Attaques de phishing attendues à la suite d’une fuite de données massives chez MyFitnessPal

Attaques de phishing attendues à la suite d’une fuite de données massives chez MyFitnessPal

Under Armour a été victime d’une brèche de données massive de MyFitnessPal qui a permis à un pirate informatique d’accéder aux renseignements personnels de 150 millions d’utilisateurs et de les voler.

Les données concernaient les utilisateurs de l’application mobile MyFitnessPal et de la version Web de la plate-forme de suivi de la condition physique et de la santé. Les types de données volées comprenaient les noms d’utilisateur, les mots de passe et les adresses électroniques chiffrées.

Les données des cartes de paiement ont été conservées par Under Armour, car les informations étaient traitées et stockées séparément et n’ont pas été affectées. Aussi, l’attaquant n’a pas obtenu d’autres renseignements de nature très délicate (qui sont habituellement utilisés pour le vol d’identité et la fraude) comme les numéros de sécurité sociale.

L’fuite de données de MyFitnessPal est remarquable par le volume de données obtenues, ce qui fait d’elle la plus importante fuite de données ayant été détectée cette année. Bien entendu, le vol de données chiffrées ne poserait normalement pas un risque immédiat pour les utilisateurs. C’est certainement le cas pour les mots de passe qui ont été chiffrés en utilisant bcrypt, un algorithme de chiffrement particulièrement puissant.

Cependant, les noms d’utilisateur et les mots de passe n’ont été chiffrés qu’avec la fonction de chiffrement SHA-1, qui n’offre pas le même niveau de protection. Il est donc possible de décoder les données de chiffrement SHA-1, ce qui signifie que l’attaquant pourrait potentiellement accéder aux informations des utilisateurs.

L’attaquant avait déjà accès aux données des utilisateurs depuis un certain temps. En réalité, Under Armour a pris connaissance de la fuite de données le 25 mars 2018, alors que l’attaque a eu lieu plus d’un mois avant d’être détectée, soit environ six semaines avant l’annonce de l’atteinte.

Compte tenu de la méthode qui a été utilisée pour protéger les noms d’utilisateur et les mots de passe, les données peuvent donc être considérées comme accessibles. Ainsi, il est fort probable que la personne responsable de l’attaque tentera de les monétiser. Si l’attaquant ne peut pas personnellement déchiffrer ces données, il est certain qu’il va les confier à d’autres pirates qui sont capables de le faire.

Bien qu’il soit possible que les mots de passe chiffrés en bcrypt puissent être décodés, il est peu probable que quelqu’un tente de les déchiffrer.

Pourquoi ? Parce que cela nécessiterait beaucoup de temps et d’efforts. De plus, Under Armour a déjà prévenu les utilisateurs concernés et les a encouragés à changer leur mot de passe par mesure de précaution, et ce, afin de s’assurer que leurs comptes ne puissent pas être accessibles aux pirates.

Bien que les comptes MyFitnessPal puissent rester sécurisés, cela ne signifie pas que les utilisateurs de MyFitnessPal ne seront pas affectés par une attaque cybercriminelle. Les pirates, ou les détenteurs actuels des données utiliseront sans aucun doute les 150 millions d’adresses e-mail et noms d’utilisateur pour des campagnes de phishing.

Under Armour a commencé à aviser les utilisateurs touchés quatre jours après l’fuite de données de MyFitnessPal. Tout utilisateur concerné doit se connecter et changer son mot de passe par mesure de précaution afin d’empêcher l’accès à son compte. Les utilisateurs doivent également être conscients des risques liés au phishing.

On peut s’attendre à des campagnes de phishing liées à l’fuite de données comme celles de MyFitnessPal. De plus, les pirates vont probablement élaborer divers types d’e-mails de phishing pour essayer d’atteindre leurs cibles. Un incident d’une telle ampleur présente également un risque pour les entreprises. Si un employé devait répondre à une campagne de phishing, il est possible qu’il télécharge des malwares sur son équipement de travail et compromette le réseau de l’entreprise.

Les attaques de ce genre sont de plus en plus fréquentes. Compte tenu de la grande quantité d’adresses e-mail utilisées actuellement pour les campagnes de phishing, des solutions avancées de filtrage du spam sont devenues une nécessité pour les entreprises.

