De nouvelles tactiques de phishing ciblant Microsoft Office 365 identifiées

De nouvelles tactiques de phishing ciblant Microsoft Office 365 identifiées

Microsoft Office 365 est aujourd’hui le service cloud le plus prisé par les entreprises. Un employé d’entreprise sur cinq l’utilise actuellement et, selon Gartner, 56% des entreprises qui ont recours aux services cloud utilisent Office 365.

Toute plateforme qui attire un très grand nombre d’utilisateurs est une cible majeure pour les cybercriminels. Les pirates informatiques mettent au point des méthodes novatrices pour attaquer les entreprises et contourner les protections d’Office 365 afin que leurs emails de phishing soient livrés dans les boîtes de réception des employés.

Plusieurs campagnes de phishing connues sont testées sur des comptes Office 365 authentiques pour s’assurer que les attaques soient bloquées avant qu’elles ne soient réellement menées sur les utilisateurs professionnels. Mais la protection Exchange Online Protection (EOP) de Microsoft n’est pas suffisante pour bloquer ces menaces. Les utilisateurs doivent payer plus pour bénéficier d’une protection avancée afin de bloquer les escroqueries de phishing sophistiquées dont le nombre ne cesse d’augmenter.

Quatre campagnes ont été récemment identifiées. Elles utilisent de nouvelles tactiques pour échapper à la détection d’Office 365 et tromper les utilisateurs finaux afin qu’ils divulguent leurs identifiants de connexion.

Des pages d’erreur 404 personnalisées ont été utilisées pour héberger des formulaires de phishing

Les chercheurs de Microsoft ont identifié une nouvelle tactique utilisée dans une campagne de phishing ciblant Office 365. Elle utilise des pages d’erreur 404 pour héberger des formulaires de phishing.

D’une manière générale, la page d’erreur 404 s’affiche lorsqu’un utilisateur tente de visiter un site web qui n’existe pas. En personnalisant la page 404 et en l’utilisant pour héberger un formulaire de phishing, les pirates disposent d’un nombre pratiquement illimité d’URL pour lancer des attaques. N’importe quelle URL afficherait la page 404 ainsi que le formulaire de phishing, et de nombreuses solutions de sécurité de messagerie ne peuvent pas détecter le lien comme étant malveillant.

Des notifications de messagerie vocale ont été utilisées comme leurre dans des campagnes de phishing avec Office 365

Récemment, les chercheurs d’Avanan ont également identifié une campagne de phishing qui utilise les notifications par messagerie vocale comme leurre dans le but d’obtenir des identifiants de connexion Office 365. Les emails incluent les logos de Microsoft Office 365 et la notification de l’heure d’un appel, du numéro de l’appelant et de la longueur du message vocal.

Le texte et les logos sont combinés en trois images dans l’email et un fichier HTML est joint en pièce jointe. L’email prétend qu’il s’agit du contenu du message vocal. Si elle est ouverte, la pièce jointe HTML utilise le meta refresh pour rediriger la victime depuis la page HTML stockée localement vers une page hébergée sur Internet où il est présenté avec une boîte de connexion à Office 365. Les informations d’identification sont nécessaires pour écouter le message via le système de gestion de la messagerie vocale falsifiée.

Des justificatifs d’identité des comptes administrateur de Microsoft Office 365 ont été ciblés

Les justificatifs d’identité de Microsoft Office 365 sont d’une importance capitale, mais les plus précieux sont ceux des administrateurs. Un employé peut disposer d’un compte de messagerie électronique contenant des données sensibles. Ses informations d’identification peuvent permettre l’accès à un nombre limité de ressources dans le cloud. En effet, un ensemble d’informations d’identification d’administrateur donnerait à un attaquant la possibilité de créer de nouveaux comptes, d’accéder aux comptes d’autres utilisateurs, d’envoyer des messages à partir de leurs comptes de messagerie et d’accéder à un éventail beaucoup plus large de ressources.

Les administrateurs d’Office 365 ont été ciblés dans le cadre d’une campagne de phishing utilisant des alertes pour les amener à divulguer leurs informations d’identification. Deux des leurres les plus courants font référence à un problème critique avec le service de messagerie électronique et à la découverte d’un incident d’accès non autorisé à une ressource.

Les attaques utilisent les informations d’identification en temps réel

Une autre campagne de phishing a été détectée dans laquelle les pirates utilisent les données saisies dans de faux formulaires de connexion Office 365 pour leur permettre d’accéder au véritable compte Office 365 en temps réel. Bien entendu, avec le faux formulaire, l’utilisateur va échouer lorsqu’il essaie de se connecter à son compte légitime. Il reçoit donc un avertissement qui lui demande de saisir à nouveau ses identifiants. Lorsque les informations d’identification correctes ont été confirmées, l’utilisateur est redirigé vers sa véritable boîte de réception Office 365, très probablement sans savoir que ses informations d’identification ont été volées.

Ces quatre nouvelles tactiques ont été utilisées par les cybercriminels pour accéder aux identifiants Office 365 des utilisateurs professionnels. En l’absence de moyens de protection avancés contre le phishing, bon nombre d’emails malveillants seront envoyés dans les boîtes de réception des utilisateurs finaux.

La formation de sensibilisation à la sécurité des employés contribuera grandement à renforcer votre dernière ligne de défense. Pourtant, si la majorité des menaces par email ne sont pas bloquées, il y aura toujours des risques d’atteintes à la protection des données. Cela signifie que les entreprises devront payer plus pour obtenir la fonction avancée d’Office 365. Pourtant, elles ont une autre alternative, à savoir utiliser une solution anti-spam et anti-phishing tierce.

Lorsque SpamTitan est superposé à Office 365, les entreprises seront protégées contre toute la gamme des menaces basées sur la messagerie électronique. Les techniques avancées de phishing comme celles décrites ci-dessus pourront donc être détectées et neutralisées.

La solution de filtrage DNS de TitanHQ, WebTitan, ajoute une autre couche de sécurité pour protéger votre entreprise et vos employés contre les attaques de phishing. WebTitan bloque toutes les pages web malveillantes connues et recherche les contenus malveillants sur les nouveaux sites web. Ainsi, les menaces pourront être détectées et les pages web malveillantes seront bloquées avant qu’un contenu puisse être téléchargé.

Pour plus d’informations sur la sécurisation des comptes Office 365 et sur l’amélioration de vos défenses anti-phishing, contactez l’équipe TitanHQ dès aujourd’hui.

Une attaque de phishing cible les victimes d’Equifax et vole leurs coordonnées bancaires

Une attaque de phishing cible les victimes d’Equifax et vole leurs coordonnées bancaires

Une campagne de phishing a touché Equifax, une société qui permet aux citoyens américains d’obtenir leur credit score ainsi que leur dossier de crédit personnel complet en quelques minutes. Les données personnelles de 143 millions de clients ont été volées.

Plusieurs poursuites ont été intentées contre Equifax au sujet de cette fuite de données. L’une d’entre elles est celle déposée par la Federal Trade Commission. Suite à cela, l’organisation a obtenu 620 millions d’euros. Ce chiffre comprend un fonds de plus de 384 millions d’euros destiné à couvrir les demandes d’indemnisation des personnes victimes d’une atteinte à leur vie privée.

En effet, les clients d’Equifax qui ont été touché par la violation de leurs données personnelles ont le droit de présenter des réclamations. Compte tenu du nombre élevé de victimes, les fraudeurs avaient plus de chance de réussir leurs actes d’escroquerie.

Pour déposer leurs réclamations, les victimes doivent visiter un site web mis sur pied par Equifax, à savoir equifaxbreachsettlement.com. Mais les cybercriminels ont créé une pléthore de faux sites qui ressemblent de près à ce site web authentique d’Equifax, avec des noms de domaine tout aussi factices, mais réalistes.

