Les e-mails restent la principale source de communication pour les entreprises. Cependant, certains employés continuent d’envoyer, de recevoir et d’ouvrir des messages et des pièces jointes malveillants, sans penser au risque potentiel que ces messages peuvent faire courir à leur entreprise.
La sécurité de la messagerie électronique est un risque critique pour de nombreuses entreprises. En réalité, plus de 91 % des attaques réussies sur les réseaux d’entreprise résultent des attaques de phishing et d’une attaque ciblant les utilisateurs finaux dans une entreprise via la messagerie électronique. Ceci peut causer de préjudices à votre organisation et les conséquences sont souvent graves.
Voici donc une liste des meilleurs moyens d’assurer la sécurité de vos e-mails.
1. Utilisez des mots de passe sûrs pour améliorer la sécurité des emails
Il est peu surprenant de voir à quel point la plupart des mots de passe utilisés pour la messagerie électronique sont faibles. Mais il ne faut pas également utiliser des mots de passe trop compliqués. Un « bon » mot de passe comporte au moins 10 caractères, avec un mélange de majuscules et de minuscules. Il doit également comporter au moins un chiffre et un caractère spécial.
2. Utilisez le protocole TLS (Transport Layer Security) ou SSL (Secure Sockets Layer)
Les protocoles TLS et SSL sont très similaires. Ils permettent d’envoyer vos e-mails en toute sécurité entre votre ordinateur et votre service SMTP. Mais votre service SMTP doit aussi être en mesure de chiffrer correctement les messages envoyés entre lui-même et le serveur de messagerie de vos destinataires. Ce processus d’envoi d’e-mails nécessite par ailleurs que le serveur de messagerie de vos destinataires prenne en charge les protocoles TLS et/ou SSL.
3. Installez un logiciel antivirus sur chaque ordinateur
Cela contribuera à sécuriser votre service de messagerie électronique, mais aussi vos ordinateurs. Il existe de nombreuses options comme Bitdefender, ClamAV, Webroot, Norton, Kaspersky, etc.
4. Créez un nom d’utilisateur SMTP différent pour chaque expéditeur
Plusieurs personnes peuvent vous envoyer des e-mails dans votre entreprise. En fait, si votre ordinateur est piraté et qu’il commence à envoyer du spam, vous pouvez facilement désactiver le nom de l’utilisateur SMTP sans affecter les autres utilisateurs. Vous devez également changer le mot de passe de l’ordinateur infecté et son compte SMTP.
5. Soyez extrêmement prudent lorsque vous ouvrez des pièces jointes
Lorsque vous recevez un e-mail, il faut toujours l’analyser, notamment la pièce jointe, avant de l’ouvrir, surtout si le message provient d’une personne que vous ne connaissez pas. Sachez que neuf virus ou malwares sur dix atteignent les ordinateurs via les pièces jointes.
6. Pensez au chiffrement des e-mails sensibles
Grâce au chiffrement des e-mails, votre entreprise peut protéger les communications via la messagerie électronique avec le plus haut niveau de sécurité. La messagerie électronique est basée sur le protocole SMTP qui circule généralement sur Internet sans être chiffré. Lorsque vous envoyez un message, il peut être transmis en texte clair sur d’autres réseaux locaux et sur Internet. Une personne aux intentions malveillantes peut donc le falsifier, et les informations sur l’expéditeur peuvent être facilement usurpées.
7. N’utilisez pas votre adresse électronique dans les lieux publics
Si vous devez utiliser votre adresse électronique lorsque vous vous connectez à un WiFi public, il est recommandé d’utiliser un compte de messagerie secondaire. Si vous utilisez une adresse électronique liée à un compte dont vous pourriez vous passer, cela vous permettra de sécuriser vos données au cas où l’autre compte serait compromis.
8. Ne divulguez pas vos informations sensibles dans vos e-mails
Les pirates ont plusieurs tactiques pour usurper vos identifiants de connexion, et cela pourrait entraîner une fuite de données. Si vous devez envoyer à quelqu’un des informations sensibles, il est recommandé de l’appeler à l’avance. Et lorsque vous devez envoyer des documents sensibles, vous pouvez utiliser des outils sûrs comme Google Drive, qui est un service gratuit.
9. Ne répondez pas aux spams ou aux tentatives de phishing
Répondre à un spam ne fait qu’informer qu’aux pirates informatiques que vous êtes un humain. Ne le faites pas. De plus, sachez que plus de 3 % des spams contiennent des malwares.
10. Faites attention au WiFi public
Vous devez vérifier vos e-mails qui sont liés à votre activité professionnelle. Si vous deviez, par exemple, utiliser le WiFi public d’un aéroport ou d’un café, cela pourrait être une opportunité fantastique pour les pirates informatiques.
Au cas où vous devriez vous servir d’un réseau WiFi public, vérifiez au moins que vous êtes bien sur le réseau gratuit, et non sur le réseau qu’un pirate informatique a mis en place pour ressembler au réseau du café (ou de l’aéroport). Ensuite, assurez-vous qu’il y a un « HTTPS : » au début de l’URL où vous vous connectez. Si vous ne voyez pas le « S. » dans le « HTTPS » – ou si vous recevez un avertissement indiquant qu’il y a un problème avec le certificat de sécurité – n’utilisez pas ce réseau.
