La controverse du domaine XXX : Tout cela était nécessaire ?

La controverse du domaine XXX : Tout cela était nécessaire ?

En 1998, l’ICANN a publié les premiers noms de domaine et adresses IP.

Il n’y avait pas beaucoup de domaines de premier niveau (TLD) à choisir.

Chaque pays avait son propre suffixe de domaine, mais le choix était limité à :

  • .com
  • .org
  • .net
  • .edu
  • .mil
  • .gov

Au fil des ans, quelques options supplémentaires ont été introduites telles que :

  • .me
  • .mobi
  • .tv
  • .biz

Mais le suffixe qui a suscité le plus de controverse est .xxx — un TLD destiné aux sites Web contenant des images à caractère sexuel.

Le TLD .xxx a été considéré comme une méthode d’introduction d’un Quartier chaud (Red Light District) sur Internet, en le nettoyant à partir d’une attaque délibérée qui pourrait être contrôlée et facilement bloquée.

Certains fournisseurs de pornographie auraient accueilli favorablement cette mesure, tandis que d’autres s’y seraient opposés.

Il y a eu des protestations, mais le nouveau TLD a été publié en décembre 2011, et ICM Registry — une entreprise à but lucratif de Fort Lauderdale — s’est vu confier la responsabilité d’attribuer les TLDs.

D’ailleurs, le contrat pour ce projet était très lucratif.

ICM Registry aurait pu réaliser environ 200 millions de dollars par an grâce à cette opération.

Parfois, une bonne idée sur papier ne fonctionne pas toujours aussi bien dans la pratique.

Par exemple, certaines entreprises ont consacré beaucoup de temps à la création d’une marque de commerce.

Ils exploitaient leur domaine sur le domaine.com ; avaient acheté les versions .net, .mobi, .org et tous les autres TLDs pour protéger leur marque.

Ils n’ont pas aimé l’idée d’avoir à refaire cela avec la version XXX, et ils ne seraient pas non plus disposés à déplacer leur site principal vers le TLD .xxx.

Seules quelques marques étaient en faveur du nouveau TLD XXX

Les pornographes n’étaient pas les seuls à s’opposer à l’introduction du TLD .xxx.

L’administration Bush était opposée à cette solution.

En fait, on a demandé à l’ICANN de retirer son soutien à la proposition. Les critiques à l’égard de la proposition se sont multipliées et l’ICANN a subi une pression considérable.

Le ministère américain du commerce, qui a autorité sur l’ICANN, a reçu plus de 6 000 plaintes concernant l’introduction du TLD .xxx.

Même les politiciens qui avaient soutenu l’idée en l’an 2000 ont changé d’avis une décennie plus tard.

Naturellement, les groupes conservateurs ont également fait pression pour bloquer ladite proposition, en affirmant que n’était pas suffisant. Le TLD a été publié — avec un retard d’un mois — et un grand nombre de nouveaux sites pornographiques ont été lancés par la suite.

Comme on pouvait s’y attendre, il n’y a pas eu de réduction du nombre de sites pornographiques .com sur Internet. Le nouveau domaine a vu encore plus de créations.

L’ICANN a par la suite été poursuivie en justice pour le fait qu’elle avait créé un monopole et que l’introduction du TLD obligeait les entreprises à dépenser encore plus d’argent pour l’enregistrement de noms de domaine afin de les protéger contre le piratage.

Après quelques années, la poursuite a été abandonnée.

Contrôles mis en place pour protéger les marques de commerce

L’ICM Registry a créé le nouveau TLD, apparemment dans le but de nettoyer l’Internet.

Le .xxx TLD a été considéré comme un moyen de faciliter la recherche de pornographie.

Le fait de taper « porn » dans un moteur de recherche, par exemple, et comme un moyen de promouvoir une attitude responsable à son égard.

En théorie, du moins, cela aboutirait à un espace dédié où les sites Web pornographiques pourraient être hébergés.

Cependant, le défenseur de la protection des marques et des brevets Inventa a souligné que l’opposition au nouveau TLD .xxx était pratiquement universelle. Personne ne le voulait en dehors de l’ICANN (et de ICM Registry).