Lorsque le demandeur soumet une demande de règlement sur le site web authentique, il doit entrer ses coordonnées et présenter sa demande. Il peut choisir de recevoir le paiement par carte prépayée ou par chèque envoyé via la poste. Pourtant, il ne doit en aucun cas entrer un numéro de sécurité sociale, des renseignements sur son compte bancaire ou sur sa carte de crédit.

Des campagnes de spam à grande échelle ont été menées pour inviter les victimes de l’infraction à soumettre leur réclamation et à recevoir leurs indemnisations. Des hyperliens ont été intégrés dans les messages malveillants qui les renvoient à de fausses pages web d’Equifax pour qu’ils puissent déposer leurs demandes d’indemnisation.

Après avoir accédé à ces pages web de phishing, les utilisateurs sont guidés lorsqu’ils passent par une série d’étapes. Ils doivent entrer leurs coordonnées et d’autres renseignements de nature délicate pour confirmer leur identité. En outre, ils doivent fournir des renseignements sur leurs comptes bancaires pour traiter les remboursements par virement direct.

Après avoir entré toutes ces informations, la réclamation est soumise, et l’utilisateur ignore que ses informations sensibles ont été volées.

Tout e-mail relatif au règlement d’Equifax sur l’atteinte à la protection des données devrait en effet être traité comme potentiellement suspect. Quiconque veut faire une demande d’indemnisation devrait également visiter le site equifaxbreachsettlement.com.

Une nouvelle attaque de phishing par captchas cible les utilisateurs d’Android pour voler des codes de sécurité SMS

Une nouvelle attaque de phishing par captchas cible les utilisateurs d’Android pour voler des codes de sécurité SMS

Une nouvelle attaque de phishing sous couvert de captchas a été détectée et utilisée pour amener les utilisateurs à télécharger un fichier malveillant qui intercepte les codes d’authentification multifactoriels sur leurs Smartphones. Grâce à ces codes, les pirates informatiques peuvent mener une attaque plus poussée et accéder à un éventail de ressources telles que la messagerie électronique et les comptes bancaires.

Lorsqu’un visiteur arrive sur la page de phishing, une vérification est effectuée pour déterminer le type de dispositif est utilisé. S’il se sert d’un appareil Android, un fichier APK malveillant est téléchargé sur son appareil. Tout autre système d’exploitation recevra un fichier .zip contenant des malwares.

Une fausse version du fameux recaptcha est Google est affichée sur la page de phishing. Elle ressemble beaucoup à la version légitime, bien qu’elle ne supporte pas le son. Par ailleurs, les images ne changent pas lorsqu’on clique dessus. Le faux recaptcha est hébergé sur une page Web PHP et tout clic sur l’image déclenche le téléchargement d’un fichier malveillant. Cette campagne semblait surtout cibler les utilisateurs de téléphone mobile.

Sur un appareil Android, l’application (APK) malveillant intercepte les codes PIN des messages d’authentification à deux facteurs d’un utilisateur. Ceci permet aux pirates d’accéder à son compte bancaire. Grâce à ces codes PIN, il peut également compromettre un compte de messagerie et d’autres comptes en demandant la réinitialisation de mot de passe.

Si l’attaque réussit, le pirate informatique peut avoir accès à plusieurs comptes utilisés par sa victime. Les entreprises sont également attaquées de la même manière, c’est-à-dire que les pirates peuvent avoir accès à d’énormes volumes de données sensibles, voire à des ressources d’infrastructure de l’entreprise en cas d’attaques réussies.

Cette méthode de diffusion de malwares n’est pas nouvelle. En réalité, elle existe depuis 2009. Une campagne de phishing sous couvert de captchas a été détectée en février 2018 pour tenter de télécharger un fichier malveillant. Une autre campagne similaire a été lancée en 2016.

D’une manière générale, les cybercriminels adoptent une méthode d’attaque pendant un certain temps avant de l’abandonner. Bien qu’il soit possible de se préparer aux éventuelles attaques de phishing de ce genre, par le biais de la formation des utilisateurs à la sécurité, cela ne suffit pas. La raison est que les pirates changent fréquemment de tactiques et développent de nouvelles méthodes d’attaque de plus en plus élaborées.

Comme le montre cette attaque, l’authentification à deux facteurs est loin d’être infaillible. En effet, le protocole SS7 utilisé pour l’envoi de messages SMS comporte également des failles qui peuvent être exploitées pour intercepter les messages.

La formation de sensibilisation à la sécurité et l’authentification à deux facteurs sont importantes, mais en plus de ces solutions, vous aurez aussi besoin d’une puissante solution anti-spam et anti-phishing. Elle permet de bloquer les e-mails de phishing et garantit que les messages malveillants ne seront pas livrés dans les boîtes de réception des utilisateurs.

Il est important de choisir une solution qui offre une protection contre les attaques d’usurpation d’identité. De nombreuses campagnes de phishing usurpent une marque ou une personne connue. Une solution qui intègre l’authentification du message sur la base du domaine, du reporting et de la conformité (DMARC) permettra également de s’assurer que l’expéditeur du message est authentique. Cette couche supplémentaire permet d’effectuer des vérifications pour s’assurer que l’expéditeur du message est autorisé à envoyer des messages depuis un nom de domaine spécifique.

La plupart des solutions antiphishing intègrent un composant antivirus qui analyse toutes les pièces jointes entrantes à la recherche de malwares et de codes malveillants. Toutefois, les cybercriminels utilisent des méthodes de plus en plus sophistiquées pour échapper à la détection par les antivirus. Comme les fichiers peuvent souvent contenir des codes malveillants difficiles à détecter, un bac à sable est donc nécessaire pour exécuter les pièces jointes suspectes dans un environnement sûr où elles peuvent être surveillées pour détecter toute activité malveillante. En testant les pièces jointes dans le bac à sable, les fichiers malveillants peuvent être identifiés et bloqués, tandis que les e-mails et les pièces jointes authentiques peuvent être renvoyés dans les boîtes de réception des utilisateurs finaux.

SpamTitan intègre toutes ces fonctionnalités, et bien plus encore. Ensemble, elles contribuent à assurer un taux de capture supérieur à 99,9 %, avec un faible taux de faux positifs (0,03 %). En choisissant SpamTitan, vous serez bien protégé contre les menaces cybercriminelles telles que la nouvelle attaque de phishing sous couvert de captchas.

Une campagne de phishing contre Office 365 utilise de fausses pages de connexion

Une campagne de phishing contre Office 365 utilise de fausses pages de connexion

Une campagne de phishing innovante a été découverte. Elle utilise de fausses pages de connexion de Microsoft Office 365 pour inciter ses victimes à croire qu’elles se connectent à leur véritable compte Office 365.

Les emails de phishing informent l’utilisateur qu’une erreur de synchronisation des messages a bloqué la livraison des emails à son compte de messagerie. Un lien est fourni avec le texte d’ancrage « Lire le message » qui le dirige vers une fausse page de connexion Office 365 où il peut consulter les messages et décider quoi faire avec.

Si l’utilisateur clique sur le lien, son adresse email sera vérifiée et validée, et il sera dirigé vers la page de phishing. Ce qui rend cette campagne unique, c’est que le contrôle permet aux attaquants d’extraire du contenu de la page de connexion de l’utilisateur d’Office 365 via des requêtes HTTP GET. La page de phishing est personnalisée avec l’arrière-plan et le logo de l’entreprise, et ce, de manière dynamique. Si l’entreprise n’a pas de page de connexion personnalisée, c’est le fond d’écran d’Office 365 standard qui s’affiche.

