Les attaques DNS sont critiques pour les organisations de toutes tailles et de tous secteurs. Nous vivons à une époque où le fait de naviguer accidentellement vers un mauvais site web peut avoir des conséquences désastreuses.
Un utilisateur qui tape incorrectement un nom de domaine ou qui clique au hasard sur un lien intégré dans un e-mail peut lancer une attaque dévastatrice de ransomware, mettant hors service un seul ordinateur, un réseau entier et même envahir les chaînes d’approvisionnement.
Le filtrage web ne consiste pas seulement à arrêter les utilisateurs déterminés à se rendre sur des sites inappropriés. Il s’agit d’empêcher un accident ou une action involontaire qui pourrait compromettre l’ensemble de l’entreprise.
Aujourd’hui, la protection de la cybersécurité passe par une approche multicouche de la stratégie de sécurité. En fait, la protection des utilisateurs contre les contenus de sites malveillants, les malwares et les attaques de phishing passe par la couche DNS. Il est donc essentiel de la sécuriser.
La couche qui rend la navigation sur Internet possible est la même que celle que les pirates utilisent pour mettre en œuvre leurs attaques. Ignorer la couche DNS fait peser toute la charge sur les mécanismes de sécurité des points de terminaison qui peuvent rapidement être dépassés.
Les principales attaques DNS contre lesquelles vous devez protéger votre entreprise
Phishing
Le courrier électronique reste le principal mécanisme de diffusion des malwares, des ransomwares et des cyberescroqueries. Mais la plupart des attaques de phishing utilisent les deux composants les plus utilisés de votre environnement utilisateur, à savoir le courrier électronique et Internet.
Les cybercriminels continuent d’utiliser les attaques de phishing parce qu’elles sont faciles à mettre en œuvre et peuvent manipuler les utilisateurs avec succès. Il leur suffit de disposer d’une base de données d’adresses électroniques pour lancer leurs grands filets et prendre au piège des utilisateurs peu méfiants.
À l’instar de la pêche à l’achigan ou à la truite, le phishing dépend du bon appât qui incitera les utilisateurs à cliquer sur un lien intégré qui pointe vers un site Web et télécharge la charge utile malveillante sur le bureau de l’utilisateur.
Les attaques BEC sont une forme de phishing à fort enjeu, également connue sous le nom de spear phishing. Les attaques BEC impliquent spécifiquement des utilisateurs à hauts privilèges identifiés au sein d’une organisation. L’objectif de ces attaques est de gagner beaucoup d’argent.
Les attaquants passent souvent des mois à scruter et à surveiller le trafic de courrier électronique d’un système compromis afin de connaître sa culture et ses protocoles de communication.
Bien que les attaques de BEC n’impliquent pas toujours l’internet, un système de sécurité web peut être l’outil permettant d’éviter une perte qui peut facilement atteindre des dizaines de millions de dollars.
Malware
La lutte contre les malwares ne se limite plus aux points d’accès. Vous ne pouvez plus placer toute votre confiance dans les solutions d’extrémité, car des attaquants expérimentés ont développé des méthodologies pour contourner ces outils de sécurité à petite échelle.
Vous devez arrêter les malwares à la source. Les utilisateurs ne peuvent pas télécharger accidentellement des malwares s’ils ne sont jamais autorisés à se connecter à un site de téléchargement.
Même dans le cas où un site n’a pas été correctement identifié, une solution moderne de filtrage web devrait pouvoir analyser les paquets qui traversent le réseau et les débarrasser du code malveillant avant qu’ils ne puissent s’infiltrer sur les ordinateurs des utilisateurs finaux.
Ransomware
Bien que les ransomwares soient un type de malwares, ils méritent désormais leur propre catégorie. Nombreux sont ceux qui les considèrent aujourd’hui comme la première menace de cybersécurité.
Les attaques de phishing et du type BEC ont généralement pour but de réaliser une arnaque rapide. Ce n’est pas le cas des ransomwares, car ils peuvent entraîner l’arrêt des opérations essentielles à la mission d’innombrables organisations, grandes ou petites.
En sécurisant la couche DNS, vous faites plus que protéger votre entreprise contre les cyberattaques. Vous protégez également votre organisation contre une perturbation potentiellement dévastatrice des opérations de base.
Attaques par déni de service
Les attaques par déni de service (DoS) constituent un type d’attaque différent. Comme les ransomwares, elles ont pour but de perturber le fonctionnement du réseau d’une entreprise dans l’espoir de lui extorquer de l’argent.
Ces attaques impliquent une armée de robots qui travaillent en coordination les uns avec les autres. Chaque robot envoie du trafic divers dans le but de consommer toute la bande passante disponible.
Ces attaques visent souvent les détaillants en ligne ou d’autres entreprises qui dépendent fortement de l’infrastructure de leur site Web. Bien qu’elles ne soient pas aussi répandues, les attaquants peuvent également mener des attaques DoS au sein du réseau interne d’une entreprise.
Ces attaques impliquent généralement un type de malware qui utilise ensuite les nœuds disponibles pour envoyer des paquets malveillants.
Typosquattage
Les attaques de typosquattage sont des exemples parfaits pour attirer les visites accidentelles d’un utilisateur peu méfiant. Les cybercriminels achètent des noms de domaine dont l’orthographe est similaire à celle de sites web bien connus.