11. Formez vos employés
Les employés constituent le maillon faible de votre entreprise et ils sont l’une des principales causes des incidents de violation de données lors d’une cyberattaque. Il est donc essentiel de veiller à ce qu’ils soient informés et sensibilisés aux menaces cybercriminelles. Il faut leur dispenser une formation continue sur les risques de sécurité des e-mails et sur la manière d’éviter d’être victime d’attaques de phishing.
Bloquez et supprimez les spams et les e-mails de phishing grâce à SpamTitan
L’un des meilleurs moyens de réduire le nombre de spams est d’utiliser l’authentification DKIM (Domain Keys Identified Mail). Ce protocole permet au destinataire d’un message électronique de vérifier que le message provient bien du domaine dont il prétend être originaire et qu’il n’a pas été usurpé. Vous pouvez également utiliser une solution tierce comme SpamTitan, un filtre antispam qui peut bloquer les e-mails malveillants et indésirables. Elle est conçue pour contrôler, nettoyer et protéger vos flux de messagerie d’entreprise. SpamTitan prend en charge la protection antivirus, l’analyse multicouche, l’authentification DKIM, la liste noire et la liste blanche, entre autres.
Les violations de données sont dévastatrices pour les organisations. Elles perdent de l’argent en raison des litiges, de la réponse aux incidents, des violations de la conformité et de la perte de confiance des clients. L’atteinte à la marque peut coûter des millions en perte de revenus, et les litiges peuvent durer des années.
La vague de violations de données de grande ampleur a commencé avec Target en 2013, et des données massives continuent d’être volées chaque année alors que de plus en plus d’organisations apprennent l’importance de la cybersécurité et de la protection des données.
Des violations de données du 21e siècle lors desquelles des milliards de dossiers ont été volés
Equifax – 147,9 millions de consommateurs affectés
Juillet 2017
Comme la société Equifax gère les évaluations et les rapports de crédit des consommateurs, il n’est donc pas surprenant que cette violation de données ait entraîné une perte massive de données financières.
Les attaquants ont pu exploiter un logiciel serveur obsolète présentant des vulnérabilités connues en matière de cybersécurité. Les développeurs du logiciel du serveur ont publié une mise à jour plusieurs semaines avant la compromission, mais les administrateurs du serveur d’Equifax ont été négligents.
Equifax a également été accusée d’avoir été lente à signaler la violation, ce qui a déclenché un changement de politique qui oblige désormais les organisations à signaler une violation de données dans un délai déterminé.
LinkedIn — 165 millions de comptes d’utilisateurs touchés
2012-2016
LinkedIn est la plaque tournante de toutes les informations orientées vers la carrière et les connexions professionnelles. Toute personne sur le marché du travail a intérêt à conserver un profil LinkedIn, ce qui fait de cette plate-forme une cible idéale pour les attaquants en quête d’informations personnelles.
LinkedIn est une cible majeure pour les attaquants utilisant l’ingénierie sociale contre une organisation. Un pirate utilise ce réseau social pour effectuer une reconnaissance et trouver des organigrammes contenant les noms et les coordonnées des employés de haut niveau.
Un attaquant a pénétré sur le site Web et a volé des millions de mots de passe SHA-1. SHA-1 est cryptographiquement peu sûr, ce qui rend les mots de passe volés vulnérables aux attaques par force brute. Les mots de passe étaient disponibles à la vente sur des forums de pirates pour 2000 $ en bitcoins.
Si un attaquant réussit à forcer les mots de passe des utilisateurs, il est possible qu’il puisse avoir accès à d’autres comptes d’utilisateurs avec le même mot de passe sur d’autres sites Internet.
Yahoo — 3 milliards de comptes d’utilisateurs touchés
2013-2014
À ce jour, la violation des données de Yahoo a entraîné la plus grande perte de données, et la marque a été largement critiquée pour l’avoir caché pendant des années.
Yahoo stocke les coordonnées, notamment la date de naissance et les numéros de téléphone de millions d’utilisateurs, et un attaquant a pu exploiter son système de messagerie pour voler des informations sur 500 millions d’utilisateurs.
En 2016, Yahoo a révélé une violation de données de 2013 où un attaquant a volé 1 milliard d’enregistrements, mais l’entreprise a ensuite modifié le nombre d’enregistrements à 3 milliards.
Au moment de l’annonce, Yahoo était en négociations avec Verizon pour vendre son activité principale. Parce que Yahoo a omis de divulguer la violation de données initiale, l’entreprise a été contrainte de réduire son prix de rachat de 350 millions de dollars.
Sina Weibo — 538 millions de comptes utilisateurs affectés
Mars 2020
Sina Weibo est la version chinoise de Twitter, et a donc été la cible des attaquants pour les noms réels des utilisateurs, leurs informations démographiques, leur localisation et leurs numéros de téléphone.
La Chine a des lois différentes de celles de l’Union européenne et des États-Unis en matière de confidentialité et de réglementation des données. On ignore donc les conséquences auxquelles Sina Weibo a dû faire face par la suite.
Les numéros de téléphone volés lors de la violation de données ont été mis en vente sur le darknet, mais les mots de passe n’étaient pas disponibles en ligne après la violation.
La violation a utilisé une faille logique dans l’API de Sina Weibo qui a permis à un attaquant de croiser les contacts avec le carnet d’adresses disponible via le point de terminaison de l’API.