Les pages de connexion sont des clones des pages authentiques d’Office 365. Il est donc peu probable qu’elles soient reconnues comme fausses par les utilisateurs. Les pages de phishing sont également hébergées sur une infrastructure de stockage légitime dans le cloud. Parmi les noms de domaines utilisés, on compte blob.core.windows.net et azurewebsites.net qui ont des certificats SSL Microsoft valides. Ainsi, les pirates peuvent mener une campagne très convaincante et susceptible de tromper de nombreux employés afin qu’ils divulguent leurs identifiants de connexion.

Les utilisateurs de Microsoft Office 365 sont la cible privilégiée des cybercriminels

Microsoft Office 365 est le service cloud le plus prisé par les entreprises. Il compte actuellement plus de 155 millions d’utilisateurs actifs. Un employé américain sur cinq utilise au moins un service Office 365 et la moitié des entreprises qui ont recours aux services cloud utilisent cette solution de Microsoft.

Avec des chiffres aussi élevés, il n’est pas surprenant que les utilisateurs d’Office 365 soient la cible privilégiée des pirates informatiques.

Ce qui est très préoccupant, c’est le nombre d’emails malveillants qui parviennent à contourner les moyens de défense standard contre le phishing d’Office 365. Une étude réalisée par Avanan cette année a montré que 25 % des emails de phishing contournent les défenses d’Office 365 et arrivent dans les boîtes de réception des employés.

Lorsqu’un pirate informatique réussit à accéder à un compte de messagerie, il peut utiliser ce compte pour mener des attaques de phishing contre d’autres employés de l’entreprise. Pour ce faire, ils tentent de compromettre autant de comptes que possible et, idéalement, un compte administrateur. Les comptes compromis peuvent également être utilisés pour les attaques BEC, une arnaque sophistiquée ciblant les entreprises qui sont en relation d’affaires avec des fournisseurs étrangers ou avec des entreprises effectuant des paiements par virement bancaire.

A noter que les identifiants de connexion peuvent être utilisés pour accéder à d’autres ressources Office 365 et les comptes de messagerie peuvent être utilisés pour voler des données sensibles.

Comment protéger votre entreprise des attaques de phishing contre Office 365 ?

Il y a trois mesures clés que vous pouvez prendre pour améliorer vos défenses contre le phishing d’Office 365. L’étape la plus importante est d’améliorer votre système de sécurité avec une solution anti-spam et anti-phishing tierce.

SpamTitan peut être implémenté en quelques minutes et fournit une protection supérieure contre les attaques de phishing contre Office 365. La solution a été testée indépendamment et s’est révélée capable de bloquer plus de 99,9 % des spams et 100 % des malwares connus. Elle comporte également une fonction bac à sable, où les pièces jointes suspectes peuvent être analysées dans un environnement sécurisé. Par ailleurs, SpamTitan intègre une solution d’authentification DMARC qui assure une protection contre les attaques par usurpation d’identité et qui contournent généralement les filtres de sécurité d’Office 365.

Néanmoins, aucune solution de sécurité web n’offre une protection totale contre les attaques de phishing. Il est donc important de vous assurer que vos employés reçoivent une formation de sensibilisation à la sécurité. Ils devraient être formés quant aux risques d’attaques par emails et à la façon d’identifier les emails de phishing.

Grâce à une formation efficace, vous pouvez faire de vos employés la dernière ligne de défense solide contre de telles menaces.

N’oubliez pas que même les employés les plus soucieux de la sécurité pourraient se laisser duper par un email de phishing sophistiqué et divulguer leurs identifiants de connexion à Office 365. Il est donc important de mettre en œuvre l’authentification à deux facteurs.

L’authentification à deux facteurs nécessite une deuxième méthode d’authentification des utilisateurs – en plus du mot de passe – lorsqu’ils tentent de se connecter à leurs comptes Office 365 à partir d’un emplacement inconnu ou d’un nouvel appareil. Dans le cas où les informations d’identification seraient compromises, l’accès au compte peut être bloqué par l’authentification à deux facteurs. Cependant, les entreprises ne devraient pas se fier uniquement à cette mesure pour protéger leurs comptes Office 365, car elle n’est pas infaillible.

Si vous souhaitez en savoir plus sur l’amélioration de la sécurité d’Office 365, appelez l’équipe TitanHQ dès aujourd’hui et réservez une démonstration du produit. SpamTitan est également disponible en version d’essai gratuite pour que vous puissiez l’évaluer avant de prendre une décision d’achat.

Pourquoi Office 365 ne suffit pas pour l’archivage des emails

Pourquoi Office 365 ne suffit pas pour l’archivage des emails

Dans ce dossier, nous expliquerons pourquoi les entreprises qui utilisent Office 365 devraient mettre en œuvre un service d’archivage des e-mails tiers plutôt que d’utiliser la fonction d’archivage d’Office 365 pour assurer la conformité.

De nombreuses entreprises ont abandonné leurs systèmes de messagerie Exchange sur site et ont choisi la solution d’archivage des e-mails dans le cloud. Les avantages d’une telle mesure sont nombreux. Le passage au cloud signifie qu’il n’est plus nécessaire d’acheter et de maintenir du matériel sur site. Les entreprises peuvent donc libérer l’espace dédié aux disques physiques. De plus, il n’y a pas de limite quant au nombre de compte de messagerie pouvant être configuré.

Les entreprises stockent d’énormes quantités d’informations critiques dans leurs boîtes de messagerie, telles que les contacts, les bons de commande, les documents juridiques et la propriété intellectuelle. Il est important que ces informations soient toujours disponibles et ne puissent pas être supprimées accidentellement. Une étude d’IDC suggère que 60 % des informations sensibles pour l’entreprise sont effectivement stockées dans leur système de messagerie électronique.

La plupart du temps, cette information n’est pas nécessaire, il est donc logique d’archiver les e-mails. Mais lorsque l’information contenue dans les archives doit pouvoir être trouvée et récupérée via une simple recherche.

Si les e-mails doivent être récupérés pour des raisons légales, les entreprises doivent démontrer que les messages archivés, c’est-à-dire les conversations passées avec un client, doivent être exactement la même que ceux qui ont été reçus ou envoyés par un client. L’entreprise doit donc prouver que les e-mails n’ont pas été modifiés.

Les utilisateurs d’Office 365 peuvent prouver l’authenticité d’un e-mail en le conservant dans Office 365. Les messages placés en mise attente légale sont conservés dans leur forme originale, c’est-à-dire qu’ils ne sont pas modifiés. Il incombe à l’administrateur d’Office 365 d’activer  cette fonctionnalité via le panneau d’administration. De cette manière, les messages édités et supprimés peuvent toujours être récupérés avec le message original par l’intermédiaire du Compliance Center.

Pour garantir la conformité, la mise en attente légale ne doit jamais être désactivée. Sans cela, les messages risquent d’être perdus à jamais dans le système de messagerie électronique.

Il y a deux options de mise en attente légale : la mise en attente pour litige et la retenue sur place. Dans le premier cas, tous les messages seront conservés, même s’ils sont supprimés des boîtes de réception.

Avec la mise en attente sur place, l’administrateur peut définir des critères pour une requête de recherche et seuls les messages qui répondent à cette requête de recherche seront préservés. Avec la mise en attente sur place, si un utilisateur supprime un e-mail qui n’est pas couvert par la requête de recherche, il sera purgé dans les 14 jours qui suivent et ne pourra plus être récupéré, même par l’équipe informatique. Avec cette option, les entreprises ne pourront pas prouver qu’un message n’a pas été envoyé.  Si un message n’est pas dans l’archive, cela pourrait simplement signifier qu’il n’a pas été récupéré par la requête de recherche.

