Confinement : de nombreuses cyberattaques visant les télétravailleurs

Confinement : de nombreuses cyberattaques visant les télétravailleurs

Au Royaume-Uni, une étude publiée par Darktrace a indiqué que le volume de trafic d’e-mails malveillants en six semaines, ciblant les travailleurs à distance, est passé de 12 % à 60 %.

Les pirates utilisent une grande variété d’e-mails malveillants pour cibler les travailleurs à distance. Ils ont également recours à toutes sortes d’appâts pour inciter les travailleurs à distance à cliquer sur des liens et à partager leurs coordonnées ou à ouvrir des pièces jointes malveillantes qui déclenchent l’installation de malwares.

La fraude financière s’est également développée, les gangs derrière les attaques du type BEC (Business Email Compromise) utilisent par exemple la pandémie COVID-19 pour voler des fonds sur les comptes des entreprises.

Au début de la pandémie, alors que les informations sur le virus étaient rares, des e-mails étaient envoyés pour offrir des conseils importants sur la prévention de l’infection ainsi que de fausses nouvelles sur les cas.

À mesure que la pandémie progressait et que ses effets commençaient à se faire sentir, les pirates informatiques ont commencé à envoyer de fausses demandes de dons à des organisations caritatives pour aider les personnes touchées par le COVID-19. Alors que les gouvernements mettaient en place des systèmes de soutien aux entreprises et créaient des fonds pour aider les salariés et les travailleurs indépendants, différentes sortes de campagnes ont été menées.

Celles-ci permettaient de créer des liens avec des sites web qui prétendaient offrir des subventions : de permettre aux travailleurs de choisir d’entrer en chômage technique ou de demander un soutien financier.

Les attaques se sont concentrées sur les outils utilisés par les travailleurs à distance pour se connecter à leur bureau et communiquer avec leurs collègues.

Parmi ces outils, on compte par exemple Zoom, Skype, GoToMeeting et d’autres systèmes de messagerie d’entreprise qui sont usurpés pour infecter les appareils informatiques des utilisateurs avec des malwares. Les plateformes de partage de fichiers ont également été piratées pour inciter les travailleurs à partager leurs informations d’identification.

Les données de Darktrace montrent qu’il y a eu une énorme augmentation des attaques de spoofing pendant le confinement, passant d’environ 25 % des attaques (avant le confinement) à 60 %.

Ce ne sont pas seulement les groupes cybercriminels qui mènent des attaques via le web. Des groupes de piratage parrainés par un État nation ont par exemple profité de la pandémie pour s’emparer de données sensibles, notamment les données les plus récentes de la recherche sur le COVID-19, sur les remèdes, sur les vaccins et les traitements potentiels afin d’améliorer les efforts de lutte dans leur propre pays.

Ce qui n’est pas toujours transparent dans les nouveaux rapports, c’est la façon dont l’augmentation des cyberattaques visant des travailleurs à distance s’est traduite par de véritables violations de données.

Ces attaques fonctionnent-elles ou les entreprises parviennent-elles à contrecarrer les attaques et à tenir les cybercriminels à distance ?

Il y a un décalage dans le temps entre la découverte des intrusions, la confirmation des violations de données et le signalement des attaques. Pourtant, il semble que beaucoup d’entre elles réussissent.

En avril, l’IAITAM (International Association of IT Asset Managers) a publié un avertissement, selon lequel le nombre d’incidents était bien plus élevé que prévu, bien qu’une augmentation des violations de données fût prévisible en raison de la pandémie.

Il est également évident que les développeurs de ransomwares ont redoublé d’efforts pour s’attaquer aux entreprises. Même les groupes en première ligne dans la lutte contre le COVID-19 n’ont pas été épargnés.

Les acteurs de la menace se sont concentrés sur les possibilités offertes par la pandémie. Il appartient aux entreprises de s’assurer que leurs mesures de sécurité sont suffisantes pour faire face aux attaques. La lutte contre les cyberattaques visant les travailleurs à distance nécessite la mise en place de mesures de sécurité supplémentaires. Par exemple, le filtrage DNS est une mesure qui est souvent négligée. Pourtant, elle peut améliorer considérablement la protection de votre organisation contre les menaces en ligne.

Un filtre DNS assure la sécurité contre le contenu web des cyberattaques et constitue une mesure importante à mettre en œuvre pour renforcer les défenses contre le phishing et les malwares. Même avec de solides défenses de sécurité des e-mails en place, certains messages atterriront toujours dans les boîtes de réception de vos employés. Un filtre DNS offre un niveau de protection supplémentaire en les empêchant de visiter des sites web malveillants et d’autres liens malveillants intégrés dans ces messages.

Lorsqu’un employé visite un lien malveillant, une requête DNS est émise et une recherche DNS est effectuée pour trouver l’adresse IP de l’URL. Le filtrage DNS garantit que l’adresse IP soit bloquée si l’URL est malveillante. Un filtre DNS comme WebTitan permet également aux équipes informatiques de bloquer les installations de malwares ; d’examiner l’activité de vos employés sur Internet et de gérer soigneusement les types de sites web auxquels les travailleurs à distance peuvent accéder sur les dispositifs de l’entreprise.

Si vous n’avez pas encore mis en place une solution de filtrage DNS et que vous souhaitez obtenir davantage de conseils sur la manière dont elle peut protéger les travailleurs à distance contre les cyberattaques, appelez l’équipe de TitanHQ dès maintenant.

Télétravail : pourquoi il faut renforcer la cybersécurité maintenant

Télétravail : pourquoi il faut renforcer la cybersécurité maintenant

Les employés distants étant devenus la principale cible des pirates informatiques, le moment n’a jamais été aussi propice pour renforcer les mesures de cybersécurité du travail à domicile.

Il ne faut pas sous-estimer la menace à laquelle sont confrontées les entreprises qui sont rapidement passées à une main-d’œuvre essentiellement à domicile.

Lorsque la plupart des personnes travaillent dans un bureau, sous la protection du pare-feu de l’entreprise, les services informatiques pourraient tenir les pirates à distance. Il est donc essentiel de donner à tout membre du personnel autorisé à travailler à domicile un ordinateur portable doté de protections de sécurité adaptées au niveau de risque accru.

Face à la pandémie du Covid-19, les entreprises devaient déplacer l’ensemble du personnel du bureau vers une main d’œuvre à domicile dans un laps de temps très court.