MySpace — 360 millions de comptes d’utilisateurs touchés
2013
Bien que MySpace ait perdu depuis longtemps sa popularité, l’application web est toujours disponible et contient des informations de contact, notamment des adresses électroniques, des mots de passe et des noms d’utilisateur MySpace.
Les données volées étaient stockées sur l’ancienne plateforme MySpace, seuls les comptes créés avant juin 2013 ont été donc affectés. Les comptes plus anciens utilisaient l’algorithme de hachage SHA-1, qui n’est pas sûr sur le plan cryptographique.
Toute valeur hachée utilisant SHA-1 est vulnérable aux attaques par force brute, de sorte que les hachages MySpace volés pourraient révéler le mot de passe de l’utilisateur ciblé. Si l’utilisateur utilise le même mot de passe sur plusieurs sites, ses autres comptes sont également susceptibles d’être compromis.
Marriott International — 500 millions de clients touchés
2014-2018
Il faut un certain temps pour que les administrateurs découvrent une violation, mais pour Marriott International, la violation de données a duré quatre ans avant qu’elle ne soit découverte. En fait, la compromission a eu lieu en 2014, mais elle n’a été découverte qu’en 2018.
Les attaquants ont pu voler des informations de mot de passe et des données de contact pour les clients de voyage. 100 millions de numéros de cartes de crédit utilisées pour payer les chambres d’hôtel ont également été volés. On pense que les attaquants étaient parrainés par l’État chinois pour recueillir des informations de renseignement sur les citoyens américains.
Combler le fossé des violations de données en 2021
L’écart entre les systèmes sécurisés et l’activité cybercriminelle doit être comblé pour éviter les violations de données en 2021. Des recherches menées par un consortium composé de Google, PayPal, Samsung et de l’université d’État de l’Arizona fournissent quelques renseignements sur la manière d’atténuer les campagnes de phishing.
Les résultats des recherches exposent plusieurs mécanismes efficaces pour prévenir les attaques de phishing qui se terminent par le vol de données. Il s’agit notamment de l’utilisation d’avertissements basés sur le navigateur qui peuvent réduire à 71,51 % le nombre de réussites de phishing dans l’heure qui suit la détection.
Les chercheurs concluent toutefois que l’utilisation d’une atténuation proactive et d’un écosystème anti-phishing étendu est le meilleur moyen de faire face à des campagnes sophistiquées et complexes de vol de données.
En 2021, nous devons nous attendre à ce que les violations de données continuent d’être la nourriture qui alimente la cybercriminalité. Toutefois, grâce à certaines mesures d’atténuation axées sur la réduction de la probabilité du phishing, les entreprises peuvent faire des percées dans un système complexe d’attaques.
Protégez votre organisation en 2021 contre les violations de données en utilisant une solution de sécurité de messagerie telle que SpamTitan. Commencez un essai gratuit et découvrez comment SpamTitan peut protéger votre organisation et vos clients. Commencez l’essai gratuit dès aujourd’hui.
La récente enquête réalisée par TitanHQ et Osterman Research, menée auprès des professionnels de la sécurité informatique, a montré que les incidents de sécurité les plus fréquents subis par les entreprises étaient les attaques par compromission des emails professionnels (BEC).
Qu’est-ce qu’une attaque de compromission d’emails professionnels, ou Business Email Compromise ?
Une attaque de type BEC consiste pour un cybercriminel à usurper la confiance d’un contact ou d’une entreprise, généralement pour inciter un employé à effectuer un virement frauduleux, à envoyer des données sensibles via la messagerie électronique ou à obtenir de l’argent par d’autres moyens.
Lors d’une attaque de type BEC, l’attaquant usurpe généralement un compte de messagerie ou un site web. Il peut aussi utiliser un compte de messagerie authentique et fiable qui a déjà été compromis dans une attaque de phishing.
Si un compte de messagerie compromis n’est pas utilisé, une personne est généralement usurpée en modifiant le nom d’affichage pour faire croire que l’email a été envoyé par un contact authentique, souvent le PDG, le directeur financier ou un fournisseur.
Il est également fréquent que des domaines similaires soient utilisés dans les attaques de type BEC. L’attaquant découvre le format des comptes de messagerie de l’entreprise usurpée et copie ce format en utilisant un domaine qui ressemble beaucoup au domaine authentique utilisé par cette entreprise. À première vue, le domaine usurpé semble parfaitement légitime.
Les attaques de type BEC sont généralement très ciblées. Un email est soigneusement conçu pour cibler une personne au sein d’une organisation ou une personne ayant un rôle particulier.
Étant donné que de nombreuses attaques visent à inciter les employés à effectuer des virements électroniques frauduleux. Les personnes du département financier sont le plus souvent visées, bien que les auteurs des attaques de type BEC ciblent également le département des ressources humaines, le département marketing, le département informatique et les cadres.
Comme les demandes contenues dans les emails sont plausibles et que le format du message, les signatures et la marque sont souvent copiés de emails authentiques, les emails BEC peuvent être très convaincants.
Il n’est pas rare non plus que les attaques impliquent des conversations qui s’étendent sur plusieurs messages avant que l’attaquant ne fasse une demande.
Si les attaques de phishing sont courantes, les pertes dues aux attaques de type BEC sont bien plus importantes. Selon les chiffres du FBI, les attaques de type BEC sont la première cause de pertes dues à la cybercriminalité.
