Avec la hausse astronomique des attaques de phishing en 2021, découvrez comment les éviter. En général, vous recevez un email dans votre boîte de réception. Il a l’air légitime, semble urgent et vous demande d’entreprendre une action immédiate. Devriez-vous le prendre au sérieux ou simplement le supprimer ?
Les professionnels de la sécurité vous diront qu’il faut toujours faire preuve de prudence et supprimer le message. Pourtant, il y a cette incertitude innée qui pousse de nombreuses personnes à suivre l’action suggérée par l’email, si c’est le cas.
Après tout, il est parfaitement logique que les grandes marques comme Netflix, PayPal ou Bank of America vous contactent si vous êtes un de leurs clients.
Sachez que plus de 3 milliards d’emails frauduleux sont envoyés chaque jour. Bien que la plupart des comptes de messagerie soient protégés par une solution de filtrage de sécurité, quelques-uns parviennent tout de même à se frayer un chemin dans le système.
Ceci accentue la possibilité qu’il s’agisse d’un message légitime pour l’utilisateur final puisqu’il est arrivé dans sa boîte de réception.
Quelques moyens de se protéger du phishing
Vérifiez toujours l’adresse d’envoi
Il faut un bon appât pour piéger un utilisateur d’email peu méfiant avec une attaque de phishing. Si, il y a dix ans, les emails de phishing étaient truffés de fautes d’orthographe et de grammaire, ce qui les rendait très évidents, ce n’est plus le cas aujourd’hui.
Désormais, de nombreux emails de phishing incluent le logo et l’en-tête de l’entreprise dans le corps du message. Ces graphiques ne sont pas seulement utilisés pour donner à l’email un aspect aussi officiel que possible, mais aussi pour détourner votre attention de l’adresse réelle de l’expéditeur.
Prenons un exemple : alors que le nom de l’expéditeur annonce IRS.Gov, l’adresse réelle de l’expéditeur provient clairement d’un domaine distinct. Cependant, le sceau officiel de l’IRS dans le coin droit fait que l’utilisateur y prête attention, détournant entièrement son attention de l’en-tête de l’email. Notez que le message contient souvent une pièce jointe et un lien intégré.
Les cybermenaces clés qui menacent les travailleurs à domicile
Si le corps de l’email se lit bien et est parfaitement logique, vous n’avez même pas besoin de perdre du temps à le lire si vous validez d’abord l’adresse d’envoi à chaque fois.
Si, pour une raison quelconque, vous utilisez un client de messagerie qui ne vous est pas familier et que vous ne trouvez pas l’en-tête de l’email, vous pouvez toujours appuyer sur le bouton de transfert. L’email de transfert comprendra l’adresse email réelle de l’expéditeur dans le corps de l’email.
Les cybercriminels achètent souvent des domaines de typosquattage d’un nom de domaine populaire et imitent ensuite son site web. Le mieux serait donc de lire attentivement l’adresse électronique d’envoi.
Comment les escrocs savent-ils que je suis un client ?
Vous vous demandez peut-être comment ils savent que vous êtes client d’une entreprise donnée. Comment savent-ils par exemple que vous attendez un colis d’une société de transport particulière ?
Dans la plupart des cas, ils ne le savent pas. Les cybercriminels envoient simplement des millions d’emails en se faisant passer pour des entreprises internationales, sachant qu’un certain pourcentage d’utilisateurs sera effectivement des clients réels.
Si vous recevez de nombreux emails suspects de la part de sociétés Internet que vous visitez fréquemment, il se peut que votre ordinateur soit infecté par un spyware qui capte tout votre trafic Web et le transmet à l’attaquant. Si tel est le cas, vous aurez besoin d’une bonne application de sécurité des points d’accès ou d’une solution antispyware pour nettoyer votre machine.
Trame commune
Les attaques de phishing ont tendance à utiliser toujours le même type de leurre. Pourquoi ? Parce qu’elles fonctionnent. Voici une liste de scénarios qui devraient immédiatement vous mettre la puce à l’oreille.
Le service informatique de votre employeur vous demande de faire quelque chose, mais la signature du email est générique, telle que « Service informatique » ou « Service d’assistance ».
Une entreprise vous envoie un avis d’activité suspecte concernant votre compte et vous demande de prendre une mesure quelconque, comme réinitialiser votre mot de passe.
Une entreprise vous a envoyé une facture sous la forme d’un fichier PDF joint.
Un bureau gouvernemental ou l’IRS déclare que vous avez droit à un remboursement ou à une subvention.
Il vous est demandé de confirmer certaines informations personnelles concernant votre compte.
L’email ne comporte pas de salutation personnelle et se réfère à un contexte générique tel que « Cher utilisateur ».
Les bonnes règles à suivre
Voici une liste de bonnes règles à suivre pour vous épargner du temps et des efforts dans l’évaluation de la légitimité d’un email.
Aucune organisation ne vous demandera jamais votre mot de passe. Elle n’enverra pas non plus d’email non sollicité pour vous demander de changer votre mot de passe
Bien que l’IRS ou les institutions financières vous envoient des emails pour confirmer la réception ou une modification de votre profil ou de votre compte, ils ne vous enverront jamais un email non sollicité vous demandant de faire quelque chose.