De nombreuses PME n’ont pas eu assez de temps pour offrir une formation supplémentaire à leurs travailleurs à domicile.

Les ordinateurs portables utilisés par leurs employés ont dû être fournis rapidement et les mesures de sécurité sont insuffisantes. Certaines entreprises autorisent même l’utilisation d’ordinateurs personnels par nécessité.

Les pirates informatiques se frottent les mains avec joie à leurs nouvelles cibles, c’est-à-dire les employés distants, et à la facilité avec laquelle ils peuvent attaquer les entreprises.

Au rythme de la levée progressive du confinement, les gens sont encouragés à retourner au bureau pour travailler. Il est toutefois probable que le nombre de cas pourrait continuer à augmenter. Si tel serait le cas, la distance sociale au bureau pourrait donc redevenir une problématique pour de nombreuses entreprises. Autrement dit, de nombreux employés vont devoir encore travailler à domicile.

Pour réduire au minimum le risque que ces employés tombent dans le piège du phishing ou installent par inadvertance des malwares ou des ransomwares, des mesures de cybersécurité supplémentaires devraient être mises en place.

Vous disposerez très probablement d’une solution de sécurité de la messagerie électronique pour prévenir les vecteurs d’attaques les plus courants. Mais des couches de sécurité supplémentaires sont aussi nécessaires pour améliorer considérablement votre posture de sécurité, dont l’une des plus importantes est une solution de filtrage du web.

Un filtre web empêche votre personnel de visiter des sites web malveillants, tels que ceux utilisés pour le phishing ou la distribution de malwares. Lorsqu’un utilisateur tente de consulter un site web malveillant – via un lien intégré à un e-mail de phishing, une redirection web ou une navigation web générale  – au lieu d’être autorisés à visiter le site web, les employés seront dirigés vers une page de blocage locale.

Il recevra donc un message qui lui explique que le site ne peut pas être vu, car il a violé vos politiques d’utilisation d’Internet.

Un filtre web peut également être utilisé pour empêcher les employés d’utiliser leur ordinateur portable professionnel à des fins personnelles en bloquant les sites web par catégorie. Par ailleurs, il peut constituer une solution pour empêcher le téléchargement de logiciels non autorisés.

WebTitan Cloud vous permettra de renforcer la cybersécurité de votre organisation sans nécessiter d’installation de logiciel. La mise en place de cette solution est rapide et elle permet de protéger à la fois les employés travaillant au bureau et ceux distants.

Malware : una attaque coûte 218 000 euros au district scolaire de Rockingham

Malware : una attaque coûte 218 000 euros au district scolaire de Rockingham

En novembre 2018, le district scolaire de Rockingham, en Caroline du Nord, a été victime d’une infection par le malware Emotet, dont la résolution a coûté 218 000 euros.

Le malware a d’abord été signalé comme utilisant des spams.

Des messages indésirables ont été envoyés dans les boîtes de réception de plusieurs utilisateurs pour les inciter à installer des malwares. Il s’agit d’une technique souvent utilisée par les pirates informatiques pour lancer leurs attaques.

Les e-mails semblaient avoir été diffusés par le fournisseur d’antivirus utilisé par le district scolaire, avec comme objet « Facture incorrecte » et la facture correcte envoyée en pièce jointe.

Les e-mails étaient crédibles et ressemblaient à de nombreux autres e-mails légitimes reçus quotidiennement par les utilisateurs du district scolaire.

Ils demandaient à leurs destinataires d’ouvrir et de vérifier la facture jointe. Cependant, en faisant cela, ils permettent le téléchargement et l’installation d’un malware sur leurs appareils informatiques.

Peu de temps après la réception et l’ouverture de ces e-mails, le personnel du district a commencé à rencontrer des problèmes. L’accès à Internet semblait avoir été désactivé pour certains utilisateurs. Des rapports de Google indiquaient également que des comptes de messagerie avaient été désactivés en raison des messages de spams qu’ils ont reçus.

Le district scolaire s’est penché sur la question et avait découvert que plusieurs de ses appareils et serveurs avaient déjà été infectés par des malwares.

Le malware Emotet est un ver qui peut se partager sur un réseau. L’infection d’une machine entraîne l’envoi du virus vers d’autres appareils vulnérables. Le ver laisse un type de malware bancaire sur les appareils infectés, lequel est ensuite utilisé pour voler les informations d’identification des victimes, y compris leurs coordonnées bancaires en ligne.

Emotet est une variante de malware très avancée qui est difficile à repérer et à combattre. Le district scolaire de Rockingham a découvert à quel point les infections par les malwares Emotet peuvent être gênantes lorsque des tentatives ont été faites pour supprimer le ver.

Le district scolaire a réussi à nettoyer certaines machines infectées en réinstallant leurs systèmes d’exploitation, mais ceci n’était pas suffisant car le malware pouvait encore réinfecter ces appareils.

La lutte contre l’attaque a nécessité l’aide d’experts en sécurité. Dix ingénieurs de ProLogic ITS ont passé environ 1 200 heures sur place à réinstaller les machines. 12 serveurs et environ 3 000 points d’extrémité ont dû être restaurés pour supprimer le malware et arrêter la réinfection. Le coût du nettoyage s’est élevé à 218 000 euros.

Des attaques de ce type sont loin d’être inhabituelles. Les cybercriminels se concentrent sur un large éventail de vulnérabilités pour installer des malwares sur les ordinateurs et les serveurs des entreprises.

Pour notre cas, ils ont profité des lacunes dans les défenses de messagerie électronique du district scolaire et du manque de sensibilisation des membres du personnel à la sécurité.

De même, les malwares pouvaient être téléchargés en exploitant des failles non corrigées dans les logiciels, ou par des téléchargements en mode « drive-by » (une technique permettant l’installation automatique d’un logiciel malveillant suite à la consultation d’un e-mail ou d’un site web malveillant).

Pour se prémunir contre Emotet, les malwares et autres virus et vers, des défenses par couches sont nécessaires.

  • Une solution avancée de filtrage du spam peut garantir que les e-mails malveillants n’arrivent pas dans les boîtes de réception des utilisateurs finaux.
  • Les systèmes de détection des points d’accès peuvent détecter les comportements inhabituels des utilisateurs.
  • Des solutions antivirus peuvent être mises en place pour découvrir et arrêter les infections.
  • Il est nécessaire d’utiliser des filtres web pour bloquer les attaques basées sur le web et les téléchargements en mode « drive-by ».

