.

En avril, plus de 300 millions de personnes l’ont installée dans leur appareil de bureau et avaient commencé à utiliser l’application Zoom pour les réunions d’entreprise.

Cette routine signifie que nous pouvons parfois devenir un peu « trop à l’aise » en nous asseyant devant la caméra de notre appareil pour les appels vidéo.

Pourtant, cette zone de confort est devenue un autre moyen pour les cybercriminels d’exploiter les employés et les entreprises, cette fois-ci sous forme d’escroquerie à la sextorsion via Zoom.

Qu’est-ce que la sextorsion ?

Les cybercriminels ont de plus en plus recours à la sextorsion pour extorquer de l’argent à des utilisateurs peu méfiants. L’escroquerie est généralement basée sur le courrier électronique.

En termes simples, il s’agit d’un chantage.

Elle est également connue sous le nom de « chantage à la pornographie », et ce fait n’est pas nouveau dans le monde de la cybersécurité.

Un rapport de Sophos a révélé que des millions d’emails de sextorsion ont été envoyés entre 2019 et 2020, ce qui fait que les cybercriminels derrière ces emails ont déjà récolté plus de 410 000 euros.

Ils aiment les escroqueries qui ont du succès et ils continuent à innover avec leurs tactiques.

Les emails de sextorsion contiennent généralement une menace de révéler du contenu sexuellement explicite, généralement sous la forme d’une vidéo.

L’arnaqueur explique dans l’email qu’une vidéo a été capturée par un malware installé sur l’appareil de l’utilisateur.

La menace se poursuit par le fait que si la victime ne paie pas de rançon (généralement en bitcoin) dans un délai donné, la vidéo compromettante sera envoyée à ses contacts.

Voici un exemple d’email de sextorsion :

« Salut, ma proie.

C’est un avertissement !

Je vous écris, car j’ai intégré un malware sur le site web que vous avez visité et qui contient des vidéos pornographiques.

Mon cheval de Troie a capturé toutes vos données privées et commuté sur votre caméra qui a commandé l’acte de votre sеx solitaire. Juste après que le cheval de Troie ait sauvegardé votre liste de contacts.

Je vais faire apparaître les informations et les archives vidéo si vous ne m’envoyez par 1100 euros en bitcoin.

C’est l’adresse pour le paiement: 1PTGiBdKsZdHxBm4961tTToqiA7B8fy3ZN

Je vous donne 30 heures après que vous ayez ouvert mon message pour faire le paiement.

Ce n’est pas nécessaire de me dire que vous avez envoyé l’argent. Cette adresse est connectée à vous, mon système sera effacé automatiquement après la confirmation du transfert.

Si vous ne payez pas, j’enverrai toutes les vidéos pornographiques que vous avez regardées à tous vos contacts.

Vous pouvez demander de l’aide à la police, mais elle ne pourra rien faire.

Je ne vis pas dans votre pays. Donc, personne ne peut connaitre ma position, même pendant 9 mois.

Au revoir. Si vous ne vous inquiétez pas de la honte que cela peut entraîner, sachez que votre vie pourrait être ruinée.

Comme toujours, les cybercriminels ne manquent pas d’opportunités, et comme Zoom s’est imposé dans notre vie quotidienne, ils améliorent toujours leurs tactiques de sextorsion vers la plateforme de vidéoconférence.

La dernière version d’une arnaque de sextorsion, appelée « Zoom sextortion », a été liée à un incident ayant impliqué l’analyste de télévision Jeffrey Toobin.

Toobin a été pris dans une position compromettante lors d’une vidéoconférence de Zoom avec des membres des médias.

Bien que Toobin n’ait pas été spécifiquement victime de sextorsion dans cette affaire, le fait qu’une personne aussi connue ait été prise « à la caméra » dans une position compromettante a permis aux fraudeurs d’utiliser l’incident comme une pression supplémentaire dans les campagnes de sextorsion.

Sextorsion, Zoom et sécurité des emails

Dans cette dernière escroquerie de sextorsion, Zoom a été très utilisé.

En fait, cette application est devenue un outil omniprésent dans notre vie professionnelle quotidienne depuis que le travail à distance s’est imposé en raison de la distanciation sociale.

Les cybercriminels à l’origine des campagnes de sextorsion utilisent les mêmes tactiques que d’habitude pour extorquer de l’argent, mais cette fois-ci, ils ont utilisé la plateforme de média social Zoom.

Le courrier électronique est à nouveau le vecteur central de la menace.

De plus, l’email de sextorsion joue sur les craintes de sécurité. Avec l’augmentation de l’utilisation de l’application, la sécurité a commencé à devenir un problème pour les utilisateurs.

La sécurité de Zoom a, dès le début, été remise en question.

Le « zoombombing » où les conférences Zoom sont infiltrées par des personnes non invitées était un problème particulier pendant le confinement.

En mars, le FBI a émis un avertissement concernant le détournement de Zoom et d’autres plateformes de vidéoconférence :

« Le FBI a reçu de multiples rapports de conférences perturbées par des images pornographiques et/ou haineuses et des propos menaçants. »

Les failles de sécurité se sont concentrées sur le problème de contrôle d’accès lors d’un Zoombombing.

Cette dernière arnaque de sextorsion utilisant Zoom joue un double jeu : l’utilisateur de Zoom craint la sécurité de l’application et l’exposition de tout contenu embarrassant.