N’appelez jamais le numéro de téléphone d’une institution financière contenu dans un email qui vous demande de répondre à quelque chose. Recherchez le numéro vous-même et appelez.
Si quelqu’un vous envoie par email une facture que vous n’attendez pas, ignorez-la. Il en va de même pour un email concernant un colis que vous n’attendez pas.
Deux bonnes mesures de sécurité contre les escroqueries par phishing
Toute organisation qui fournit du courrier électronique à ses employés doit sécuriser toutes les activités de courrier électronique à l’aide d’un système de sécurité avancé.
Il est possible de se défendre contre les escroqueries par phishing, les piratages de mots de passe, les fraudes à la carte de crédit et les attaques de malwares les plus courants avec des outils largement disponibles et une formation de bas niveau.
Une solution de sécurité du courrier électronique telle que SpamTitan bloquera les attaques de phishing ainsi que les ransomwares et d’autres variantes de malwares. Vous devriez également protéger tous les comptes financiers avec un type d’authentification multifactorielle.
Vous serez ainsi protégé si vos informations d’identification sont compromises. Si les attaques de phishing restent aujourd’hui une menace très sérieuse, les défenses pour s’en protéger sont disponibles.
La première défense contre la cybersécurité pour les petites entreprises commence par la prise en charge de celle-ci. Parlez-en directement avec nous ou avec votre fournisseur de services gérés.
Ils seront en mesure de vous proposer des services de cybersécurité essentiels, des formations de sensibilisation à la sécurité et des conseils sur la protection, la sauvegarde et la récupération des données.
Contactez un expert en sécurité chez TitanHQ dès aujourd’hui et découvrez comment SpamTitan Email Security peut prévenir les attaques de phishing.
Selon la Federal Trade Commission, une agence indépendante du gouvernement des États-Unis, les escroqueries de phishing liées aux cryptomonnaies ont augmenté de plus de 1 000 % depuis octobre dernier. C’était un titre récent de CBS News. En 2020, on estime à 400 000 le nombre d’escroqueries impliquant des cryptomonnaies.
Il s’avère que les cryptomonnaies ne sont pas seulement populaires parmi les investisseurs spéculatifs. Les escrocs et les cybercriminels sont également très actifs dans cette nouvelle monnaie.
Les Américains ont perdu plus de 68 millions d’euros pendant cette période. Ces pertes résultent des escroqueries à l’investissement, des vols de portefeuilles numériques et des attaques de phishing.
Selon le FBI, les attaques par compromission des e-mails professionnels (Business Email Compromise ou BEC) liées aux cryptomonnaies ont considérablement augmenté au cours des deux dernières années, les entreprises perdant environ 8.5 millions d’euros en 2020.
Dans un exemple d’attaque, les escrocs ont pu s’en tirer en volant plus de 12.5 millions d’euros à une entreprise. Souvent, les victimes ne savent même pas que leurs fonds sont convertis en monnaie numérique.
Un certain nombre de raisons expliquent pourquoi les cryptomonnaies jouent un rôle aussi important dans les escroqueries en général. La technologie des monnaies numériques étant très récente, la plupart des gens ne savent pas comment elle fonctionne.
La blockchain est un concept d’avant-garde et constitue donc un nouveau territoire pour la plupart d’entre nous. Les cybercriminels sont alors en mesure de tirer parti du faible niveau de compréhension que les gens ont de ce concept.
Un autre facteur qui contribue à l’augmentation du nombre d’attaques cybercriminelles est le nombre de monnaies numériques. Il y a actuellement plus de 5 000 cryptomonnaies en circulation dans le monde, et de nouvelles sont créées à un rythme effréné.
Il est donc facile pour les attaquants de changer continuellement de monnaie. Ils créent également plusieurs portefeuilles de cryptomonnaies pour un usage unique. Une fois que la victime a payé, le portefeuille est abandonné.
Les pirates profitent également des documents d’identification de tiers qu’ils collectent lors d’attaques d’exfiltration de données. Ils ouvrent ensuite des portefeuilles de cryptomonnaies en utilisant ces informations personnelles saisies. De plus, les cryptomonnaies ont une qualité d’anonymat héritée.
Si les blockchains qui les soutiennent fournissent un enregistrement de la transaction financière réelle, la plupart d’entre elles ne divulguent pas d’informations personnelles concernant ces transactions. Il est donc difficile pour les autorités d’établir tout type de schéma financier susceptible de faciliter leurs enquêtes. Il s’avère que les cryptomonnaies sont un paradis pour les criminels.
Attaques BEC liées aux cryptomonnaies
De nos jours, de nombreuses attaques BEC sont bien pensées et coordonnées. Les attaquants se sont souvent renseignés sur l’organisation ciblée et sur les principaux dirigeants. Ils ont souvent compromis le système de messagerie de l’entreprise des semaines, voire des mois avant l’attaque initiale, afin de s’habituer aux protocoles et à la culture de l’organisation.