Lorsqu’un utilisateur se trompe accidentellement de nom de domaine dans son navigateur web, il est alors redirigé vers un faux site de connexion qui capture ses identifiants de connexion.
Les pirates utilisent ensuite les informations d’identification compromises pour accéder au site Web lui-même et mener leurs actions malveillantes, comme le retrait de fonds ou la réalisation d’achats non autorisés.
Solution contre ces différents types d’attaques DNS
De la même manière que les utilisateurs dépendent aujourd’hui des services d’identification de l’appelant pour trier les appels de télémarketing et les appels automatisés, les solutions de filtrage DNS sont le moyen privilégié d’éliminer les attaques basées sur le Web.
Vos utilisateurs et vos opérations critiques dépendent d’une expérience Internet sûre. Par conséquent, une solution de filtrage DNS avancée telle que WebTitan est aujourd’hui un outil indispensable.
Une approche de sécurité à plusieurs niveaux est essentielle pour toutes les organisations afin de protéger les clients, les employés et les données de l’entreprise contre les attaques DNS. Une combinaison de SpamTitan et de WebTitan peut rendre votre organisation à l’abri des attaques DNS avancées.
Avec la hausse astronomique des attaques de phishing en 2021, découvrez comment les éviter. En général, vous recevez un email dans votre boîte de réception. Il a l’air légitime, semble urgent et vous demande d’entreprendre une action immédiate. Devriez-vous le prendre au sérieux ou simplement le supprimer ?
Les professionnels de la sécurité vous diront qu’il faut toujours faire preuve de prudence et supprimer le message. Pourtant, il y a cette incertitude innée qui pousse de nombreuses personnes à suivre l’action suggérée par l’email, si c’est le cas.
Après tout, il est parfaitement logique que les grandes marques comme Netflix, PayPal ou Bank of America vous contactent si vous êtes un de leurs clients.
Sachez que plus de 3 milliards d’emails frauduleux sont envoyés chaque jour. Bien que la plupart des comptes de messagerie soient protégés par une solution de filtrage de sécurité, quelques-uns parviennent tout de même à se frayer un chemin dans le système.
Ceci accentue la possibilité qu’il s’agisse d’un message légitime pour l’utilisateur final puisqu’il est arrivé dans sa boîte de réception.
Quelques moyens de se protéger du phishing
Vérifiez toujours l’adresse d’envoi
Il faut un bon appât pour piéger un utilisateur d’email peu méfiant avec une attaque de phishing. Si, il y a dix ans, les emails de phishing étaient truffés de fautes d’orthographe et de grammaire, ce qui les rendait très évidents, ce n’est plus le cas aujourd’hui.
Désormais, de nombreux emails de phishing incluent le logo et l’en-tête de l’entreprise dans le corps du message. Ces graphiques ne sont pas seulement utilisés pour donner à l’email un aspect aussi officiel que possible, mais aussi pour détourner votre attention de l’adresse réelle de l’expéditeur.
Prenons un exemple : alors que le nom de l’expéditeur annonce IRS.Gov, l’adresse réelle de l’expéditeur provient clairement d’un domaine distinct. Cependant, le sceau officiel de l’IRS dans le coin droit fait que l’utilisateur y prête attention, détournant entièrement son attention de l’en-tête de l’email. Notez que le message contient souvent une pièce jointe et un lien intégré.
Les cybermenaces clés qui menacent les travailleurs à domicile
Si le corps de l’email se lit bien et est parfaitement logique, vous n’avez même pas besoin de perdre du temps à le lire si vous validez d’abord l’adresse d’envoi à chaque fois.
Si, pour une raison quelconque, vous utilisez un client de messagerie qui ne vous est pas familier et que vous ne trouvez pas l’en-tête de l’email, vous pouvez toujours appuyer sur le bouton de transfert. L’email de transfert comprendra l’adresse email réelle de l’expéditeur dans le corps de l’email.
Les cybercriminels achètent souvent des domaines de typosquattage d’un nom de domaine populaire et imitent ensuite son site web. Le mieux serait donc de lire attentivement l’adresse électronique d’envoi.
Comment les escrocs savent-ils que je suis un client ?
Vous vous demandez peut-être comment ils savent que vous êtes client d’une entreprise donnée. Comment savent-ils par exemple que vous attendez un colis d’une société de transport particulière ?
Dans la plupart des cas, ils ne le savent pas. Les cybercriminels envoient simplement des millions d’emails en se faisant passer pour des entreprises internationales, sachant qu’un certain pourcentage d’utilisateurs sera effectivement des clients réels.
Si vous recevez de nombreux emails suspects de la part de sociétés Internet que vous visitez fréquemment, il se peut que votre ordinateur soit infecté par un spyware qui capte tout votre trafic Web et le transmet à l’attaquant. Si tel est le cas, vous aurez besoin d’une bonne application de sécurité des points d’accès ou d’une solution antispyware pour nettoyer votre machine.
Trame commune
Les attaques de phishing ont tendance à utiliser toujours le même type de leurre. Pourquoi ? Parce qu’elles fonctionnent. Voici une liste de scénarios qui devraient immédiatement vous mettre la puce à l’oreille.
Le service informatique de votre employeur vous demande de faire quelque chose, mais la signature du email est générique, telle que « Service informatique » ou « Service d’assistance ».