Quant aux craintes que les propriétaires de domaines et les entrepreneurs pourraient avoir avec cette situation, des contrôles ont été mis en place pour empêcher cela.

Les critères d’éligibilité devaient être remplis.

Une entreprise propriétaire de la version .com d’un site Web avec une marque déposée pourrait acheter le TLD .xxx correspondant pour l’utiliser comme domaine réservé aux adultes ou pour empêcher d’autres personnes de l’utiliser.

Amazon .xxx, par exemple, ne peut être acheté que par Amazon.com, car l’ICM Registry leur a réservé ce privilège.

Au contraire, si le nom de domaine n’a pas encore été attribué à une marque, il peut être acheté par n’importe qui.

Est-ce que ça valait la peine de faire tout cet effort ?

L’ICM Registry serait enclin à être d’accord, mais pour ce qui est de faire d’Internet un endroit plus sûr pour les enfants, de nettoyer certains sites pornographiques et d’avoir un Red Light District sur internet, cela n’a manifestement pas fonctionné.

Les plus grands noms de la pornographie sur Internet continuent d’utiliser leurs sites Web dotcom et n’ont pas fait le passage aux domaines XXX.

Les personnes intéressées à visionner de la pornographie n’ont pas besoin d’un TLD .xxx pour pouvoir le trouver, et ne se soucient pas du nom du site Web et encore moins du TLD du moment qu’il leur donne ce qu’ils cherchent.

Il n’est pas plus facile de bloquer les sites Web pornographiques qu’avant leur publication.

Le simple fait de bloquer l’accès aux sites Web avec un suffixe XXX ne fera aucune différence perceptible quant à la quantité de contenus pornographiques qui peuvent être visualisés en ligne.

Et ce, jusqu’à ce que des lois soient adoptées pour forcer les sites pornographiques à utiliser le domaine XXX — ce qui serait incroyablement difficile à mettre en œuvre.

La seule façon de bloquer efficacement l’accès à la pornographie est d’utiliser un filtre Web tel que SpamTitan Techno.

Attaques de phishing liées au vaccin contre la CoViD-19

Attaques de phishing liées au vaccin contre la CoViD-19

Les cybercriminels tirent parti de l’intérêt porté aux programmes de vaccination contre le COVID-19 et mènent une série d’escroqueries de phishing dans le but d’obtenir des données sensibles telles que des identifiants de connexion ou de distribuer des malwares. Plusieurs agences gouvernementales des États-Unis ont récemment mis en garde les entreprises et les utilisateurs finaux contre ces escroqueries, notamment le bureau de l’inspecteur général du ministère de la Santé et des services sociaux et les centres de services Medicare et Medicaid, ainsi que des organismes chargés de l’application de la loi comme le FBI.

De nouvelles attaques de phishing liées à la CoViD

Les escroqueries liées aux vaccins contre le COVID-19 peuvent prendre de nombreuses formes. Des campagnes ont déjà été détectées qui offrent un accès rapide à ces vaccins. Ces escroqueries exigent un paiement sous forme d’acompte ou de frais pour que vous puissiez vous retrouver en haut de la liste d’attente. D’autres escroqueries offrent une place sur la liste d’attente si vous faites une demande et que vous fournissiez vos informations personnelles.

Les escroqueries de phishing liées aux vaccins contre le COVID-19 se font par e-mails. Cependant, il est probable que les pirates fassent de la publicité sur des sites web, des médias sociaux, ou qu’ils mènent des escroqueries par téléphone ou par l’intermédiaire de messages SMS et de plateformes de messagerie instantanée.

Si bon nombre de ces escroqueries visent les consommateurs, les entreprises risquent d’être touchées lorsque leurs employés accèdent à leurs comptes de messagerie personnels au travail, ou si des e-mails malveillants sont envoyés à des adresses électroniques professionnelles.

Les e-mails frauduleux comportent souvent des liens vers des sites web où des informations sont recueillies. Ces liens peuvent être cachés dans les pièces jointes des messages pour les soustraire aux solutions de sécurité des e-mails. Les documents professionnels sont également couramment utilisés pour diffuser des malwares via des macros malveillantes.