Bien entendu, les utilisateurs finaux constituent la dernière ligne de défense et il convient donc de leur apprendre à reconnaître les e-mails et les sites web malveillants.

Seule une combinaison de ces mesures et d’autres mesures de cybersécurité pourra garantir la sécurité de votre organisation face aux menaces en ligne.

Black Lives Matter : attaque de malware Trickbot

Black Lives Matter : attaque de malware Trickbot

Face à la pandémie du COVID-19, les pirates informatiques n’hésitent pas à adapter leurs campagnes de phishing et leurs malwares en fonction des événements mondiaux et régionaux.

Ils utilisent de nouveaux appâts dans le but de maximiser les chances de succès de leurs attaques.

Au début de la pandémie, les connaissances sur le SRAS-CoV-2 et le COVID-19 étaient très limitées. L’inquiétude du public était énorme et les pirates ont utilisé cette situation à leur avantage.

Les pirates derrière TrickBot, l’une des plus dangereuses menaces de malware, modifient régulièrement leurs appâts en réponse à des événements dignes d’intérêt. Ceci, afin d’augmenter la probabilité que leurs victimes cliquent sur les e-mails et pièces jointes malveillants.

En effet, les pirates derrière TrickBot ont utilisé le COVID-19 et d’autres leurres qui sont liés au coronavirus lorsque le virus a commencé à se propager à l’échelle mondiale et lorsque les gens ont de plus en plus besoin d’avoir des informations sur le virus.

On comprend donc bien pourquoi les pirates informatiques derrière TrickBot ont adopté un nouveau leurre lié à « Black Lives Matter ».

En réalité, d’énormes manifestations ont eu lieu aux États-Unis après la mort de George Floyd des mains d’un policier, et ces manifestations se sont répandues dans le monde entier.

Dans de nombreux pays, les gros titres ont fait état de protestations et de contre-manifestations liées à « Black Lives Matter ». Les pirates n’ont pas tardé à profiter des sentiments du public pour mener leurs attaques.

La dernière campagne de TrickBot avait pour objet « Laissez un commentaire confidentiel sur Black Lives Matter ». Elle a été conçue pour attirer l’attention des personnes qui sont pour et contre les protestations. Les e-mails comprenaient une pièce jointe en format Word appelée e-vote_form_3438.doc, bien que plusieurs variations sur ce thème soient possibles.

Les messages électroniques demandaient aux utilisateurs d’ouvrir et de remplir un formulaire joint à l’e-mail pour qu’ils y déposent leurs commentaires anonymes. Le document Word comporte une macro que les utilisateurs sont invités à activer pour permettre de fournir leurs commentaires.

Cette opération déclenche la macro qui installe une DLL malveillante et qui implique le téléchargement et l’installation du cheval de Troie TrickBot.

TrickBot est un cheval de Troie bancaire, mais il est modulaire et fréquemment mis à jour avec de nouvelles fonctions. Le malware rassemble une série d’informations sensibles. Il peut exfiltrer des fichiers, se déplacer latéralement et installer d’autres variantes de malwares.

TrickBot a été largement utilisé pour installer le ransomware Ryuk comme charge utile secondaire une fois que les pirates informatiques atteignent leurs objectifs.

Les leurres qui ont été mis en œuvre dans le cadre d’une attaque de phishing et les e-mails malveillants changent fréquemment, mais en général, les messages distribuent les mêmes menaces.

Pour contrer ces attaques, il est essentiel de former vos employés sur la sécurité web. Cela peut contribuer à éviter les menaces de phishing et permettre aux employés de traiter les e-mails non sollicités. En sensibilisant vos employés aux dernières tactiques, procédures et techniques d’ingénierie sociale utilisées pour diffuser des malwares, vous pouvez les aider à repérer les menaces qui arrivent dans leur boîte de réception.

Quelle que soit l’astuce que les pirates utilisent pour amener les utilisateurs à ouvrir un e-mail non sollicité ou à cliquer sur lien malveillant, la meilleure mesure de sécurité consiste à s’assurer que vos défenses techniques sont à la hauteur et que les malwares et les scripts malveillants sont repérés, comme tels. Ils doivent être bloqués et ne doivent jamais atterrir dans les boîtes de réception des utilisateurs finaux. C’est un domaine dans lequel TitanHQ peut vous aider.

SpamTitan Cloud est une solution solide de sécurité de la messagerie électronique qui offre une protection contre toutes les attaques cybercriminelles. Un double moteur antivirus peut prévenir toutes les menaces de malwares connues, tandis que les technologies prédictives et le sandboxing fournissent une protection contre les malwares de type « zero day » et les attaques de phishing. Quel que soit le système des e-mails que vous déployez, SpamTitan ajoute une couche de sécurité supplémentaire vitale pour bloquer les menaces avant qu’elles n’arrivent dans les boîtes de réception de vos employés.

Pour plus d’informations sur la façon dont vous pouvez renforcer la protection et bloquer les menaces de phishing, de spear phishing, d’usurpation d’identité par e-mail, de malwares et de ransomwares, appelez l’équipe de TitanHQ dès aujourd’hui.

Campagne de phishing envers les employés de retour de télétravail

Campagne de phishing envers les employés de retour de télétravail

Une nouvelle campagne de phishing a été découverte.

Elle cible les travailleurs à distance qui vont bientôt retourner sur leur lieu de travail. Les e-mails de la campagne prétendent inclure des informations sur la formation aux coronavirus.

La campagne est l’une des plus authentiques attaques de phishing de ces dernières semaines.

En effet, avant de retourner au bureau après le confinement, il faut modifier les procédures sur le lieu de travail pour garantir la sécurité des travailleurs.

Cette campagne se concentre sur les utilisateurs de Microsoft Office 365 et tente de voler leurs identifiants Office 365 sous le couvert d’une demande d’inscription à la formation au COVID-19. Les e-mails comportent le logo Office 365 et sont très convaincants.

Dans l’objet des messages, on peut lire : « COVID-19 Training for Employees : A Certificate For Healthy Workspaces (Register) to participate in Covid-19 Office Training for Employees. »

Le message intègre un bouton qui permet à ses destinataires de s’inscrire à la formation, et les e-mails prétendent être délivrés pour améliorer les mesures de sécurité de Microsoft Office 365.