Une entreprise vous envoie un avis d’activité suspecte concernant votre compte et vous demande de prendre une mesure quelconque, comme réinitialiser votre mot de passe.
Une entreprise vous a envoyé une facture sous la forme d’un fichier PDF joint.
Un bureau gouvernemental ou l’IRS déclare que vous avez droit à un remboursement ou à une subvention.
Il vous est demandé de confirmer certaines informations personnelles concernant votre compte.
L’email ne comporte pas de salutation personnelle et se réfère à un contexte générique tel que « Cher utilisateur ».
Les bonnes règles à suivre
Voici une liste de bonnes règles à suivre pour vous épargner du temps et des efforts dans l’évaluation de la légitimité d’un email.
Aucune organisation ne vous demandera jamais votre mot de passe. Elle n’enverra pas non plus d’email non sollicité pour vous demander de changer votre mot de passe
Bien que l’IRS ou les institutions financières vous envoient des emails pour confirmer la réception ou une modification de votre profil ou de votre compte, ils ne vous enverront jamais un email non sollicité vous demandant de faire quelque chose.
N’appelez jamais le numéro de téléphone d’une institution financière contenu dans un email qui vous demande de répondre à quelque chose. Recherchez le numéro vous-même et appelez.
Si quelqu’un vous envoie par email une facture que vous n’attendez pas, ignorez-la. Il en va de même pour un email concernant un colis que vous n’attendez pas.
Deux bonnes mesures de sécurité contre les escroqueries par phishing
Toute organisation qui fournit du courrier électronique à ses employés doit sécuriser toutes les activités de courrier électronique à l’aide d’un système de sécurité avancé.
Il est possible de se défendre contre les escroqueries par phishing, les piratages de mots de passe, les fraudes à la carte de crédit et les attaques de malwares les plus courants avec des outils largement disponibles et une formation de bas niveau.
Une solution de sécurité du courrier électronique telle que SpamTitan bloquera les attaques de phishing ainsi que les ransomwares et d’autres variantes de malwares. Vous devriez également protéger tous les comptes financiers avec un type d’authentification multifactorielle.
Vous serez ainsi protégé si vos informations d’identification sont compromises. Si les attaques de phishing restent aujourd’hui une menace très sérieuse, les défenses pour s’en protéger sont disponibles.
La première défense contre la cybersécurité pour les petites entreprises commence par la prise en charge de celle-ci. Parlez-en directement avec nous ou avec votre fournisseur de services gérés.
Ils seront en mesure de vous proposer des services de cybersécurité essentiels, des formations de sensibilisation à la sécurité et des conseils sur la protection, la sauvegarde et la récupération des données.
Contactez un expert en sécurité chez TitanHQ dès aujourd’hui et découvrez comment SpamTitan Email Security peut prévenir les attaques de phishing.
Croyez-le ou non, la structure fondatrice d’Internet a à peine 50 ans. Quant au DNS, il a été créé en 1983 et est devenu une norme Internet en 1986.
Le courrier électronique est un peu plus ancien puisque la première personne à utiliser le signe @ pour relier un nom d’utilisateur à un serveur de destination pour communiquer a eu lieu en 1971.
Ces deux normes ont été créées à une époque d’innocence. À notre connaissance, il n’y avait pas de pirates informatiques à l’époque. Il n’y avait certainement pas d’organisations criminelles qui diffusaient des ransomwares ou d’acteurs de la menace d’État qui faisaient du cyberespionnage. Vous pouviez faire confiance à la communauté Internet dont vous faisiez partie.
Les inventeurs de ces technologies n’ont probablement même pas pensé à la sécurité à l’époque. En raison des risques et des dangers persistants qui sont toujours présents dans la nature numérique d’aujourd’hui, nous nous retrouvons à devoir ajouter des mécanismes de sécurité à une technologie qui n’a pas été conçue pour être sécurisée à l’origine.
La sécurité DNS implique le concept général de sécurisation de votre infrastructure DNS. Le DNSSEC est en fait un aspect de ce processus.
La sécurité DNS implique non seulement la mise en œuvre du DNSSEC en tant que meilleure pratique, mais aussi des choses telles que le maintien de vos serveurs DNS corrigés et à jour, leur sécurisation par un pare-feu périmétrique et local et l’utilisation d’autres protocoles de sécurité DNS spécifiques tels que DoH (DNS over http).
Pour référence, DoH est connu comme les requêtes DNS par le biais de sessions HTTPS afin de chiffrer la communication DNS par l’utilisation de clés négociées, tout comme un site web sécurisé.
Lorsqu’un ordinateur émet une requête DNS afin de diriger correctement un utilisateur vers le site Web qu’il souhaite, il envoie une demande d’assistance à un serveur DNS. Cette demande est appelée « requête DNS ». Il existe une hiérarchie DNS dans le monde entier. Au sommet se trouvent treize serveurs DNS « racine ».
Ces serveurs représentent la première étape de la résolution d’un nom de domaine. Les serveurs racine renvoient les demandes vers le serveur de domaine de premier niveau (TLD) approprié. Ces serveurs DNS font office d’autorité pour .COM, .NET, .ORG, etc.