La mise en attente légale est donc la meilleure option, mais tant que la mise en attente légale est configurée, la boîte aux lettres ne peut pas être supprimée, même si cette personne quitte l’entreprise. Si un compte utilisateur est supprimé et que cet utilisateur dispose d’un compte de messagerie, il pourra être supprimé, peu importe que le compte soit toujours en attente légale ou non.

La plupart des solutions d’archivage des e-mails de tiers utilisent une méthode d’archivage appelée journalisation. La journalisation prend une copie de tous les e-mails entrants et sortants sur le serveur de messagerie, ou de tous les messages des utilisateurs sélectionnés en temps réel. En plus du message, toutes les métadonnées et les pièces jointes qui y sont associées sont incluses dans le message du journal. Cette méthode d’archivage est utilisée par Microsoft Office 365, mais elle a des limites :

  • Les recherches sont limitées à moins de 10 000 comptes de messagerie par recherche.
  • Les résultats de recherche sont limités à 200 résultats avec Compliance Center. Pour obtenir plus de résultats en une seule recherche, un fichier .pst doit être utilisé. Puisque les fichiers .pst peuvent être édités. Cette méthode ne garantit donc pas l’authenticité du message, car des modifications peuvent encore être effectuées.
  • Un maximum de 2 recherches eDiscovery peuvent être effectuées à la fois au sein d’une même entreprise.
  • Si le service de messagerie tombe en panne, les e-mails qui sont mis en attente pour litige et/ou ceux mise en attente sur place ne sont pas accessibles.
  • Si la fonction Litigation Hold est désactivée, il n’est pas possible de prouver que les e-mails sont des originaux.
  • Sans une mise en attente pour litige, il n’est pas possible de prouver qu’un e-mail n’a pas été envoyé.
  • Les recherches sont limitées à la barre de recherche Outlook.
  • Les recherches peuvent être difficiles pour les utilisateurs non avisés.
  • Les recherches sont lentes, surtout si vous cherchez dans plusieurs dossiers. Par exemple, une recherche de 50 000 comptes de messagerie prendra environ 20 minutes.
  • Si des personnes quittent l’entreprise, les e-mails ne seront plus conservés, sauf si la boîte de messagerie est entretenue, ce qui a des répercussions financières.

Cette dernière question peut s’avérer coûteuse pour les organisations. Afin de maintenir la boîte de messagerie d’un utilisateur qui quitte l’entreprise, la licence pour cet utilisateur doit être maintenue. Si cet utilisateur doit être remplacé, une autre licence sera nécessaire pour son remplaçant.

Cela signifie que, pour une organisation de 50 employés, qui travaille pour le compte de l’entreprise pendant environ deux ans, l’entreprise doit payer 200 licences par an, alors qu’à un moment donné, seules 50 licences devraient être requises. Cela représente un coût supplémentaire important et inutile.

TitanHQ a développé sa solution d’archivage d’e-mails, ArcTitan, pour fonctionner en toute transparence avec Office 365. La solution résout les problèmes de conformité et de performance mentionnés ci-dessus. Elle complète également le Compliance Center de Microsoft avec des outils de recherche et de récupération beaucoup plus puissants. Les messages peuvent être trouvés et récupérés beaucoup plus rapidement et efficacement, et les entreprises pourront faire des économies considérables, car elles ne paient que les licences dont elles ont besoin, quel que soit le nombre d’employés qui quittent l’entreprise et sont remplacés.

Si vous êtes à la recherche d’une solution d’archivage des e-mails plus puissante pour Office 365, et qui peut rapidement et facilement être mise en œuvre en une seule étape, appelez l’équipe TitanHQ dès aujourd’hui. ArcTitan vous permettra d’économiser de l’argent et de garantir la conformité de vos systèmes d’archivage des e-mails.

Nouvelles attaques de phishing sur Outlook 365

Nouvelles attaques de phishing sur Outlook 365

Tout administrateur de messagerie est conscient des dangers du phishing, mais ce n’est que lorsqu’une organisation est spécifiquement ciblée que les choses deviennent sérieuse.

Les attaques de phishing sont généralement détectées par des filtres de messagerie, mais celles de spear phishing sont beaucoup plus sophistiquées. Celles-ci utilisent les données de base des employés pour éviter les filtres web et permettent aux pirates informatiques de bénéficier d’un meilleur retour sur investissement.

Un attaquant peut passer des jours (voire des semaines) à recueillir des données sur vos clients et employés et utiliser ces informations pour leur envoyer directement des e-mails. Avec une bonne technique d’attaque, il peut collecter des giga-octets de données sensibles ou voler des documents importants qui valent beaucoup d’argent pour vos concurrents.

Outlook 365 est un trésor pour le phishing

Récemment, les cybercriminels se sont concentrés directement sur les utilisateurs d’Outlook sur Office 365. Cette solution fournit un service de messagerie d’entreprise en utilisant les serveurs Microsoft Exchange. Pourtant, les administrateurs ont l’habitude d’utiliser les informations d’identification sur plusieurs facettes d’Office 365, notamment One Drive, Skype, SharePoint et Office Store.

En interne, cela ne pose pas de problème, mais si un attaquant parvient à accéder aux informations d’identification d’un utilisateur par le biais d’une campagne de spear phishing, il pourra donc accéder à plusieurs autres ressources.

Lors d’une attaque de phishing en 2017, les utilisateurs d’Office 365 ont été ciblés principalement pour leurs identifiants de messagerie. Les attaquants savaient que seul un petit pourcentage d’utilisateurs tombera dans le piège d’un e-mail non sollicité envoyé par une personne qu’ils ne connaissent pas. Par contre, ils font souvent confiance aux expéditeurs de messages qui figurent sur leur liste de contacts.

La récente campagne s’est alors concentrée sur le vol d’identifiants et sur l’envoi de messages contenant un document HTML malveillant en pièce jointe. L’agresseur a envoyé la pièce jointe malveillante à des personnes figurant sur la liste de contacts de la victime. L’e-mail semblait donc provenir d’un utilisateur connu par des douzaines d’autres utilisateurs. De cette manière, l’attaquant avait une meilleure chance de voler les informations d’identification de l’utilisateur.

Ce type d’attaque sophistiquée n’est pas nouveau, mais en se concentrant sur les utilisateurs d’Office 365, le cybercriminel avait une meilleure chance d’accéder à des données sensibles.

Pour aller plus loin, l’attaquant a utilisé les identifiants Skype de sa victime pour se connecter à un profil et envoyer un fichier malveillant à ses contacts. En utilisant cette méthode de spear phishing, il a fait passer l’attaque de quelques dizaines à des centaines d’utilisateurs. Il lui a suffi de choisir quelques bonnes cibles pour lui permettre de télécharger une grande quantité de données et documents sensibles, des secrets d’entreprise, de données financières sur les employés et les clients, et de nombreux autres fichiers qui pourraient constituer un risque énorme pour l’intégrité de l’organisation.

Campagne de phishing contre les utilisateurs d’Outlook 365

Les leurres utilisés lors de l’attaque de phishing généralisée de 2017 comprenaient des notifications frauduleuses de faible espace disque et des demandes d’examen d’un document sur DocuSign. Dans ces deux attaques, l’utilisateur était invité à fournir ses identifiants Office 365.

Les e-mails contenaient des lignes d’objet comprenant des mots-clés du genre « FYI », « Facture approuvée » ou « Fw : Paiements. » et invitaient les utilisateurs à fournir leurs identifiants Office 365. L’attaquant les a utilisés pour envoyer plus d’e-mails de phishing aux contacts d’affaires qui figuraient dans la liste de contacts du compte de l’utilisateur.

Les attaques Zero-Day représentent le plus grand risque

De nombreuses applications de filtrage et de sécurité de messagerie peuvent bloquer les malwares connus et qui sont couramment utilisés dans les attaques de phishing. Mais il est beaucoup plus difficile de détecter les attaques zero-day.