Comment protégez votre entreprise de la compromission d’emails professionnels ?
La défense contre les attaques de type BEC nécessite une combinaison de mesures. Naturellement, comme ces attaques visent les employés, il est important de les sensibiliser à la menace et de leur apprendre à identifier une telle attaque.
Il convient également de mettre en place des politiques et des procédures exigeant que toute demande par courrier électronique de modifications des coordonnées bancaires ou des méthodes de paiement, ou de modification des informations de dépôt direct pour la paie, soit vérifiée à l’aide de coordonnées de confiance. Un appel téléphonique rapide pourrait facilement déjouer une attaque.
Bien que ces mesures soient importantes, la meilleure défense consiste à empêcher les emails BEC d’atteindre les boîtes de réception des utilisateurs finaux, car cela élimine le risque d’erreur humaine.
Pour ce faire, vous devez disposer d’une solide sécurité du courrier électronique. Une bonne solution de sécurité des emails bloquera les tentatives de vol d’identifiants qui sont les précurseurs de nombreuses attaques de type BEC.
Une solution avancée de filtrage du spam qui intègre des techniques d’apprentissage automatique peut détecter et bloquer les attaques de type « zero day » via des messages personnalisés, souvent uniques et utilisés par les attaquants pour cibler des cibles particulières.
Les solutions qui intègrent les protocoles DMARC et SPF permettront de détecter les emails provenant de personnes non autorisées à envoyer des messages depuis un domaine particulier. Il s’agit d’une protection vitale contre les attaques de type BEC.
Optez pour SpamTitan contre la compromission d’emails professionnels
SpamTitan intègre toutes ces mesures — et bien d’autres encore — pour protéger les entreprises. Associé à la formation des utilisateurs finaux et à des mesures administratives, les entreprises peuvent améliorer considérablement leurs défenses contre les attaques de type BEC.
Pour plus d’informations sur la façon dont SpamTitan peut protéger votre entreprise contre toute une série d’attaques par email, appelez l’équipe de TitanHQ dès aujourd’hui.
Découvrez également d’autres mesures que vous pouvez mettre en œuvre pour bloquer les attaques de phishing et de ransomware lors de notre webinaire qui s’est déroulé le 30 juin 2021.
Dans ce webinaire — organisé par TitanHQ et Osterman Research —, vous découvrirez les résultats de la dernière enquête TitanHQ auprès des professionnels de la sécurité et vous obtiendrez de précieuses indications sur la manière dont vous pouvez améliorer votre posture de cybersécurité.
L’introduction du travail à domicile et du confinement causé par la pandémie du Covid-19 ont déplacé l’attention des professionnels de la cybersécurité. En fait, les cybercriminels ont développé des moyens plus sophistiqués pour compromettre les systèmes des entreprises.
Un rapport sur les risques mondiaux indique que l’année 2021 sera axée sur de meilleures stratégies de cybersécurité pour détecter et arrêter le phishing et les attaques de ransomware. Ces deux méthodes d’attaque sont de plus en plus courantes et efficaces pour permettre aux escrocs de voler des données ou d’extorquer des millions d’euros aux entreprises ciblées.
Le paysage actuel des menaces
Selon Osterman Research, les trois principaux enjeux de la cybersécurité en 2021 sont :
La protection des points d’extrémité (par exemple, les appareils des utilisateurs ou les ordinateurs connectés à Internet) ;
La sensibilisation des utilisateurs aux ransomwares et le fait de les empêcher d’en être victimes ;
La protection des sauvegardes pour lutter contre les attaques de ransomwares.
Ces malwares chiffrent les données à l’aide d’un code cryptographique sécurisé, de sorte qu’il est techniquement impossible pour la victime de remédier au problème.
La seule façon de se remettre d’une attaque de ransomware est d’utiliser les sauvegardes pour restaurer les données ou de payer la rançon. Pour des raisons évidentes, la plupart des entreprises préfèrent utiliser les sauvegardes pour récupérer leurs données.
Comme les sauvegardes sont une solution de récupération pour les victimes, la troisième préoccupation doit être une priorité pour les organisations au cas où elles deviendraient une cible réussie.
Les développeurs des ransomwares programment leurs malwares pour rechercher les sauvegardes sur le réseau, ce qui réduit les chances de récupération pour les victimes ciblées. Sans la sauvegarde des données, la victime ciblée est obligée de payer la rançon, ce qui est l’objectif principal des escrocs.
Si l’entreprise victime ne paie pas la rançon, la stratégie finale des pirates informatiques consiste à menacer de divulguer les données privées de l’organisation. Ils menacent souvent de divulguer la violation des données au public, ce qui pourrait nuire à la réputation de la marque et entraîner des poursuites judiciaires et des sanctions de conformité supplémentaires.
Si l’entreprise ne parvient pas à récupérer les sauvegardes, elle peut parfois négocier avec le propriétaire du ransomware.
Dans les attaques actuelles, le propriétaire du ransomware inclut un numéro de contact numérique (par exemple, WhatsApp ou Telegram) que les victimes peuvent utiliser si elles ont des questions. Par exemple, le district scolaire du comté de Broward a pu négocier avec les auteurs d’un ransomware pour que le paiement passe de 40 à 10 millions de dollars.