En cliquant sur le lien, l’utilisateur sera dirigé vers un site web malveillant où il lui sera demandé d’entrer ses identifiants Office 365.

Cette campagne, comme beaucoup d’autres qui ont été signalées ces dernières semaines, suit de près les événements mondiaux.

Au début de la pandémie, alors qu’il y avait peu de données disponibles sur la pandémie du COVID-19, la tactique utilisée par les escrocs était de proposer de nouvelles informations sur la maladie.

Comme de plus en plus de pays étaient touchés et que le nombre de cas augmentait, ils changeaient de méthodes en proposant d’incorporer des informations concernant les nouveaux cas dans différentes régions.

Maintenant que la plupart des pays ont passé le pic d’infection et que les mesures de confinement ont contribué à maîtriser le virus, les cybercriminels ont changé de tactiques une fois de plus.

Au Royaume-Uni, des campagnes ont été découvertes en rapport avec le nouveau système de suivi et de traçabilité utilisé par le NHS pour aider à contrôler les infections. Leur but consistait à avertir les utilisateurs qu’ils doivent acheter un test COVID-19.

Une autre campagne a ciblé les parents qui souffrent de difficultés financières dues au COVID-19, en leur demandant des informations sur leur compte bancaire pour leur permettre de recevoir une pension alimentaire fournie par leur gouvernement.

D’autres messages ont été diffusés concernant la fourniture de repas gratuits à l’école pendant l’été. Ils informent les victimes que le gouvernement britannique a décidé d’apporter une aide aux parents.

De nombreuses campagnes ont, quant à elles, profité de la popularité du mouvement Black Lives Matter au lendemain de la mort de George Floyd. Cette campagne demandait aux destinataires d’un e-mail d’enregistrer leurs opinions sur Black Lives Matter et de soumettre un compte rendu. La campagne a permis aux pirates de livrer le cheval de Troie TrickBot.

Ces campagnes de phishing montrent clairement la nature fluide des campagnes de phishing, qui sont régulièrement modifiées pour refléter les événements mondiaux afin de maximiser les chances d’ouverture des e-mails. Elles montrent que les utilisateurs doivent rester sur leurs gardes et être attentifs à la menace du phishing.

Ces derniers doivent également prendre le temps d’examiner la légitimité de toute demande et d’effectuer une série de vérifications pour déterminer si un e-mail est bien ce qu’il prétend être.

Ce problème peut être résolu par une formation de sensibilisation à la sécurité, qui devrait être dispensée régulièrement aux employés.

Bien entendu, la meilleure défense consiste à s’assurer que ces e-mails sont bloqués et n’atteignent pas les boîtes de réception des utilisateurs finaux. C’est pour cette raison qu’il est essentiel de mettre en place des défenses à plusieurs niveaux et des défenses par couches.

Une solution de filtrage du spam avancée telle que SpamTitan est nécessaire. Elle utilise l’apprentissage automatique et d’autres mesures de détection avancées pour repérer les nouvelles escroqueries par le phishing, ainsi que des mesures permettant de découvrir des variantes de malwares qui ne sont pas encore connues.

Comme couche de protection supplémentaire, vous devriez envisager de mettre en œuvre une solution de filtrage du web comme WebTitan. Cette dernière fournit une protection en temps réel afin de bloquer les attaques de phishing et pour arrêter les installations de malwares du type « drive-by ».

N’oubliez pas que la formation de sensibilisation à la sécurité de vos employés ne doit pas être négligée si vous voulez. Si vous faites cela et que vous adoptez les solutions de sécurité web, vous pourrez mettre en place une défense solide contre les attaques de phishing.

Phishing sur iCalendar : nouvelle campagne de vol d’informations bancaires

Phishing sur iCalendar : nouvelle campagne de vol d’informations bancaires

Une nouvelle campagne de phishing a été découverte. Elle utilise des invitations d’iCalendar — une application de calendrier indispensable pour les iPhone, les Ipad et les iPod — pour tenter de voler des informations bancaires et des identifiants des e-mails.

Les messages de la campagne comportent une pièce jointe iCalendar destinée à tromper les employés, car il s’agit d’un type de fichier rare pour le phishing. Il est donc peu probable que ces pièces jointes aient été incluses dans la formation de sensibilisation à la sécurité.

Les fichiers iCalendar sont les types de fichiers utilisés pour sauvegarder les informations de planification et d’agenda, y compris les tâches et les événements.

Pour ce cas précis, les messages de la campagne avaient pour objet « Détection de fautes à partir du centre de messagerie » et ont été émis à partir d’un compte de messagerie électronique légitime qui a été compromis par les attaquants lors d’une campagne précédente.

Comme les e-mails provenaient d’un compte réel, plutôt que d’un compte usurpé, les messages ont pu contourner les contrôles tels que ceux effectués par les protocoles DMARC, DKIM et SPF, lesquels ont été conçus pour identifier les attaques d’usurpation d’identité via la messagerie électronique où le véritable expéditeur usurpe un compte.

DMARC, DKIM et SPF vérifient si le véritable expéditeur d’un message électronique est autorisé à envoyer des messages à partir d’un domaine.

Comme pour la plupart des campagnes de phishing, les pirates utilisaient la peur et l’urgence pour amener les utilisateurs à cliquer sans penser à la légitimité de la demande.

À cette occasion, les messages comportaient un avertissement de l’équipe de sécurité de la banque indiquant que des retraits ont été effectués sur le compte qui a été marqué comme suspect.

Cette campagne était destinée aux utilisateurs de téléphones portables et les messages demandaient l’ouverture d’un fichier sur leurs appareils mobiles.

Si l’utilisateur clique sur la pièce jointe à l’e-mails, il s’est vu présenter une nouvelle entrée de calendrier intitulée « Stop Unauthorized Payment » qui comprend une URL Microsoft SharePoint. S’il visitait le lien, il était dirigé vers un site web hébergé par Google avec un kit de phishing usurpant la connexion de la banque Wells Fargo.

Ces deux sites web avaient des certificats SSL authentiques, de sorte que les victimes ne pouvaient pas les considérer comme suspects. Ils affichaient également le cadenas vert qui indiquait que la connexion entre le navigateur et le site web était chiffrée et sécurisée, comme ce serait le cas pour le site web de la banque elle-même.