Si vous n’avez pas encore mis en place de filtre antispam, ou bien si vous n’êtes pas satisfait de votre fournisseur actuel, du taux de détection ou du taux de détection de faux positifs, contactez TitanHQ pour en savoir plus sur SpamTitan, le leader des logiciels antispam pour les entreprises.

AdvisorsBot : une nouvelle menace malveillante polyvalente distribuée par des spams

AdvisorsBot : une nouvelle menace malveillante polyvalente distribuée par des spams

Les hôtels, restaurants et entreprises de télécommunications sont la cible d’une nouvelle campagne de spam qui distribue une nouvelle forme de malware appelée AdvisorsBot. AdvisorsBot est un téléchargeur de malwares qui, comme de nombreuses autres variantes, est distribué par des emails contenant des pièces jointes Microsoft Word avec des macros malveillantes.

L’ouverture d’une pièce jointe infectée et l’activation des macros figurant dans le document entraîneront l’installation d’Advisorsbot. Le rôle principal de ce malware est de relever les empreintes digitales sur un appareil infecté. Les informations recueillies sur le dispositif infecté sont ensuite communiquées aux serveurs de commande et de contrôle des acteurs de la menace et des instructions supplémentaires sont fournies au malware en fonction des informations collectées sur le système. Le malware enregistre les informations système, les détails des programmes installés sur l’appareil, les détails du compte Office et d’autres informations. Il est également capable de faire des captures d’écran sur un appareil infecté.

AdvisorsBot est ainsi nommé parce que les premiers échantillons de malwares identifiés en mai 2018 ont contacté les serveurs de commande et de contrôle qui contenaient le mot advisors.

La campagne de spam est principalement menée sur des cibles aux États-Unis, mais d’autres infections ont également été détectées dans le monde entier. Selon les chercheurs en sécurité de Proofpoint qui ont découvert cette nouvelle menace, plusieurs milliers d’appareils ont été infectés par le malware depuis le mois de mai. Les pirates qui seraient à l’origine de ces attaques sont un groupe d’attaquants APT (Advanced Persistent Threat), connu sous le nom de TA555.

Différents leurres par email ont été utilisés dans cette campagne de malware pour inciter les destinataires à ouvrir la pièce jointe infectée et à activer les macros. Les emails envoyés aux hôtels semblaient provenir de personnes ayant été facturées deux fois pour leur séjour. La campagne sur les restaurants a utilisé des emails qui affirmaient que l’expéditeur a souffert d’une intoxication alimentaire après avoir mangé dans un établissement particulier, tandis que les attaques contre les entreprises de télécommunications avaient recours à des pièces jointes d’emails qui semblaient être des curriculum vitae de candidats postulant à une offre d’emploi.

AdvisorsBot est écrit en langage « C », mais une deuxième forme du malware a également été détectée. Cette variante est écrite en .NET et PowerShell. Cette deuxième variante a été nommée PoshAdvisor et elle est exécutée via une macro malveillante. Cette macro va, à son tour, exécuter une commande PowerShell qui télécharge un script PowerShell, lequel exécute le shellcode, ce qui exécute le malware dans la mémoire sans l’écrire sur le disque de l’appareil infecté.

Ces menaces de malware sont encore en cours de développement. Elles sont typiques de nombreuses menaces de malwares récentes qui disposent d’un large éventail des capacités et de la polyvalence nécessaires pour de nombreux types d’attaques différents comme le vol d’informations, la distribution de ransomwares et l’extraction de cryptomonnaie. Les actions malveillantes sont déterminées en fonction du système sur lequel le malware a été installé. Si ce système est parfaitement adapté à l’extraction de cryptomonnaie, le code correspondant sera installé. Si l’entreprise présente un intérêt particulier, elle fera l’objet d’un compromis plus large.

La meilleure forme de défense contre cette campagne est l’utilisation d’une solution avancée de filtrage de spam pour empêcher la distribution des emails malveillants, ainsi qu’une formation de sensibilisation des employés à la sécurité afin qu’ils puissent réagir au cas où une telle menace arriverait dans leur boîte de réception.

Attaques de phishing dans les écoles : votre école en fait-elle assez pour les empêcher ?

Attaques de phishing dans les écoles : votre école en fait-elle assez pour les empêcher ?

