Nouvelle attaque de phishing visant les abonnés Netflix

Nouvelle attaque de phishing visant les abonnés Netflix

Toute plateforme populaire est une cible attrayante pour les cybercriminels, et avec plus de 167 millions d’abonnés dans le monde, le service de streaming Netflix entre certainement dans cette catégorie.

Bien que Netflix ne semble pas être une cible clé pour les pirates, une attaque réussie pourrait leur permettre d’accéder à des informations sur les cartes de crédit et les cartes bancaires des utilisateurs de cette plate-forme.

Le phishing visant les abonnés Netflix

Les escroqueries de phishing ciblant les abonnés de Netflix sont courantes, il n’est donc pas rare de voir une autre attaque lancée, mais l’une des dernières utilise une nouvelle tactique pour échapper aux solutions de sécurité.

En intégrant un défi CAPTCHA, il est plus difficile pour les solutions de sécurité d’accéder aux sites de phishing et d’identifier leur nature malveillante.

Cette escroquerie de phishing ciblant les abonnés de Netflix commence par un e-mail comme beaucoup d’autres escroqueries de Netflix qui la précèdent.

Les e-mails semblent avoir été envoyés par l’équipe d’assistance clientèle de la plate-forme et informent le destinataire qu’il y a eu un problème de facturation lors du dernier paiement mensuel. En conséquence, l’abonnement sera suspendu dans les prochaines 24 heures.

L’utilisateur de Netflix reçoit un lien à cliquer et on lui demande de mettre obligatoirement à jour ses informations. Les e-mails comprennent également un lien qui permet à ce dernier de se désabonner et de gérer les préférences de communication, bien qu’ils ne fonctionnent pas.

Comme pour la plupart des attaques de phishing, les pirates jouent sur la carte de l’urgence et de la menace, en utilisant par exemple la phrase : « Mettez vos informations à jour dans les 24 heures, sinon vous perdrez l’accès au service. »

En cliquant sur le lien, l’utilisateur sera dirigé vers une page CAPTCHA pleinement fonctionnelle, où il devra passer par les contrôles CAPTCHA standard pour vérifier qu’il n’est pas un robot. S’il parvient à entrer le code CAPTCHA, l’utilisateur sera dirigé vers un domaine malveillant où il se verra présenter la page de connexion standard de Netflix.

Il doit se connecter, puis il est invité à entrer son adresse de facturation, ainsi que son nom complet et sa date de naissance.

Après cela, une deuxième page s’affiche où il est invité à entrer le numéro de sa carte bancaire, sa date d’expiration, son code CVV, et d’autres champs optionnels pour son code de tri, son numéro de compte et le nom de sa banque.

Après la saisie de ces informations, on l’informe que ses données ont été correctement vérifiées et il sera redirigé vers la vraie page de Netflix, probablement sans savoir qu’il a donné des informations très sensibles aux escrocs.

De nombreux e-mails de phishing qui ciblent les abonnés de Netflix ont été interceptés au cours des derniers mois, prétendant que des comptes ont été mis en attente en raison de problèmes de paiement.

Ces e-mails sont convaincants et ressemblent beaucoup aux e-mails envoyés régulièrement par Netflix à ses abonnés. Les e-mails comportent le logo de la marque, les couleurs correctes et dirigent les destinataires vers des pages de connexion très réalistes.

Le point commun de tous ces e-mails est qu’ils contiennent un lien vers un domaine autre que Netflix.com. Si vous recevez un e-mail de la part de Netflix, en particulier un e-mail contenant une sorte d’avertissement ou de menace, connectez-vous au site en tapant le domaine correct dans la barre d’adresse et assurez-vous toujours que vous êtes sur le bon site avant de saisir des informations sensibles.

Réseau de botnets Phorpiex : nouvelle campagne du ransomware Avaddon

Réseau de botnets Phorpiex : nouvelle campagne du ransomware Avaddon

Au cours du mois dernier, l’activité du réseau de botnets Phorpiex a connu une forte hausse.