Ces serveurs transmettent ensuite les demandes aux serveurs DNS de domaines spécifiques ou éventuellement de sous-domaines si nécessaire. À la fin de ce processus, le client reçoit l’adresse IP demandée pour le nom d’hôte en question. Ce qui est fascinant dans tout cela, c’est la rapidité incroyable avec laquelle tout se déroule.
La validité de l’adresse IP renvoyée repose sur l’hypothèse que seules les autorités DNS appropriées ont été impliquées. Mais ce n’est pas toujours le cas.
La nature non sécurisée du DNS le rend sensible aux attaques de type « man-in-the-middle ». Un pirate informatique pourrait injecter un serveur malveillant dans le processus, qui pourrait ensuite renvoyer les clients vers des sites non légitimes.
Ces sites pourraient être utilisés pour imiter un site Web afin de voler les informations d’identification des utilisateurs ou de télécharger un code malveillant ou un cheval de Troie.
Comment fonctionne le DNSSEC ?
Le DNSSEC est utilisé pour éliminer cette vulnérabilité inhérente du DNS aux attaques de type « man-in-the-middle ». Pour ce faire, il fournit une couche supplémentaire d’authentification à la réponse du DNS qui utilise la cryptographie à clé publique.
L’utilisation de ces clés permet de vérifier les enregistrements DNS associés à un domaine. Lorsque plusieurs serveurs DNS sont impliqués dans un processus de requête, chacun d’eux est validé, ce qui garantit au client que chaque étape est légitime.
Les treize serveurs DNS racine sont déjà protégés par le DNSSEC. Une fois qu’une réponse d’un serveur racine est validée, le serveur fournit les clés publiques du serveur situé en dessous de lui dans la chaîne. Cette clé publique est ensuite authentifiée par la clé privée du serveur. Et ainsi de suite jusqu’en bas de la chaîne.
Gardez à l’esprit que le DNSSEC ne chiffre pas le trafic lui-même, c’est le travail du DoH. Notez également que le DNSSEC nécessitera plus de puissance de traitement pour votre serveur DNS que la normale.
DNSSEC et sécurité DNS : Optez pour TitanHQ
TitanHQ a pour mission de sécuriser votre trafic Internet basé sur le DNS et vos communications par e-mail grâce à ses solutions de sécurité avancées.
WebTitan offre une sécurité DNS et un filtrage du contenu DNS afin d’empêcher vos utilisateurs d’accéder à des sites malveillants et de télécharger du code malveillant sur Internet.
La sécurité du courrier électronique de SpamTitan vous protège en bloquant les attaques de phishing, les ransomwares et bien d’autres menaces basées sur des malwares.
Si le DNS et la messagerie ont été créés à une époque d’innocence, TitanHQ dispose actuellement des outils nécessaires pour les sécuriser à une époque de « confiance zéro ».
Parlez à un expert en sécurité de TitanHQ pour découvrir comment protéger votre couche DNS avec une approche de sécurité multicouche. Contactez-nous dès aujourd’hui.
L’informatique dans le cloud et le travail à distance ont donné lieu à des cyberattaques en ligne apparemment sans fin. Mais selon un rapport de Thycotic, près des trois quarts des pirates informatiques « black hat » ont déclaré que les pare-feu et les antivirus traditionnels ne pouvaient pas les arrêter.
Alors que les mesures de sécurité traditionnelles s’adaptent pour déjouer les cyberattaques, les tactiques de piratage éprouvées, telles que le phishing et le téléchargement de malwares, échappent à toute détection.
Une méthode alternative pour stopper à la source les cyberattaques véhiculées par le web est le filtrage DNS. Il peut être profondément intégré à Microsoft Azure Active Directory (AD) pour offrir un filtrage DNS Azure basé sur l’accès au niveau de l’utilisateur.
Dans ce dossier spécial, nous allons vous expliquer ce qu’est le filtrage DNS Azure AD : comment fonctionne-t-il et quels avantages procure-t-il à votre entreprise par rapport aux mesures de sécurité traditionnelles ?
Qu’est-ce qu’un DNS, et quel rôle joue Microsoft Azure dans ce concept ?
Un DNS (Domain Name System) est en quelque sorte la base de l’Internet. Il permet de faire correspondre un nom de domaine lisible par l’homme à une adresse IP lisible par les machines (IP signifie Internet Protocol).
Lorsqu’un utilisateur tape une adresse web dans un navigateur, un « résolveur DNS » fait correspondre ce domaine à une adresse IP en utilisant les serveurs DNS. En d’autres termes, le système DNS résout l’adresse et la mappe à l’adresse IP. Cette adresse IP est ensuite utilisée pour établir la connexion entre l’appareil et l’adresse IP avant de charger le contenu.
Les objets, comme l’appareil mobile d’un travailleur distant, ont également une adresse IP. Les milliards d’objets, de personnes et de sites web dépendent tous d’un DNS en état de marche pour fournir du contenu et des données.
Un DNS est hautement distribué et ne dépend pas d’un seul serveur. Les domaines dans Azure sont hébergés sur un réseau mondial de serveurs de noms DNS qui sont gérés par l’infrastructure dans le cloud d’Azure. L’ensemble du système est configuré pour optimiser la vitesse et la haute disponibilité pour un domaine donné.