Aux États-Unis, les attaques de phishing contre les écoles et les établissements d’enseignement supérieur se sont multipliées ces derniers mois, soulignant ainsi la nécessité d’améliorer les programmes de formation du personnel et des moyens de défense contre la cybersécurité.

Le phishing consiste à envoyer des emails dans le but d’amener les destinataires à révéler des renseignements de nature délicate, comme des ouvertures de session à des comptes de messagerie électronique, des comptes bancaires ou d’autres systèmes informatiques. Généralement, un lien est inclus dans l’email qui dirigera l’utilisateur vers un site Web où l’information doit être entrée. Les sites, ainsi que les emails, contiennent des informations qui donnent l’impression que la demande est authentique.

Le phishing n’est pas nouveau. Il existe depuis les années 1980, mais la manière avec laquelle les informations sensibles sont stockées électroniquement et l’augmentation du nombre de transactions effectuées en ligne ont rendu les attaques beaucoup plus rentables pour les cybercriminels. En effet, les attaques ont augmenté et la qualité des emails de phishing s’est améliorée de façon incommensurable. De plus, les emails de phishing sont de plus en plus difficiles à identifier, en particulier par les membres du personnel non formés.

Aucune organisation n’est à l’abri des attaques. Si auparavant, les cybercriminels concentraient leurs efforts sur les institutions financières et les organismes de santé, aujourd’hui, le secteur de l’éducation est largement ciblé. Les attaques de phishing contre les écoles sont beaucoup plus fréquentes, et elles sont trop souvent couronnées de succès.

L’ampleur du problème est telle que l’IRS (Internal Revenue Service, le fisc américain) a récemment lancé un avertissement à la suite d’une augmentation massive des attaques de phishing contre les écoles. Des campagnes étaient menées par des attaquants à la recherche de données du formulaire W-2 sur les employés des établissements scolaires. Ces renseignements ont ensuite été utilisés pour produire des déclarations de revenus frauduleuses au nom de leurs employés.

Les récentes attaques de phishing contre des écoles, collèges et universités

Le Westminster College est l’un des récents établissements d’enseignement à avoir signalé qu’un employé s’est fait prendre au piège avec le phishing par formulaire W-2, bien qu’il y ait eu des dizaines d’écoles, de collèges et d’universités qui ont été attaqués cette année.

Les emails de phishing n’ont pas seulement pour but d’obtenir des renseignements fiscaux. Récemment, une attaque contre des écoles publiques de Denver a donné à un cybercriminel les informations dont il avait besoin pour effectuer un virement bancaire frauduleux. Plus de 40 000 $ destinés à payer les salaires du personnel ont été transférés sur son compte.

Cette semaine, nous avons appris via les forums sur le darknet qu’un pirate informatique avait eu accès aux comptes de messagerie d’une école, aux cahiers de notes des enseignants et aux renseignements personnels de milliers d’élèves. Cette personne cherchait des conseils sur ce qu’il fallait faire avec les données et les accès qu’il a obtenus afin de gagner de l’argent.

L’École de médecine de l’Université de Washington a été la cible d’une attaque de phishing, laquelle a permis aux agresseurs d’avoir accès aux renseignements médicaux des patients. Plus de 80 000 patients se sont fait voler leurs renseignements médicaux à la suite de cette attaque.

La semaine dernière, des informations ont également fait état d’une tentative d’attaque de phishing contre des écoles du Minnesota, avec 335 districts scolaires publics et environ 170 écoles potentiellement attaquées. Cette fois, l’attaque de phishing a été identifiée avant que l’information n’ait été divulguée. Elle concernait un courriel qui semblait avoir été envoyé par le Commissaire à l’Éducation. En réalité, les attaquants essayaient d’avoir accès à des informations financières.

Comment améliorer les défenses contre les attaques de phishing ?

Heureusement, il existe un certain nombre de contrôles technologiques qui peuvent être mis en œuvre, et à moindre coût, pour réduire le risque de succès des attaques par phishing dans les écoles.

Une solution avancée de filtrage du spam dotée d’un puissant composant antiphishing est maintenant essentielle. Un filtre antispam recherche les signatures de spam et de phishing courantes. Il s’assure également que les messages suspects soient mis en quarantaine et qu’ils ne soient pas envoyés aux utilisateurs finaux.