Un botnet est un réseau d’ordinateurs infectés par des malwares, ce qui permet aux pirates informatiques de les contrôler.

Ces ordinateurs sont ensuite utilisés pour envoyer des spams et pour mener des attaques de phishing, souvent dans le but de distribuer des malwares et des ransomwares.

On sait qu’il y a environ 500 000 ordinateurs dans le réseau de botnets Phorpiex dans le monde entier et que ce réseau fonctionne depuis près de 10 ans.

Le réseau de botnets Phorpiex

Le botnet Phorpiex a été utilisé auparavant pour envoyer des e-mails de sextorsion ; pour distribuer des mineurs de monnaie cryptographique XMRig (un mineur est un ordinateur, c’est-à-dire un réseau cryptographique qui vérifie les transactions ou des malwares voleurs d’informations).

Au mois de juin dernier, le botnet Phorpiex a été utilisé pour mener une campagne massive de demande de rançon en utilisant le ransomware Avaddon. 2 % des entreprises ont été ciblées dans le monde entier.

Les attaques de ransomware ont augmenté au cours des derniers mois. De nombreux pirates qui utilisent cette tactique délivrent des ransomware manuellement après avoir accédé aux réseaux d’entreprise. Pour ce faire, ils exploitent les vulnérabilités des VPN et d’autres logiciels, ou bien ils profitent de configurations logicielles par défaut non sécurisées.

On a également constaté une augmentation des attaques de ransomware utilisant la messagerie électronique comme vecteur d’attaques. Plusieurs variantes de ces logiciels sont désormais diffusées via les e-mails, et le ransomware Avaddon était l’une des plus grandes menaces au mois de juin.

En une semaine, plus d’un million de spams ont été envoyés via le réseau de botnets Phorpiex et la plupart de ces e-mails visaient essentiellement des entreprises américaines.

Avaddon est une nouvelle variante de ransomware qui a été détectée pour la première fois en juin. Les pirates qui l’ont conçu font la publicité de leur malware en tant que ransomware-as-a-service (RaaS) et ont recruté des affiliés pour le distribuer moyennant des bénéfices.

Nouvelles campagnes du ransomware Avaddon

Début juin, une campagne utilisant Avaddon a été détectée.

Elle avait recours à des pièces jointes en JavaScript intégrées à des spams. Les fichiers avaient une double extension qui les faisait apparaître comme des fichiers JPG sur les ordinateurs fonctionnant sous Windows. Les ordinateurs Windows masquent les extensions de fichiers par défaut, de sorte que la pièce jointe semble s’appeler IMG123101.jpg dans la configuration par défaut.

Si Windows avait été modifié pour afficher les extensions de fichiers connues, l’utilisateur verrait que le fichier est en fait IMG123101.jpg.js. Son ouverture lancerait une commande PowerShell et Bitsadmin qui déclencherait le téléchargement et l’exécution du ransomware Avaddon.

Plus récemment, une autre campagne a été détectée. Elle distribuait le ransomware Avaddon en utilisant des spams avec des pièces jointes sous format Excel avec des macros Excel 4.0 malveillantes. Contrairement aux fichiers JavaScript, qui s’exécutent lorsqu’ils sont ouverts par les utilisateurs, les macros Excel nécessitent une action de l’utilisateur pour s’exécuter. Ils étaient donc moins efficaces. Cela dit, les utilisateurs ont pour instruction d’activer les macros en utilisant diverses techniques d’ingénierie sociale et elles sont toujours efficaces.

Avaddon recherche une série de fichiers, les chiffre et ajoute l’extension .avdn. à ces fichiers. Une note de rançon est déposée et un lien est fourni à un site Tor avec un identifiant unique pour permettre à la victime de se connecter pour payer la rançon pour obtenir les clés de déchiffrement des fichiers. Il n’y a aucune clé de déchiffrement gratuite disponible pour le ransomware Avaddon. La récupération des fichiers n’était donc possible que si la rançon était payée ou si des sauvegardes viables existaient et que celles-ci n’avaient pas été chiffrées par le ransomware.