Le phishing et le ransomware fonctionnent ensemble lors d’une compromission
Pour installer un ransomware sur un système ciblé, l’attaquant a besoin d’un vecteur. Dans de nombreux cas, le début de la compromission est un courrier électronique. Le message électronique peut contenir un lien vers un site web malveillant.
Le pirate peut également joindre un document contenant une macro qui télécharge le malware sur l’appareil ciblé. La plupart des systèmes de messagerie bloquent les fichiers exécutables, mais les attaquants peuvent utiliser un fichier exécutable ou un script malveillant pour installer le ransomware.
Les utilisateurs doivent être formés pour identifier les emails suspects, mais l’erreur humaine est un problème majeur en matière de cybersécurité. Il suffit qu’un seul utilisateur tombe dans le piège d’un email de phishing pour que les attaquants réussissent à installer un ransomware, ce qui en fait une stratégie efficace.
Comme il suffit d’un seul email de phishing réussi, un attaquant peut en envoyer des centaines à des utilisateurs spécifiques au sein de l’organisation.
La cybersécurité de la messagerie électronique est une défense primaire
La formation à la cybersécurité est souvent la première défense contre les ransomwares et le phishing, mais elle laisse l’organisation ouverte à l’erreur humaine. La seule façon d’empêcher l’erreur humaine est d’empêcher les messages malveillants d’atteindre la boîte de réception du destinataire.
La cybersécurité de la messagerie électronique — qui détecte et filtre les messages suspects — est la principale défense contre les ransomwares et les autres attaques qui commencent par une campagne de phishing.
Les ransomwares sont dommageables pour toute organisation, mais le phishing est également utilisé pour l’injection d’autres malwares. Il est également utilisé pour voler les informations d’identification des utilisateurs pour les comptes personnels ou l’accès au réseau de l’entreprise.
La cybersécurité de la messagerie électronique détecte tous ces messages malveillants et les met en quarantaine avant de permettre aux messages d’atteindre la boîte de réception de l’utilisateur.
Lorsque les défenses de cybersécurité mettent un email en quarantaine, les administrateurs peuvent examiner les messages. En permettant aux administrateurs d’examiner les messages au lieu de les supprimer purement et simplement, les administrateurs peuvent vérifier si les messages sont faussement positifs et envoyer au destinataire ceux qui devraient l’être.
Sans la méthode de mise en quarantaine, les utilisateurs pourraient perdre des messages importants contenant des pièces jointes essentielles. Les administrateurs peuvent également déterminer si une campagne de phishing ciblée est en cours afin de former et d’éduquer davantage les utilisateurs pour qu’ils soient plus vigilants en cas de faux négatifs.
Les ransomwares étant de plus en plus populaires, la cybersécurité des emails est plus importante que jamais. Les sauvegardes sont toujours nécessaires, mais la cybersécurité des emails est votre première défense contre ces attaques.
Le blocage des messages malveillants permet d’économiser de l’argent, du temps et des problèmes potentiels liés à une attaque réussie de ransomware et sert de stratégie pour protéger l’entreprise contre l’erreur humaine.
Nous aimerions vous inviter à découvrir les résultats de notre webinaire qui s’est déroulé le 30 juin lors de laquelle la nouvelle recherche d’Osterman Research a été dévoilée.
Cette étude a été menée auprès de 130 professionnels de la cybersécurité et porte spécifiquement sur les menaces croissantes du phishing et du ransomware, et sur la manière dont les risques de ces deux phénomènes peuvent être réduits.
Telegram est une application de messagerie populaire qui a vu son nombre d’utilisateurs monter en flèche ces derniers mois. En fait, de nombreux utilisateurs de WhatsApp ont opté pour Telegram après les récents changements apportés aux politiques de confidentialité et de gestion des données de l’application.
Telegram s’est également révélé populaire auprès des cybercriminels qui l’utilisent pour distribuer et pour communiquer avec des malwares.
Comment les cybercriminels utilisent Telegram pour distribuer des malwares ?
Récemment, une campagne a été identifiée, impliquant une nouvelle variante de malware appelée ToxicEye. Le malware ToxicEye est un cheval de Troie d’accès à distance (RAT) qui donne à un attaquant le contrôle total d’un appareil infecté. Le malware est utilisé pour voler des données sensibles et télécharger d’autres variantes de malware.
Le malware utilise un compte Telegram pour ses communications avec le serveur de commande et de contrôle. Grâce au compte Telegram de l’attaquant, il peut communiquer avec un appareil infecté par ToxicEye ; exfiltrer des données et transmettre des charges utiles malveillantes supplémentaires.
Il est facile de voir l’intérêt d’utiliser Telegram pour communiquer avec des malwares. Tout d’abord, l’application est populaire. L’application Telegram était l’application la plus populaire en janvier 2021, avec plus de 63 millions de téléchargements, et environ 500 millions d’utilisateurs actifs dans le monde.
Pendant la pandémie, l’appli a été adoptée par de nombreuses entreprises qui l’ont utilisée pour permettre à leurs travailleurs à distance de communiquer et de collaborer. L’application prend en charge la messagerie sécurisée et privée et la plupart des entreprises autorisent l’utilisation de Telegram et ne bloquent ni n’inspectent les communications.
La création d’un compte Telegram est facile et les attaquants peuvent rester anonymes. Tout ce qui est nécessaire pour créer un compte est un numéro de téléphone mobile. L’infrastructure de communication permet aux attaquants d’exfiltrer facilement des données et d’envoyer des fichiers à des appareils infectés par des malwares sans être détectés.