L’email de sextorsion indique qu’une vulnérabilité de type « zero day » dans l’application Zoom a permis d’accéder aux métadonnées de l’appareil photo et à d’autres dispositifs de la victime.

L’arnaqueur poursuit en expliquant qu’il a pris des images embarrassantes de l’utilisateur au cours d’une réunion via Zoom, en pointant du doigt l’affaire Jeffrey Toobin.

Voici son message : « Je ne veux pas que tu sois le prochain Jeffrey Toobin ».

La plupart des personnes qui reçoivent ce genre de message ne se sentiront pas menacées.

D’ailleurs, bon nombre d’entre nous ne font rien de pire que de porter un bas de pyjama pendant un appel via Zoom.

Cependant, une minorité peut se sentir intimidée et craindre que même un délit mineur ne se termine par un avertissement ou même un licenciement.

La victime peut alors capituler et payer la rançon, qui, dans cette escroquerie particulière, s’est élevée à plus de 1600 euros en bitcoin.

La cyberextorsion gagne du terrain et les cybercriminels recherchent des gains rapides.

L’évaluation du paysage de la cybercriminalité réalisée par Interpol lors de la conférence Covid-19 a révélé que la pandémie a engendré des attaques qui profitent de la situation.

Dans les quatre mois qui ont précédé avril 2020, Interpol a signalé « 907 000 spams, 737 incidents liés à des malwares et 48 000 URL malveillantes — tous liés au COVID-19 ».

Cette dernière cybermenace s’inscrit dans le cadre de l’exploitation continue de l’évolution des schémas de travail et des nouveaux modes de collaboration.

Nous devons nous attendre à ce que cette situation se poursuive et que les schémas d’attaque persistent avec l’utilisation du courrier électronique comme mécanisme de diffusion des menaces en ligne.

La sécurité du courrier électronique pendant le COVID-19, et au-delà

Le courrier électronique a été utilisé comme arme par les cybercriminels de multiples façons. C’est le moyen idéal pour diffuser des menaces et des malwares.

Chaque entreprise doit donc assurer une sécurité de base du courrier électronique pour mettre fin à ce mécanisme de diffusion.

Les plates-formes de sécurisation du courrier électronique offrent une suite complète de mécanismes de protection pour faire face à des menaces sophistiquées, notamment la protection des employés contre les campagnes d’extorsion lancées via les emails.

Ces systèmes avancés :

  • Empêchent l’usurpation d’identité
  • Empêchent le phishing
  • Proposent un filtrage des contenus web
  • Bloquent les attaques par des sites web malveillants.

Au fur et à mesure que nous sortirons de la pandémie, les cybercriminels continueront à faire évoluer leurs tactiques.

Cependant, nous pouvons être certains que le courrier électronique continuera à contribuer à la diffusion de cybermenaces, y compris la sextorsion.

En utilisant des plateformes intelligentes de sécurisation du courrier électronique, vous pouvez réduire au minimum les risques de vous faire prendre par ces menaces.

La moitié des attaques de ransomware impliquent désormais un vol de données

La moitié des attaques de ransomware impliquent désormais un vol de données

La première attaque connue par un ransomware a eu lieu en 1989, mais cette forme de malware n’était pas encore populaire auprès des cybercriminels.

Cela a commencé à changer en 2013 avec l’apparition du ransomware Cryptolocker et depuis le nombre d’attaques n’a cessé de croître.

Aujourd’hui, les ransomwares sont l’une des plus grandes menaces de malwares auxquelles sont confrontées les entreprises

Des attaques de ransomware par le biais de réseau affiliés

Les attaques de ransomware ne sont plus des campagnes relativement modestes menées par des développeurs. Plutôt que de mener leurs propres attaques, il est désormais courant pour ces derniers de laisser la distribution de leurs ransomwares à un réseau d’affiliés.

Dans le cadre du modèle « ransomware-as-a-service – RaaS », de plus en plus d’attaques peuvent être menées et davantage de rançons seront versées en conséquence.

La plupart des attaques de ransomware fonctionnent aujourd’hui selon le modèle RaaS et de nombreux affiliés sont prêts à distribuer le logiciel contre une partie des bénéfices.

Autrefois, les ransomwares étaient utilisés simplement pour chiffrer des fichiers et pour empêcher les entreprises d’y accéder, à moins qu’une rançon ne soit versée pour obtenir les clés de déchiffrement.

Cependant, les opérateurs de ransomwares de Maze ont commencé à voler des données en 2019, avant le chiffrement des fichiers, afin d’inciter davantage les victimes à payer.

De nombreuses autres attaques ont suivi cette tendance et les cybercriminels ont même menacé de publier les données volées ou de les vendre à d’autres cybercriminels si la rançon n’était pas payée.

Le vol de données avant le chiffrement des fichiers devient la norme

Coveware, une entreprise qui travaille avec les victimes d’une attaque de ransomware pour les résoudre a récemment publié un rapport qui montre que la moitié de ses attaques impliquent désormais le vol de données avant le chiffrement des fichiers.

Cette enseigne entre souvent en négociation avec les attaquants au nom de ses clients.

Il peut être possible de récupérer des données chiffrées à partir de sauvegardes, mais cela n’empêchera pas la publication ou l’utilisation abusive des données volées.

Cette tactique s’est avérée efficace pour les pirates informatiques, mais il y a eu de nombreux cas où le paiement de la rançon n’a pas entraîné la suppression des données volées.