Les e-mails usurpent généralement l’identité d’une organisation ou de personnes de confiance. Ils sont liés au vaccin contre le COVID-19 et sont susceptibles d’usurper l’identité des prestataires de soins de santé, des compagnies d’assurance maladie, des centres de vaccination et des autorités de santé publique fédérales, étatiques ou locales. Pendant la pandémie, il y a eu de nombreux cas où les pirates se faisaient passer pour les Centres américains de contrôle et de prévention des maladies (CDC) et l’Organisation mondiale de la santé (OMS) pour lancer des escroqueries de phishing liées au COVID-19.

Le ministère américain de la justice a récemment annoncé que deux domaines qui se sont fait passer pour des développeurs de vaccins ont été saisis. Ces domaines étaient des copies virtuelles des sites web légitimes de deux sociétés de biotechnologie impliquées dans le développement de vaccins. Le contenu malveillant a été supprimé, mais il est probable que de nombreux autres domaines verront le jour et seront utilisés dans les escroqueries de phishing au cours des prochaines semaines.

Des avertissements ont également été lancés concernant le risque d’attaques de ransomwares qui profitent de l’intérêt pour les vaccins contre le COVID-19 et permettent aux attaquants de prendre pied dans les réseaux dont ils ont besoin pour mener leurs attaques.

Se protéger contre le phishing lié au vaccin contre la CoViD-19

Il existe quatre mesures importantes que les entreprises peuvent prendre pour réduire le risque d’être victimes de ces escroqueries.

  • Le courrier électronique étant largement utilisé, il est essentiel de mettre en place une solution efficace de filtrage du spam. Les filtres antispam utilisent des listes noires d’e-mails et d’adresses IP malveillants dans le but de bloquer les messages malveillants.
  • Cependant, de nouvelles adresses IP sont constamment utilisées dans ce type d’escroquerie, il est donc important de choisir une solution qui intègre l’apprentissage machine. L’apprentissage machine permet d’identifier les menaces de phishing à partir d’adresses IP qui n’ont pas été utilisées auparavant à des fins malveillantes, et d’identifier et de bloquer les menaces de phishing du type « zero day ».
  • Le « sandboxing » est également important pour identifier et bloquer les menaces de malwares du type « zero day » dont la signature n’a pas encore été intégrée dans les listes de définition des virus des moteurs antivirus.
  • Si les filtres antispam peuvent identifier et bloquer les e-mails contenant des liens malveillants, une solution de filtrage web est également recommandée. Les filtres web sont utilisés pour contrôler les sites web auxquels vos employés peuvent accéder et empêcher les visites de sites web malveillants par la navigation générale sur le web, les redirections et les clics sur les liens malveillants dans les e-mails. Les filtres web sont constamment mis à jour par le biais de flux de renseignements sur les menaces afin de fournir une protection contre les URL malveillantes récemment découvertes.

Quoi qu’il en soit, les entreprises ne doivent pas négliger la formation des utilisateurs finaux et doivent proposer régulièrement des formations à leurs employés pour les aider à identifier les menaces de phishing et les e-mails malveillants. Par ailleurs, des séances de simulation de phishing sont nécessaires pour évaluer l’efficacité des formations de sensibilisation à la sécurité.

L’authentification multifactorielle devrait être appliquée comme dernière ligne de défense. En cas de compromission des informations d’identification, l’authentification multifactorielle permettra de s’assurer que les données volées ne pourront pas être utilisées pour accéder à distance aux comptes de messagerie des utilisateurs finaux.

Grâce à la mise en œuvre de ces mesures, votre entreprise sera bien protégée contre les malwares, les escroqueries de phishing liées au vaccin contre le COVID-19 et les autres menaces de phishing.

Pour plus d’informations sur le filtrage du spam, le filtrage du web et la protection de votre entreprise contre les malwares et les attaques de phishing, appelez l’équipe de TitanHQ dès aujourd’hui.