Bien entendu, même avec un filtre antispam, des emails de phishing peuvent parfois être envoyés. Pour empêcher les employés de visiter des sites Web de phishing et de révéler leurs informations, une solution de filtrage Web peut être utilisée.

Les filtres Web peuvent être configurés pour empêcher les utilisateurs finaux de visiter des sites Web connus et qui peuvent être utilisés pour le phishing. De plus, ces filtres permettent d’empêcher les utilisateurs d’accéder à des sites Web connus pour contenir des malwares, pour héberger des contenus illégaux ou indésirables tels que la pornographie.

Ces solutions devraient s’accompagner d’une formation pour tous les membres du personnel sur les risques liés au phishing et sur les identificateurs communs qui peuvent aider le personnel à repérer un email de phishing.

Par ailleurs, les écoles devraient mettre en œuvre des politiques pour signaler les menaces au niveau des services informatiques de l’organisation. Un signalement rapide peut limiter les préjudices causés par les attaques de phishing et empêcher les autres membres du personnel d’y répondre.

En outre, les services informatiques devraient mettre en place des politiques pour s’assurer que les attaques déjouées soient signalées aux forces de l’ordre.

Enfin, le signalement doit être envoyé aux autres districts scolaires à la suite d’une attaque pour leur permettre de prendre des mesures afin de se protéger contre des attaques similaires.

Toute école ou institution d’enseignement supérieur qui ne met pas en place les moyens de défense appropriés courra un risque élevé qu’une attaque de phishing soit un succès.

Non seulement les attaques de phishing exposent les employés à un risque de fraude, mais elles peuvent s’avérer trop coûteuses à atténuer pour les écoles. Avec des budgets déjà serrés, la plupart d’entre elles n’ont tout simplement pas les moyens de le faire.

Si vous souhaitez obtenir de plus amples informations sur la gamme de protections en matière de cybersécurité pouvant être mises en place pour prévenir les attaques de phishing dans les écoles et autres établissements scolaires, appelez dès aujourd’hui TitanHQ.

Nouvelles statistiques de Google sur les menaces à la sécurité des emails d’entreprise

Nouvelles statistiques de Google sur les menaces à la sécurité des emails d’entreprise

Google a publié ses dernières statistiques sur les principales menaces à la sécurité des emails d’entreprise.

Le rapport du géant des moteurs de recherche se penche également sur les dernières attaques par email sur les utilisateurs de comptes Gmail d’entreprise. Le rapport fait suite à une présentation faite lors de la conférence de la RSA, laquelle avait fourni plus de détails sur les plus grandes menaces à la sécurité des emails d’entreprise et qui doivent maintenant être bloquées.

Selon les données de Google, le spam reste un problème majeur pour les entreprises. Bien que le blocage d’emails non sollicités constitue une nuisance, car il entraîne de nombreuses heures de perte de productivité pour les entreprises, les utilisateurs font actuellement face à une menace beaucoup plus importante par les spams. Les emails malveillants constituent désormais une menace majeure.

Les cybercriminels ciblent beaucoup plus d’utilisateurs professionnels que les titulaires de comptes de messagerie personnels. La raison en est claire : les pirates ont plus d’intérêt à infecter les ordinateurs d’entreprise par des malwares, plutôt que de faire cela sur les ordinateurs personnels. Les entreprises sont beaucoup plus susceptibles de payer des rançons si les données sont chiffrées par un ransomware. Les données stockées par les entreprises ont beaucoup plus de valeur sur le darknet, et le pillage des comptes bancaires des entreprises rapporte beaucoup plus.

Il n’est donc pas surprenant d’apprendre que les statistiques de Google montrent que les entreprises sont 6,2 fois plus susceptibles de recevoir des emails de phishing et 4,3 fois plus susceptibles d’être ciblées par des emails infectés. En revanche, le spam est plus universel, les comptes de messagerie professionnels étant 0,4 fois plus susceptibles d’être spammés que les comptes personnels.

Principales menaces pour la sécurité de la messagerie d’entreprise par secteur d’activité

Les menaces à la sécurité des emails d’entreprise ne sont pas uniformément réparties.

Les cybercriminels mènent des attaques très ciblées contre des secteurs spécifiques de l’industrie. Les données de Google montrent que les organisations à but non lucratif sont le plus souvent ciblées par des malwares, recevant 2,3 fois plus de emails infectés que les comptes professionnels.