Les administrateurs d’Azure utilisent Azure DNS pour des services tels que l’hébergement de sites web, d’applications, d’API et de services dans le cloud, ainsi que la gestion des zones DNS.
Qu’est-ce que le filtrage DNS Azure AD ?
Le filtrage DNS est une méthode utilisée pour empêcher les utilisateurs d’accéder à certains sites web ou adresses IP. Ceci est important, car des tactiques telles que le phishing et l’infection par des malwares via des sites web malveillants sont des méthodes de cyberattaque les plus couramment utilisées par les cybercriminels.
Le filtrage DNS fonctionne en parallèle avec le système DNS. Lorsqu’un résolveur DNS est configuré pour bloquer une certaine adresse IP, en l’ajoutant à une « liste de blocage », l’utilisateur est empêché de naviguer vers cette adresse IP.
Généralement, la liste de blocage contient des sites web malveillants. De la même manière, un filtre DNS peut également autoriser la visite de certains sites web, en les plaçant sur une « liste blanche » de sites considérés comme sûrs.
Le filtrage DNS peut également être appliqué sur la base d’un appareil, par exemple en appliquant des politiques de filtrage aux utilisateurs de Chromebook du secteur de l’éducation.
De plus, le filtrage DNS Azure peut être appliqué aux services hébergés spécifiques d’Azure pour créer des zones sûres auxquelles les utilisateurs peuvent accéder.
Filtrage DNS basé sur Azure Active Directory (AD)
Azure AD est un annuaire qui peut être utilisé pour appliquer un contrôle d’accès basé sur les rôles. Le filtrage DNS d’Azure utilise des politiques qui couvrent l’ensemble d’une organisation, appliquant et surveillant le filtrage à l’aide de ces politiques appliquées à l’appartenance à un groupe AD.
WebTitan, par exemple, est profondément intégré à Azure AD, utilisant une application d’entreprise Azure AD pour analyser toute ouverture de session Azure afin de trouver de nouveaux utilisateurs. Ces utilisateurs sont ensuite associés à l’adresse IP de toute machine virtuelle utilisée pour se connecter et les politiques de sécurité et d’accès sont appliquées en conséquence.
Avantages de l’utilisation du filtrage DNS d’Azure
Une solution de filtrage DNS pilotée par l’Intelligence artificielle, telle que WebTitan, utilise des techniques avancées comme l’apprentissage automatique pour s’assurer que même les menaces du type « zero day » sont protégées.
Lorsqu’elle est intégrée à Azure AD, les politiques de sécurité nécessaires pour gérer et contrôler l’accès des employés à votre réseau peuvent être automatiquement appliquées et gérées à distance.
Une solution de filtrage DNS, en particulier celle qui peut s’adapter de manière sélective aux menaces du type « zero day », offre des avantages majeurs pour protéger votre organisation contre les cyberattaques véhiculées par le Web.
Bloquer dynamiquement l’accès à des sites Web inappropriés ou malveillants
Les sites web infectés par des malwares servent d’appât pour attirer les utilisateurs et infecter tout appareil se connectant à l’adresse IP du domaine malveillant. D’autres sites peuvent aussi contenir du matériel inapproprié.
Les utilisateurs sont encouragés à ouvrir de tels sites en utilisant des techniques d’ingénierie sociale. Si un utilisateur navigue sur un site malveillant, le code malveillant profite des vulnérabilités des navigateurs mal corrigés ou mal configurés pour infecter son appareil avec des malwares.
Il peut être difficile pour les solutions antivirus ou antispam traditionnelles d’empêcher l’impact de la visite de ces sites, car de nouvelles variantes apparaissent. Celles-ci sont conçues pour échapper à la détection par les mesures de sécurité traditionnelles.
L’une des dernières tactiques utilisées par les pirates consiste à utiliser les applications Azure comme vecteur d’infection par des malwares et de vol d’identifiants de connexion. Les pirates utilisent des applications Azure réalistes, mais malveillantes, pour encourager les utilisateurs à se rendre sur un site Web contrôlé par l’attaquant afin d’exécuter l’attaque complète.
L’utilisation d’un filtre DNS permet de stopper ce type d’attaque en coupant la route vers le site web malveillant. En utilisant un filtre DNS basé sur l’adhésion à Azure AD, votre administrateur système peut rapidement et dynamiquement mapper un utilisateur ou un rôle de l’Active Directory pour bloquer l’accès aux sites web mmalveillantsdéjà établis et couveaux.
Bloquer les sites de phishing
En 2020, 75 % des organisations dans les quatre coins du globe ont subi une attaque de phishing. Ces attaques commencent souvent par l’incitation d’un utilisateur à se rendre sur un site de phishing. Une fois que l’utilisateur entre sur le site malveillant, ses identifiants de connexion, ses données et/ou son accès aux ressources de l’entreprise sont en danger.
La technologie intelligente pilotée par l’Intelligence artificielle permet d’atténuer les menaces, même celles qui ne sont pas encore connues.
Empêcher l’infection par les ransomwares et le vol de données
Les ransomwares sont des malwares très populaires. Auparavant, le principal objectif d’une attaque de ransomware était de chiffrer des données et d’extorquer de l’argent aux victimes – sous la forme d’une rançon – en échange de la clé de déchiffrement.