Nouvelle campagne de spam via Excel Web Query pour diffuser des malwares

Nouvelle campagne de spam via Excel Web Query pour diffuser des malwares

Une nouvelle campagne de spam a été identifiée. Elle utilise des fichiers Excel Web Query pour envoyer des malwares.

Dans ce cas, les fichiers avec une extension IQY (.iqy) sont utilisés pour lancer des scripts PowerShell, donnant aux attaquants l’accès root à un périphérique.

Les fichiers .iqy ne sont généralement pas bloqués par des filtres antispam, ce qui rend la technique efficace pour la diffusion silencieuse de malwares.

Les spams sont envoyés via le botnet Necurs. Barkly a détecté trois campagnes de spam utilisant ces pièces jointes, mais il est fort probable que d’autres campagnes seront lancées.

Les fichiers Excel Web Query obtiennent des données d’une source externe et les chargent dans Excel. Dans ce cas, les données externes se présentent comme une formule exécutable dans Excel.

La formule est utilisée pour exécuter des scripts PowerShell qui, dans au moins une campagne, téléchargent un Cheval de Troie d’accès distant (RAT) appelé FlawedAmmyyy Admin.

Comment fonctionne cette nouvelle campagne de spam via des fichiers Excel Web Query

Il s’agit d’un outil d’administration à distance légitime (AMMYY Admin) modifié qui permet à l’attaquant de contrôler complètement un ordinateur et d’installer de nombreux programmes malveillants.

Dans bien des cas, les emails se font passer pour des bons de commande, des factures impayées et des documents scannés.

Ce sont des thèmes courants utilisés dans les emails non sollicités pour livrer des malwares. Les campagnes de spam utilisent souvent des documents Word avec des macros malveillantes.

Les macros sont généralement désactivées par défaut. Grâce à une formation de sensibilisation à la sécurité, les utilisateurs finaux peuvent être avisés de ne pas activer les macros sur les documents provenant d’expéditeurs inconnus.

Ceci permet d’empêcher le téléchargement de malwares.

Cependant, la plupart des utilisateurs finaux ne seront pas habitués à recevoir des fichiers .iqy, ces pièces jointes devraient donc éveiller les soupçons.

Microsoft a déjà intégré des avertissements pour empêcher ces fichiers d’être exécutés par les utilisateurs finaux.

Ainsi, si un utilisateur final tente d’en ouvrir un, cela déclenche un avertissement, prévenant que le fichier peut ne pas être sûr, car il permet une connexion externe.

L’utilisateur devra cliquer sur « enable » avant que la connexion ne soit établie et que les données ne soient extraites dans Excel. Un deuxième message d’avertissement s’afficherait alors, nécessitant encore une fois une autorisation.

Le script ne pourra donc s’exécuter et télécharger la charge utile malveillante que si l’utilisateur ignore ces deux avertissements.

Vous pouvez prendre deux mesures pour protéger vos terminaux et vos réseaux contre ce type d’attaque.

La première est de configurer votre filtre antispam pour mettre en quarantaine tous les emails contenant des pièces jointes avec une extension IQY.

SpamTitan permet de bloquer certains types de pièces jointes comme les fichiers exécutables et les fichiers .iqy. Grâce à cette solution, vous pouvez définir la politique de quarantaine, de rejet ou de suppression des emails.

Etant donné que ces types de fichiers ne sont généralement pas envoyés via la messagerie électronique, le rejet ou la suppression des messages est donc l’option la plus sûre.

Vous devriez également intégrer la façon d’utiliser ces fichiers dans vos séances de formation de sensibilisation à la sécurité et envisager d’envoyer une alerte par email aux utilisateurs finaux pour les avertir de la menace.

Contactez l’équipe de TitanHQ pour protéger vos messageries électroniques des malwares

Vous trouverez de plus amples informations sur les mesures que vous pouvez prendre afin de prévenir la propagation d’infections par des malwares via la messagerie électronique sur notre page de conseils antispam.