L’attaque elle-même implique généralement l’usurpation de l’identité d’un dirigeant clé, tel que le PDG ou le directeur financier d’une entreprise. Un employé de niveau inférieur ayant accès au système de paiement de l’entreprise est invité à transférer des fonds pour une raison précise comme une transaction importante ou un achat.
L’employé reçoit des instructions qui incluent un compte bancaire pour la transaction où l’échange de cryptomonnaies du pirate maintient un compte de dépôt. Une fois que les fonds sont virés sur le compte du pirate, la banque convertit automatiquement l’argent en cryptomonnaie.
Les attaques de phishing liées aux cryptomonnaies les plus courantes
Bien entendu, la plupart des attaques de phishing liées aux cryptomonnaies sont lancées dans le but d’obtenir un gain rapide de la confiance des utilisateurs peu méfiants. Il y a les escroqueries habituelles qui font la promotion de faux prix, de cadeaux et de tirage au sort impliquant d’une manière ou d’une autre des cryptomonnaies.
Les exemples les plus marquants d’escroqueries liées à la cryptomonnaie concernent les systèmes d’investissement. Il s’agit souvent de fausses approbations par des célébrités ou des défenseurs bien connus des cryptomonnaies, comme Elon Musk.
Les attaques par typosquattage – une technique basée sur les fautes de frappe et d’orthographe commises un internaute au moment de saisir une adresse web dans un navigateur — sont également populaires. Pour duper leurs victimes, les cybercriminels achètent des noms de domaine qui ressemblent beaucoup à ceux de sites d’échange de cryptomonnaies bien connus.
Recommandations du FBI
En plus de l’alerte publiée plus tôt cette année, le FBI a fourni une liste de mesures spécifiques que les entreprises et les particuliers devraient adapter afin d’éviter d’être la cible d’une escroquerie liée aux cryptomonnaies. Il s’agit notamment des mesures suivantes :
Augmentez vos processus d’authentification avec une solution d’authentification multifactorielle (AMF). La méthode la plus populaire consiste à transmettre un code PIN par SMS ou par e-mail après que l’utilisateur a saisi ses identifiants de connexion pour pouvoir l’authentifier. Les applications d’authentification sur Smartphone sont également de plus en plus populaires.
Les services informatiques doivent s’assurer que les applications de messagerie de leurs employés sont configurées de manière à permettre aux utilisateurs d’afficher les extensions complètes des e-mails qu’ils reçoivent.
Les particuliers sont encouragés à surveiller régulièrement leurs comptes bancaires pour détecter les indiscrétions et les transactions non reconnues.
Le FBI insiste fortement sur le fait que la meilleure protection contre le phishing est une solution antiphishing moderne. Une excellente option est SpamTitan, qui intègre un double antivirus, une protection contre les fuites de données, des listes noires en temps réel (RBL), un filtrage du contenu des e-mails ainsi qu’une analyse heuristique bayésienne intégrant l’apprentissage automatique.
De nombreux investisseurs traditionnels ont choisi de rester sur la touche et de se contenter d’observer les rendements frénétiques des cryptomonnaies. Mais sachez que, lorsqu’il s’agit de se protéger des escroqueries liées aux cryptomonnaies, aucun d’entre nous ne peut se permettre de ne par réagir face aux menaces cybercriminelles actuelles.
Protégez-vous et votre entreprise contre les attaques de phishing liées aux cryptomonnaies avec la solution antispam SpamTitan. SpamTitan est une solution de sécurité de la messagerie capable d’anticiper les nouvelles attaques grâce à une technologie d’Intelligence artificielle prédictive. Nous vous invitons à découvrir la démonstration de SpamTitan dès aujourd’hui.
L’introduction du travail à domicile et du confinement causé par la pandémie du Covid-19 ont déplacé l’attention des professionnels de la cybersécurité. En fait, les cybercriminels ont développé des moyens plus sophistiqués pour compromettre les systèmes des entreprises.
Un rapport sur les risques mondiaux indique que l’année 2021 sera axée sur de meilleures stratégies de cybersécurité pour détecter et arrêter le phishing et les attaques de ransomware. Ces deux méthodes d’attaque sont de plus en plus courantes et efficaces pour permettre aux escrocs de voler des données ou d’extorquer des millions d’euros aux entreprises ciblées.
Le paysage actuel des menaces
Selon Osterman Research, les trois principaux enjeux de la cybersécurité en 2021 sont :
La protection des points d’extrémité (par exemple, les appareils des utilisateurs ou les ordinateurs connectés à Internet) ;
La sensibilisation des utilisateurs aux ransomwares et le fait de les empêcher d’en être victimes ;
La protection des sauvegardes pour lutter contre les attaques de ransomwares.
Ces malwares chiffrent les données à l’aide d’un code cryptographique sécurisé, de sorte qu’il est techniquement impossible pour la victime de remédier au problème.
La seule façon de se remettre d’une attaque de ransomware est d’utiliser les sauvegardes pour restaurer les données ou de payer la rançon. Pour des raisons évidentes, la plupart des entreprises préfèrent utiliser les sauvegardes pour récupérer leurs données.
Comme les sauvegardes sont une solution de récupération pour les victimes, la troisième préoccupation doit être une priorité pour les organisations au cas où elles deviendraient une cible réussie.
