Office 365 : des liens Google Drive utilisés pour contourner les contrôles anti-phishing

Office 365 : des liens Google Drive utilisés pour contourner les contrôles anti-phishing

Une nouvelle campagne de phishing a été détectée. Elle utilise les liens Google Drive pour éviter d’être détectée par la protection en ligne d’Office 365 Exchange et pour garantir que les e-mails de phishing arrivent dans les boîtes de réception de leurs cibles.

Les pirates qui envoyaient les e-mails, signalés par Cofense Intelligence, se faisaient passer pour le PDG d’une entreprise qui voulait partager un document important. Le document avait été partagé via Google Drive et avait pour objet « Message important du PDG ».

Google Drive permet d’envoyer facilement des fichiers et des demandes de collaboration à d’autres personnes. Le titulaire du compte choisit avec qui il souhaite partager un fichier et le système génère une alerte par e-mail contenant un lien vers le fichier partagé.

Pour ce cas précis, le nom du PDG était correct, mais l’adresse électronique utilisée était différente du format utilisé par l’entreprise. Bien que ce soit un signe évident que les messages n’étaient pas ce qu’ils semblaient être, certains employés seraient probablement dupés.

Il est important de noter que les messages n’ont pas été considérés comme étant malveillants par le la protection en ligne d’Office 365 Exchange et ils étaient livrés dans les boîtes de réception de leurs destinataires. Une analyse rapide du message ne révélerait rien de suspect, car l’URL intégrée est un lien partagé légitime vers un véritable service d’informatique dans le cloud exploité par Google.

Le document partagé lui-même n’est pas malveillant, mais il contient un URL qui établit un lien vers un autre document Google Docs et une URL de phishing. Si la solution anti-phishing que vous mettez en place évalue uniquement l’hyperlien intégré dans les e-mails pour déterminer s’il est malveillant, le message pourra toujours arriver dans la boite de réception des utilisateurs. Seule une inspection plus approfondie permettrait de révéler la véritable nature de l’URL.

Si l’utilisateur final clique sur le lien, une fausse fenêtre de connexion se présente. S’il saisit ses identifiants de connexion, les données sont capturées et stockées sur le serveur de l’attaquant.

Cette campagne souligne l’importance des défenses anti-phishing multicouches. Elle met également en exergue les risques que peuvent représenter le fait de compter uniquement sur la protection en ligne d’Office 365 Exchange pour assurer la protection contre les attaques de phishing.

Une solution avancée de filtrage du spam devrait être mise en œuvre en plus d’Office 365 pour assurer une meilleure protection contre le phishing et les autres attaques basées sur la messagerie électronique. Cela permettra de bloquer les attaques de phishing plus sophistiquées. De cette manière, même si un message malveillant arrive dans la boîte de réception de la personne ciblée, et même si celle-ci clique sur un lien malveillant, la connexion à la page web malveillante pourrait être bloquée à l’aide d’une solution de filtrage web.

WebTitan est une solution de filtrage de contenu basée sur le DNS. Elle sert de couche supplémentaire dans les défenses anti-phishing des entreprises. Si un employé tente de visiter un site web ou un domaine suspect, la tentative sera bloquée avant qu’un contenu malveillant ne soit téléchargé.

WebTitan évalue chaque site web lorsque la requête DNS est effectuée. Les sites malveillants et ceux qui violent les politiques de contrôle de contenu d’une organisation sont bloqués. Pour en savoir plus sur la façon dont un filtre DNS peut améliorer vos défenses contre les attaques de phishing et les téléchargements de malwares, contactez TitanHQ dès aujourd’hui.

Phishing sur Instagram : l’authentification à deux facteurs ciblée par une nouvelle attaque

Phishing sur Instagram : l’authentification à deux facteurs ciblée par une nouvelle attaque

Une campagne de phishing d’Instagram très convaincante a été identifiée. Elle utilise des avertissements sur les tentatives de connexion frauduleuses pour inciter les utilisateurs à visiter une page web de phishing où ils doivent confirmer leur identité en se connectant à leur compte.