Plusieurs lignes d’objet ont été utilisées dans les e-mails, comme « Votre nouvelle photo » et « Aimez-vous ma photo ? », avec seulement un émoji dans le corps du message. Cette tactique est simple, mais efficace.

Plusieurs mesures peuvent être prises par les entreprises pour prévenir les attaques de ransomware comme celle d’Avaddon et d’autres attaques de ransomwares lancées via les e-mails. Une formation de sensibilisation à la sécurité des employés devrait sensibiliser ces derniers à la menace et leur apprendre à reconnaître les menaces de phishing et de spams.

C’est également un moyen de leur apprendre à signaler les e-mails malveillants à leur équipe de sécurité informatique. Si possible, les macros devraient être désactivées sur tous les appareils des utilisateurs finaux, bien que les pièces jointes des e-mails utilisés par les pirates changent souvent. En fait, la désactivation des macros ne prévient pas toutes les infections par des malwares.

L’une des meilleures défenses contre les menaces comme le phishing, les malwares et les ransomwares est d’installer une solution antispam puissante telle que SpamTitan.

SpamTitan peut fonctionner comme une solution antispam autonome, mais aussi comme un niveau de protection supplémentaire pour la messagerie électronique d’Office 365, en complément de la protection en ligne de Microsoft Exchange (EOP). De plus, il fournit une couche de sécurité supplémentaire pour bloquer les menaces de phishing et de malwares du type « zero day ».

Pour plus d’informations sur la protection de votre organisation contre les ransomwares et les autres attaques lancées via la messagerie électronique, appelez l’équipe de TitanHQ dès aujourd’hui.

Avertissement émis à la suite d’attaques de phishing dans l’industrie du sport

Avertissement émis à la suite d’attaques de phishing dans l’industrie du sport

Les transferts de joueurs dans le domaine du football impliquaient le transfert d’énormes sommes d’argent, souvent réalisé par voie électronique entre les clubs.

Si des pirates informatiques s’introduisaient dans les communications entre les clubs, d’énormes sommes d’argent pourraient facilement être volées.

C’est exactement ce qui s’est passé récemment lorsqu’une escroquerie a été menée contre un club de football de la Premier League en Angleterre.

Les pirates informatiques ont obtenu l’accès au compte de messagerie électronique du Directeur général du club par le biais d’une campagne de phishing, après avoir dirigé le DG vers un domaine où étaient rassemblées les références de l’Office.

Ces informations ont ensuite été utilisées pour accéder au compte de messagerie du DG, et les escrocs se sont insérés dans une conversation par e-mail avec un autre club cherchant à acheter un joueur. Heureusement, l’escroquerie a été détectée par la banque et le paiement frauduleux d’un million de livres sterling a pu être évité.

Cette variété d’escroquerie commence par un e-mail de phishing, mais elle est appelée attaque BEC ou « Business Email Compromise ». Les escroqueries BEC sont très répandues et ont souvent du succès. Elles vont des escroqueries simples aux communications complexes par courriels multiples entre deux parties, que l’une d’entre elles croie communiquer avec le véritable titulaire du compte de messagerie électronique alors qu’elle communique en réalité avec un escroc.

Lorsque le moment est venu d’effectuer le paiement, l’arnaqueur fournit ses propres références de compte. Trop souvent, ce type d’escroquerie n’est détectée qu’une fois le paiement effectué.

C’est loin d’être la seule cyberattaque dans le secteur du sport ces dernières semaines et ces derniers mois. De nombreuses tentatives de cyberattaques ont incité le Centre national de cybersécurité (NCSC) du Royaume-Uni à publier un avertissement conseillant au secteur sportif britannique d’être en état d’alerte.