Cette forme d’attaque utilise des campagnes et des malwares qui n’ont pas encore été détectés auparavant. En effet, les logiciels antivirus dépendent beaucoup des fichiers de signatures d’attaques connues. Le fait est que les attaques zero-day n’utilisent pas de signature connue.

Avec les e-mails, il est encore plus difficile d’éviter les faux positifs tout en protégeant le système interne contre les attaques de phishing. Les faux positifs créent des ennuis pour l’utilisateur et peuvent affecter sa productivité. Le filtrage des e-mails est dans ce cas le moyen le plus efficace d’empêcher que les courriels malveillants atteignent la boîte de réception de leurs destinataires.

Pour améliorer la protection des e-mails contre les menaces en ligne, l’administrateur Exchange a besoin d’une solution de messagerie sécurisée utilisant des algorithmes avancés et qui permettent de prédire les attaques zero-day. Cette solution doit associer vérification des pièces jointes, analyse du contenu, anti- typosquattage, protection des liens et chiffrement.

La combinaison de ces couches de protection fournit une solution complète anti-phishing et anti-malware. Comme Microsoft Exchange s’intègre à un environnement réseau Windows, la solution doit également fonctionner avec Active Directory et LDAP.

Les filtres de base ne suffisent plus pour contrer les menaces sur le web

Les attaques de phishing continuent d’augmenter et adoptent de nouvelles tactiques ; et les spams augmentent en conséquence.

Au deuxième trimestre de 2018, la quantité moyenne de spams dans le trafic de messagerie électronique dans le monde a atteint 51 % au mois de mai, alors que la moyenne était de 50 %.

Pour identifier les problèmes dans les e-mails, les anciens filtres de messagerie vérifiaient la présence de mots spécifiques dans le titre ; d’un expéditeur spécifique ou de phrases trouvées dans le contenu. De nos jours, cette méthode n’est plus suffisante. Les pirates informatiques disposent actuellement d’un arsenal de techniques qui leur permettent de contourner cette méthode.

D’une part, les entreprises qui utilisent Office 365 se doivent de fournir à leurs employés une formation de sensibilisation à la sécurité informatique. Elles doivent également mettre en œuvre des filtres de courrier électronique plus efficaces, capable d’analyser le contenu. Par ailleurs, les entreprises doivent mettre en œuvre des couches de filtrage fiables pour déterminer si un email ou un lien dans un email pourrait être malveillant.

Avec le filtre de messagerie SpamTitan, vous offrez une passerelle de messagerie dédiée qui protège entièrement votre serveur Exchange et chaque destinataire au sein de votre entreprise. SpamTitan fournit une protection contre le phishing. Il empêche le whaling et le spear phishing grâce à l’analyse de tous les e-mails entrants en temps réel.

SpamTitan recherche des indicateurs clés dans l’en-tête de l’email, dans son contenu et dans les informations de domaine. SpamTitan effectue également une analyse de réputation de tous les liens (y compris les URL raccourcis) qui peuvent se trouver dans les e-mails. Ainsi, il peut bloquer les courriels malveillants avant leur envoi à l’utilisateur final.

Voici comment SpamTitan vous protège contre les tentatives de phishing :

  • Analyse de la réputation d’URL lors de l’analyse de plusieurs réputations.
  • Détection et blocage des courriers électroniques malveillants de spear phishing avec d’autres malwares existants ou nouveaux.
  • Utilisation de règles heuristiques permettant de détecter les attaques de phishing basées sur les en-têtes de message. Celles-ci sont mises à jour fréquemment pour faire face aux nouvelles menaces.
  • Synchronisation facile avec Active Directory et LDAP.
  • Les niveaux de confiance du spam peuvent être appliqués par utilisateur, par groupe d’utilisateurs et par domaine.
  • Utilisation d’une liste blanche ou liste noire d’expéditeurs/adresses IP.
  • Solution infiniment évolutive et universellement compatible.

La combinaison de ces fonctionnalités permet à SpamTitan d’offrir une excellente protection aux utilisateurs d’Office365. Il protège également les entreprises contre les attaques par spear phishing, le piratage par email professionnel (BEC) et la cyberfraude.

Enfin, les administrateurs système qui implémentent Office 365 doivent s’assurer qu’il est sécurisé. Pour se protéger contre les menaces persistantes avancées, ils ont intérêt à ajouter une solution hautement sécurisée de filtrage du spam comme SpamTitan.

Pour vous protéger contre les menaces avancées, vous avez besoin d’une protection avancée.

Découvrez SpamTitan dès aujourd’hui et inscrivez-vous pour obtenir un essai gratuit.

Les attaques de phishing abusent des sites de partage de fichiers

Les attaques de phishing abusent des sites de partage de fichiers

Lorsque les cybercriminels lancent des attaques de phishing et de social engineering, leur principale méthode consiste à donner l’impression que l’attaque provient d’une source officielle. Les utilisateurs mal informés cliqueront sur n’importe quel lien dans un e-mail, même si le message semble suspect.

Les attaques récentes ont profité de la confiance des utilisateurs sur des sites populaires tels que Dropbox, Google Docs, Citrix, ShareFile, et Google Drive, pour n’en nommer que quelques-uns. Elles ont fait appel à l’authentification OAuth et utilisent souvent des messages qui vérifient l’accès à la ressource d’un utilisateur.

Comment fonctionne une attaque de phishing sur un site de partage de fichier ?

Il n’est pas rare que les utilisateurs ajoutent des plugins à leur navigateur pour demander l’accès à leur compte personnel. Par exemple, si vous accéder à un service à l’aide de votre compte Facebook, la plate-forme vous demande votre approbation et vous indique les ressources auxquelles le propriétaire du plugin souhaite accéder. Le plugin peut demander l’accès à l’email et au nom d’utilisateur, ou il peut demander à poster sur votre mur. Une fois que vous donnez accès à une ressource pour qu’elle puisse publier sur votre mur, vous donnez à un développeur anonyme la possibilité de publier n’importe quoi sur votre espace personnel.

La plupart des développeurs utilisent cette capacité d’accès aux ressources pour des raisons qui profitent à l’utilisateur. L’accès est accordé en utilisant un service nommé OAuth, et les utilisateurs peuvent révoquer l’accès à leur compte à tout moment. Cependant, la plupart des utilisateurs donnent indistinctement accès aux ressources. Grâce à cette autorisation, les pirates peuvent accéder à n’importe quel composant du compte personnel de l’utilisateur, répandre des malwares, voler des identifiants et mener d’autres attaques de phishing.

Les sites de partage de fichiers sont les vecteurs d’attaque de prédilection des cybercriminels parce que ces sites offrent aux utilisateurs la possibilité d’autoriser l’accès pour voir, ajouter et modifier des fichiers déjà stockés dans le cloud. Les pirates demandent d’abord aux utilisateurs de les autoriser à accéder à des ressources, et bien souvent, les utilisateurs n’hésitent pas à partager tout ce qui leur est demandé.

Une fois que l’utilisateur a autorisé la ressource à ajouter et à visualiser des fichiers, il peut maintenant visualiser tous les fichiers de la ressource de partage de fichiers et en ajouter de nouveaux. Ces nouveaux fichiers contiennent généralement des scripts malveillants qui peuvent diffuser des malwares dans l’ordinateur de l’utilisateur, voler des identifiants ou donner à l’attaquant la possibilité de contrôler à distance son périphérique. Dans ce cas, la suppression du fichier malveillant n’arrêtera pas l’attaque, car le pirate dispose désormais de la permission d’ajouter à nouveau le fichier.