Le secteur de l’éducation est également largement ciblé. Les écoles, les collèges et les universités sont 2,1 fois plus susceptibles de recevoir des emails infectés par des malwares, suivis des industries gouvernementales, lesquelles sont 1,3 fois plus susceptibles d’être ciblées que les entreprises.

Cependant, lorsqu’il s’agit de spam et d’attaques de phishing, c’est le secteur des affaires qui est le plus souvent ciblé. À l’heure actuelle, le spam est le plus gros problème pour les entreprises des secteurs de l’informatique (TI), du logement et du divertissement ;  tandis que les attaques de phishing sont beaucoup plus souvent menées contre les entreprises de l’IT, les organismes artistiques et ceux du secteur financier.

Les spams malveillants représentent un risque majeur pour les entreprises

Comme nous l’avons vu à maintes reprises au cours des deux dernières années, l’email est un vecteur d’attaque majeur pour les entreprises.

Les cybercriminels utilisent les spams pour infecter les utilisateurs finaux avec des malwares qui volent des informations, des ransomwares qui chiffrent les fichiers et des attaques de phishing qui usurpent les identités. Les attaques par email sont encore très rentables. Elles ne nécessitent que peu d’efforts et permettent aux criminels de contourner les contrôles de sécurité en ciblant les utilisateurs finaux.

Compte tenu de l’augmentation massive des variantes de malwares et de ransomwares au cours des deux dernières années, le blocage du spam et des messages malveillants est aujourd’hui plus important que jamais. De plus, le coût de l’atténuation des atteintes à la protection des données augmente d’année en année (selon le Ponemon Institute). Les infections par des malwares et des ransomwares peuvent être extrêmement coûteuses à résoudre, tandis que les attaques de phishing réussies peuvent rapporter aux cybercriminels d’énormes sommes grâce à la vente de données d’entreprise volées et à la réalisation de transferts bancaires frauduleux. Ces coûts doivent être absorbés par les entreprises.

Protection de votre organisation contre les menaces transmises par des emails

Heureusement, il est possible d’atténuer les menaces à la sécurité de la messagerie d’entreprise en utilisant une solution avancée de filtrage de spam telle que SpamTitan. SpamTitan bloque 99,97 % des spams et affiche un faible taux de faux positifs (seulement 0,03 %).

Un puissant composant anti-phishing empêche également les emails de phishing d’être envoyés aux utilisateurs finaux ; tandis que deux moteurs antivirus (Bitdefender/ClamAV) sont utilisés pour analyser tous les messages entrants (et sortants) à la recherche de liens malveillants et de pièces jointes.

Si vous souhaitez améliorer vos défenses contre les dernières menaces de sécurité de messagerie d’entreprise, contactez l’équipe TitanHQ dès aujourd’hui. Étant donné que SpamTitan est disponible pour une période d’essai gratuite de 30 jours, vous pouvez constater par vous-même l’efficacité de notre produit pour protéger votre entreprise contre les menaces transmises par emails avant de l’acheter.

Comment combler l’écart de sécurité des emails dans Microsoft Office 365 ?

Les fournisseurs de services d’infogérance (MSP) doivent toujours prendre des précautions pour protéger les utilisateurs contre les attaques cybercriminelles. Plus de 135 millions d’abonnés utilisent actuellement Office 365. Il est donc presque impossible pour tout MSP d’ignorer ce fait, c’est-à-dire de ne pas y porter une attention particulière, d’autant que ce service a ses propres problèmes de sécurité.

La suite Office de Microsoft offre aux utilisateurs l’accès à leurs emails, à leur stockage One Drive, à Skype et à SharePoint via un seul abonnement. Chacune de ces ressources a ses propres lacunes en matière de sécurité.

Voici donc quelques questions courantes que les MSP devraient toujours prendre en compte pour protéger les données des utilisateurs.

Mesures de sécurité offertes par les fournisseurs de cloud

Certains clients utiliseront Office 365 avec des applications cloud tierces. Bien que cela puisse être efficace pour les utilisateurs et améliorer la productivité de leur entreprise, l’ajout de toute application tierce à leurs plates-formes internes comporte un certain niveau de risque pour la sécurité. En effet, les attaquants peuvent utiliser les emails de phishing pour accéder à une plate-forme en utilisant parfois des fournisseurs tiers comme vecteur.