Désormais, selon IBM X-Force, 59 % des incidents liés aux ransomwares incluent également l’exfiltration de données, les données volées étant ensuite utilisées pour faire pression sur les organisations afin qu’elles paient. Cependant, même si la rançon est payée, rien ne garantit que les données volées ne seront pas vendues et utilisées à des fins de fraude.
Les ransomwares infectent souvent une entreprise par le biais d’e-mails de phishing et de sites web infectés. Le Verizon Data Breach Investigation Report (DBIR) indique que dans 85 % des cas de violation de données, un être humain est impliqué, généralement en naviguant sur un site web infecté ou en cliquant sur un lien dans un e-mail de phishing.
Le filtrage DNS d’Azure empêche les membres d’Azure AD de faire partie des 85 % d’utilisateurs qui aident les infections par des ransomwares à se propager.
Protéger les appareils
Avec le télétravail et le travail à domicile, les entreprises peuvent autoriser leurs employés à utiliser leurs appareils personnels pour réaliser des tâches professionnelles. Cependant, les appareils personnels sont beaucoup plus difficiles à protéger, car les politiques sont plus difficiles à appliquer et à gérer à distance.
Grâce à un filtrage DNS d’Azure AD, qui utilise des agents basés sur les appareils et gérés à distance, même les appareils personnels peuvent être protégés contre les infections par des malwares.
Simple à configurer et à utiliser
Enfin, tout filtre DNS doit être facile à mettre en place et doit pouvoir être configuré à distance pour une main-d’œuvre basée dans le cloud ou à distance.
Les environnements cloud changent constamment. De nouvelles applications et de nouveaux points d’extrémité sont ajoutés constamment, ce qui nécessite des politiques appropriées pour différents environnements.
Les filtres DNS doivent être faciles à mettre en place, à configurer et à modifier. Les filtres de contenu basés sur l’API permettent une configuration et une surveillance à distance. La mise en correspondance d’Azure AD avec l’accès au site web offre un moyen simple de créer des politiques de sécurité par utilisateur et par rôle.
En appliquant le contrôle puissant du filtrage DNS intégré d’Azure AD à l’accès au web, votre entreprise peut améliorer sa posture de sécurité et réduire les risques liés au web.
Un filtre DNS offre à votre organisation un moyen d’améliorer la sécurité de la navigation web de votre personnel, en prévenant le vol de données et d’identifiants, les attaques de ransomwares et d’autres cyberattaques, ainsi que l’utilisation inappropriée du web.
Les douze derniers mois ont été terribles pour les compagnies aériennes du monde entier. La pandémie du Covid-19 a cloué les avions au sol et provoqué un impact économique considérable. Selon une étude de KPMG, les pertes mondiales du secteur aérien devraient atteindre plus de 252 milliards de dollars en 2020.
Cependant, les cybercriminels ont décidé de frapper les compagnies aériennes même pendant qu’elles sont à terre, avec des fraudes et des cyberattaques qui continuent de sévir dans le secteur de l’aviation.
Parmi ces attaques, citons la violation de données « sophistiquée » de la part de SITA Passenger Service System Inc. en février 2021, entraînant le vol de données personnelles de passagers et affectant plusieurs compagnies aériennes.
Indépendamment de cette violation, SITA a déclaré précédemment que seuls environ 35 % des compagnies aériennes et 30 % des aéroports sont correctement préparés aux cyberattaques.
Les types de cyberattaques visant le secteur de l’aviation sont variés et comprennent les attaques de ransomwares, les attaques par déni de service distribué (DDoS) sur les sites web et les menaces persistantes avancées (APT). Une récente attaque du groupe APT LazyScripter démontre la sophistication et les méthodes très ciblées que les cybercriminels utilisent contre les compagnies aériennes.
Une menace persistante avancée (APT) pour les compagnies aériennes
L’attaque APT de LazyScripter contre l’industrie aéronautique montre à quel point les attaques sont devenues insidieuses et complexes.
LazyScripter est un groupe de pirates informatiques qui a été récemment identifié bien qu’il soit probablement actif depuis 2018. Le groupe a récemment été détecté par Malwarebytes, utilisant un cheval de Troie d’accès à distance ou RAT pour cibler spécifiquement les demandeurs d’emploi des compagnies aériennes.
Les cibles comprennent l’Association internationale du transport aérien (IATA) et diverses compagnies aériennes. Le lien commun entre ces différentes menaces semble être l’utilisation d’un logiciel appelé « BSPLink », utilisé par l’IATA comme application de facturation et de règlement.
Le RAT a été découvert par les chercheurs de Malwarebytes, qui ont identifié des tactiques et des mises à jour de boîtes à outils à distance permettant d’échapper à la détection. Par exemple, les pirates ont récemment modifié la façon dont ils trompent les utilisateurs en imitant une nouvelle fonctionnalité de la pile logicielle de l’IATA, connue sous le nom de « IATA ONE ID ». Il s’agit d’un outil de traitement des passagers sans contact.
Les chercheurs ont remarqué que certaines tactiques étaient utilisées pour déployer le RAT
Des emails de phishing ont été utilisés pour diffuser des téléchargeurs de malwares sous la forme de fichiers batch, de VBScript et de fichiers de registre, cachés dans des zips ou des documents. Ce type de mécanisme de diffusion est appelé « maldocs » ou « documents Office malveillants », c’est-à-dire les fichiers malveillants qui se font passer pour des icônes PDF, Word ou Excel.