Aux États-Unis, plusieurs victimes dans le secteur de la santé ont payé la demande de rançon pour ensuite recevoir une seconde demande de paiement afin d’empêcher la publication de données volées.

Selon Coveware, le gang Sodinokibi ransomware est connu pour émettre d’autres demandes après le premier paiement, et il en a été de même pour Netwalker et Mespinoza ransomware.

Les opérateurs de Conti ransomware fournissent la preuve que les fichiers sont supprimés après le paiement de la rançon, mais cette preuve est falsifiée.

Les demandes de rançon sont également en augmentation. La demande moyenne de rançon au troisième trimestre 2020 était d’environ 193 000 euros, soit une hausse de 31 % par rapport au trimestre précédent, selon le rapport trimestriel de Coveware sur les attaques de ransomware.

L’industrie de la santé a été largement ciblée par les cybercriminels et le nombre d’attaques a augmenté pendant la pandémie du COVID-19.

Le secteur de la santé est fortement dépendant des données et les attaques visent à chiffrer les données des patients et à voler les dossiers médicaux avant leur chiffrement. Si la rançon n’est pas payée, les données ont une grande valeur et peuvent être revendues facilement.

Récemment, un avertissement commun a été lancé par la CISA (une agence chargée de protéger les infrastructures critiques des États-Unis), en collaboration avec le FBI et le ministère de la Santé et des Services sociaux, mettant en garde contre une menace accrue et imminente d’attaques ciblées de ransomwares dans les secteurs de la santé et de la santé publique.

Quelques jours après la publication de l’alerte, six prestataires de soins de santé ont été attaqués avec le logiciel Ryuk en une seule journée.

Les attaques contre les patients sont là pour rester dans le temps avec un avenir imprévisible. Elles ne commenceront à diminuer que lorsqu’elles ne seront plus rentables.

En fait, leur succès réside dans le fait qu’il n’y a aucune garantie que les données volées seront restituées même si la rançon est payée.

Il est donc plus important que jamais pour les entreprises et les organismes de santé de s’assurer que leurs défenses sont renforcées contre les attaques de ransomwares.

Les rançons peuvent être fournies au moyen de diverses techniques

Les vulnérabilités des logiciels et des systèmes d’exploitation sont couramment exploitées pour accéder aux réseaux.

Il est donc important de procéder à une analyse de vulnérabilité pour identifier les vulnérabilités que les pirates peuvent exploiter afin de s’assurer que les failles sont rapidement corrigées.

La messagerie électronique reste l’un des vecteurs d’attaque les plus courants non seulement pour la livraison de ransomwares, mais aussi pour leur téléchargement.

Emotet et TrickBot sont deux chevaux de Troie couramment utilisés pour fournir des ransomwares comme charge utile secondaire, et tous deux sont principalement fournis par la messagerie électronique, tout comme BazarLoader, qui a été utilisé pour fournir des ransomwares lors de nombreuses attaques récentes.

Pour sécuriser ce vecteur d’attaque, il faut un filtre antispam avancé, alimenté par l’intelligence artificielle et capable de détecter non seulement les menaces de malwares connues, mais aussi les malwares du type « zero day » et les attaques lancées via la messagerie électronique qui n’ont jamais été vues auparavant.

SpamTitan utilise l’Intelligence artificielle et l’apprentissage machine pour identifier ces menaces à la source et pour empêcher que les emails malveillants n’arrivent dans des boîtes de réception des employés.

Si c’est le cas, ces derniers peuvent fournir involontairement aux attaquants l’accès à votre réseau d’entreprise.

En plus de ses deux moteurs antivirus, SpamTitan dispose d’une fonction de bac à sable qui permet d’identifier les menaces de malwares du type « zero day » et des plusieurs protocoles de sécurité (SPF, DKIM et DMARC).

Ces protocoles permettent de détecter et de bloquer les attaques par usurpation d’identité via les emails

Les ransomwares et les autres menaces de malwares sont souvent transmis via Internet, de sorte que des mesures de cybersécurité sont nécessaires pour bloquer ce vecteur d’attaque.

WebTitan utilise également des techniques d’intelligence artificielle et d’apprentissage des machines pour se protéger contre les sites web utilisés pour diffuser des menaces de malwares.

La solution utilise l’automatisation et des analyses avancées pour rechercher parmi des milliards d’URL/IP et de sites de phishing qui pourraient constituer une entreprise et s’assurer que ces menaces sont bloquées.

En mettant en œuvre des défenses par couches, il est possible de bloquer la majorité des menaces, mais il reste important de s’assurer que vos données sont protégées en cas d’une attaque réussie. Vous devez vous assurer que, quoi qu’il arrive, vos données sont sécurisées.

Une bonne approche à adopter est la stratégie de sauvegarde 3-2-1, qui consiste à effectuer trois sauvegardes, à stocker les copies sur deux supports différents (sur un disque et dans le cloud, par exemple) et à s’assurer qu’une copie est stockée en toute sécurité hors site.

Si une attaque de ransomware réussit, vous ne serez pas à la merci des attaquants et vous pourrez au moins récupérer vos données sans payer la rançon.

Si vous souhaitez améliorer vos défenses contre les ransomwares, appelez l’équipe du TitanHQ dès aujourd’hui pour obtenir des informations et des conseils sur les mesures que vous pouvez prendre pour renforcer vos défenses.