La seule façon pour un utilisateur d’arrêter l’attaque est de révoquer l’accès, mais à ce moment-là, il est généralement trop tard. L’attaquant peut collecter des informations sur les fichiers et ajouter des fichiers que l’utilisateur pourra télécharger à l’avenir. De plus, les utilisateurs ne savent pas qu’ils peuvent révoquer l’accès à une ressource dans les paramètres de leur compte.

Comment les entreprises peuvent-elles protéger les utilisateurs contre ces attaques de social engineering ?

Bien que cette attaque puisse impliquer une gêne mineure telle que la divulgation de données des utilisateurs individuels, elle peut constituer un problème critique pour les entreprises qui utilisent le stockage dans le cloud pour partager des données et fichiers confidentiels. Avec cette attaque, tout ce qui est stocké dans l’espace cloud de l’utilisateur devient vulnérable. S’il est incapable de reconnaître les fichiers malveillants, le fichier malveillant peut y rester sans que l’administrateur en soit averti.

Les filtres de messagerie utilisant des antimalwares récents constituent le principal moyen pour les administrateurs de bloquer ces menaces et de s’attaquer à la racine aux attaques de phishing. Le blocage des e-mails de phishing empêche les utilisateurs de cliquer sur des liens malveillants, de sorte qu’un administrateur n’a pas besoin de limiter la fonctionnalité de partage de fichiers. Au lieu de cela, l’administrateur peut arrêter l’attaque avant qu’elle n’atteigne la boîte de réception de l’utilisateur.

La DMARC (Domain-based Message Authentication, Reporting, and Conformance) ou l’authentification, le reporting et la conformité des messages basés sur le domaine est le dernier système de défense contre le phishing basé sur les paramètres administrateur. Il utilise ensemble de règles qui exploitent le DNS pour empêcher le chiffrement par clé publique et privée. Il intègre le Sender Policy Framework (SPF) qui exige une entrée DNS de l’organisation afin que les serveurs de messagerie du destinataire puissent identifier si l’IP de l’expéditeur est autorisée à envoyer un e-mail au nom du propriétaire du domaine.

La norme d’authentification DomainKeys Identified Mail (DKIM) est également intégrée dans les règles de la DMARC. La DKIM ajoute une signature de chiffrement à clé publique qui ne peut être déchiffrée que par le serveur de messagerie de l’organisation qui contient la clé privée. En ajoutant une signature au message électronique, l’organisation sait que seuls les messages chiffrés avec sa clé publique peuvent arriver dans les boîtes de réception de vos employés. Le SPF bloque les messages isurpés et qui semblent provenir d’un expéditeur de confiance.

Les attaques OAuth sont courantes, et il suffit d’une seule erreur d’un utilisateur pour donner à un attaquant l’accès à un système de stockage dans le cloud de son entreprise. Avec DMARC et les bons filtres de messagerie, une organisation peut empêcher un attaquant d’atteindre la boîte de réception d’un utilisateur ciblé.

Pour en savoir plus sur le fonctionnement de la DMARC et de la DKIM dans SpamTitan, contactez-nous dès aujourd’hui.

Les pirates informatiques personnalisent les URL malveillantes pour éviter leur détection

Les pirates informatiques personnalisent les URL malveillantes pour éviter leur détection

Le but d’un malware est de créer un code qui ne peut pas être détecté par les logiciels antivirus courants ou les systèmes de détection d’intrusion réseau.

Mais même les malwares du type zero day peuvent être détectés par un bon logiciel antivirus lorsque les URL malveillants sont encodées dans des documents et des fichiers exécutables.

Microsoft Office est actuellement l’un des vecteurs de malwares le plus utilisé par les attaquants. Certains documents utilisent l’encodage XML pour stocker les données – y compris les URL – pour se connecter à un serveur distant. Les pirates doivent donc masquer ces URL pour que les malwares ne puissent être détectés.

Format de fichier Microsoft Office

Microsoft Office est tr-s populaire auprès des entreprises. L’une des raisons à cela est qu’il peut facilement être intégré à d’autres formats de fichiers dans un document. De plus, les données qui y sont liées peuvent être utilisées depuis un emplacement distant. Cela signifie que les utilisateurs peuvent éditer le fichier source et modifier l’affichage dans le fichier de destination ouvert par l’utilisateur.

La façon la plus pratique et la plus rapide de voir comment Office stocke l’information est de changer l’extension d’un document Word (.docx) en.zip. Il suffit de double-cliquer sur le nouveau fichier .zip et d’ouvrir le fichier XML nommé document .xml dans l’archive. Vous verrez comment Office stocke les données pour Word, y compris les fichiers liés.

L’exemple suivant est un fichier image, mais les documents liés afficheront une adresse IP associée au serveur distant qui stocke le fichier lié. Si un attaquant utilise des adresses IP étiquetées malveillants, la plupart des défenses antimalware empêcheront l’application de se connecter à la source distante et mettront le fichier en quarantaine.

Obfusquer les adresses IP pour tromper les antivirus

Pour éviter la détection par les logiciels antivirus, les attaquants utilisent des méthodes pour masquer les adresses IP. En effet, ils stockent une adresse IP comme valeur alternative pour qu’elle puisse toujours être utilisée pour se connecter à un emplacement distant, et l’IP stockée évite la détection au moins pendant un certain temps.

Les chercheurs en matière de solution antivirus continuent de mettre à jour les fichiers de signatures pour détecter les nouvelles méthodes d’attaque. Mais les développeurs de malware peuvent créer de nouvelles façons de stocker une adresse IP, de manière à ce qu’elle ne semble pas malveillante pour les lecteurs réseau ou les antivirus.

La première méthode consiste à transformer une adresse IP en valeur décimale.

Les adresses IPv4 contiennent quatre octets (8 bits) qui peuvent être converties en valeurs décimales. Celles-ci sont ensuite stockées dans le contenu XML.

Les valeurs décimales ne sont pas considérées comme malveillante, même pour un logiciel antivirus. Pourtant, le code de l’auteur du malware peut les convertir en binaire lorsqu’il établit une connexion à Internet.

Une deuxième méthode consiste à utiliser des connexions SMB (Simple Message Block). SMB v1 est la principale vulnérabilité utilisée par les pirates pour se connecter à un disque local dans un environnement Windows et chiffrer son contenu. Les auteurs de malwares peuvent analyser les ports SMB ; se connecter au répertoire partagé et manipuler les fichiers.

Avec un fichier Microsoft Office, l’auteur du malware peut copier des exécutables sur un périphérique partagé pour infecter d’autres machines et rediriger la connexion SMB vers un serveur distant contrôlé par un attaquant pour télécharger des exécutables malveillants.

Si l’administrateur réseau a activé SMB sur le réseau, ce trafic réseau ne déclenche donc pas les notifications des systèmes de détection et de prévention des intrusions.

Enfin, une troisième méthode courante consiste à encoder les URLs en leurs équivalents hexadécimaux. Les attaquants peuvent encoder l’URL entière – y compris le nom de domaine – ou n’encoder qu’une partie. Les navigateurs détectent automatiquement les URL codées en hexadécimal à condition qu’elles suivent la bonne syntaxe. Chaque valeur doit avoir le signe pourcentage (%) dont le préfixe d’une lettre inclut des caractères spéciaux et des espaces.

A titre d’exemple, la valeur hexadécimale suivante indique « example.com/maliciousfile.exe » si vous savez la décoder :

%65%78%61%6D%70%6C%65%2E%63%6F%6D%2F%6D%61%6C%69%63%69%6F%75%73%66%69%6C%65%2E%65%78%65

Un navigateur pourrait déchiffrer cette valeur encodée par l’URL et se connecter à un serveur distant. Pour un lecteur réseau, il ne s’agit pas d’une URL, et il ne peut donc être détecté par certains logiciels antivirus.