Si vous voulez en savoir plus sur les capacités de SpamTitan, vous pouvez appeler notre équipe de vente :

USA : +1 5859735070

Royaume-Uni/UE : +44 (0)2476993640

Irlande : +353 91 545555

Moyen-Orient : +971 4 3886998

Des documents word malveillants utilisés pour livrer le malware Cobalt

Des documents word malveillants utilisés pour livrer le malware Cobalt

Une campagne de diffusion de malwares a été identifiée. Elle utilise des e-mails de phishing et des macros malveillantes (PowerShell) et la stéganographie pour diffuser un script Cobalt Strike malveillant.

Les premiers e-mails de phishing contiennent une pièce jointe Word (.doc) avec une macro malveillante qui télécharge un script PowerShell de GitHub si elle est autorisée à s’exécuter. Ce script télécharge à son tour un fichier image PNG à partir du service de partage d’images légitime Imgur. L’image contient un code caché dans ses pixels qui peut être exécuté avec une seule commande pour exécuter la charge utile. Dans ce cas, il s’agit d’un script Cobalt Strike.

Cobalt Strike est un outil de test de pénétration couramment utilisé. S’il est utilisé par les professionnels de la sécurité à des fins de sécurité légitimes, il est également utile aux pirates informatiques. L’outil permet d’ajouter des balises aux dispositifs compromis, qui peuvent ensuite être utilisées pour exécuter des scripts PowerShell, créer des shells web ; augmenter les privilèges et fournir un accès à distance à certains dispositifs. Dans cette campagne, le fait de cacher le code dans l’image et d’utiliser des services légitimes tels que Imgur et GitHub ont aidé les attaquants à éviter la détection.

Le masquage du code dans les fichiers image est connu sous le nom de stéganographie et est utilisé depuis de nombreuses années comme moyen de dissimuler du code malveillant, généralement dans des fichiers PNG pour éviter que le code ne soit détecté. Lors de cette campagne, la tromperie ne s’est pas arrêtée là. Le script Cobalt Strike comprenait une chaîne EICAR destinée à tromper les solutions de sécurité et les équipes de sécurité en classant le code malveillant comme une charge utile antivirus, sauf si un contact est établi avec le serveur de commande et de contrôle de l’attaquant et que des instructions sont reçues.

Cette campagne a été identifiée par le chercheur ArkBird qui l’a comparée à celle menée par un groupe de pirates, connu sous le nom de Muddywater, qui a émergé vers 2017. Le groupe, Static kitten/Seedworm/Mercury, mène principalement des attaques sur des pays du Moyen-Orient, généralement l’Arabie Saoudite et l’Irak, bien qu’il soit connu pour mener des attaques sur d’autres cibles européennes et américaines. Cependant, il n’est pas certain que c’est ce groupe qui est le responsable de la campagne.

Naturellement, l’un des meilleurs moyens de bloquer ce type d’attaques est d’empêcher que des e-mails malveillants arrivent dans les boîtes de réception des utilisateurs finaux. Un filtre antispam tel que SpamTitan – qui intègre un système de sandboxing permettant d’analyser les pièces jointes en toute sécurité – permettra de s’assurer que ces messages n’arrivent pas dans les boîtes de réception de vos employés. Il est également recommandé de former les utilisateurs finaux afin que ces derniers soient conscients qu’ils ne doivent jamais activer les macros dans les documents Word envoyés par courrier électronique.

Une solution de filtrage web est également utile. Les filtres web tels que WebTitan peuvent être configurés pour donner aux équipes informatiques le contrôle sur le contenu web auquel les employés peuvent accéder. Étant donné que GitHub est couramment utilisé par les professionnels de l’informatique et d’autres employés à des fins légitimes, il n’est pas recommandé de bloquer le site à l’échelle de l’organisation. À la place, un blocage sélectif peut être placé pour des groupes d’employés ou des départements qui empêche GitHub et d’autres sites de partage de code potentiellement risqués (tels que PasteBin) d’être accessibles, délibérément ou non. Cette solution fournit un niveau de protection supplémentaire pour votre organisation.

Les attaques de phishing contre les cabinets d’avocats s’envolent

Les attaques de phishing contre les cabinets d’avocats s’envolent

Au cours des derniers mois, les attaques de phishing contre les cabinets d’avocats se sont multipliées.