Les développeurs des ransomwares programment leurs malwares pour rechercher les sauvegardes sur le réseau, ce qui réduit les chances de récupération pour les victimes ciblées. Sans la sauvegarde des données, la victime ciblée est obligée de payer la rançon, ce qui est l’objectif principal des escrocs.
Si l’entreprise victime ne paie pas la rançon, la stratégie finale des pirates informatiques consiste à menacer de divulguer les données privées de l’organisation. Ils menacent souvent de divulguer la violation des données au public, ce qui pourrait nuire à la réputation de la marque et entraîner des poursuites judiciaires et des sanctions de conformité supplémentaires.
Si l’entreprise ne parvient pas à récupérer les sauvegardes, elle peut parfois négocier avec le propriétaire du ransomware.
Dans les attaques actuelles, le propriétaire du ransomware inclut un numéro de contact numérique (par exemple, WhatsApp ou Telegram) que les victimes peuvent utiliser si elles ont des questions. Par exemple, le district scolaire du comté de Broward a pu négocier avec les auteurs d’un ransomware pour que le paiement passe de 40 à 10 millions de dollars.
Le phishing et le ransomware fonctionnent ensemble lors d’une compromission
Pour installer un ransomware sur un système ciblé, l’attaquant a besoin d’un vecteur. Dans de nombreux cas, le début de la compromission est un courrier électronique. Le message électronique peut contenir un lien vers un site web malveillant.
Le pirate peut également joindre un document contenant une macro qui télécharge le malware sur l’appareil ciblé. La plupart des systèmes de messagerie bloquent les fichiers exécutables, mais les attaquants peuvent utiliser un fichier exécutable ou un script malveillant pour installer le ransomware.
Les utilisateurs doivent être formés pour identifier les emails suspects, mais l’erreur humaine est un problème majeur en matière de cybersécurité. Il suffit qu’un seul utilisateur tombe dans le piège d’un email de phishing pour que les attaquants réussissent à installer un ransomware, ce qui en fait une stratégie efficace.
Comme il suffit d’un seul email de phishing réussi, un attaquant peut en envoyer des centaines à des utilisateurs spécifiques au sein de l’organisation.
La cybersécurité de la messagerie électronique est une défense primaire
La formation à la cybersécurité est souvent la première défense contre les ransomwares et le phishing, mais elle laisse l’organisation ouverte à l’erreur humaine. La seule façon d’empêcher l’erreur humaine est d’empêcher les messages malveillants d’atteindre la boîte de réception du destinataire.
La cybersécurité de la messagerie électronique — qui détecte et filtre les messages suspects — est la principale défense contre les ransomwares et les autres attaques qui commencent par une campagne de phishing.
Les ransomwares sont dommageables pour toute organisation, mais le phishing est également utilisé pour l’injection d’autres malwares. Il est également utilisé pour voler les informations d’identification des utilisateurs pour les comptes personnels ou l’accès au réseau de l’entreprise.
La cybersécurité de la messagerie électronique détecte tous ces messages malveillants et les met en quarantaine avant de permettre aux messages d’atteindre la boîte de réception de l’utilisateur.
Lorsque les défenses de cybersécurité mettent un email en quarantaine, les administrateurs peuvent examiner les messages. En permettant aux administrateurs d’examiner les messages au lieu de les supprimer purement et simplement, les administrateurs peuvent vérifier si les messages sont faussement positifs et envoyer au destinataire ceux qui devraient l’être.
Sans la méthode de mise en quarantaine, les utilisateurs pourraient perdre des messages importants contenant des pièces jointes essentielles. Les administrateurs peuvent également déterminer si une campagne de phishing ciblée est en cours afin de former et d’éduquer davantage les utilisateurs pour qu’ils soient plus vigilants en cas de faux négatifs.
Les ransomwares étant de plus en plus populaires, la cybersécurité des emails est plus importante que jamais. Les sauvegardes sont toujours nécessaires, mais la cybersécurité des emails est votre première défense contre ces attaques.
Le blocage des messages malveillants permet d’économiser de l’argent, du temps et des problèmes potentiels liés à une attaque réussie de ransomware et sert de stratégie pour protéger l’entreprise contre l’erreur humaine.
Nous aimerions vous inviter à découvrir les résultats de notre webinaire qui s’est déroulé le 30 juin lors de laquelle la nouvelle recherche d’Osterman Research a été dévoilée.
Cette étude a été menée auprès de 130 professionnels de la cybersécurité et porte spécifiquement sur les menaces croissantes du phishing et du ransomware, et sur la manière dont les risques de ces deux phénomènes peuvent être réduits.
Une recrudescence du phishing a commencé en 2020 avec le confinement causé par la pandémie Covid-19, et il continue d’être une menace sérieuse pour la cybersécurité en 2021. Les attaquants changent leurs méthodes à mesure que davantage de personnes prennent conscience de leurs escroqueries et que les défenses de cybersécurité fonctionnent efficacement pour les arrêter.
Les fichiers PDF permettent aux utilisateurs de partager des informations en texte riche, y compris des liens, des images, des animations et même des scripts internes liés au fichier.