L’utilisateur était ensuite invité à saisir son nom d’utilisateur, son mot de passe, son code PIN, son adresse électronique, son mot de passe de messagerie et ses numéros de compte.

Une fois que les informations étaient saisies, elles étaient capturées par le pirate informatique, puis utilisées pour accéder à leurs comptes.

Pour faire croire que la demande était authentique, les pirates faisaient en sorte que les utilisateurs étaient dirigés vers le site légitime de Wells Fargo une fois les informations transmises.

Il existe des signes avant-coureurs que la demande n’est pas authentique, qui doivent être identifiés par des personnes conscientes de la sécurité.

L’utilisation de domaines SharePoint et Google plutôt que d’un lien direct vers le site web de Wells Fargo est suspecte, la demande de ne pas ouvrir le fichier que sur un appareil mobile n’est pas expliquée.

Le site web de phishing demande également beaucoup d’informations, notamment l’adresse électronique et le mot de passe, qui ne sont pas pertinentes.

Ces indicateurs devraient suffire à faire croire à la plupart des utilisateurs que la demande n’est pas réelle, mais n’oubliez pas que tout e-mail de phishing qui contourne les défenses de filtrage du spam et est envoyé dans les boîtes de réception est un danger.

Logiciels de réunion et de conférence : inquiétudes quant à la protection de la vie privée des employés en télétravail

Logiciels de réunion et de conférence : inquiétudes quant à la protection de la vie privée des employés en télétravail

La pandémie du coronavirus a forcé des millions de personnes à travailler chez elles au cours des deux derniers mois.

Les employés ont le choix entre plusieurs applications qui permettent la communication vocale ou multimédia via le réseau Internet, notamment la vidéo, telles que Zoom, GoToMeeting, Skype et bien d’autres.

La popularité de Zoom est montée en flèche, car il est devenu le service de réunion vidéo de choix pour un usage personnel et professionnel.

La plateforme a vu le nombre de participants aux réunions quotidiennes passer à 300 millions en avril.

Avec l’augmentation de l’utilisation de cette application et d’autres logiciels de communication, les pirates informatiques ont trouvé des moyens d’exploiter ses vulnérabilités.

Zoom et vulnérabilités CVE : du XSS à l’exécution de code à distance

Le logiciel Zoom n’est pas nouveau, mais sa popularité grâce au confinement face à la pandémie du COVID-19 l’a transformé en un véritable vecteur d’attaque.

Lorsque des vulnérabilités sont découvertes dans un logiciel, elles sont publiées sous le nom de « Common Vulnerabilities and Exposures » ou « Vulnérabilités et Expositions Courantes » afin que le développeur puisse y remédier.

Plusieurs CVE de Zoom ont été publiés en 2020, la pire étant celle qui a permis à un attaquant de s’emparer du microphone et de la caméra d’un utilisateur.

D’autres CVE plus anciens, publiés en 2019, indiquaient qu’un attaquant pouvait lancer un code à distance sur l’appareil d’un utilisateur ciblé ; injecter du code XSS (Cross Site Scripting) et faire monter les privilèges sur un ordinateur distant.

Disposant de l’accès à la caméra et au microphone d’un utilisateur, un attaquant pouvait écouter les conversations et obtenir des données privées des employés d’une organisation. Ce problème permettait l’espionnage d’entreprise ou la divulgation de données sur la propriété intellectuelle privée.

Le fait est que les gouvernements et d’autres grandes organisations utilisent actuellement Zoom pour collaborer, de sorte que les pirates peuvent créer d’énormes dégâts lorsqu’ils exploitent les vulnérabilités de l’application.

Le problème avec Zoom souligne l’importance de choisir le bon logiciel pour les applications professionnelles. Bien qu’une entreprise puisse utiliser des logiciels spécifiques, les employés peuvent encore installer sur leurs propres appareils des applications aléatoires pour pouvoir les utiliser à des fins personnelles.

Les données de l’entreprise sont plus exposées au risque si elles sont stockées et utilisées sur l’appareil personnel d’un utilisateur.

Les logiciels de conférence qui présentent des vulnérabilités constituent donc un des vecteurs d’attaque que les pirates pourraient utiliser pour voler des données sensibles pendant les réunions d’affaires.

Attaque par force brute

Lorsqu’une conférence en ligne est configurée dans Zoom, une identification aléatoire est générée, contenant de 9 à 11 chiffres. En créant une longueur fixe, les nombres peuvent être forcés en brute.

Le forçage brutal d’identifiants de connexion permet aux pirates informatiques de deviner le numéro utilisé pour la connexion en exécutant des scripts.

Et même s’ils ne parviennent pas à faire cela en une seule fois, ils peuvent le faire pendant plusieurs fois jusqu’à ce que le bon numéro soit trouvé.

Après avoir obtenu l’identifiant de connexion, les attaquants peuvent se joindre à une réunion de Zoom et écouter les conversations. Ils peuvent également envoyer des messages aux participants, y compris des liens malveillants.

Par ailleurs, comme Zoom peut vous demander de vous identifier avant de vous joindre à la réunion, l’attaquant peut prétendre être quelqu’un qui travaille pour votre organisation.

Zoom utilise un système de chiffrement qui protège les données lors de leur transfert, mais ce n’est pas possible lorsqu’il est utilisé sur un dispositif local. Ce problème laisse les données vulnérables sur les appareils de l’utilisateur, y compris les Smartphones sur iOS et Android.

Le PDG de Zoom, Eric Yuan, a admis que son application n’a jamais été conçue pour être une application de communication à grande échelle. Elle a été développée pour des rencontres rapides entre certains utilisateurs, et c’est une plateforme gratuite pour une collaboration simple.

Sa popularité croissante est la principale raison pour laquelle elle est devenue la cible des pirates informatiques. Zoom a déjà fait l’objet de plusieurs poursuites judiciaires en raison de sa cybersécurité insuffisante, notamment pour violation de la loi californienne sur la protection de la vie privée des consommateurs.

Bien entendu, la marque a déjà annoncé des mises à jour de sécurité pour corriger ces vulnérabilités.