Telegram est également utilisé pour distribuer des malwares. Les attaquants peuvent créer un compte, utiliser un robot Telegram pour interagir avec d’autres utilisateurs et envoyer des fichiers. Il est également possible d’envoyer des fichiers à des non-utilisateurs de Telegram par le biais d’emails de phishing avec des pièces jointes malveillantes.
Les emails de phishing sont souvent utilisés pour diffuser le malware ToxicEye. Les emails sont envoyés avec un fichier .exe en pièce jointe, une campagne utilisant un fichier nommé « paypal checker by saint.exe » pour installer le malware.
Si la pièce jointe est ouverte et exécutée, une connexion est établie avec Telegram, ce qui permet au robot Telegram de l’attaquant de télécharger le malware.
Les attaquants peuvent réaliser toute une série d’activités malveillantes une fois le malware installé. Leurs principaux objectifs sont de recueillir des informations sur l’appareil infecté ; de localiser et d’exfiltrer des mots de passe et de voler des cookies et des historiques de navigation.
Le malware ToxicEye peut tuer les processus actifs et prendre le contrôle du gestionnaire des tâches ; enregistrer des fichiers audio et vidéo ; voler le contenu du presse-papiers et déployer d’autres variantes de malware, à l’instar des enregistreurs de frappe et des ransomwares.
Quelles sont les solutions pour se protéger des malwares ?
TitanHQ propose deux solutions permettant de se protéger contre ToxicEye et d’autres campagnes de phishing et de malware basées sur Telegram.
SpamTitan est une solution puissante de sécurité des emails qui bloque les emails malveillants contenant les fichiers exécutables qui installent le RAT ToxicEye et d’autres malwares.
Pour une protection encore plus grande, SpamTitan doit être associé à la solution de sécurité WebTitan.
WebTitan est une solution de filtrage web basée sur le DNS qui peut être configurée pour bloquer l’accès à Telegram s’il n’est pas utilisé et surveiller le trafic en temps réel pour identifier les communications potentiellement malveillantes.
Une recrudescence du phishing a commencé en 2020 avec le confinement causé par la pandémie Covid-19, et il continue d’être une menace sérieuse pour la cybersécurité en 2021. Les attaquants changent leurs méthodes à mesure que davantage de personnes prennent conscience de leurs escroqueries et que les défenses de cybersécurité fonctionnent efficacement pour les arrêter.
Les fichiers PDF permettent aux utilisateurs de partager des informations en texte riche, y compris des liens, des images, des animations et même des scripts internes liés au fichier.
Lors du dernier groupe d’attaques, les campagnes de phishing utilisaient des pièces jointes PDF qui exécutent diverses méthodes pour rediriger les utilisateurs vers un site malveillant dans le but de voler leurs informations.
Pour éviter d’être la prochaine victime d’une telle attaque, découvrez les différentes tactiques que les escrocs utilisent actuellement.
Fausses redirections CAPTCHA
Un CAPTCHA est un symbole reconnu par tous les utilisateurs d’Internet. Il s’agit donc d’un moyen facile et pratique pour inciter les utilisateurs à cliquer sur un lien. Dans cette campagne de phishing, un attaquant insère une image de l’interface CAPTCHA courante de Google.
Les utilisateurs reconnaissent l’image, cliquent sur « Continuer » et s’attendent à voir un site qu’ils reconnaissent. Lorsqu’ils cliquent sur le lien, ils sont redirigés vers un site contrôlé par les escrocs, où ils sont demandés de saisir leurs informations privées.
Utilisation de logos populaires pour des redirections malveillantes
Il est facile d’amener les utilisateurs à cliquer sur des liens générés par des logos reconnaissables. Lorsque les attaquants utilisent le logo d’une marque connue, ils peuvent inciter leurs cibles à cliquer sur le logo.
Lors d’une attaque récente, l’image d’une marque populaire est incluse dans le fichier PDF avec la promesse d’une réduction. Cela ressemble à une vente de marque courante, ce qui a incité les utilisateurs à cliquer sur l’image.
Après qu’un utilisateur a cliqué sur l’image, un navigateur s’ouvre et cible un site de redirection. Le site de redirection l’envoie alors vers une page de phishing contrôlée par l’attaquant.
Comme dans le cas de l’arnaque CAPTCHA, les utilisateurs qui ne remarquent pas la redirection pensent qu’ils accèdent à un site populaire et peuvent saisir leurs informations privées ou leurs identifiants de connexion pour accéder au site.
Boutons de lecture sur des images statiques
Lorsque vous voyez un bouton de lecture sur une image, votre premier réflexe est de cliquer sur le bouton et de regarder les vidéos. Cette réaction naturelle à un bouton de lecture est ce que les attaquants attendent lorsqu’ils envoient un fichier PDF avec une image statique contenant un bouton de lecture de type vidéo.
Cette arnaque est courante lors des attaques de phishing ciblant les traders et les investisseurs en cryptomonnaies. Les victimes ouvrent le fichier PDF et cliquent sur le lien de la fausse image vidéo. Au lieu de lire une vidéo, ils sont redirigés vers un site malveillant qui les invite à saisir leurs informations de carte de crédit pour un site de rencontre.