En plus de ces techniques d’obscurcissement, les attaquants peuvent coder deux fois les valeurs. Une adresse IP peut être codée en hexadécimal, et derrière la valeur hexadécimale se trouve une valeur IP décimale. Le double encodage évite la détection par un logiciel de détection plus avancé et qui est capable de lire les valeurs codées en une seule étape.

Ce que les organisations peuvent faire pour bloquer les adresses IP malveillantes

La meilleure façon d’arrêter ces attaques est d’utiliser des filtres de contenu DNS. Les navigateurs utilisent le DNS pour se connecter à un serveur distant, et l’encodage ne modifie pas la requête DNS pendant le traitement de l’URL d’un navigateur. Les filtres de contenu peuvent également aider à empêcher le chargement local du contenu sur le navigateur d’un utilisateur, mais les filtres DNS peuvent stopper l’attaque avant que le contenu ne soit téléchargé.

Bien que l’antivirus soit une nécessité pour toutes les organisations, l’utilisation de protocoles anti-malware supplémentaires garantira que les connexions distantes malveillantes seront toujours interrompues. Et les filtres DNS sont la meilleure méthode pour compléter les logiciels antivirus.

Les avantages d’utiliser un service de filtrage DNS sont les suivants :

  • Il améliore la sécurité en bloquant l’accès à des sites Web malveillants ou qui présentent des risques.
  • Le filtrage DNS empêche le téléchargement de malwares à partir de sites web malveillants ou piratés
  • Il permet de garder votre défense à jour grâce à une analyse ciblée des menaces et à des mises à jour des menaces du type zero day pour protéger vos clients des menaces cybercriminelles.
  • Il utilise des contrôles basés sur des stratégies élaborées pour gérer l’accès au réseau grâce à un blocage et un filtrage très granulaires.
  • Il empêche les utilisateurs d’accéder à du matériel qui pourrait nuire à la productivité ou nuire à votre organisation.

Protection contre les malwares

WebTitan Cloud inclut plusieurs catégories de protection contre les malwares, en bloquant l’accès à des sites Web compromis, des sites Web qui distribuent des spams, aux logiciels espions et aux sites web malveillants.

Filtrage d’URL

WebTitan Cloud est également doté d’une solution de filtrage d’URL jusqu’à 53 catégories prédéfinies. Il peut analyser 10 millions d’URL et fonctionnent en conjonction avec un système de recherche et de classification en temps réel basé sur le Cloud. Cela fournit une combinaison inégalée de couverture, de précision et de flexibilité.

Avec WebTitan Cloud, vous serez donc tranquille en sachant que votre accès Internet est sûr et sécurisé.

Appelez-nous dès aujourd’hui pour ajouter une couche supplémentaire efficace à la sécurité web de votre entreprise, et ce, en quelques minutes seulement.

Phishing et CAPTCHA : ce qu’il faut savoir

Phishing et CAPTCHA : ce qu’il faut savoir

Les images CAPTCHA de Google sont utilisées pour vérifier que l’utilisateur qui soumet un formulaire n’est pas un bot. Ces systèmes arrêtent les requêtes automatisées et protègent les utilisateurs d’installer une application de spamming.

De nombreux utilisateurs sont familiers avec ce système, et c’est pour cette raison que les pirates informatiques se servent souvent des CAPTCHA pour lancer des attaques de phishing.

Vulnérabilités à deux facteurs par SMS

L’utilisation des CAPTCHA dans le cadre d’une attaque de phishing n’est pas un phénomène nouveau. Les pirates informatiques l’ont utilisé pour piéger les utilisateurs et les amener à installer des malwares déguisés en fausses mises à jour d’Adobe Flash.

L’attaque la plus récente cible les smartphones, en particulier les utilisateurs d’Android. Une application (APK) malveillante est téléchargée sur le dispositif Android d’un utilisateur afin d’intercepter les codes PIN à deux facteurs qui lui sont envoyés pendant l’authentification.

Cette technique vise à permettre aux pirates d’accéder aux informations d’identification des utilisateurs même si des procédures multifactorielles supplémentaires sont utilisées pour augmenter la sécurité informatique.

L’utilisation des SMS dans le cadre d’une authentification à deux facteurs a récemment fait l’objet de critiques, car elle présente certaines failles de sécurité. Le protocole SS7 utilisé pour l’envoi de messages SMS est un ancien système qui montre certaines failles. Grâce à l’ingénierie sociale, les pirates peuvent par exemple tromper un représentant des télécommunications en lui attribuant un autre numéro de téléphone à sa propre carte SIM. Cette attaque s’appelle le détournement de carte SIM. Elle a été utilisée pour vider des comptes bancaires et pour voler des millions d’euros en crypto-monnaie. Cette dernière attaque utilise une APK malveillante dans le but d’intercepter les codes PIN du Smartphone d’un utilisateur.

Avec l’accès au code PIN et au mot de passe d’un utilisateur, un pirate informatique peut contourner l’authentification à deux facteurs. Cette méthode lui permet d’accéder à des comptes bancaires ou à des données médicales et professionnelles sensibles. Elle peut également constituer une première étape pour accéder à d’autres comptes ou informations confidentielles.

Voler des codes PIN par SMS à l’aide de phishing de CAPTCHA

La dernière attaque de CAPTCHA a commencé par un email de phishing. L’utilisateur reçoit un lien qui le redirige vers une page contrôlée par l’attaquant, en utilisant le langage PHP. La page PHP affiche un faux reCAPTCHA Google, avec des images qui semblent légitimes. Contrairement à ceux des reCAPTCHA officiels, les contrôles sonores ne fonctionnent pas et les images restent statiques, c’est-à-dire qu’elles ne changent pas lorsque l’utilisateur entre le mauvais code. Bien entendu, l’utilisateur peut cliquer sur n’importe quelle image, ce qui le soumet à la page PHP. De ce fait, il lance la prochaine étape de l’attaque.

La requête se sert de l’agent utilisateur – une APK cliente utilisée avec un protocole réseau particulier- fourni par le navigateur pour déterminer le type de fichier qui sera téléchargé sur l’appareil ciblé. Si l’agent utilisateur est Android, alors le pirate peut par exemple envoyer un fichier APK malveillant.

L’APK téléchargé sera utilisé pour intercepter les codes PIN par SMS. Avec ces codes, un attaquant peut avoir un niveau d’accès beaucoup plus élevé qu’avec les sites qui utilisent simplement un nom d’utilisateur et un mot de passe pour l’authentification. Il peut même voler l’adresse e-mail d’un utilisateur pour vérifier ses comptes et pour réinitialiser ses mots de passe. Ainsi, il sera en mesure d’accéder à d’autres comptes.

Dans le cas d’attaques ciblées, les détails du compte de l’entreprise pourraient faire l’objet de fuites, ce qui donnerait au cybercriminels un accès aux autres ressources de l’organisation.

Protection des utilisateurs contre le phishing

Le début de la plupart des attaques CAPTCHA est un email de phishing. Pour réussir, l’attaquant doit être capable d’amener un utilisateur à ouvrir une page qui affiche un faux test reCAPTCHA. La page peut être une page PHP locale qui s’exécute dans une hôte web ou sur un serveur distant qu’il contrôlé.

Pour se protéger d’une telle menace, les entreprises peuvent d’abord offrir des documents aux utilisateurs ou bien les former à identifier les attaques de phishing. Cette première étape a été prouvée pour réduire les attaques de phishing réussies, mais ce n’est pas suffisant. Les administrateurs doivent également mettre en place des systèmes de cybersécurité et des programmes de détection efficaces pour bloquer les menaces sur le web.