Lors du dernier groupe d’attaques, les campagnes de phishing utilisaient des pièces jointes PDF qui exécutent diverses méthodes pour rediriger les utilisateurs vers un site malveillant dans le but de voler leurs informations.
Pour éviter d’être la prochaine victime d’une telle attaque, découvrez les différentes tactiques que les escrocs utilisent actuellement.
Fausses redirections CAPTCHA
Un CAPTCHA est un symbole reconnu par tous les utilisateurs d’Internet. Il s’agit donc d’un moyen facile et pratique pour inciter les utilisateurs à cliquer sur un lien. Dans cette campagne de phishing, un attaquant insère une image de l’interface CAPTCHA courante de Google.
Les utilisateurs reconnaissent l’image, cliquent sur « Continuer » et s’attendent à voir un site qu’ils reconnaissent. Lorsqu’ils cliquent sur le lien, ils sont redirigés vers un site contrôlé par les escrocs, où ils sont demandés de saisir leurs informations privées.
Utilisation de logos populaires pour des redirections malveillantes
Il est facile d’amener les utilisateurs à cliquer sur des liens générés par des logos reconnaissables. Lorsque les attaquants utilisent le logo d’une marque connue, ils peuvent inciter leurs cibles à cliquer sur le logo.
Lors d’une attaque récente, l’image d’une marque populaire est incluse dans le fichier PDF avec la promesse d’une réduction. Cela ressemble à une vente de marque courante, ce qui a incité les utilisateurs à cliquer sur l’image.
Après qu’un utilisateur a cliqué sur l’image, un navigateur s’ouvre et cible un site de redirection. Le site de redirection l’envoie alors vers une page de phishing contrôlée par l’attaquant.
Comme dans le cas de l’arnaque CAPTCHA, les utilisateurs qui ne remarquent pas la redirection pensent qu’ils accèdent à un site populaire et peuvent saisir leurs informations privées ou leurs identifiants de connexion pour accéder au site.
Boutons de lecture sur des images statiques
Lorsque vous voyez un bouton de lecture sur une image, votre premier réflexe est de cliquer sur le bouton et de regarder les vidéos. Cette réaction naturelle à un bouton de lecture est ce que les attaquants attendent lorsqu’ils envoient un fichier PDF avec une image statique contenant un bouton de lecture de type vidéo.
Cette arnaque est courante lors des attaques de phishing ciblant les traders et les investisseurs en cryptomonnaies. Les victimes ouvrent le fichier PDF et cliquent sur le lien de la fausse image vidéo. Au lieu de lire une vidéo, ils sont redirigés vers un site malveillant qui les invite à saisir leurs informations de carte de crédit pour un site de rencontre.
Partage de fichiers et phishing
La plupart des utilisateurs possèdent un compte Google Drive ou un compte Microsoft OneDrive. En obtenant l’accès à l’un ou l’autre de ces comptes, les attaquants disposent d’une grande quantité de documentation et de données privées provenant des fichiers stockés sur ces comptes de stockage dans le cloud.
Ils utilisent des liens images dans les fichiers PDF pour inciter leurs cibles à divulguer leurs informations d’identification afin d’accéder à leurs comptes.
L’image affiche une invitation à accéder à un fichier dont l’utilisateur sait instinctivement qu’il devrait ouvrir son disque dur. Pourtant, il s’agit d’une page de phishing qui s’ouvre lorsqu’il clique sur le lien.
Cette page de phishing ressemble exactement à la page d’accueil d’OneDrive ou de Google Drive, de sorte que la victime qui ne remarque pas le nom de domaine dans la fenêtre de son navigateur va instinctivement saisir son nom d’utilisateur et son mot de passe.
Une fois qu’il aura saisi ces informations, les informations seront envoyées à l’attaquant qui peut alors accéder à son compte cloud.
Escroqueries sur les sites de commerce électronique
L’utilisation de logos populaires est beaucoup plus convaincante que celle d’images de marque inconnues. Les logos de sites comme eBay, PayPal, Microsoft, Google et Amazon sont connus dans le monde entier, de sorte que les attaquants ont de nombreuses victimes potentielles lorsqu’ils envoient des emails de phishing à des milliers de destinataires.
Les dernières attaques de phishing utilisant des fichiers PDF incluent des logos de commerce électronique courants pour convaincre les lecteurs de cliquer sur des liens. Les sites de commerce électronique contiennent des informations privées et des données de cartes de crédit, de sorte que les attaquants peuvent voler des produits en utilisant les informations de la victime ciblée.
Par exemple, le fichier PDF peut contenir le logo Amazon et demander aux utilisateurs de cliquer sur le lien pour acheter des produits. Au lieu d’ouvrir Amazon dans le navigateur de l’utilisateur, un site web contrôlé par l’attaquant se faisant passer pour le site légitime demande aux utilisateurs de s’authentifier.
Lorsque les utilisateurs saisissent leurs informations d’identification sur le site de phishing, l’attaquant dispose désormais de leurs informations de connexion pour accéder à leurs comptes de commerce électronique.
Conclusion
Les attaques de phishing restent la menace numéro un contre les utilisateurs et les entreprises. Utilisez des filtres de la messagerie électronique pour mettre fin à ces attaques.