Partage de fichiers et phishing
La plupart des utilisateurs possèdent un compte Google Drive ou un compte Microsoft OneDrive. En obtenant l’accès à l’un ou l’autre de ces comptes, les attaquants disposent d’une grande quantité de documentation et de données privées provenant des fichiers stockés sur ces comptes de stockage dans le cloud.
Ils utilisent des liens images dans les fichiers PDF pour inciter leurs cibles à divulguer leurs informations d’identification afin d’accéder à leurs comptes.
L’image affiche une invitation à accéder à un fichier dont l’utilisateur sait instinctivement qu’il devrait ouvrir son disque dur. Pourtant, il s’agit d’une page de phishing qui s’ouvre lorsqu’il clique sur le lien.
Cette page de phishing ressemble exactement à la page d’accueil d’OneDrive ou de Google Drive, de sorte que la victime qui ne remarque pas le nom de domaine dans la fenêtre de son navigateur va instinctivement saisir son nom d’utilisateur et son mot de passe.
Une fois qu’il aura saisi ces informations, les informations seront envoyées à l’attaquant qui peut alors accéder à son compte cloud.
Escroqueries sur les sites de commerce électronique
L’utilisation de logos populaires est beaucoup plus convaincante que celle d’images de marque inconnues. Les logos de sites comme eBay, PayPal, Microsoft, Google et Amazon sont connus dans le monde entier, de sorte que les attaquants ont de nombreuses victimes potentielles lorsqu’ils envoient des emails de phishing à des milliers de destinataires.
Les dernières attaques de phishing utilisant des fichiers PDF incluent des logos de commerce électronique courants pour convaincre les lecteurs de cliquer sur des liens. Les sites de commerce électronique contiennent des informations privées et des données de cartes de crédit, de sorte que les attaquants peuvent voler des produits en utilisant les informations de la victime ciblée.
Par exemple, le fichier PDF peut contenir le logo Amazon et demander aux utilisateurs de cliquer sur le lien pour acheter des produits. Au lieu d’ouvrir Amazon dans le navigateur de l’utilisateur, un site web contrôlé par l’attaquant se faisant passer pour le site légitime demande aux utilisateurs de s’authentifier.
Lorsque les utilisateurs saisissent leurs informations d’identification sur le site de phishing, l’attaquant dispose désormais de leurs informations de connexion pour accéder à leurs comptes de commerce électronique.
Conclusion
Les attaques de phishing restent la menace numéro un contre les utilisateurs et les entreprises. Utilisez des filtres de la messagerie électronique pour mettre fin à ces attaques.
Les filtres de messagerie détectent les pièces jointes malveillantes et les empêchent d’atteindre la boîte de réception du destinataire.
Grâce à la cybersécurité des emails, les entreprises peuvent réduire considérablement le risque de phishing et empêcher vos employés de devenir la prochaine victime d’une attaque cybercriminelle.
Le filtre de messagerie SpamTitan bloque les spams, les virus, les malwares, les tentatives de phishing et d’autres menaces utilisant la messagerie électronique des entreprises, les fournisseurs de services gérés et les écoles du monde entier.
Découvrez l’ensemble des fonctionnalités de SpamTitan dans cette démo. Voir la démo.
Les douze derniers mois ont été terribles pour les compagnies aériennes du monde entier. La pandémie du Covid-19 a cloué les avions au sol et provoqué un impact économique considérable. Selon une étude de KPMG, les pertes mondiales du secteur aérien devraient atteindre plus de 252 milliards de dollars en 2020.
Cependant, les cybercriminels ont décidé de frapper les compagnies aériennes même pendant qu’elles sont à terre, avec des fraudes et des cyberattaques qui continuent de sévir dans le secteur de l’aviation.
Parmi ces attaques, citons la violation de données « sophistiquée » de la part de SITA Passenger Service System Inc. en février 2021, entraînant le vol de données personnelles de passagers et affectant plusieurs compagnies aériennes.
Indépendamment de cette violation, SITA a déclaré précédemment que seuls environ 35 % des compagnies aériennes et 30 % des aéroports sont correctement préparés aux cyberattaques.
Les types de cyberattaques visant le secteur de l’aviation sont variés et comprennent les attaques de ransomwares, les attaques par déni de service distribué (DDoS) sur les sites web et les menaces persistantes avancées (APT). Une récente attaque du groupe APT LazyScripter démontre la sophistication et les méthodes très ciblées que les cybercriminels utilisent contre les compagnies aériennes.
Une menace persistante avancée (APT) pour les compagnies aériennes
L’attaque APT de LazyScripter contre l’industrie aéronautique montre à quel point les attaques sont devenues insidieuses et complexes.
LazyScripter est un groupe de pirates informatiques qui a été récemment identifié bien qu’il soit probablement actif depuis 2018. Le groupe a récemment été détecté par Malwarebytes, utilisant un cheval de Troie d’accès à distance ou RAT pour cibler spécifiquement les demandeurs d’emploi des compagnies aériennes.
Les cibles comprennent l’Association internationale du transport aérien (IATA) et diverses compagnies aériennes. Le lien commun entre ces différentes menaces semble être l’utilisation d’un logiciel appelé « BSPLink », utilisé par l’IATA comme application de facturation et de règlement.