Les messages comprennent le logo Instagram avec un avertissement informant l’utilisateur que quelqu’un a tenté de se connecter à son compte Instagram. Le message est une copie carbone (Cc) virtuelle des messages d’authentification authentiques à deux facteurs qui sont envoyés aux utilisateurs pour confirmer leur identité lorsqu’une tentative de connexion suspecte est détectée.

Les messages comprennent un code à 6 chiffres qui doit être saisi lors de la connexion au compte de l’utilisateur, ainsi qu’un hyperlien d’ouverture de session. Ce dernier est alors invité à se connecter pour confirmer son identité et sécuriser son compte.

Les messages sont bien écrits, bien qu’il y ait quelques erreurs de ponctuation qui suggèrent que l’e-mail n’est peut-être pas ce qu’il semble être. Ces erreurs pourraient facilement être négligées par une personne qui craint que son compte ait été piraté.

Non seulement le message est presque identique à l’avertissement 2FA d’Instagram, mais le site web vers lequel l’utilisateur est dirigé est également un clone parfait de la page de connexion authentique d’Instagram. La page web a un certificat SSL valide et commence par HTTPS et affiche le cadenas vert pour confirmer que la connexion entre le navigateur et la page web est sécurisée.

Le seul signe qui pourrait indiquer que la page web n’est pas authentique est son nom de domaine. Les escrocs ont choisi un nom de domaine gratuit en .CF (République centrafricaine), ce qui indique clairement que la page web est un faux. Cependant, la présence de HTTPS et d’un cadenas vert pourrait tromper de nombreuses personnes en leur faisant croire qu’elles se trouvent sur un site sécurisé.

Beaucoup de gens croient à tort que la présence du HTTPS au début d’un site web et d’un cadenas vert signifie que le site web est authentique et sécurisé. Cependant, cela indique seulement que la connexion entre le navigateur et le site web est sécurisée et que toute information sensible fournie à ce site sera protégée contre l’accès non autorisé lors d’une attaque de type Man-in-The-Middle (MiTM). Pour faire simple, cela ne veut pas dire que le contenu de la page web est authentique.

Les sites web HTTPS sont souvent utilisés pour le phishing, car de nombreuses personnes cherchent le cadenas vert pour confirmer que le site est sécurisé. Malheureusement, les certificats SSL sont souvent fournis gratuitement par les sociétés d’hébergement et les contrôles sur le contenu du site ne sont pas effectués.

Il s’agit d’une question importante que les entreprises doivent couvrir dans le cadre de la formation de sensibilisation à la sécurité. Les employés devraient apprendre la véritable signification du cadenas vert et toujours vérifier soigneusement le nom de domaine avant de divulguer toute information sensible.

Les entreprises peuvent encore améliorer leurs défenses contre le phishing avec une solution de filtrage web telle que WebTitan. Avec WebTitan en place, elles peuvent contrôler soigneusement les types de sites web que leurs employés peuvent visiter sur leurs ordinateurs de travail.

WebTitan empêche également les utilisateurs d’accéder à tout site web connu pour être utilisé à des fins de phishing, de distribution de malwares ou à d’autres fins malveillantes. De plus, WebTitan effectue des contrôles en temps réel pour évaluer la légitimité d’un site web. Si les vérifications échouent, le site sera bloqué et l’utilisateur sera informé qu’il ne pourra pas y accéder.

Pour plus d’informations sur la façon dont un filtre web peut améliorer sécurité web de votre entreprise et protéger vos employés contre les attaques de phishing, contactez l’équipe TitanHQ dès aujourd’hui.