Les leçons à tirer sur la sécurité du télétravail en 2020

Les leçons à tirer sur la sécurité du télétravail en 2020

Comme de nombreux États sont encore fermés ou s’ouvrent lentement en raison de la pandémie du COVID-19, il est clair que les fermetures ont changé le visage de l’emploi.

Les entreprises ont appris que le fait de permettre aux employés de travailler à domicile a augmenté leur productivité et que les réunions à distance via Zoom remplacent avantageusement celles réalisées dans les salles de conférence physiques.

Ce qu’il faut retenir sur la sécurité du télétravail en 2020

Dès le début du confinement, les organisations ont été contraintes de fournir un moyen de communication rapide aux employés travaillant à domicile

Avec l’importance du télétravail, les cybercriminels savent que les entreprises misent sur la cybersécurité, mais celle-ci fait malheureusement défaut dans de nombreux domaines.

Augmentation de 131 % de l’activité des malwares

Dans un nouveau rapport de ThreatPost, les chercheurs ont constaté une augmentation de 131 % des virus qui se propagent sur Internet et 600 nouvelles attaques de phishing par jour.

De nombreux emails de phishing ont été lancés pendant la pandémie. Les attaquants ont utilisé des emails censés provenir du CDC ou d’informations liées au COVID-19.

L’urgence et l’anxiété ressenties par le grand public ont conduit à de nombreuses autres attaques réussies, et pour cause, les utilisateurs n’étaient pas au courant des signaux d’alerte du phishing.

Cela signifiait que la cybersécurité pouvait être affaiblie et que les employés utilisaient des ordinateurs personnels pour stocker des données et recevoir des courriers électroniques.

Cela a donné aux attaquants la possibilité de voler des données, des informations d’identification et d’installer des malwares sur ces appareils.

La plupart des employés ont une cybersécurité laxiste lorsqu’ils accèdent au réseau d’entreprise, alors qu’ils ne savent pas détecter et atténuer les éventuelles menaces en ligne.

Ce phénomène a conduit à des violations de données et à la compromission des appareils personnels stockant des données sensibles.

Mieux planifier la transition

Les administrateurs doivent offrir un environnement de travail à domicile, mais cela doit se faire en priorité avec la cybersécurité.

Le développement des réseaux étendus via le logiciel SD-WAN s’est accru, permettant aux utilisateurs à domicile de se connecter à des centres de données dans le cloud via un VPN, et la gestion des identifiants de connexion offrent un accès sécurisé aux logiciels et aux ressources de l’entreprise.

Outre la cybersécurité, la mise en réseau est également un must dans ce nouvel environnement.

Les administrateurs peuvent par exemple utiliser le modèle de sécurité « zero trust » qui est basé sur un processus strict de contrôle de l’identité.

Avec un tel réseau, les employés ne sont autorisés à accéder qu’aux ressources nécessaires à leur travail, et personne n’est autorisé à faire confiance à d’autres utilisateurs, même s’ils se sont authentifiés sur le réseau.

Les ressources du réseau font l’objet d’un enregistrement et d’une surveillance intensifs afin d’atténuer et de détecter les attaquants.

Sur ce point, les attaquants peuvent être des initiés (par exemple des employés ou des sous-traitants authentifiés) avec des références volées. Un modèle « zero trust » garantit donc que chacun ne peut accéder qu’aux ressources nécessaires.

Cybersécurité dans le cloud

Le cloud est sécurisé, mais la responsabilité est partagée entre le fournisseur du cloud et le client.

Même avec des outils de sécurité avancés, une seule mauvaise configuration peut laisser les données d’une entreprise accessibles sur l’internet ouvert.

Les pirates disposent même des scripts qui peuvent analyser les ressources du cloud pour trouver des erreurs de configuration.

L’utilisation des centres de données est étrangère aux administrateurs habitués à des ressources sur site. Il est donc également courant que les entreprises demandent l’aide d’un fournisseur de services gérés (MSP).

Les MSP ont travaillé avec davantage de ressources basées dans le cloud et ont déjà fait face à des attaques de cybersécurité.

Il est avantageux pour les organisations de tirer les leçons des MSP plutôt que de tenter de sécuriser au hasard leurs ressources dans le cloud, car une seule atteinte à la sécurité des données peut coûter des millions. Il n’est donc pas question de s’y lancer sans avoir pris la bonne direction.

Un MSP peut garantir que les organisations utilisent les ressources du cloud de la bonne manière. Vous devriez donc penser à faire appel à ces professionnels, plutôt que de commettre des erreurs qui pourraient conduire à des violations de vos données.

Cybersécurité et main-d’œuvre à domicile

Si tout est fait correctement, les organisations peuvent déplacer en toute sécurité les ressources des utilisateurs et leurs données vers le cloud.

La plupart des MSP ont déjà mis en place plusieurs mesures de cybersécurité, telles que

  • La Gestion des Identités et des Accès (GIA)
  • Le service VPN
  • L’infrastructure dans le cloud
  • Les applications SaaS (Software as a service)
  • Le service de stockage et de sécurisation de la messagerie électronique.

La manière dont ces ressources sont configurées détermine le succès de la cybersécurité.

Pour aider leurs clients, les MSP peuvent mettre en place des applications GIA et VPN ; des infrastructures de stockage et SaaS, mais la sécurité de la messagerie électronique doit être intégrée en utilisant des services tiers.