One Drive est inclus avec Office 365. Une attaque de phishing réussie pourrait donc compromettre un périphérique de stockage dans le cloud. Et comme le stockage dans le cloud est accessible au public, un attaquant peut violer les données stockées sans jamais attaquer le réseau interne. Ainsi, les fournisseurs de services mobiles doivent aussi prendre des précautions pour protéger le réseau interne contre les attaques de phishing.

Ransomware et cryptomining

Le ransomware NotPetya était devenu une menace pour la sécurité informatique mondiale lorsque la menace s’est étendue à différents réseaux et à des données chiffrées. En effet, le ransomware est l’une des applications malveillantes les plus dangereuses, car l’attaque analyse le matériel local de l’utilisateur (et dans certains cas le réseau) pour rechercher des données sensibles.

Lorsqu’il trouve les fichiers, il les chiffre avec une clé asymétrique qui ne peut pas être déchiffrée sans payer une rançon. Le montant de la rançon peut être minime, mais il peut aussi aller jusqu’à plusieurs milliers de dollars. Plus l’utilisateur met du temps à le payer, plus la somme augmente.

En 2018, les attaques de malwares par cryptomining (également appellées cryptojacking ou minage de cryptomonnaies) sont devenues fréquentes. Elles consistent en un vol des ressources des utilisateurs, lesquelles seront utilisées pour miner la cryptomonnaie de l’attaquant.

Ces attaques se présentent généralement sous la forme de code JavaScript côté client et injecté sur des sites à forte publicité. Les utilisateurs remarquent que leur ordinateur devient lent, mais ils reconnaissent rarement que les problèmes de performance sont basés sur une attaque par cryptojacking. À noter que 90% des attaques d’exécution de code à distance étaient des attaques par cryptojacking.

De tous les malwares livrés à un utilisateur distant, y compris les employés de l’entreprise, 92 % de la livraison se fait par messagerie électronique.

Les attaques de phishing sont courantes, car l’attaquant peut cibler un groupe de personnes avec des liens malveillants ou des pièces jointes pouvant porter une charge utile importante.

Vulnérabilités SAML

Microsoft utilise le langage SAML (Security Assertion Markup Language) pour transférer les informations d’authentification. Une faille a été trouvée, ayant permis à un attaquant d’exploiter un échec dans la procédure d’authentification qui n’authentifie pas un élément nommé NameID.

Les chercheurs ont suggéré que cette vulnérabilité de sécurité aurait pu être présente depuis que Microsoft a publié pour la première fois Office 365 pour le grand public.

Les MSP doivent toujours être à jour sur les derniers risques en matière de sécurité, lesquels peuvent affecter n’importe quel utilisateur d’Office 365 et entraîner une perte de données sur One Drive, via les emails depuis Exchange ou via Skype. Dans certains scénarios, les attaquants peuvent obtenir un accès administratif à la plate-forme Office 365.

Logiciels obsolètes lors d’une migration vers Office 365

Les anciens logiciels Office s’exécutent depuis l’ordinateur d’un utilisateur, contrairement à Office 365 qui fonctionne dans le cloud. Le nombre de vulnérabilités est le principal problème de sécurité d’un MSP chargé de la migration d’un logiciel ancien vers une nouvelle plateforme cloud. En effet, les applications tierces peuvent représenter un risque pour une entreprise qui n’a pas mis à jour son logiciel.

Ce sont les petites entreprises qui ignorent le plus souvent les mises à jour logicielles. Ceci les rend donc vulnérables aux attaques lorsque le MSP réalise la migration de leurs anciens logiciels vers la nouvelle plate-forme Office 365. Tous les logiciels doivent être mis à jour avant une telle opération. La simple mise à jour d’un logiciel réduit considérablement le nombre de menaces de sécurité relatives aux versions obsolètes et non corrigées.

L’email de phishing est commun à la plupart des vulnérabilités

Le problème de sécurité le plus problématique pour tout MSP travaillant avec des clients Office 365 est l’attaque par emails de phishing. Si l’organisation ne dispose pas encore d’une solution pour filtrer les emails malveillants, il faut une solution plus fiable. Les filtres de messagerie et la détection de malwares peuvent prendre en charge la plupart des pièces jointes de malwares, les emails de phishing, les cyberarnaques et tout autre problème de sécurité lié au serveur Exchange.