Attaque de phishing profitant des déclarations d’impôts à l’IRS

Attaque de phishing profitant des déclarations d’impôts à l’IRS

Les contribuables et les professionnels de l’impôt sont ciblés par des escrocs qui se font passer pour l’IRS (Internal Revenue Service). L’objectif de cette nouvelle attaque de phishing est de diffuser des malwares qui volent des informations. Le logiciel malveillant récolte des informations d’identification qui sont ensuite utilisées pour accéder à des comptes financiers et les vider.

La campagne utilise au moins deux lignes d’objet pour les e-mails : « Electronic Tax Return Reminder » et « Automatic Income Tax Reminder ». Les e-mails contiennent un hyperlien qui dirige l’utilisateur vers un site web qui ressemble de près à IRS.gov. Les e-mails comprennent un mot de passe unique que la personne ciblée peut utiliser pour ouvrir une session afin de soumettre une demande de remboursement d’impôt.

Lorsque l’utilisateur ouvre une session sur le site, le message l’informe qu’il doit télécharger un fichier afin de soumettre son remboursement. En réalité, le fichier contient un malware enregistreur de frappe qui enregistre les frappes sur un ordinateur infecté, permettant ainsi aux attaquants de soutirer des informations sensibles concernant leurs cibles.

Des avertissements ont été émis après que plusieurs contribuables et professionnels de l’impôt aient signalé les e-mails de phishing à l’IRS. Des efforts ont été menés dans le but de perturber la campagne, mais l’IRS note que des douzaines de sites web compromis et d’URL malveillantes sont utilisés par les escrocs.

L’IRS a déjà contacté les sociétés d’hébergement web pour qu’elles ferment les sites malveillants, mais le nombre d’URL utilisées rend la tâche très difficile. Dès qu’une URL est supprimée, d’autres apparaissent.

Les arnaqueurs misent sur l’offre de remboursement d’impôt ou la menace d’une action en justice pour des questions fiscales. C’est ce qui a incité de nombreuses personnes à cliquer sur les liens malveillants contenus dans les messages, sans avoir préalablement évalué le contenu du message et la légitimité de la demande.

Le conseil de l’IRS est de ne jamais cliquer sur un lien contenu dans un e-mail non sollicité prétendant provenir de l’IRS. L’IRS ne prend jamais l’initiative de communiquer avec les contribuables par e-mail, par message texte ou par les médias sociaux, et aucune demande de renseignements personnels n’est jamais envoyée via ces canaux.

Le dernier avertissement survient quelques mois seulement après que l’IRS et les partenaires du Security Summit aient rappelé que tous les préparateurs de déclarations de revenus professionnels sont tenus par la loi « FTC Safeguards Rule » et doivent mettre en œuvre un plan écrit de sécurité des informations pour s’assurer que les informations fiscales de leurs clients sont correctement protégées.

Ce rappel a été émis parce qu’il était devenu évident que de nombreux professionnels de l’impôt n’étaient pas conscients de leurs obligations de mettre en œuvre un plan de sécurité pour protéger les données fiscales de leurs clients.

Le plan de sécurité de l’information doit comporter plusieurs éléments :

  • Désigner un ou plusieurs employés pour coordonner le plan de sécurité de l’information
  • Effectuer une analyse des risques afin de déterminer les risques pour la confidentialité des données des clients
  • Évaluer l’efficacité des mesures de protection actuelles
  • Mettre en œuvre, surveiller et mettre à l’essai le programme de garanties
  • Opter uniquement pour des fournisseurs de services qui peuvent maintenir des mesures de protection appropriées et superviser le traitement des données des clients
  • Évaluer et mettre à jour le programme de sécurité, s’il y a lieu, en fonction des changements apportés aux pratiques commerciales et aux opérations

Les exigences relatives au plan de sécurité de l’information sont souples. Par exemple, les préparateurs de déclarations peuvent choisir les mesures de protection à mettre en œuvre en fonction de leur propre situation et des résultats de leurs analyses de risque.