Avant le confinement, un club de football au Royaume-Uni a été frappé par une attaque associée à une demande de rançon lorsque les pirates ont pu chiffrer des bases de données sensibles, y compris les systèmes informatiques qui contrôlaient les tourniquets, les empêchant de fonctionner. Un match a failli être annulé à cause de cette attaque. On soupçonne que l’attaque de ransomware a également commencé par un e-mail de phishing.

Les récentes attaques ne se limitent pas aux clubs de football. Les données du NCSC montrent que 70 % des institutions sportives du Royaume-Uni ont subi une cyberattaque au cours de l’année passée.

Les chiffres du NCSC montrent qu’environ 30 % des incidents entraînent des pertes financières, la perte moyenne étant de 10 000 livres sterling, bien qu’une organisation ait perdu 4 millions de livres sterling dans une escroquerie. 40 % des attaques ont impliqué l’utilisation de malwares, qui sont souvent envoyés via des e-mails non sollicités. 25 % des attaques ont été liées à des ransomwares.

Si les attaques de malwares et de ransomwares sont coûteuses et perturbatrices, les attaques BEC constituent la principale cause des pertes. Des rapports publiés par le FBI montrent que ces escroqueries ont représenté environ 50 % de l’ensemble des pertes dues à la cybercriminalité en 2019.

Les attaques BEC ont entraîné des pertes d’environ 1,4 milliard d’euros en 2019, avec une perte moyenne de 63 142 euros. Le chiffre réel est probablement encore plus élevé, car toutes les attaques BEC ne sont pas signalées. Le FBI s’attend à des pertes encore plus importantes cette année.

Bien qu’il existe de nombreuses tactiques d’attaque différentes, les e-mails restent le vecteur le plus commun utilisé dans les cyberattaques contre les entreprises. Il est donc vital de mettre en place une solution de sécurité robuste pour la messagerie électronique. Elle doit être capable de bloquer les e-mails malveillants et d’éviter qu’ils arrivent dans les boîtes de réception des utilisateurs finaux.

TitanHQ a créé une solution de sécurité de la messagerie électronique puissante et avancée qui peut aider les entreprises à améliorer leurs mesures de sécurité des e-mails et à bloquer les attaques de phishing, de spear phishing, du type BEC, de malwares et de ransomwares. SpamTitan intègre de nombreux flux de renseignements sur les menaces, des systèmes d’apprentissage-machine pour identifier les attaques de phishing, deux moteurs antivirus et une sandbox pour soumettre les pièces jointes suspectes des e-mails à une analyse approfondie. SpamTitan intègre également les systèmes d’authentification SPF et DMARC pour identifier et bloquer les campagnes d’usurpation d’identité via la messagerie électronique.

Si la sécurité des e-mails vous préoccupe et que vous souhaitez améliorer vos défenses contre les menaces liées aux e-mails, appelez dès maintenant l’équipe de TitanHQ pour en savoir plus sur SpamTitan et sur les autres solutions de sécurité qui peuvent vous aider à défendre votre entreprise contre les cyberattaques.

Phishing et malwares : des domaines inactifs utilisés pour piéger les intrernautes

Phishing et malwares : des domaines inactifs utilisés pour piéger les intrernautes

Les cybercriminels ont adopté une nouvelle tactique pour diffuser des malwares et pour lancer des attaques de phishing contre des internautes sans méfiance.

Ils détournent des domaines inactifs et les utilisent pour diriger les visiteurs vers des sites web malveillants sous forme de malvertising.

Le terme « malvertising » désigne l’utilisation de codes malveillants dans des publicités apparemment légitimes qui sont souvent affichées sur des sites web à fort trafic.

Les propriétaires de sites web utilisent des réseaux publicitaires tiers pour augmenter les revenus de leurs sites web.

La plupart de ces publicités sont authentiques et dirigent les utilisateurs vers un site web légitime, mais les cybercriminels y introduisent souvent des codes malveillants en douce.

En cliquant sur le lien publicitaire, l’utilisateur sera dirigé vers un site web hébergeant un kit d’exploitation ou un formulaire de phishing.