Le RAT a été découvert par les chercheurs de Malwarebytes, qui ont identifié des tactiques et des mises à jour de boîtes à outils à distance permettant d’échapper à la détection. Par exemple, les pirates ont récemment modifié la façon dont ils trompent les utilisateurs en imitant une nouvelle fonctionnalité de la pile logicielle de l’IATA, connue sous le nom de « IATA ONE ID ». Il s’agit d’un outil de traitement des passagers sans contact.
Les chercheurs ont remarqué que certaines tactiques étaient utilisées pour déployer le RAT
Des emails de phishing ont été utilisés pour diffuser des téléchargeurs de malwares sous la forme de fichiers batch, de VBScript et de fichiers de registre, cachés dans des zips ou des documents. Ce type de mécanisme de diffusion est appelé « maldocs » ou « documents Office malveillants », c’est-à-dire les fichiers malveillants qui se font passer pour des icônes PDF, Word ou Excel.
Les emails de phishing utilisaient des thèmes liés à l’IATA ou à l’emploi pour faire croire aux utilisateurs que les messages étaient légitimes. Ils avaient également des thèmes associés aux mises à jour de Microsoft et au Covid-19.
Des documents ou des fichiers zip en pièces jointes des emails étaient utilisés comme vecteur d’infection initial. Ce sont ces fichiers qui contenaient le téléchargeur du malware.
Certains emails de spam contenaient un lien raccourci. En cliquant sur le lien, l’utilisateur était redirigé vers un téléchargeur de malware nommé « KOCTOPUS ». Ou bien, un document contenait une version intégrée de KOCTOPUS.
On peut par exemple citer l’utilisation du fichier téléchargeur de script PowerShell qui était utilisé pour exposer les ports locaux du système victime sur Internet. Au total, sept exécutables ont été trouvés associés à KOCTOPUS. Les signaux émis par ces fichiers indiquaient que des mises à jour à distance avaient été effectuées.
GitHub a été utilisé par LazyScripter pour héberger ses boîtes à outils, qui comprenaient des boîtes à outils de sécurité open source, mais les comptes ont été supprimés par la suite.
Comment prévenir une cyberattaque ciblée ?
Il est important de retenir de l’exemple de LazyScripter que les cybercriminels réfléchissent soigneusement à la manière dont ils mènent une attaque. Ces groupes de pirates sont des criminels dévoués, déterminés à semer le chaos et la destruction, et leur objectif est souvent financier : voler des données pour les revendre ou pour commettre une fraude financière.
Il n’existe pas d’approche unique pour faire face aux cybermenaces qui visent des secteurs spécifiques. Les pirates à l’origine des attaques prennent le temps de comprendre leurs cibles pour trouver les meilleurs moyens pour faire en sorte que leurs scénarios d’attaques réussissent.
Le gang derrière l’attaque contre LazyScripter a utilisé des logiciels reconnus comme légitimes et des emails de marque pour faire croire aux utilisateurs qu’ils étaient en sécurité. La détection et la prévention de ces types de cybermenaces très ciblées nécessitent une position proactive en matière de sécurité et des outils adaptés.
Outre la protection des données des clients, il est essentiel de veiller à ce que le personnel soit sensibilisé à la cybersécurité. Cependant, même les employés les plus conscients peuvent encore être dupés en cliquant sur un lien lorsque des tactiques astucieuses telles que les maldocs sont utilisées.
Les emails de phishing — en particulier les emails de spear-phishing — sont très difficiles à repérer, même pour les employés les plus avertis en matière de sécurité. Une prévention robuste contre le phishing et les liens vers des sites malveillants est nécessaire pour servir de « premier filet de capture ». Ces outils empêchent les emails malveillants d’entrer dans la boîte de réception d’un employé et — s’ils parviennent à passer – empêchent l’employé d’accéder à un site web dangereux.
Protection contre les sites web malveillants
Les outils de filtrage de contenu intelligents empêchent les employés de consulter des sites malveillants en cliquant sur un lien dans un email de phishing, même s’il s’agit de liens habilement déguisés comme dans les emails de phishing de LazyScripter. Ces outils d’apprentissage automatique vérifient un site web pour s’assurer qu’il ne contient aucun malware et qu’il ne s’agit pas d’un site de phishing.
Protection contre le phishing
Le phishing peut être évité grâce à une solution de protection des emails. Ces outils analysent tous les emails entrants à la recherche de signaux indiquant qu’un email est un spam ou contient des pièces jointes malveillantes ou des liens dangereux.
Certains outils, comme SpamTitan, protègent les organisations contre les vulnérabilités de type « Zero-Day » grâce à des technologies intelligentes. Cette dernière capacité est importante, car les cybercriminels continuent d’utiliser les failles de type « zero-day » pour contourner vos systèmes de protection tels que les correctifs et les logiciels antimalware pour les points d’accès.
Les cybercriminels se moquent de savoir si un secteur a été gravement touché par une mauvaise économie ou une catastrophe telle que la pandémie du Covid-19. Tout ce qui les intéresse, c’est de créer des chaînes d’attaques complexes et sophistiquées qui sont difficiles à détecter et à prévenir. Heureusement, les professionnels de la sécurité cherchent constamment des solutions pour contrer les cybermenaces avec leurs propres outils sophistiqués.
TitanHQ fournit une protection contre les menaces avancées pour protéger votre organisation des attaques de phishing. Apprenez-en davantage sur la protection multicouche de TitanHQ dès aujourd’hui. Contactez-nous.