Pour éliminer le phishing et les malwares envoyés via les emails, le serveur de messagerie doit utiliser une solution de cybersécurité capable de détecter et de bloquer les messages usurpés ou ceux qui contiennent des pièces jointes malveillantes.

Les filtres de messagerie électronique utilisant la technologie DMARC (Domain-based Message Authentication, Reporting & Conformance) arrêteront une grande partie des spams et des contenus malveillants provenant des emails de phishing.

Les MSP peuvent également mettre en place cette cybersécurité et les administrateurs peuvent installer des applications tierces et les configurer en fonction de leurs propres besoins.

Les emails peuvent être mis en quarantaine afin que tout faux positif puisse être envoyé dans la boîte de réception du destinataire et que le logiciel soit formé pour différencier les contenus malveillants des contenus bénins.

Sans la sécurité de la messagerie électronique, les organisations courent un risque beaucoup plus élevé de compromission et de violation des données en raison du phishing, mais le protocole DMARC et le stockage des emails dans le cloud peuvent arrêter la plupart des attaques visant les organisations et leurs employés qui travaillent à domicile.

La sécurité de la messagerie électronique est l’un des meilleurs compléments de cybersécurité d’un réseau basé dans le cloud. Cela réduit considérablement le risque de violation des données et protégera les utilisateurs contre la compromission de leurs appareils domestiques.

Pourquoi devriez-vous archiver vos emails dans le cloud ?

Pourquoi devriez-vous archiver vos emails dans le cloud ?

La majorité des entreprises modernes adoptent actuellement un modèle de main-d’œuvre hybride, dans lequel les employés peuvent exercer leurs fonctions au bureau ou à domicile.

Ce modèle de travail est idéal pour les entreprises en raison de la flexibilité qu’il offre.

Une récente étude menée par Gartner a révélé que depuis le début de la pandémie du coronavirus, 88 % des entreprises ont rendu le travail à distance obligatoire.

Passage du présentiel au travail à distance : cause de nouveaux problèmes ?

Même s’il a permis aux entreprises de continuer à fonctionner, il a impliqué des problèmes de productivité et des obstacles techniques qu’il fallait surmonter.

Plus important encore, les travailleurs peuvent actuellement rester en contact et de collaborer en utilisant des plates-formes de discussion en ligne, des solutions de vidéoconférences et le téléphone.

Certaines entreprises ont même enregistré une amélioration des niveaux de productivité grâce à ces méthodes de communication.

En raison de l’augmentation du nombre de méthodes utilisées pour collaborer, le travail à distance a entraîné une dépendance beaucoup plus importante des entreprises et de leur personnel vis-à-vis de la messagerie électronique.

Cette dépendance accrue a impliqué le fait que les collaborateurs doivent être en mesure de consulter leurs emails même si les serveurs de messagerie électronique sont compromis.

La majorité des entreprises utilisent le courrier électronique pour conserver des informations vitales et la plupart des données contenues dans les courriers électroniques ne sont pas conservées ailleurs.

Un rapport d’IDC indique qu’environ 60 % des données critiques des entreprises se trouvent dans les emails et leurs pièces jointes, et ce, avant que la pandémie ne s’installe.

Il existe de nombreuses lois et réglementations régissant les données commerciales et des délais précis de conservation de certains types de données, quel que soit le lieu où elles sont conservées.

Si les informations sont stockées dans les serveurs de messagerie électronique, elles doivent être protégées contre toute suppression accidentelle ou délibérée jusqu’à la fin de leur période de conservation.

Des sauvegardes des emails peuvent être effectuées pour répondre à certaines réglementations, mais il y a des problèmes lorsqu’il s’agit de récupérer les messages.

La sauvegarde des emails peut être une tâche longue, prenant souvent des jours ou des semaines. Même les réglementations exigent également que les messages puissent être retrouvés facilement en cas de besoin.

La meilleure méthode pour garantir le respect de la vie privée, la sécurité et la conformité, et pour s’assurer que les emails et leurs pièces jointes ne disparaissent jamais est de configurer un service d’archivage des emails.

Pourquoi opter pour un service d’archivage des emails ?

Les archives sont établies pour permettre le stockage des données sur le long terme.

Les archives de courrier électronique peuvent être simplement consultées, de sorte que lorsque les courriers électroniques doivent être localisés et récupérés, la tâche prend quelques secondes ou quelques minutes.

Un enregistrement inviolable de tous les courriers électroniques est conservé à des fins de conformité et de protection contre la perte de données et pour assurer la continuité des activités en cas d’événement indésirable.

La plupart des entreprises disposent des archives de leurs emails sur site, mais c’est loin d’être idéal dans un monde où presque tous les membres du personnel travaillent à distance.

Une fois la pandémie terminée, de nombreux membres du personnel retourneront au bureau, mais le travail à distance pourrait encore être nécessaire.

L’idéal est donc d’utiliser une solution d’archivage des emails qui convienne parfaitement au travail à distance ou au système de travail hybride.

L’archivage des emails dans le cloud permet de centraliser les serveurs de messageries électroniques disparates et de conserver tous les emails en toute sécurité.

Dans le cloud, ils peuvent être récupérés rapidement et simplement par toute personne autorisée, quel que soit l’endroit où elle se trouve. Cette solution est plus logique que l’archivage des emails sur site.

De plus, si vous disposez déjà d’une archive sur place, le passage à un service basé dans le cloud peut vous faire gagner du temps et de l’argent.