Dans certains cas, les téléchargements de malwares par « drive-by » ne requièrent aucune interaction de la part de l’internaute. Il suffit que le contenu du site web se charge et que l’utilisateur utilise un appareil vulnérable pour que l’attaque soit lancée.

La nouvelle tactique utilise des domaines qui ont expiré et qui ne sont plus actifs. Ces sites web peuvent toujours être répertoriés dans les résultats des moteurs de recherche pour les principaux termes de recherche. Lorsque l’utilisateur effectue une recherche et clique sur le lien (ou utilise un lien dans ses signets vers un site web visité précédemment), il atterrit sur une page de renvoi lui expliquant que le site web en question n’est plus actif. Souvent, cette page comprend une série de liens qui dirigeront le visiteur vers des sites web connexes.

Ce qui se passe souvent, c’est que ces domaines expirés peuvent être mis en vente. Il est souvent intéressant pour les acheteurs d’opter pour cette solution, car il peut y avoir déjà de nombreux liens qui pointent sur le site web en question, ce qui est notamment préférable s’ils souhaitent concevoir et lancer un site Internet à partir de zéro.

Les domaines expirés sont mis aux enchères. Les chercheurs de Kaspersky ont découvert que des cybercriminels ont profité de ces sites web mis aux enchères et ont ajouté des liens qui dirigent les visiteurs vers des sites web malveillants.

Lorsqu’un visiteur arrive sur le site, au lieu d’être dirigé vers le portail de la vente aux enchères, le lien est remplacé par un lien qui le redirige vers un site web malveillant. L’étude a révélé qu’environ 1 000 domaines avaient été mis en vente sur un site d’enchères populaire, qui renvoyaient les internautes vers plus de 2 500 URL indésirables.

Dans la majorité de ces cas, les URL étaient des pages liées à des publicités, dont 11 % étaient malveillantes et servaient principalement à distribuer le cheval de Troie Shlayer via des documents infectés que l’utilisateur est invité à télécharger. Le cheval de Troie Shlayer installe des logiciels publicitaires sur l’appareil de l’utilisateur. Plusieurs de ces sites hébergeaient également un code malveillant au lieu de rediriger leurs visiteurs vers d’autres pages web.

Ces domaines étaient autrefois des sites web légitimes, mais sont maintenant utilisés à des fins malveillantes, ce qui rend la menace difficile à bloquer. Dans certains cas, les sites affichent un contenu différent selon l’endroit où se trouve l’utilisateur et s’il utilise ou non un VPN pour accéder à Internet. Les contenus de ces sites web changent fréquemment, mais ils sont indexés et classés par catégories. S’ils sont jugés malveillants, les URL sont ajoutées à des listes de blocage en temps réel (RBL).

Une solution de filtrage web telle que WebTitan peut assurer une protection contre le malvertising et les redirections vers des sites malveillants. Si les pirates utilisent une quelconque tactique pour envoyer un utilisateur vers un site web connu comme malveillant, plutôt que d’être connecté, il sera dirigé vers une page de blocage locale, ce qui permet d’éviter les éventuelles menaces. WebTitan peut également être configuré pour bloquer les téléchargements de types de fichiers à risque à partir de ces sites web malveillants.

De nombreuses organisations ont mis en place des pare-feu pour prévenir les attaques directes lancées par les pirates informatique. Elles utilisent un logiciel antivirus pour bloquer les malwares et une solution antispam pour bloquer les attaques lancées via la messagerie électronique. Pourtant, il existe toujours une lacune dans leurs protections de sécurité et les menaces basées sur le web ne sont pas bloquées efficacement. WebTitan permet aux organisations de combler cette lacune et de contrôler les sites web auxquels les employés peuvent accéder.

WebTitan est disponible en version d’essai gratuite pour vous permettre d’évaluer la solution et de voir par vous-même comment vous pouvez bloquer les tentatives de visite de contenus web malveillants et de sites NSFW (Not safe for work), c’est-à-dire les sites qui ne sont pas sûrs pour le travail.