Les filtres de messagerie détectent les pièces jointes malveillantes et les empêchent d’atteindre la boîte de réception du destinataire.
Grâce à la cybersécurité des emails, les entreprises peuvent réduire considérablement le risque de phishing et empêcher vos employés de devenir la prochaine victime d’une attaque cybercriminelle.
Le filtre de messagerie SpamTitan bloque les spams, les virus, les malwares, les tentatives de phishing et d’autres menaces utilisant la messagerie électronique des entreprises, les fournisseurs de services gérés et les écoles du monde entier.
Découvrez l’ensemble des fonctionnalités de SpamTitan dans cette démo. Voir la démo.
Les douze derniers mois ont été terribles pour les compagnies aériennes du monde entier. La pandémie du Covid-19 a cloué les avions au sol et provoqué un impact économique considérable. Selon une étude de KPMG, les pertes mondiales du secteur aérien devraient atteindre plus de 252 milliards de dollars en 2020.
Cependant, les cybercriminels ont décidé de frapper les compagnies aériennes même pendant qu’elles sont à terre, avec des fraudes et des cyberattaques qui continuent de sévir dans le secteur de l’aviation.
Parmi ces attaques, citons la violation de données « sophistiquée » de la part de SITA Passenger Service System Inc. en février 2021, entraînant le vol de données personnelles de passagers et affectant plusieurs compagnies aériennes.
Indépendamment de cette violation, SITA a déclaré précédemment que seuls environ 35 % des compagnies aériennes et 30 % des aéroports sont correctement préparés aux cyberattaques.
Les types de cyberattaques visant le secteur de l’aviation sont variés et comprennent les attaques de ransomwares, les attaques par déni de service distribué (DDoS) sur les sites web et les menaces persistantes avancées (APT). Une récente attaque du groupe APT LazyScripter démontre la sophistication et les méthodes très ciblées que les cybercriminels utilisent contre les compagnies aériennes.
Une menace persistante avancée (APT) pour les compagnies aériennes
L’attaque APT de LazyScripter contre l’industrie aéronautique montre à quel point les attaques sont devenues insidieuses et complexes.
LazyScripter est un groupe de pirates informatiques qui a été récemment identifié bien qu’il soit probablement actif depuis 2018. Le groupe a récemment été détecté par Malwarebytes, utilisant un cheval de Troie d’accès à distance ou RAT pour cibler spécifiquement les demandeurs d’emploi des compagnies aériennes.
Les cibles comprennent l’Association internationale du transport aérien (IATA) et diverses compagnies aériennes. Le lien commun entre ces différentes menaces semble être l’utilisation d’un logiciel appelé « BSPLink », utilisé par l’IATA comme application de facturation et de règlement.
Le RAT a été découvert par les chercheurs de Malwarebytes, qui ont identifié des tactiques et des mises à jour de boîtes à outils à distance permettant d’échapper à la détection. Par exemple, les pirates ont récemment modifié la façon dont ils trompent les utilisateurs en imitant une nouvelle fonctionnalité de la pile logicielle de l’IATA, connue sous le nom de « IATA ONE ID ». Il s’agit d’un outil de traitement des passagers sans contact.
Les chercheurs ont remarqué que certaines tactiques étaient utilisées pour déployer le RAT
Des emails de phishing ont été utilisés pour diffuser des téléchargeurs de malwares sous la forme de fichiers batch, de VBScript et de fichiers de registre, cachés dans des zips ou des documents. Ce type de mécanisme de diffusion est appelé « maldocs » ou « documents Office malveillants », c’est-à-dire les fichiers malveillants qui se font passer pour des icônes PDF, Word ou Excel.
Les emails de phishing utilisaient des thèmes liés à l’IATA ou à l’emploi pour faire croire aux utilisateurs que les messages étaient légitimes. Ils avaient également des thèmes associés aux mises à jour de Microsoft et au Covid-19.
Des documents ou des fichiers zip en pièces jointes des emails étaient utilisés comme vecteur d’infection initial. Ce sont ces fichiers qui contenaient le téléchargeur du malware.
Certains emails de spam contenaient un lien raccourci. En cliquant sur le lien, l’utilisateur était redirigé vers un téléchargeur de malware nommé « KOCTOPUS ». Ou bien, un document contenait une version intégrée de KOCTOPUS.
On peut par exemple citer l’utilisation du fichier téléchargeur de script PowerShell qui était utilisé pour exposer les ports locaux du système victime sur Internet. Au total, sept exécutables ont été trouvés associés à KOCTOPUS. Les signaux émis par ces fichiers indiquaient que des mises à jour à distance avaient été effectuées.
GitHub a été utilisé par LazyScripter pour héberger ses boîtes à outils, qui comprenaient des boîtes à outils de sécurité open source, mais les comptes ont été supprimés par la suite.
Comment prévenir une cyberattaque ciblée ?
Il est important de retenir de l’exemple de LazyScripter que les cybercriminels réfléchissent soigneusement à la manière dont ils mènent une attaque. Ces groupes de pirates sont des criminels dévoués, déterminés à semer le chaos et la destruction, et leur objectif est souvent financier : voler des données pour les revendre ou pour commettre une fraude financière.