Les cybercriminels attaquent les cabinets d’avocats pour avoir accès aux données hautement confidentielles détenues par les avocats.

Les pirates informatiques attaquent souvent les établissements de soins de santé pour obtenir des données sensibles sur les patients pour le vol d’identité et la fraude fiscale.

Les cabinets d’avocats sont des données précieuses pour les attaques de phishing

Les attaques de phishing contre les cabinets d’avocats, d’autre part, leur servent à voler des données à des fins de délit d’initié. Des données sont également volées pour permettre aux cybercriminels de faire chanter les cabinets d’avocats.

Les cabinets d’avocats sont menacés par la publication de données très sensibles sur leurs clients, qui pourraient nuire à leur réputation, si des paiements importants ne sont pas effectués.

Étant donné que les cabinets d’avocats détiennent des documents secrets, y compris des informations potentiellement préjudiciables sur leurs clients, il n’y a pas que les cabinets d’avocats sont victimes d’un tel chantage.

Les clients sont également contactés et menacés. Les profits que l’on peut tirer du délit d’initié sont énormes. Les données détenues par les cabinets d’avocats sont d’une valeur inestimable.

Il n’est donc pas surprenant que les attaques de phishing contre ces établissements se multiplient. Les cybercriminels les considèrent comme des cibles parfaites.

L’année dernière, plus de 50 cabinets d’avocats ont été pris pour cible par des pirates informatiques russes au moyen d’une campagne de spear phishing.

L’objectif de cette attaque était de recueillir des informations susceptibles d’être utilisées pour des délits d’initiés.

Le groupe, appelé Oleras, s’est attaqué à certains des cabinets d’avocats les plus connus opérant aux États-Unis, notamment Cravath Swaine & Moor LLP et Gotshal and Manges LLP.

Cependant, bien que ces attaques aient été dommageables, elles ont sans doute causé moins de dommages que celles menées à l’encontre de Panama Papers Breach — la plus grande violation de données par un cabinet d’avocats de l’année.

Cette attaque a provoqué le surprenant vol de 2,6 téraoctets de données volées par les assaillants — des documents révélant des activités bancaires extrêmement délicates de criminels, hommes politiques, athlètes et hommes d’affaires.

Des données de plus de 214 000 entreprises avaient révélé à la suite de cette attaque menée contre un cabinet d’avocats.

Les cabinets d’avocats doivent s’assurer que des pare-feu sont en place ainsi qu’une foule d’autres mesures de protection contre la cybersécurité pour empêcher le piratage de leurs systèmes.

Pourtant, les atteintes à la protection des données commencent trop souvent par des attaques de phishing.

A titre d’exemple, un simple email contenant un lien vers un site Web a été envoyé aux boîtes de réception des avocats et notaires.

Les liens ont été cliqués et les utilisateurs ont été dupés, révélant ainsi leurs identifiants de connexion aux réseaux et aux comptes de messagerie.

Les justificatifs d’identité ont été ensuite saisis et utilisés par les pirates pour accéder à des données sensibles.

Comment faire face à ses attaques de phishing ?

Le filtrage des sites Web des cabinets d’avocats est désormais une protection aussi essentielle que l’utilisation de logiciels antivirus.

Les logiciels antivirus peuvent détecter les tentatives d’installation de malwares — bien qu’ils soient de moins en moins efficaces à cet égard –, mais ils ne contribuent pas à la prévention des attaques de phishing.

Un filtre Web protège les cabinets d’avocats en empêchant les utilisateurs de visiter des liens malveillants dans les emails.

Une solution de filtrage de sites Web empêche également les utilisateurs finaux de télécharger des malwares ou d’accéder à des sites Web connus pour présenter un risque élevé d’infection par un ransomwares ou un malware.

Par ailleurs, un filtre Web empêche les employés des cabinets d’avocats de visiter accidentellement des sites Web de phishing lorsqu’ils naviguent sur Internet.

En plus d’une solution robuste de filtrage des spams qui empêcher l’envoi de ransomwares, les cabinets d’avocats peuvent rendre leurs réseaux et leurs comptes de messagerie beaucoup plus sécurisés.