Pour plus d’informations sur WebTitan et le filtrage web, appelez l’équipe de TitanHQ.

Nouveau système d’archivage des e-mails d’ArcTitan

Nouveau système d’archivage des e-mails d’ArcTitan

TitanHQ est en train de déployer un nouveau système d’archivage des e-mails largement amélioré d’ArcTitan pour les pays de l’Union européenne et les États-Unis.

Nous allons migrer les comptes ArcTitan existants vers ce système.

La migration se déroulera comme suit :

  • TitanHQ vous contactera pour vous communiquer les détails de votre nouveau compte sur la nouvelle infrastructure.
  • Vous devrez reconfigurer votre connecteur/serveur de messagerie pour envoyer vos e-mails au nouveau serveur.
  • Lorsque le flux d’e-mails aura été vérifié sur le nouveau compte, le support TitanHQ fermera le compte d’origine afin qu’il ne puisse plus accepter des messages. Vous conserverez l’accès à ce compte afin de pouvoir consulter l’historique de vos e-mails en cas de besoin.
  • TitanHQ migrera le courrier archivé du serveur d’origine vers le nouveau serveur. Vous serez informé de la fin de ce processus.
  • Lorsque vous aurez vérifié la migration des données, le compte sur le serveur d’origine sera supprimé, ainsi que tous les messages archivés.

Pourquoi passons-nous au nouveau système d’archivage des e-mails amélioré d’ArcTitan ?

Le nouveau service d’ArcTitan sera fourni sous la forme d’un cluster Kubernetes hautement disponible, autoréparateur et qui peut être mis à l’échelle selon vos besoins. En tant qu’architecture de haut niveau, la solution est constituée d’un cluster Kubernetes, avec une multitude de composants fonctionnant en parfaite harmonie. Chaque composant est disponible indépendamment. Cela signifie qu’il y a peu ou pas d’interruption de service si un composant tombe en panne, car ce composant peut être mis hors ligne et réparé sans affecter les autres.

Comme dans les précédentes versions d’ArcTitan, chaque e-mail reçoit une identité unique qui lui est propre et qui reste dans les archives pendant toute sa durée de vie. Il est entièrement indexé (en-tête, expéditeur/récepteur, objet, corps du texte, pièces jointes), ce qui permet de rechercher facilement l’e-mail à une date ultérieure.

Dans la nouvelle version d’ArcTitan, les index sont distribués simultanément sur les instances d’Apache Solr et les données brutes des e-mails sont chiffrées puis stockées sur un système de stockage persistant répliqué.

La nouvelle interface graphique d’ArcTitan :

Principaux avantages de notre nouvelle solution d’archivage des e-mails :

  • Stockage persistant répliqué ;
  • Nous déployons des clusters de stockage Ceph qui fournissent des systèmes de fichiers et de stockage par blocs à haute performance, avec une réplication et un basculement automatisés des données ;
  • Stockage hiérarchisé ;
  • ArcTitan exploite la fiabilité, la redondance et l’évolutivité d’Amazon S3 pour le stockage à long terme des données archivées ;
  • Kubernetes ;
  • ArcTitan est livré sous la forme d’un cluster Kubernetes à haute disponibilité ;
  • Cluster de bases de données à haute disponibilité ;
  • La solution utilise le cluster MySQL Percona XtraDB au sein de Kubernetes pour gérer toutes les opérations de la base de données. Le cluster peut être auto-entretenu, autoréparé et mis à l’échelle avec un minimum d’effort, sans aucun temps d’arrêt.

Si vous avez des questions, n’hésitez pas à consulter notre documentation en suivant ce lien : https://www.titanhq.fr/arctitan/

Vous pouvez également contacter l’équipe d’ArcTitan en nous envoyant un e-mail à l’adresse arctitan@titanhq.com.