Les deux principales mesures de protection qui protègent les entreprises contre le phishing et les attaques de malwares sont un filtre anti-spam et un filtre web. Le filtre anti-spam protège le système de messagerie en identifiant et en bloquant les messages malveillants tels que les e-mails de phishing et les spams, tandis qu’un filtre web bloque les attaques sur le web et les téléchargements de malwares. Ces deux solutions sont très efficaces pour bloquer le phishing et les attaques de malwares, tout en étant peu coûteuses à mettre en œuvre.

Pour en savoir plus sur la façon dont les filtres anti-spam et les filtres web peuvent protéger votre entreprise et vous aider à assumer vos responsabilités légales, contactez TitanHQ dès aujourd’hui.

Avertissement – Ignorez la demande de paiement pour le service de radiation d’une liste noire

Avertissement – Ignorez la demande de paiement pour le service de radiation d’une liste noire

UCEProtect est un DNSBL (DNS Black Listing) public.

Il s’agit d’une méthode qui permet de consulter la liste noire des émetteurs d’e-mails en utilisant le protocole DNS. Il répertorie les adresses IP qui envoient du spam à leurs pièges à spam (adresses e-mail non valides conçues pour identifier les abus).

Certaines adresses qui figurent dans les listes noires peuvent, et vont probablement, causer des dommages collatéraux à des utilisateurs innocents lorsqu’elles sont utilisées pour bloquer leurs systèmes de messagerie électronique. Et lorsque ces derniers voudront retirer leur adresse IP de la liste noire, UCEProtect facturera les frais de radiation.

TitanHQ avertit les administrateurs de la messagerie électronique de ne pas utiliser la liste noire d’UCEProtect et d’éviter de payer pour le service de radiation. En effet, la liste noire d’UCEProtect applique des politiques de listage agressives. Pour cette raison, et parce que cette liste noire est rarement utilisée, nous ne voyons que très peu d’impact réel sur le flux d’e-mails.

À propos d’UCEProtect et de Backscatterer.org

Les deux entités appartiennent à la même organisation. UCEProtect et Backscatterer ont pour rôle de dresser la liste des adresses IP qui envoient du spam et/ou de la rétrodiffusion (rebondissements mal dirigés).

UCEProtect est un DNSBL public qui répertorie les adresses IP qui envoient du spam dans leurs pièges à spam. La rétrodiffusion se produit lorsqu’un message de rebond est envoyé à un utilisateur innocent, c’est-à-dire un utilisateur qui n’est pas à l’origine du spam.

Ce dernier reçoit donc un message retourné pour des e-mails qu’il n´a jamais envoyés. Ce problème peut devenir frustrant et parfois perturbant pour l’utilisateur, car la rétrodiffusion peut entraîner une augmentation de la charge des flux d’e-mails entrants.

La rétrodiffusion peut être évitée en mettant en place une vérification du destinataire et une validation de l’étiquette d’adresse de rebond (Bounce Address Tag Validation – BATV).

Que faire ensuite ?

TitanHQ vous recommande de ne pas tenir compte lorsqu’UCEProtect exige le paiement pour le service de radiation de sa liste noire.

Le modèle de paiement pour la radiation n’est pas très respecté dans le domaine de la messagerie électronique, car UCEProtect a une portée très limitée. De nombreux pays ont déjà bloqué le serveur UCEProtect à l’échelle mondiale, ce qui signifie que les serveurs de messagerie ne peuvent pas l’utiliser.

Pour plus d’informations sur le fonctionnement des DNSBL de confiance, veuillez consulter l’équipe technique de TitanHQ.

Avertissements émis à propos des escroqueries par phishing contre Travelex

Avertissements émis à propos des escroqueries par phishing contre Travelex

Chaque fois qu’un événement majeur attire l’attention des médias, les cybercriminels sont toujours là pour en profiter.

Il n’est donc pas surprenant que des avertissements soient émis à propos des attaques de phishing contre Travelex.

L’attaque de ransomware contre Travelex, qui a frappé la veille du Nouvel An, impliquait une variante du ransomware appelée Sodinokibi. L’auteur de la menace est l’un des groupes cybercriminels les plus prolifiques utilisant des ransomwares.