En fait, vous n’aurez plus besoin de gérer du matériel sur site, d’effectuer des mises à jour de vos logiciels, et les messages sont automatiquement sauvegardés pour veiller à ce qu’ils puissent toujours être récupérés.

Enfin, l’espace de stockage ne sera plus un problème en raison de l’évolutivité de la solution basée dans le cloud.

Bonnes pratiques contre les attaques de ransomwares

Bonnes pratiques contre les attaques de ransomwares

Au cours des dernières années, nous avons constaté une augmentation spectaculaire du nombre de cas d’attaques de ransomwares, frappant à la fois les particuliers et les entreprises.

Récemment, Seyfarth Shaw, un cabinet d’avocats international ayant des bureaux en Australie, a déclaré être victime d’une attaque de malware agressif que l’on pense être un ransomware.

Le cabinet a déclaré dans un communiqué qu’il a été attaqué le 10 octobre dernier. Les pirates informatiques ont ciblé les employés et l’entreprise, dont la principale motivation était le gain financier.

Lorsqu’un utilisateur visite un site web infecté ou clique sur un lien dans un e-mail ou une fenêtre pop-up, le ransomware se télécharge sur son ordinateur et affiche des messages dans le but d’extorquer de l’argent.

Certains ransomwares affichent en permanence des fenêtres contextuelles de contenu inapproprié (par exemple, de la pornographie), tandis que d’autres, connus sous le nom de crypto-ransomware, chiffrent votre disque dur ou suppriment vos données.

Prévention des attaques de ransomware

Les ransomwares sont une réelle menace, car ils peuvent causer la destruction complète d’un ordinateur ou d’un réseau d’entreprise. Il est extrêmement difficile de récupérer les systèmes infectés par ce type de malware sans en payer le prix.

Il est donc préférable d’empêcher que le logiciel malveillant n’atteigne pas vos systèmes. Il existe de nombreux moyens de renforcer vos systèmes pour empêcher les attaques de ransomware.

Formation de sensibilisation à la sécurité

Toutes les entreprises, quelle que soit leur taille, devraient dispenser une formation de sensibilisation à la sécurité à leurs employés pour qu’ils puissent adopter les meilleures pratiques pour l’utilisation de l’Internet (par exemple, les moteurs de recherche, les médias sociaux et les sites de jeux).

Il est également important de les sensibiliser à la sécurité des e-mails et à l’utilisation des supports amovibles (USB, lecteurs externes).

Les meilleures pratiques consistent notamment à n’ouvrir que les pièces jointes des e-mails provenant d’expéditeurs connus et vérifiés à ne pas cliquer sur les pop-up et à ne pas s’aventurer sur des sites web liés à des plateformes de médias sociaux, quel que soit l’expéditeur.

Politiques de restriction des logiciels

Utilisez des outils (tels que CryptoPrevent) qui sont capables d’écrire des centaines de stratégies de groupe (GPO) dans le registre d’un système afin d’empêcher les ransomwares de se loger dans ces endroits.

Les GPO utilisent des politiques destinées à empêcher l’exécution des fichiers exécutables, ce qui permet à un administrateur système de verrouiller essentiellement des zones d’un système d’exploitation (ou l’ensemble du système d’exploitation) pour bloquer les ransomwares.

Filtrage du spam

Les services externes de filtrage du spam tels que Exchange Online Protection ou Manage Protect sont capables de rechercher les malwares dans le contenu des e-mails, les pièces jointes, les tentatives de phishing et les liens suspects intégrés dans les messages.

Les administrateurs système doivent utiliser au maximum les filtres antispam pour renforcer la sécurité de leur passerelle en configurant des règles et des politiques appropriées pour empêcher tout contenu malveillant d’arriver dans les boîtes de réception des utilisateurs finaux.

Gestion unifiée des menaces (UTM)

Les plates-formes de gestion unifiée des menaces fonctionnent mieux lorsqu’elles sont activées sur les périphériques, protégeant ainsi le périmètre de votre réseau.

Les pare-feu de nouvelle génération équipés d’un système UTM sont capables d’effectuer le filtrage de contenu, de prévenir et de détecter les intrusions (plutôt que de mettre en place des dispositifs IDS/IPS séparés) et de filtrer les spams.

Au lieu de se contenter de lire les métadonnées des paquets du réseau, l’UTM effectue une inspection approfondie. Le contenu des paquets est donc inspecté à la recherche de fichiers ou de contenus malveillants.

Disposer de logiciels de sécurité sur les serveurs et les postes de travail.

Un double antivirus devrait être intégré sur les points d’extrémité et les points d’entrée du réseau (y compris le courrier électronique et les passerelles réseau) afin de fournir plusieurs couches de protection.

Les meilleures pratiques consistent à utiliser des systèmes différents, c’est-à-dire un antivirus pour la messagerie électronique et un autre pour les points d’extrémité/réseaux afin de fournir plusieurs couches de protection.

Protection DNS

WebTitan Cloud est un service qui augmente la fonction du DNS pour fournir une protection avancée contre les malwares.

Les services comprennent une protection supplémentaire contre le phishing et l’analyse des requêtes pour bloquer les demandes malveillantes.

WebTitan Cloud applique des règles de sécurité à travers le réseau de votre entreprise pour une application cohérente des règles de sécurité.

Il permet également de bloquer des pages web et offre la possibilité d’entrer des codes de contournement si nécessaire.