Les fournisseurs de services mobiles doivent prendre des précautions avancées pour protéger les utilisateurs contre les menaces à la sécurité web. Ils doivent faire appel à un fournisseur tiers fiable tel que TitanHQ, une enseigne spécialisée dans la sécurité de la messagerie et du web depuis 25 ans.

TitanHQ travaille avec plus de 2000 MSP dans le monde entier, dont beaucoup utilisent Office 365. SpamTitan est une couche de sécurité de messagerie supplémentaire vitale qui offre une protection avancée aux utilisateurs et aux entreprises contre le phishing, les ransomwares, les malwares et la fraude informatique.

La dernière arnaque par e-mail PayPal semble utiliser un compte de messagerie PayPal authentique

Un message arrive dans votre boîte de réception, prétendant venir de PayPal. Il utilise l’adresse service@paypal.com et a pour objet « Avertissement de compte PayPal ». Il renferme également une pièce jointe Microsoft Word.

Méfiez-vous de ce genre de message lorsque vous en recevez un. Il s’agit d’un e-mail convaincant qui va probablement vous inciter à prendre des mesures afin de prévenir une fraude sur votre compte. N’ouvrez pas la pièce jointe, sinon votre ordinateur risque d’être infecté par des malwares.

Les arnaques par e-mail se multiplient

De nombreux fournisseurs de services Internet (FSI) sont devenus experts dans la détection et le blocage de spams. Étant donné que les messages malveillants envoyés via des e-mails légitimes sont de plus en plus nombreux et plus difficiles à détecter, les FSI s’efforcent de lutter contre les attaques cybercriminelles via la messagerie électronique. Pour leur part, les pirates informatiques continuent de chercher de nouveaux moyens de contourner les systèmes de sécurité informatique.

Les analystes de Proofpoint ont rapporté une attaque potentielle du service de messagerie électronique légitime de PayPal dans le but de livrer du contenu malveillant. Plus précisément, ils ont découvert des e-mails dont l’objet était « Vous avez une demande d’argent » et qui semblaient provenir de PayPal.

Une escroquerie très sophistiquée par e-mail PayPal mise au jour

Des e-mails qui semblaient provenir de PayPal ont été utilisés pour livrer des malwares bancaires, notamment des Chevaux de Troie appelés Chthonic. Plutôt que de promettre au destinataire une somme d’argent, ou la possibilité de réclamer un héritage d’un parent perdu depuis longtemps, cette arnaque prétend qu’un paiement a été effectué sur le compte de sa victime et l’argent doit être remboursé.

Les e-mails d’escroquerie indiquent que 100 $ ont été frauduleusement envoyés au compte de la victime et qu’un remboursement est demandé. Les e-mails contiennent les logos PayPal et semblent avoir été envoyés directement à partir du compte de messagerie members@paypal.com.

On ne sait pas exactement comment l’attaquant a réussi à usurper le compte de messagerie PayPal, ou comment l’e-mail parvient à contourner le filtre antispam de Gmail. Ce qui est certain est que si la victime répond à l’e-mail et effectue le paiement, elle perd 100 $. De plus, elle téléchargera automatiquement un malware sur son ordinateur, qu’il effectue le paiement ou non.

L’email contient un lien que l’utilisateur doit cliquer pour en savoir plus sur la transaction. Le lien contient une URL raccourcie qui renvoie la victime vers un document détaillant la transaction. Le document a une adresse goo.gl et le lien semble être une image JPEG contenant les détails de la transaction.

Cependant, s’il clique sur le lien, un fichier JavaScript (.js) sera téléchargé sur son ordinateur. Le script téléchargera ensuite un fichier exécutable flash qui, une fois exécuté, installera le malware Chthonic.

Chthonic a été livré via une arnaque par e-mail PayPal

Ce malware est une variante du tristement célèbre malware bancaire de Zeus – Chthonic. Il a été programmé pour injecter son propre code et ses propres images dans les sites Web bancaires. Lorsque les victimes visitent leurs sites web bancaires, le malware saisit les noms de connexion, les mots de passe, les codes PIN et les réponses aux questions de sécurité.