Il n’existe pas d’approche unique pour faire face aux cybermenaces qui visent des secteurs spécifiques. Les pirates à l’origine des attaques prennent le temps de comprendre leurs cibles pour trouver les meilleurs moyens pour faire en sorte que leurs scénarios d’attaques réussissent.
Le gang derrière l’attaque contre LazyScripter a utilisé des logiciels reconnus comme légitimes et des emails de marque pour faire croire aux utilisateurs qu’ils étaient en sécurité. La détection et la prévention de ces types de cybermenaces très ciblées nécessitent une position proactive en matière de sécurité et des outils adaptés.
Outre la protection des données des clients, il est essentiel de veiller à ce que le personnel soit sensibilisé à la cybersécurité. Cependant, même les employés les plus conscients peuvent encore être dupés en cliquant sur un lien lorsque des tactiques astucieuses telles que les maldocs sont utilisées.
Les emails de phishing — en particulier les emails de spear-phishing — sont très difficiles à repérer, même pour les employés les plus avertis en matière de sécurité. Une prévention robuste contre le phishing et les liens vers des sites malveillants est nécessaire pour servir de « premier filet de capture ». Ces outils empêchent les emails malveillants d’entrer dans la boîte de réception d’un employé et — s’ils parviennent à passer – empêchent l’employé d’accéder à un site web dangereux.
Protection contre les sites web malveillants
Les outils de filtrage de contenu intelligents empêchent les employés de consulter des sites malveillants en cliquant sur un lien dans un email de phishing, même s’il s’agit de liens habilement déguisés comme dans les emails de phishing de LazyScripter. Ces outils d’apprentissage automatique vérifient un site web pour s’assurer qu’il ne contient aucun malware et qu’il ne s’agit pas d’un site de phishing.
Protection contre le phishing
Le phishing peut être évité grâce à une solution de protection des emails. Ces outils analysent tous les emails entrants à la recherche de signaux indiquant qu’un email est un spam ou contient des pièces jointes malveillantes ou des liens dangereux.
Certains outils, comme SpamTitan, protègent les organisations contre les vulnérabilités de type « Zero-Day » grâce à des technologies intelligentes. Cette dernière capacité est importante, car les cybercriminels continuent d’utiliser les failles de type « zero-day » pour contourner vos systèmes de protection tels que les correctifs et les logiciels antimalware pour les points d’accès.
Les cybercriminels se moquent de savoir si un secteur a été gravement touché par une mauvaise économie ou une catastrophe telle que la pandémie du Covid-19. Tout ce qui les intéresse, c’est de créer des chaînes d’attaques complexes et sophistiquées qui sont difficiles à détecter et à prévenir. Heureusement, les professionnels de la sécurité cherchent constamment des solutions pour contrer les cybermenaces avec leurs propres outils sophistiqués.
TitanHQ fournit une protection contre les menaces avancées pour protéger votre organisation des attaques de phishing. Apprenez-en davantage sur la protection multicouche de TitanHQ dès aujourd’hui. Contactez-nous.
La pandémie a changé la façon dont le monde travaillait et apprenait. Les enseignants ont fait l’expérience unique de changer leur façon de travailler et d’enseigner à leurs élèves. Ils étaient contraints de proposer un enseignement en ligne, ce qui signifie que les étudiants communiquaient principalement par le biais d’applications VoIP (voix sur IP) et de messages électroniques.
Les escrocs se sont emparés du changement de communication dans l’enseignement et ont utilisé des attaques de phishing conçues pour ressembler à des étudiants rendant leur travail. Les emails contenaient des pièces jointes malveillantes avec des macros qui téléchargeaient un ransomware et cryptaient les fichiers des enseignants. Pour récupérer leurs données, ils avaient trois choix : payer une rançon pour obtenir la clé de déchiffrement ; les restaurer à partir d’une sauvegarde ou perdre définitivement leurs fichiers essentiels.
Les enseignants victimes de nouvelles campagnes de ransomware
Alors que tout le monde s’acclimatait aux changements de leur mode de travail à cause du confinement, les enseignants ont mis en place une communication en ligne et des sites Web pour que les élèves puissent poser des questions et rendre leurs devoirs. La dernière campagne de phishing a imité les communications entre élèves et enseignants. Le message électronique prétendait être le parent d’un élève et comportait un fichier joint contenant une macro malveillante.
Le message indiquait à l’enseignant que les messages précédents n’avaient pas permis de remettre le devoir de l’élève. Les chercheurs pensent que les attaquants ont récolté les adresses électroniques des enseignants ciblés en utilisant les listes de contacts des professeurs sur le site Web de l’école. Comme ces pages contiennent le nom de l’enseignant, l’attaquant pouvait alors adresser l’email avec le nom de l’enseignant, faisant croire que le message était légitime. Après que l’enseignant a ouvert le fichier joint, la macro a téléchargé les fichiers exécutables du ransomware.