Les filtres de contenu facilitent l’accès à des sites web distants, tandis que le filtrage basé sur le DNS peut arrêter les attaques lorsque le navigateur effectue une requête de domaine. En effet, les utilisateurs ne peuvent pas accéder au domaine qui héberge des contenus malveillants. Ils sont tout simplement bloqués et des notifications sont envoyées aux administrateurs réseau. Ces notifications peuvent aider ces derniers à déterminer à quel moment une attaque de pishing tente de cibler leur organisation.

Usurpation de l’adresse e-mail de l’expéditeur original

Certaines attaques de phishing usurpent l’adresse e-mail d’un expéditeur légitime. Les utilisateurs peuvent cliquer sur les liens d’expéditeurs d’e-mails reconnaissables, mais ils ne savent pas comment vérifier les en-têtes d’e-mails dans le but de reconnaître si un message est frauduleux ou non.

La technologie DMARC (Domain-based Message Authentication, Reporting & Conformance) est une technologie plus récente qui combine le chiffrement et les entrées DNS pour s’assurer que l’expéditeur est légitime. La sécurité DMARC met tout d’abord en quarantaine les e-mails afin que l’administrateur puisse les examiner puis supprimer les messages suspects, ou bien renvoyer les e-mails sains dans la boîte de réception du destinataire.

Ces trois solutions de cybersécurité devraient être mises en place pour éviter les attaques de phishing réussies. La formation aide les utilisateurs à identifier les messages malveillants, mais les filtres DMARC et DNS les protègent s’ils ne sont pas en mesure d’identifier une attaque.

Pour en savoir plus sur le fonctionnement de la DMARC dans SpamTitan, contactez-nous dès aujourd’hui ou consultez nos informations techniques anti-phishing SpamTitan.

Top 10 des ressources que les professionnels de l’IT peuvent utiliser pour améliorer leur sécurité réseau

Top 10 des ressources que les professionnels de l’IT peuvent utiliser pour améliorer leur sécurité réseau

En matière de cybersécurité, les choses changent à une vitesse extraordinaire. Les cybercriminels modifient constamment leurs tactiques et trouvent de nouveaux moyens pour attaquer et exploiter les failles informatiques. Parallèlement, les entreprises s’efforcent d’adapter continuellement leurs stratégies défensives pour contrer ces attaques.

Pour que les professionnels de l’informatique puissent se tenir au courant du cycle continu d’événements, des menaces et des solutions pouvant être mises en œuvre, ils ont besoin d’un peu d’aide. Heureusement, il existe d’excellentes ressources pour les aider à protéger leurs entreprises contre les menaces actuelles et futures. Dans ce dossier spécial, nous vous présentons cinq autres ressources sur la sécurité réseau auxquelles ils peuvent se référer.

Open Web Application Security Project (OWASP)

Quelles sont les dix principales menaces qui pèsent actuellement sur les applications web ? En tant que gestionnaire d’un réseau contenant des applications web, vous devriez être capable de les énoncer.

Pour répondre à cette question, nous allons nous référer au Top 10 de l’Open Web Application Security Project (OWASP). Il s’agit d’une fondation internationale à but non lucratif aux États-Unis qui a contribué de manière proactive la sécurisation des applications Web. Cette communauté ouverte est dédiée à l’habilitation et à l’éducation de toute personne intéressée par la sécurisation de ses environnements applicatifs. Comme elle n’est pas affiliée ni parrainée par d’autres personnes ou organisation, elle peut donc s’engager à fournir des rapports et des conseils impartiaux.

Le top 10 est mis à jour tous les quatre ans et couvre différents types de cybermenaces comme attaques par injection de commandes SQL, les scripts intersites et les failles de sécurité. La communauté propose également un éventail de cours gratuits pour le grand public.

The Guardian

Si vous avez déjà fait des recherches en ligne sur les dernières nouvelles et les sujets de cybersécurité, il y a de fortes chances que vous soyez tombé sur le journal d’information The Guardian qui a commencé à publier en 1821. En 1959, il est devenu célèbre et a été financé à cent pour cent par ses lecteurs.

The Guardian couvre l’actualité mondiale dans son ensemble, mais il comporte aussi une section consacrée à la cybersécurité des données et des ordinateurs. Vous y trouverez toutes les dernières nouvelles et tous les événements concernant l’industrie. Vous pouvez accéder gratuitement aux actualités publiées dans journal d’information, à condition que vous acceptiez de faire un don de temps à autre pour le maintenir opérationnel.

Wireshark

À un moment donné, presque tous les professionnels de l’informatique ont utilisé Wireshark. Il s’agit d’un forum en ligne ou d’un site de référence parmi tant d’autres, qui peut être consulté par ceux qui veulent savoir ce qui se passe dans leur réseau. Wireshark est un analyseur de protocole, aussi connu sous le nom de renifleur.

L’outil Wireshark capture le trafic sur votre réseau et l’affiche dans un format compréhensible pour vous donner un aperçu des pipelines inconnus sur votre réseau. Les données capturées peuvent ensuite être utilisées pour évaluer et résoudre les problèmes de sécurité.

Cet outil peut être téléchargé gratuitement, mais il faut apprendre un peu si vous voulez vraiment l’utiliser efficacement. Heureusement, il existe une foule de ressources éducatives qui vous permettent d’en savoir davantage à propos de cette application.

Site de mise à jour du renseignement de sécurité de Microsoft

L’histoire de Microsoft Antivirus Software est similaire à celle de Word et de ses premiers produits de bureau. Bien que les premières versions n’aient peut-être pas attiré la convoitise des utilisateurs, Microsoft a fini par tirer parti de son large éventail de plates-formes. Si vous avez Windows 10 ou Server 2016/2019, vous êtes très probablement familier avec Windows Defender, car la solution d’extrémité de Microsoft est incluse gratuitement dans ces systèmes d’exploitation. Bien qu’elle ait pu être bafouée au début, cette solution est aujourd’hui très reconnue dans l’industrie.

Pour cette raison, le site de mise à jour de Microsoft Antivirus Software était devenu la principale cible des créateurs de malwares. Ces derniers cherchent à le rendre inefficace pour que leur code malveillant infecte leurs périphériques Windows.

Pour pallier à ce problème, l’un des moyens qui peuvent être mis en œuvre est de désactiver les mises à jour automatiques pour contrer les souches de malwares du type « zero-day ». Microsoft propose également un portail sur lequel vous pouvez télécharger les dernières solutions de sécurité au cas où vous ne pourriez pas les télécharger en temps réel.

Magazine InfoSecurity

Saviez-vous que les escroqueries romanesques en ligne constituent la septième escroquerie en matière de cybersécurité la plus signalée et la deuxième la plus coûteuse après les attaques BEC ? C’est l’une des nombreuses informations que vous pouvez obtenir dans le magazine InfoSecurity.

C’est l’une des meilleures ressources en ligne qui vous permettent d’être au courant des dernières nouvelles, tendances et événements concernant la cybersécurité d’entreprise. En plus des articles intéressants qu’il fournit, le site offre également des webinaires, des podcasts et des livres blancs gratuits. Ces ressources, comme beaucoup d’autres, exigent que vous vous inscriviez en tant que membre. InfoSecurity fait également la promotion de plusieurs conférences et événements tout au long de l’année.

Ressource bonus

Nous souhaitons inclure une ressource supplémentaire pour vous, même si vous la connaissez déjà. Il s’agit du blog TitanHQ qui informe le grand public des dernières menaces à la cybersécurité ainsi que des nouveaux outils et méthodologies pour les combattre. Bien entendu, nous savons que vous êtes déjà familier avec notre blog, mais aujourd’hui, nous vous invitons à partager notre lien avec vos pairs, amis et collègues. Aussi, n’hésitez pas à nous envoyer des suggestions de sujets, car nous nous efforçons de faire de notre propre blog l’une des 10 meilleures ressources de sécurité réseau.