De nombreuses variantes de malwares bancaires ciblent un petit nombre d’institutions financières. Par contre, Chthonic est capable d’enregistrer les informations saisies sur plus de 150 sites bancaires différents. Les victimes se trouvent principalement au Royaume-Uni, aux États-Unis, en Russie, au Japon et en Italie.

Chthonic n’est pas le seul malware qui infecte les ordinateurs de ses victimes. Les chercheurs de Proofpoint ont déterminé qu’une autre variante auparavant inconnue, appelée AZORult, agit également de la même manière.

AZORult, une autre menace potentielle

Les chercheurs de Minerva Labs ont observé une souche de malwares voleurs d’informations, AZORult, qui se fait passer pour un programme d’installation signé de Google Update. Il agit en remplaçant le programme légitime Google Updater sur les ordinateurs compromis.

AZORult est un cheval de Troie qui vole diverses données sur les ordinateurs infectés et les envoie au serveur C&C, y compris les identifiants de connexion, l’historique du navigateur, les cookies et les fichiers des dossiers spécifiques. En constante évolution. Il peut agir en tant que téléchargeur de malware ou servir dans d’autres processus d’infection en plusieurs étapes.

Ce cheval de Troie est l’un des malwares les plus vendus dans le monde, notamment en Russie. Malgré son prix relativement élevé (100 $), les acheteurs préfèrent l’utiliser pour ses fonctionnalités étendues et parce qu’il offre une garantie élevée en ce qui concerne l’anonymat du pirate. Curieusement, Chthonic peut aussi mener une attaque en plusieurs étapes en utilisant le malware AZORult.

Comment savoir si un e-mail provient réellement de PayPal ?

Voici comment identifier un e-mail provenant réellement de PayPal :

  • Il sera toujours envoyé par paypal.com
  • Il s’adressera toujours avec le destinataire par ses noms et prénoms, ou bien par son nom commercial. Méfiez-vous donc des messages qui commencent par les expressions du genre « Salutations, cher client ».
  • Il ne vous demandera jamais de confirmer ni de fournir des informations sensibles comme votre mot de passe, vos informations bancaires, les données de votre carte de débit/crédit, etc.
  • Il ne vous demandera jamais de télécharger ni d’installer un logiciel particulier.

Au cas où vous auriez des doutes concernant la fiabilité de l’e-mail, rendez-vous sur le site web de la marque et connectez-vous. Si l’équipe de PayPal essayait vraiment de communiquer avec vous, vous verriez certainement quelque chose dès que vous vous connectez. Si ce n’est pas le cas, vous feriez donc mieux d’ignorer l’e-mail.

Quelques mesures pour éviter l’arnaque par e-mail PayPal

Le service PayPal est omniprésent.

Peu importe où vous vous trouvez, il y a de fortes chances que vous ayez entendu parler de cette marque internationale. Il n’est donc pas surprenant qu’elle ait été, et qu’elle pourrait une fois de plus, faire la une des actualités en matière de cybercriminalité. Les pirates vont toujours essayer d’envoyer des e-mails qui semblent provenir de la marque pour infecter vos ordinateurs avec les malwares.

L’une des solutions que vous pourrez adopter et de mettre à jour vos logiciels Microsoft Word vers une version plus récente. Cela protégera votre PC Windows contre les virus contenus dans les documents Word. Bien entendu, les versions de Microsoft Word à partir de 2010 ouvrent automatiquement les e-mails que vous téléchargez à partir d’Internet ou de la messagerie en mode « vue protégée ». Ceci empêchera tout malware de se répandre sur votre ordinateur. Mais dès qu’une mise à jour est disponible, vous devriez l’appliquer pour bénéficier de plus de protection contre les attaques de malwares.

Pour les utilisateurs qui ne disposent pas encore de systèmes de protection antimalwares et qui ne sont pas en mesure de détecter les liens compromis dans les e-mails, les risques d’attaques via le service PayPal est potentiellement élevé. PayPal a déjà été informé de cette menace et a déjà adopté des mesures pour s’en protéger. Mais ces mesures pourraient pousser les pirates à développer d’autres stratégies pour contourner à nouveau les défenses qui seront mises en place. De plus, l’approche combinée d’ingénierie sociale utilisée par les pirates pour demander de l’argent via ce service va sans aucun doute créer un risque supplémentaire pour les destinataires non formés ou peu attentifs à l’importance de la sécurité.