L’un des aspects de cette attaque était que les exécutables malveillants envoyaient un message SMS à l’attaquant pour l’avertir de la présence d’une nouvelle victime. Un autre aspect unique de cette souche de ransomware est qu’elle a été écrite dans le langage de programmation Go, contrairement à de nombreuses autres souches standards. Les fichiers chiffrés par le ransomware sont répertoriés dans un fichier texte nommé « About_Your_Files.txt » et stocké sur le bureau de l’utilisateur.
Le ransomware visait les particuliers et non les entreprises. Les attaques au niveau des entreprises demandent des dizaines de milliers d’euros, ce qui oblige l’entreprise à payer la rançon ou à perdre l’accès à ses données essentielles.
Les ransomwares ciblant les enseignants demandent environ 60 euros en bitcoins, ce qui les rend abordables pour que les particuliers choisissent de payer la rançon au lieu de récupérer les sauvegardes. Les auteurs de ransomwares destinés aux entreprises demandent généralement des montants plus élevés, sachant que les entreprises disposent de plus de fonds.
Des ransomwares retardent les cours dans tous les États-Unis
Comme les écoles ne disposent pas souvent des ressources nécessaires pour stopper les attaques sophistiquées, elles sont des cibles privilégiées pour les attaques de ransomwares. Tout au long de l’année 2020, les ransomwares ont retardé les sessions de cours dans plusieurs écoles aux États-Unis. Par exemple, un ransomware a retardé le premier jour de classe d’une école de Hartford, dans le Connecticut. Le ransomware de cette attaque a visé 200 serveurs de la ville, ne permettant pas à l’école d’obtenir des listes et des informations sur les élèves.
En septembre 2020, une attaque de ransomware a touché le district scolaire du comté de Clark à Las Vegas, dans le Nevada. Les responsables de l’école ont refusé de payer la rançon et, en retour, les attaquants ont publié les numéros de sécurité sociale, les notes des élèves et d’autres données privées recueillies par leur malwares.
Cet incident décrit de nombreux scénarios lorsque les victimes refusent de payer la rançon. Dans de nombreux cas, les attaquants font chanter la victime ciblée en exposant des données privées, ce qui peut être tout aussi dommageable, voire plus que la perte des données elles-mêmes.
Comment les écoles peuvent-elles se défendre contre les ransomwares ?
Outre les contrôles de cybersécurité qui bloquent les malwares traditionnels, le blocage des ransomwares nécessite l’éducation des utilisateurs finaux, des filtres de messagerie et des sauvegardes. Les sauvegardes constituent la première défense réactive contre les ransomwares. Si un malware parvient à chiffrer des fichiers, les sauvegardes permettent aux écoles et autres organisations de restaurer les données sans payer la rançon.
Les sauvegardes doivent être stockées hors site afin que les ransomwares ne puissent pas y accéder. Les sauvegardes dans le cloud sont principalement utilisées dans les stratégies de reprise après sinistre requises après une attaque de ransomware.
L’utilisation de filtres de messagerie est une autre stratégie de cybersécurité. En étant proactive, une organisation éducative peut arrêter les pièces jointes de ransomware avant qu’elles n’atteignent les boîtes de réception des utilisateurs ciblés. Avec les filtres de messagerie, votre système de sécurité pourra détecter les messages et pièces jointes malveillants et les envoyer en quarantaine.
La quarantaine est un lieu de stockage sûr où les administrateurs peuvent examiner le contenu du courriel et déterminer s’il s’agit d’un faux positif. S’il s’agit d’un faux positif, les administrateurs le transmettent à la boîte de réception du destinataire. Les messages contenant des malwares peuvent être supprimés ou examinés en vue d’améliorer la stratégie de l’organisation.
L’éducation des utilisateurs est une troisième option. Comme les enseignants communiquent souvent avec leurs élèves en ligne, les sensibiliser aux dangers des malwares et du phishing leur permet d’identifier ces messages.
Les enseignants sont des cibles récentes, et leurs propres appareils sont à risque s’ils continuent à enseigner depuis leur domicile. En dispensant l’éducation et la formation à la cybersécurité nécessaires pour identifier le phishing, les enseignants seront moins susceptibles d’être la prochaine victime d’une telle attaque. Ils doivent également savoir que l’ouverture des pièces jointes doit se faire avec prudence et que les macros ne doivent jamais être exécutées.
Technologie et éducation
La plupart des écoles ont adopté le numérique pour communiquer et collaborer avec les élèves. Les appareils tels que les Chromebooks et les iPads sont monnaie courante. La productivité et la collaboration entre le corps enseignant, les élèves et les parents ont augmenté en conséquence.
Cette transformation numérique du secteur de l’éducation présente des défis en matière de sécurisation des communications et de protection des étudiants contre les attaques en ligne. Les universités et les écoles doivent être en mesure de protéger rapidement et facilement leurs étudiants et leur personnel contre les menaces en ligne.
WebTitan on-the-go (OTG) pour les Chromebooks est maintenant disponible, pour protéger tous les utilisateurs de vos Chromebooks contre les menaces en ligne. Conçu pour le secteur de l’éducation, il s’agit d’une solution de filtrage de sécurité rapide et abordable pour les Chromebooks qui prend en charge la conformité CIPA, ce qui permet à votre école ou votre bibliothèque de bénéficier de réductions E-rate pour des services autres que la téléphonie.