Protection des données d’entreprise

Comme de nombreux employés continuent de travailler à domicile, les entreprises sont contraintes de protéger leurs données. Cela peut être difficile lorsque les utilisateurs sont à la maison et utilisent leurs propres appareils.

Il existe de nombreux autres outils de collaboration et applications VoIP, et pour les informations hautement sensibles, la communication doit être utilisée avec un logiciel sécurisé doté d’un véritable système de chiffrement de bout en bout.

Mais l’utilisation de différents logiciels de communication n’est pas la seule mesure que vous pouvez prendre pour protéger vos données.

Récemment, les attaquants tentent d’envoyer aux utilisateurs des liens malveillants pour les inciter à divulguer des données sensibles, y compris des informations d’identification privées.

Vous pouvez donc former les utilisateurs à être toujours conscients des dangers du phishing et à vérifier la légitimité des liens avant de saisir leurs informations d’identification.

Au lieu de cliquer sur des liens qui semblent suspects, il est préférable de taper le site web directement dans le navigateur avant de saisir des informations et des données privées.

Les filtres de messagerie des entreprises peuvent également bloquer les liens malveillants et les documents joints, ce qui réduit les risques de phishing.

Vos employés peuvent aussi se connecter au réseau local depuis leur domicile et utiliser la connectivité Internet de votre entreprise. Pour améliorer la sécurité informatique, votre organisation peut utiliser le filtrage DNS pour bloquer les liens malveillants.

Le filtrage DNS empêche vos employés d’accéder à des sites malveillants en effectuant une recherche sur le DNS du site et en le bloquant s’il se trouve sur une liste noire.

La formation des utilisateurs et la cybersécurité de la messagerie électronique empêchent les utilisateurs d’ouvrir des sites malveillants.

Si votre organisation utilise une forme de communication non sécurisée, il est temps d’évaluer votre solution VoIP actuelle et d’en trouver une qui sécurise complètement les utilisateurs contre les agresseurs.

TitanHQ s’engage à fournir une solution sûre de la messagerie électronique et de l’internet à vos clients, partenaires et employés. N’hésitez pas à nous contacter pour que nous puissions trouver une solution pour soutenir au mieux vos efforts pendant cette période difficile.

Comment les fournisseurs de services managés font-ils face à la pandémie du COVID-19 ?

Comment les fournisseurs de services managés font-ils face à la pandémie du COVID-19 ?

Les fournisseurs de services managés (MSP) sont désormais très occupés à prendre en charge les demandes de plusieurs clients.

Les défis posés par la pandémie du COVID-19 ont encore rendu leurs tâches beaucoup plus difficiles pour qu’ils puissent s’assurer que leurs clients restent fonctionnels même pendant le confinement.

En plus de soutenir la technologie des entreprises, les MSP doivent aider les travailleurs à distance.

Les pirates informatiques savent très bien que les travailleurs à domicile sont plus vulnérables aux attaques de phishing et d’ingénierie sociale.

Ces attaques ont beaucoup augmenté et les MSP ont été chargés de sécuriser les données des entreprises contre des menaces supplémentaires.

La cybersécurité peut toujours être une priorité, même lorsque les clients des MSP ont une main-d’œuvre à domicile.

La surveillance est plus importante que jamais

Les attaquants qui accèdent aux ressources de l’entreprise sont de moins en moins visibles lorsque personne ne surveille le réseau.

Pendant les heures de travail normales, c’est-à-dire dans les locaux de l’entreprise, les administrateurs et même les employés peuvent remarquer une activité étrange sur leur réseau.

Mais lorsque les employés travaillent à domicile, certains de ces signaux d’alerte peuvent être moins évidents.

De nombreux outils de surveillance peuvent détecter le trafic réseau suspect et envoyer des notifications aux administrateurs. Il est également possible d’utiliser l’intelligence artificielle pour évaluer l’activité normale et détecter les tentatives d’accès inhabituelles à des fichiers.

En surveillant l’activité d’accès à certains fichiers à l’aide de l’intelligence artificielle, les MSP peuvent s’assurer que la cybersécurité est adaptée à chaque entreprise et que les alertes sont configurées pour répondre à des besoins spécifiques.

Une meilleure formation des utilisateurs pour contrer les attaques d’ingénierie sociale

Il a été démontré que la formation des utilisateurs réduit les risques de l’ingénierie sociale pour les entreprises. Des recherches montrent que les attaques utilisant l’ingénierie sociale et le phishing ont fortement augmenté pendant la pandémie du COVID-19.

Les pirates utilisent des e-mails malveillants combinés à l’ingénierie sociale pour accéder aux données de l’entreprise, et les travailleurs à domicile sont plus susceptibles de tomber dans le piège de ces escroqueries.

Le succès des attaques de phishing et d’ingénierie sociale rend la tâche beaucoup plus ardue aux fournisseurs de services mobiles qui doivent détecter, contenir et éradiquer toute activité malveillante sur un réseau d’entreprise.

La réponse aux incidents peut prendre plusieurs semaines, et les enquêtes pour détecter ce qui a mal tourné font partie de la responsabilité des MSP.

En réalité, la formation des utilisateurs permet de réduire le risque de réussite d’une attaque de phishing et d’ingénierie sociale.

Cela donne à vos employés les connaissances nécessaires pour détecter les formes d’escroquerie et pour signaler toute activité suspecte aux administrateurs.

Utiliser le filtrage des e-mails pour réduire les escroqueries et le phishing

Avec l’augmentation des attaques de phishing, les MSP doivent veiller à ce que les utilisateurs soient formés, mais la réduction de la capacité de l’attaquant à envoyer des e-mails dans les boîtes de réception des utilisateurs renforce également l’efficacité de la cybersécurité.

Les applications de filtrage des e-mails peuvent être appliquées à distance au système de l’entreprise. Il s’agit donc d’un outil efficace pour protéger les employés des menaces web pendant la crise du COVID-19. De plus, cela ne nécessite qu’une installation à distance sur leur système.

Les filtres web peuvent également tirer parti de l’intelligence artificielle. En effet, les MSP peuvent actuellement fournir des filtres plus efficaces pour leurs clients avec peu de faux positifs.

Ce qui pose souvent problèmes est qu’un nombre trop élevé de faux positifs peut conduire à l’épuisement des analystes lorsque les notifications légitimes sont ignorées. Les faux positifs augmentent également le temps nécessaire aux analystes pour examiner une notification légitime.