Les emails de phishing utilisaient des thèmes liés à l’IATA ou à l’emploi pour faire croire aux utilisateurs que les messages étaient légitimes. Ils avaient également des thèmes associés aux mises à jour de Microsoft et au Covid-19.
Des documents ou des fichiers zip en pièces jointes des emails étaient utilisés comme vecteur d’infection initial. Ce sont ces fichiers qui contenaient le téléchargeur du malware.
Certains emails de spam contenaient un lien raccourci. En cliquant sur le lien, l’utilisateur était redirigé vers un téléchargeur de malware nommé « KOCTOPUS ». Ou bien, un document contenait une version intégrée de KOCTOPUS.
On peut par exemple citer l’utilisation du fichier téléchargeur de script PowerShell qui était utilisé pour exposer les ports locaux du système victime sur Internet. Au total, sept exécutables ont été trouvés associés à KOCTOPUS. Les signaux émis par ces fichiers indiquaient que des mises à jour à distance avaient été effectuées.
GitHub a été utilisé par LazyScripter pour héberger ses boîtes à outils, qui comprenaient des boîtes à outils de sécurité open source, mais les comptes ont été supprimés par la suite.
Comment prévenir une cyberattaque ciblée ?
Il est important de retenir de l’exemple de LazyScripter que les cybercriminels réfléchissent soigneusement à la manière dont ils mènent une attaque. Ces groupes de pirates sont des criminels dévoués, déterminés à semer le chaos et la destruction, et leur objectif est souvent financier : voler des données pour les revendre ou pour commettre une fraude financière.
Il n’existe pas d’approche unique pour faire face aux cybermenaces qui visent des secteurs spécifiques. Les pirates à l’origine des attaques prennent le temps de comprendre leurs cibles pour trouver les meilleurs moyens pour faire en sorte que leurs scénarios d’attaques réussissent.
Le gang derrière l’attaque contre LazyScripter a utilisé des logiciels reconnus comme légitimes et des emails de marque pour faire croire aux utilisateurs qu’ils étaient en sécurité. La détection et la prévention de ces types de cybermenaces très ciblées nécessitent une position proactive en matière de sécurité et des outils adaptés.
Outre la protection des données des clients, il est essentiel de veiller à ce que le personnel soit sensibilisé à la cybersécurité. Cependant, même les employés les plus conscients peuvent encore être dupés en cliquant sur un lien lorsque des tactiques astucieuses telles que les maldocs sont utilisées.
Les emails de phishing — en particulier les emails de spear-phishing — sont très difficiles à repérer, même pour les employés les plus avertis en matière de sécurité. Une prévention robuste contre le phishing et les liens vers des sites malveillants est nécessaire pour servir de « premier filet de capture ». Ces outils empêchent les emails malveillants d’entrer dans la boîte de réception d’un employé et — s’ils parviennent à passer – empêchent l’employé d’accéder à un site web dangereux.
Protection contre les sites web malveillants
Les outils de filtrage de contenu intelligents empêchent les employés de consulter des sites malveillants en cliquant sur un lien dans un email de phishing, même s’il s’agit de liens habilement déguisés comme dans les emails de phishing de LazyScripter. Ces outils d’apprentissage automatique vérifient un site web pour s’assurer qu’il ne contient aucun malware et qu’il ne s’agit pas d’un site de phishing.
Protection contre le phishing
Le phishing peut être évité grâce à une solution de protection des emails. Ces outils analysent tous les emails entrants à la recherche de signaux indiquant qu’un email est un spam ou contient des pièces jointes malveillantes ou des liens dangereux.
Certains outils, comme SpamTitan, protègent les organisations contre les vulnérabilités de type « Zero-Day » grâce à des technologies intelligentes. Cette dernière capacité est importante, car les cybercriminels continuent d’utiliser les failles de type « zero-day » pour contourner vos systèmes de protection tels que les correctifs et les logiciels antimalware pour les points d’accès.
Les cybercriminels se moquent de savoir si un secteur a été gravement touché par une mauvaise économie ou une catastrophe telle que la pandémie du Covid-19. Tout ce qui les intéresse, c’est de créer des chaînes d’attaques complexes et sophistiquées qui sont difficiles à détecter et à prévenir. Heureusement, les professionnels de la sécurité cherchent constamment des solutions pour contrer les cybermenaces avec leurs propres outils sophistiqués.
TitanHQ fournit une protection contre les menaces avancées pour protéger votre organisation des attaques de phishing. Apprenez-en davantage sur la protection multicouche de TitanHQ dès aujourd’hui. Contactez-nous.
Les cybercriminels sont toujours à la recherche de moyens plus faciles de se faire un peu d’argent sur le dos des gens. De la même manière que les petits voleurs se tournent vers le vol à la tire dans les lieux touristiques bondés de voyageurs imprudents, ils ciblent les sites web qui attirent le plus d’utilisateurs peu méfiants.
L’un de ces sites est la plate-forme de chat Discord, très populaire auprès des aux joueurs de jeux vidéo en ligne, mais qui s’est également étendue à d’autres communautés. Elle permet aux utilisateurs d’interagir les uns avec les autres par le biais d’un large éventail de moyens tels que les appels vocaux, les appels vidéo ou les textos.