Des mécanismes de sécurité en cas de catastrophe

Outre les mesures préventives, il est absolument vital que tous les systèmes informatiques et les dispositifs de réseau soient protégés au cas où un ransomware passerait par tous vos contrôles préventifs.

La meilleure façon de récupérer un système sans payer la rançon est de créer des sauvegardes fiables et à jour pour toutes les données (fichiers opérationnels, de développement, de configuration, etc.).

Les sauvegardes peuvent être créées pour restaurer un système à un point, par exemple, avant l’infection par un ransomware. Ceci minimise la perte de données et les dommages causés à vos appareils informatiques.

En outre, les grandes organisations ont commencé à envisager des solutions appelées « air-gapped », dans lesquelles des sauvegardes continues sont créées et inspectées, avant d’être stockées dans une sorte de « chambre forte ».

Cette solution permet de restaurer immédiatement vos systèmes en cas de besoin, tout en analysant toutes les données entrant pour vérifier l’absence de malwares ou d’activités malveillantes.

Les ransomwares peuvent être préjudiciables aux particuliers comme aux entreprises s’ils s’introduisent dans vos systèmes.

Bien que les pirates informatiques aient perfectionné leurs méthodes d’attaque, si vous investissez du temps et de ressources dans une stratégie de sécurité, vous pourrez considérablement durcir votre réseau et vous débarrasser de nombreuses vulnérabilités.

Les mesures de prévention et de sécurité sont extrêmement importantes pour protéger vos données, et les efforts supplémentaires que vous déployez dans votre approche de la sécurité vous apporteront une grande tranquillité d’esprit.

Sauvegarde 3-2-1 : comment ça marche ?

Pour garantir des sauvegardes fiables, vous avez besoin de redondance, ce qui est le but de la sauvegarde 3-2-1 traditionnelle. La topologie de la sauvegarde 3-2-1 est la suivante :

  • Avoir au moins 3 copies de vos données,
  • Utiliser deux formats de médias différents pour stocker vos données,
  • L’une des copies doit être sauvegardée hors site.

Trois copies de vos données signifient qu’une copie est l’original des données et elle doit être supportée par deux autres copies de sauvegarde séparées.

Vos données doivent résider sur deux supports distincts, comme un partage de réseau, un lecteur SSD sur un quelconque type de matrice de stockage.

Il peut également s’agir d’un support traditionnel sur bande magnétique qui semble si ancien aujourd’hui, mais qui est suffisamment intéressant, car vous pouvez l’emporter hors site, dans un endroit sûr comme un site séparé ou même un coffre-fort dans une banque locale.

Une solution possible, qui satisfait à la fois aux conditions de deux types de supports et d’un emplacement distant, est l’utilisation de la fonction d’instantanéité de votre infrastructure SAN.

En sauvegardant vos données à intervalles réguliers tout au long de la journée dans un environnement identique sur un site de reprise après sinistre, vous pouvez facilement vous remettre d’une attaque sur un serveur hôte virtuel.

N’oubliez pas toutefois de réaliser des tests réguliers de restauration de vos données afin de s’assurer qu’elles peuvent être récupérées intactes en cas de besoin.

Il convient de mentionner que les ransomwares peuvent se développer en tant que forme de malware et donc évoluer vers de nouvelles formes qui peuvent s’étendre au-delà des connexions physiques directes.

La seule certitude que l’on puisse avoir concernant les ransomwares est que le maintien d’une solution de sauvegarde bien conçue et fonctionnelle constituera une mesure efficace contre les impacts des ransomwares, quelle que soit leur évolution future.

Pour toute question, adressez-vous à un spécialiste ou envoyez-nous un courriel à info@titanhq.com.

Nouvelle attaque de phishing contre Office 365

Nouvelle attaque de phishing contre Office 365

Les cybercriminels sont des arnaqueurs.

Tout comme les escrocs d’autrefois qui utilisaient l’arnaque pour tromper des passants innocents et leur faire remettre de l’argent qu’ils ont durement gagné, les fraudeurs modernes utilisent également la confiance inhérente pour nous tromper.

La dernière escroquerie de phishing démontre très bien la psychologie de la cybercriminalité, mais avec quelques astuces.

Dans cette récente attaque de phishing, qui aurait débuté le 21 septembre 2020, les escrocs ont réutilisé leur marque favorite : Office 365. L’escroquerie tire parti de la confiance des utilisateurs dans le test CAPTCHA.

Comment fonctionne l’attaque de phishing contre Office 365

Le phishing est un outil important pour les cybercriminels. Cette technique est à l’origine de 90 % des violations de données.

Un employé sur trois clique sur un lien dans un e-mail de phishing, tandis qu’un employé sur huit consulte un site d’usurpation d’identité.

Cependant, il suffit qu’un pirate parvienne à obtenir un identifiant de connexion pour lancer une cyberattaque contre votre réseau d’entreprise.

En général, le phishing repose sur la manipulation du comportement humain. L’une des façons dont les êtres humains interagissent avec les ordinateurs consiste à utiliser un comportement inhérent connu sous le nom de « biais cognitif ».

Nous utilisons tous des préjugés dans nos décisions quotidiennes. Cela nous aide à faire des choix rapides. Ce comportement est également utilisé par des entreprises.

Par exemple,  » l’’effet d’ancrage  » (une forme de biais) est utilisé pour encourager les choix de vente. Les clients sont « ancrés » par un seul aspect d’un produit à l’exclusion des autres, et les vendeurs en tirent grand profit.