Les attaques ont été très ciblées et visaient à chiffrer des réseaux entiers et les demandes de rançon reflètent l’ampleur du chiffrement. Initialement, le groupe de pirates a demandé une rançon de plus de 2,7 millions d’euros à Travelex.

Ce montant a rapidement doublé pour atteindre plus de 5,4 millions d’euros lorsque le paiement n’a pas été effectué dans les délais impartis.

Les retombées de l’attaque ont été immenses, ce qui n’est pas surprenant étant donné que Travelex est le plus grand fournisseur de services de change dans le monde. De nombreuses banques et détaillants comptent sur cette société pour assurer leurs services de change.

Sans accès à ces services en ligne, les services de change ont cessé de fonctionner. Il a fallu deux semaines à Travelex pour commencer à remettre certains de ses services en ligne, mais son site Web était resté en panne, sans compter les perturbations que cela a engendrées.

Les attaquants ont affirmé avoir volé de grandes quantités de données clients à Travelex. Ils ont menacé de publier ou de les vendre si la rançon n’était pas payée. Cette tactique est de plus en plus prisée par pirates pour attaquer les organisations via des ransomwares.

Dans ce cas, le groupe derrière Sodinokibi a prétendu avoir eu accès aux systèmes Travelex 6 mois auparavant et a déclaré avoir volé des données client, notamment des noms, des informations de carte de paiement, des numéros de sécurité sociale et des numéros d’assurance nationale.

Il affirmait également avoir récemment attaqué la société informatique américaine Artech Systems et avait publié 337 Mo de données volées lors de cette attaque, ceci afin de démontrer que ce n’était pas une menace vide de sens.

Travelex a soutenu qu’aucune donnée client n’avait été volée, mais cela reste à confirmer.

Avertissement émis à propos des attaques de phishing contre Travelex

Les clients de Travelex doivent naturellement faire preuve de prudence et surveiller leurs comptes pour détecter tout signe d’utilisation frauduleuse de leurs informations. Force est toutefois de constater qu’il existe d’autres risques d’une attaque comme celle-ci.

Travelex a émis un avertissement à ses clients, leur recommandant d’être vigilants à propos des attaques de phishing par e-mail et par téléphone. Les escrocs profitent souvent d’événements majeurs tels que celui-ci, comme ce fut le cas lors d’une atteinte à la protection de données contre la société TalkTalk.

Ces escroqueries par phishing sont susceptibles d’être plus efficaces sur les clients de Travelex qui ont perdu de l’argent à la suite de l’attaque. En effet, les pirates peuvent proposer une offre d’indemnisation ou de remboursement, en utilisant ce leurre pour duper leurs victimes.

Pour les consommateurs, le conseil est de ne jamais ouvrir les pièces jointes aux e-mails ou de cliquer sur les liens dans les e-mails non sollicités. Les entreprises doivent également prendre des mesures pour protéger leurs réseaux contre les malwares et les attaques de phishing.

Les entreprises devraient adopter une stratégie de défense en profondeur pour se protéger contre les escroqueries par phishing et les attaques de malwares.

Une solution de sécurité des e-mails avancée telle que SpamTitan doit être utilisée pour protéger les comptes Office 365. SpamTitan améliore la protection contre les malwares du type « zero day » et les menaces de phishing et bloque les menaces au niveau de la passerelle.

Une solution de filtrage Web telle que WebTitan doit être utilisée pour bloquer le composant web des campagnes de phishing, les malwares envoyés par e-mails, et empêcher les utilisateurs finaux de visiter des sites web malveillants. La formation des utilisateurs finaux est également indispensable.

Il est important d’enseigner aux employés comment identifier les e-mails de phishing et ceux qui sont susceptibles de diffuser des malwares, puis de les former à la façon de répondre aux e-mails suspects qu’ils reçoivent.