Le paradis perdu
Selon le magazine Forbes, Discord comptait 150 millions d’utilisateurs et sa valeur, estimée à 2 milliards de dollars en 2019, ne cesse d’augmenter. Forbes a révélé dans un article que des groupes Discord qui s’adonnaient à des activités cybercriminelles faisaient l’objet d’une enquête du FBI à l’époque.
La majeure partie de cette activité criminelle consistait en de petites escroqueries. Les cybercriminels utilisaient des chats en direct pour proposer des cartes-cadeaux à prix réduit ou des abonnements à vie à des Malware-as-a-Service (MaaS) – une version criminelle de Software as a service (SaaS) qui permet la location d’une application via Internet – pour une somme symbolique.
Dans d’autres cas, ils vendaient des cartes de paiement et des comptes PayPal volés. Certains de ces malfaiteurs ciblaient spécifiquement les enfants.
Alors qu’il était autrefois considéré comme un « paradis pour les joueurs », Discord semble être devenu un nouveau paradis pour la cybercriminalité, selon le magazine Cyware.
Le manque de supervision de Discord a des conséquences
L’une des caractéristiques et qui a rendu Discord si populaire auprès de ses utilisateurs est son accès ouvert et la flexibilité en matière de supervision. Mais ce manque de surveillance a un prix, car cela encourage la diffusion de contenus illicites et la cyberintimidation, tout en favorisant les comportements malveillants.
Le fait que les utilisateurs non inscrits puissent télécharger le contenu téléchargé rend difficile la recherche des responsables de la distribution de malwares ou de matériel illicite. Même si certaines personnes qualifient cela de liberté, d’autres le considèrent comme une pure erreur de gestion de la part de Discord.
Le CDN de Discord
Outre la compromission continue du service de chat Discord, la société de cybersécurité Zscaler a déclaré que les cybercriminels abusent du service cdn.discorapp.com pour diffuser des malwares. Zscaler a déclaré avoir capturé plus de 100 échantillons de codes malveillants uniques provenant de Discord sur une période de deux mois.
Les auteurs attirent d’abord l’intérêt des utilisateurs avec des emails de phishing qui encouragent le téléchargement de logiciels piratés ou d’applications de jeux.
Selon Bleeping Computer, les pirates profitent d’une vulnérabilité unique de Discord qui leur permet de supprimer un fichier malveillant après l’avoir téléchargé sur les serveurs de Discord, mais de le conserver dans le réseau de distribution de contenu (CDN) de la marque pour pouvoir le télécharger à nouveau.
Un large éventail de catégories de malwares, y compris des enregistreurs de frappe, sont facilement distribués à l’aide de ce CDN. Même si Discord avait émis des avertissements concernant certains téléchargements, des tests ont montré que de nombreux téléchargements malveillants connus n’étaient pas du tout signalés.
Webhook et ransomware dans Discord
Discord utilise une fonctionnalité appelée « Webhook ». Elle permet aux utilisateurs de poster un contenu via l’envoi d’un message même s’ils ne disposent pas de l’application Discord.
Bien que cette fonctionnalité ait ses mérites et son utilité, elle permet également aux pirates de sonder les sessions web et de voler des identifiants de connexion enregistrés dans certains des principaux navigateurs web, ainsi que les jetons d’utilisateur (token) de Discord.
TrendMicro a récemment découvert un nouveau ransomware qui utilise des webhooks comme plateforme de communication avec ses victimes. Une autre souche de ransomware appelée « Hog » présentait également une nouvelle tournure concernant le processus de déchiffrement.
Plutôt que d’émettre une clé, la machine de la victime n’est déchiffrée qu’une fois qu’elle a rejoint le serveur Discord. Une fois la machine connectée, l’utilisateur s’authentifie avec son jeton d’utilisateur qui fait office de clé intégrée à un malware.
Le remède aux cybermenaces liées à Discord
Alors comment empêcher vos utilisateurs de visiter un site tel que Discord ? La réponse est d’utiliser un filtrage DNS avancé et une solution de sécurité web telle que WebTitan.
Comme de nombreux filtres de sécurité web standard, vous pouvez créer des politiques qui refusent l’accès à des sites tels que Discord. Mais WebTitan va au-delà du simple filtrage d’URL.
Son service de détection des malwares surveille et identifie activement les menaces en temps réel, bloquant ainsi l’accès des utilisateurs aux sites hébergeant des malwares, des menaces de phishing, des virus, des ransomwares et aux sites qui renferment des contenus malveillants.
En outre, la solution antimalware de WebTitan permet de s’assurer que les codes malveillants ne s’échappent pas d’un serveur web compromis.
TitanHQ propose aussi SpamTitan, une solution de sécurité de la messagerie électronique capable de bloquer les emails de phishing qui pourraient diriger les utilisateurs finaux vers Discord.
Le fait est qu’il existe de nombreux endroits périlleux sur Internet, et qu’il en existera probablement toujours. Mais si vous utilisez la combinaison de WebTitan et de SpamTitan, vous n’aurez plus à vous soucier de ces zones précaires.
Voulez-vous savoir comment protéger vos employés pour qu’ils n’atterrissent pas dans des endroits précaires comme Discord, quel que soit leur emplacement ? Contactez l’un de nos experts dès aujourd’hui.