Le système CAPTCHA est utilisé sur de nombreux sites web pour vérifier que c’est bien un être humain (plutôt qu’un robot automatisé) qui saisit les informations dans des formulaires.

Ce système existe depuis de nombreuses années et nous sommes tous habitués à ce qu’il apparaisse, nous demandant de sélectionner les cellules d’une image qui montre une bouche d’incendie, une voiture, un vélo, etc.

Le biais cognitif s’installe lorsque nous interagissons de façon répétée avec les CAPTCHAS.

La dernière escroquerie de phishing « CAPTCHA » qui vise Office 365 utilise notre biais cognitif et notre confiance dans ce système comme contrôle de sécurité, ainsi que quelques autres astuces.

Voici pourquoi la dernière arnaque de phishing contre Office 365 fonctionne très bien

Une triple arnaque de phishing utilisant Office 365

Cette dernière arnaque de phishing d’Office 365 comporte plusieurs éléments qui, ensemble, en font une cyberattaque très difficile à détecter et à prévenir. Cette arnaque de phishing d’Office 365 comporte trois éléments essentiels, à savoir :

Déjouer les détecteurs

Ce qui est particulièrement astucieux dans cette attaque, c’est qu’elle utilise le système de sécurité pour réussir. Le site d’usurpation présente trois niveaux de système CAPTCHA.

Le premier est une simple case à cocher « Je suis un humain ». Le CAPTCHA suivant demande de choisir n’importe quelle case qui contient un objet spécifique, par exemple un vélo.

Les outils de recherche de malwares sont bloqués lors de la première vérification CAPTCHA et ne parviennent jamais au site qui contrôle le malware.

En fait, le site n’est accessible qu’une fois que l’utilisateur a passé avec succès le CAPTCHA numéro 3. En d’autres termes, seuls les utilisateurs humains peuvent accéder au site frauduleux.

Détection des adresses IP

L’arnaque de phishing est conçue de manière à ce que seules des plages de propriété intellectuelle spécifiques et choisies puissent accéder au site d’usurpation.

Si une tentative de détection automatique (ou manuelle) se situe en dehors de la plage d’adresses IP d’intérêt (c’est-à-dire les adresses IP de l’entreprise, victime), la tentative de détection sera redirigée vers le véritable site d’Office 365.

Cette procédure est également étendue à la vérification de la géolocalisation de la victime. C’est un moyen très efficace de prévenir la détection.

Piéger l’utilisateur

Le biais cognitif est parfait pour que le cybercriminel puisse en tirer profit, et il l’utilise intelligemment dans cette forme d’escroquerie.

Le site d’usurpation semble réel, et il utilise le système CAPTCHA.

Si un utilisateur reçoit des alertes de sécurité, telle que CAPTCHA, associées à un site d’apparence réaliste, il est plus probable qu’il ait un biais intégré qui lui permettra de se sentir suffisamment à l’aise pour entrer ses identifiants de connexion.

Selon un nouveau rapport de Microsoft, les acteurs de la menace ont rapidement gagné en sophistication au cours de l’année dernière, utilisant des techniques qui les rendent plus difficiles à repérer et qui menacent même les utilisateurs les plus avertis.

Cette arnaque de phishing en est la preuve. Les cybercriminels à l’origine de l’escroquerie utilisent des couches de protection et de la ruse pour réaliser leur objectif de vol d’identifiants de connexion ou d’installer des malwares.

Un rapport de Check Point pour le troisième trimestre 2020 a montré que Microsoft était la marque la plus utilisée par les cybercriminels pour duper les utilisateurs.

Mais il y a aussi DHL, PayPal et Apple. Cette escroquerie est peut-être axée sur Office 365, mais les cybercriminels changent de tactique, et le mois prochain, il pourrait s’agir d’un autre portail de collaboration en ligne très populaire.

Les entreprises ne doivent plus compter sur le fait que les utilisateurs soient conscients de la sécurité lorsqu’ils utilisent l’Internet.

Les cybercriminels utilisent notre propre comportement inhérent contre nous et font appel à de multiples techniques pour échapper à la détection par des solutions conventionnelles comme les pare-feu.

Elles doivent s’attendre à ce que d’autres types d’escroquerie de phishing de plus en plus astucieuse apparaisse.

Des solutions intelligentes telles que le filtrage de contenu web permettent d’empêcher vos employés à accéder à des sites web dangereux, réduisant ainsi la probabilité de violations des données de votre entreprise et d’autres cyberattaques.

Filtrage de contenu avec WebTitan Cloud

WebTitan Cloud est une solution de filtrage de contenu web basée sur le DNS qui offre une protection complète contre les virus, les malwares, les ransomwares, les attaques de phishing et un filtrage complet du contenu.

WebTitan Cloud est une solution qui ne requiert aucune maintenance et qui peut être configurée en cinq minutes pour empêcher vos utilisateurs d’accéder à des contenus inappropriés en ligne.

Notre moteur intelligent de catégorisation de contenu en temps réel, piloté par l’Intelligence artificielle, combine un antivirus de pointe et une architecture basée dans le cloud.

Cela fait de WebTitan Cloud une solution idéale pour les organisations qui ont besoin d’une protection maximale et d’une maintenance minimale.

Contactez notre équipe dès aujourd’hui et découvrez comment nos puissants outils de filtrage de contenu web peuvent aider votre entreprise.