Communication accrue avec les clients pour les informer des dernières attaques via le web

Les MSP devraient toujours communiquer avec leurs clients, mais les entreprises doivent désormais faire face à une main-d’œuvre dispersée.

Les clients ont leur propre mode de communication, mais les MSP devraient faire preuve de plus de diligence en diffusant des notifications alertant leurs clients sur les dernières menaces en cours, étant donné le nombre d’attaques de phishing et d’ingénierie sociale qui ne cesse d’augmenter.

De plus en plus d’employés travaillent actuellement à domicile, et c’est pour cette raison que la communication est essentielle, en particulier dans le domaine de la cybersécurité.

Plus les utilisateurs auront de connaissances en matière de cybersécurité, plus ils seront en mesure d’identifier les menaces. À noter que les attaques de phishing et d’ingénierie sociale peuvent conduire à bien plus que le vol de données.

En effet, les attaquants peuvent obtenir des identifiants d’utilisateur, ce qui représente des menaces persistantes sur le réseau, laissant des portes dérobées et permettant le téléchargement des malwares pour leur permettre de lancer des attaques supplémentaires.

Grâce à une communication accrue, les employés, y compris les cadres, pourront savoir qu’une attaque vise l’entreprise et être en alerte lorsqu’ils reçoivent des e-mails suspects.

Les MSP qui communiquent avec les clients pourront donc réduire les attaques réussies et protégeront les clients contre les menaces courantes via le web.

Les fournisseurs de services mobiles et le paysage actuel de la cybersécurité

Les MSP ont déjà une grande responsabilité pour assurer la sécurité des données de leurs clients, mais la crise du COVID-19 a aussi apporté plusieurs autres défis, principalement une nouvelle main-d’œuvre à domicile qu’ils doivent protéger.

La sécurisation des données des clients peut être assurée par des filtres des e-mails, par une surveillance accrue des infrastructures et par une communication continue et la formation des utilisateurs.

Une fois ces stratégies en place, les MSP obtiendront de meilleurs résultats pour leurs clients.

COVID-19 a changé la façon dont les employés travaillent ainsi que le paysage de la cybersécurité. Même avec ce changement, les MSP peuvent toujours maintenir un lieu de travail sûr pour leurs clients.

Avec une infrastructure adéquate en place et une formation des utilisateurs, ils peuvent s’assurer que leurs clients travaillent de manière transparente et réduire les risques de violation des données.

TitanHQ collabore avec des fournisseurs de services managés dans le monde entier depuis 1999 et travaille actuellement en partenariat avec plus de 1 500 d’entre eux.

Nous avons développé WebTitan pour le secteur des MSP afin de répondre aux exigences spécifiques du marché des PME.

Cette orientation a débouché sur notre stratégie de commercialisation de WebTitan, le programme MSP conçu pour nos partenaires stratégiques, les fournisseurs d’accès Internet et les MSP.

Nous protégeons 7 500 entreprises et travaillons quotidiennement avec plus de 1 500 MSP. Nous protégeons vos clients contre les malwares, les ransomwares, le phishing, les virus, les botnets et bien d’autres cybermenaces. Plus important encore, nos produits ont été conçus à partir de zéro avec des MSP et pour les MSP.

Contactez-nous dès aujourd’hui pour en savoir plus sur notre programme MSP pour les fournisseurs d’accès Internet stratégiques et les partenaires MSP.

Les fournisseurs de services s’en sortent mieux que les autres

Les fournisseurs de services s’en sortent mieux que les autres

En raison de la vitesse à laquelle des changements tumultueux se sont produits dans presque tous les secteurs, nous imaginons que de nombreux fournisseurs de services managés (MSP) se demandent comment ils se débrouillent par rapport à leurs pairs.

Le rapport de recherche annuel du leader mondial en documentation informatique, IT Glue, qui a été récemment publié nous donne un aperçu de la façon dont les MSP s’adaptent à la norme COVID-19 et aux autres défis auxquels tant d’entreprises sont confrontées.

Un aperçu actuel de l’industrie des fournisseurs de services

Le rapport de la société Kaseya nous donne un aperçu de l’environnement actuel des MSP.

Les résultats compilés de l’enquête nous montrent que la détérioration des conditions économiques a un impact négatif pour ces professionnels.

  • 51 % des MSP ont vu leurs revenus mensuels diminuer en raison de la pandémie du coronavirus et de ses retombées économiques.
  • 29 % des MSP ont vu leurs comptes clients augmenter. Malheureusement, ce n’est pas une bonne chose, car cela indique que les clients retardent leurs paiements contractuels.

Faut-il offrir des services basiques ou spécialisés ?

Le débat sur la question de savoir s’il faut offrir un éventail de services plus général ou se spécialiser est un sujet de discussion constant pour les MSP.

Jusqu’à présent, ceux qui se concentrent sur un secteur spécifique ont connu un revenu légèrement plus élevé que ceux qui offrent des services plus généraux, soit 79 % contre 75 %, respectivement.

Les MSP qui ciblent des industries spécifiques étaient plus susceptibles de réaliser un bénéfice de l’ordre de 20 % ou plus. Les quatre industries les plus rentables sont les suivantes :

  • Service légal (43 %)
  • Gouvernement (40 %)
  • Finances (39 %)
  • Services professionnels (38 %)

Si les généralistes sont plus vulnérables face à la concurrence, notamment à cause de la réduction des prix des services, il y a de plus grands risques inhérents à une trop grande spécialisation dans une technologie ou une industrie donnée.

Principales préoccupations pour l’avenir

L’enquête a été menée en deux parties, la première a été réalisée avant la pandémie et la seconde consistait en un suivi.

Cette dernière a été effectuée en mai dans le but de comparer les appréhensions des MSP avant et pendant la crise actuelle. Les principales préoccupations pré-pandémiques étaient les suivantes :

  • La principale préoccupation était la crainte de ne pas pouvoir mener à bien les projets ouverts et prévus.
  • 54 % des MSP ont déclaré leur incapacité à trouver des employés techniquement compétents.
  • 32 % des personnes interrogées étaient préoccupées par la nécessité d’apprendre et de mettre en œuvre de nouvelles technologies.
  • 27 % ont affirmé le manque de partage d’informations.

Lors de l’enquête de suivi, au maximum, 20 % des personnes interrogées ont mentionné ces préoccupations.

  • La préoccupation dominante (74 %) était la crainte de futurs blocages dus à une deuxième vague de COVID-19 qui ajouterait un stress supplémentaire à leur entreprise.
  • 36 % des personnes interrogées ont indiqué que la perte de clientèle était leur deuxième préoccupation.
  • 29 % étaient préoccupés par le niveau croissant de leurs créances à cause de la pandémie du Covid-19.

Le problème de l’augmentation des créances est que les MSP concernés sont essentiellement transformés en une institution de prêt sans intérêt.

Ils doivent ainsi tenter d’accélérer le recouvrement sans mettre à mal la relation avec leurs clients. Bien entendu, ils sont également contraints de retarder les paiements de leurs fournisseurs.

Les MSP comparés au reste de l’économie

Toutes les industries ont été touchées par la crise du COVID-19. Étant donné que de nombreux MSP offrent des services aux PME, il est bon d’utiliser les petites entreprises au sens large comme comparaison.

Selon l’Institut Brookings, la localisation d’une entreprise a un impact important sur les revenus. Aux États-Unis, l’impact négatif varie selon les États, avec un écart de 20 à 80 % entre les revenus négatifs.

Une enquête menée par le Bureau américain du recensement, qui a porté sur plus de 100 000 petites entreprises, a révélé ce qui suit :

  • 51 % ont réalisé des revenus négatifs et prévoient une période de récupération de six mois.
  • Le secteur des services de restauration a été le plus touché, puisque 83 % d’entre elles ont connu une baisse de leurs revenus.
  • 41 % des entreprises ont dû fermer leurs portes pendant au moins un jour durant la pandémie, ce chiffre dépassant 70 % pour les entreprises des secteurs de l’éducation, des arts, du divertissement et des loisirs. Même 62 % des entreprises du secteur de la santé ont dû fermer dans une certaine mesure.

Quoi qu’il en soit, les MSP se portent mieux que la plupart des industries qu’ils servent actuellement. Cela montre l’importance cruciale de la technologie aujourd’hui et comment elle est devenue le moteur de l’innovation et de la compétitivité pour presque toutes les industries.

Chez TitanHQ, nous pensons toujours à nos partenaires MSP, en particulier ceux qui participent à notre programme TitanShield MSP, car notre succès dépend de leur réussite.

Dans notre prochain blog, nous proposerons aux MSP quelques idées pour faire face à l’environnement économique actuel et nous allons vous expliquer comment certains d’entre eux ont su en tirer le meilleur parti.

Confinement : la popularité des applications de rencontre favorise le phishing

Confinement : la popularité des applications de rencontre favorise le phishing

Une campagne de phishing qui diffuse un cheval de Troie d’accès à distance (RAT) appelé Hupigon — identifié pour la première fois en 2010 — vise les établissements d’enseignement supérieur aux États-Unis.

Le RAT Hupigon a été précédemment déployé par des groupes de menace persistante (APT ou Advanced Persistent Threats) avancés de Chine.

On pense que cette campagne n’a pas été menée par des groupes APT. Ce qui est certain, c’est que Hupigon a été reconverti par des pirates informatiques.

De nombreuses industries ont été ciblées dans le cadre de cette campagne. Il faut toutefois noter que près de la moitié des attaques ont été menées contre des lycées et des universités.

Le RAT Hupigon permet aux pirates d’installer des malwares, de voler des mots de passe et d’obtenir l’accès au microphone et à la webcam d’un appareil informatique. Ils pourraient ainsi prendre en charge la gestion complète de l’appareil infecté.

La campagne utilise des leurres de rencontres en ligne pour tromper les utilisateurs afin qu’ils puissent installer le cheval de Troie. Des e-mails ont été envoyés aux personnes cibles, montrant deux profils de rencontres d’utilisateurs supposés de la plateforme.

Le destinataire de l’e-mail est invité à sélectionner celui(celle) qu’il trouve le(la) plus séduisant(e). Lorsque l’utilisateur fait son choix, il est redirigé vers un site web où un fichier exécutable devrait être téléchargé pour pouvoir entrer en contact avec la personne qu’il a choisie. En faisant cela, il installe le RAT Hupigon.

Le choix du leurre pour cette campagne est sans doute influencé par l’énorme augmentation de la popularité des applications de rencontres en ligne pendant la pandémie du COVID-19.

Bien qu’il n’y ait pas beaucoup de rendez-vous réels en raison des mesures de confinement et de distanciation sociale qui sont actuellement adoptées dans le monde, les gens ont beaucoup de temps libre. Cette situation, associée à l’isolement social de nombreuses personnes célibataires, a entraîné une augmentation de l’utilisation des applications de rencontres en ligne.

La plupart des utilisateurs se tournent actuellement vers Zoom et FaceTime pour obtenir des rendez-vous virtuels, mais de nombreuses autres applications de rencontres populaires ont également connu une hausse d’utilisation pendant la pandémie du COVID-19.

Par exemple, selon un rapport de Tinder, l’utilisation de cette plate-forme a considérablement augmenté ces derniers temps. Lors de sa journée la plus chargée, son nombre d’abonnés est passé à 3 milliards.

Les sujets liés au COVID-19 ont été récemment très prisés par les pirates pour servir de leurres pour les attaques de phishing. Lorsqu’un événement ou une nouvelle particulière concernant la pandémie suscite de l’intérêt, les pirates informatiques en profitent.

Avec la popularité croissante des applications de rencontre en ligne, nous pouvons donc nous attendre à une augmentation du nombre de leurres sur ce thème pour duper les utilisateurs.

Le conseil aux établissements d’enseignement supérieur et aux entreprises est de s’assurer qu’une solution avancée de filtrage du spam est en place pour prévenir les messages malveillants et pour les empêcher d’arriver dans les boîtes de réception des utilisateurs finaux. Il est également crucial de dispenser des formations de sensibilisation à la sécurité pour les employés qui travaillent encore au bureau, les étudiants et les employés distants afin de leur apprendre à repérer les signes de phishing et les autres menaces lancées via la messagerie électronique.

TitanHQ peut vous aider. Si vous souhaitez mieux protéger vos employés, vos étudiants, et garder vos boîtes de réception à l’abri des menaces en un rien de temps, appelez l’équipe du TitanHQ dès aujourd’hui.