Les attaques DNS sont critiques pour les organisations de toutes tailles et de tous secteurs. Nous vivons à une époque où le fait de naviguer accidentellement vers un mauvais site web peut avoir des conséquences désastreuses.
Un utilisateur qui tape incorrectement un nom de domaine ou qui clique au hasard sur un lien intégré dans un e-mail peut lancer une attaque dévastatrice de ransomware, mettant hors service un seul ordinateur, un réseau entier et même envahir les chaînes d’approvisionnement.
Le filtrage web ne consiste pas seulement à arrêter les utilisateurs déterminés à se rendre sur des sites inappropriés. Il s’agit d’empêcher un accident ou une action involontaire qui pourrait compromettre l’ensemble de l’entreprise.
Aujourd’hui, la protection de la cybersécurité passe par une approche multicouche de la stratégie de sécurité. En fait, la protection des utilisateurs contre les contenus de sites malveillants, les malwares et les attaques de phishing passe par la couche DNS. Il est donc essentiel de la sécuriser.
La couche qui rend la navigation sur Internet possible est la même que celle que les pirates utilisent pour mettre en œuvre leurs attaques. Ignorer la couche DNS fait peser toute la charge sur les mécanismes de sécurité des points de terminaison qui peuvent rapidement être dépassés.
Les principales attaques DNS contre lesquelles vous devez protéger votre entreprise
Phishing
Le courrier électronique reste le principal mécanisme de diffusion des malwares, des ransomwares et des cyberescroqueries. Mais la plupart des attaques de phishing utilisent les deux composants les plus utilisés de votre environnement utilisateur, à savoir le courrier électronique et Internet.
Les cybercriminels continuent d’utiliser les attaques de phishing parce qu’elles sont faciles à mettre en œuvre et peuvent manipuler les utilisateurs avec succès. Il leur suffit de disposer d’une base de données d’adresses électroniques pour lancer leurs grands filets et prendre au piège des utilisateurs peu méfiants.
À l’instar de la pêche à l’achigan ou à la truite, le phishing dépend du bon appât qui incitera les utilisateurs à cliquer sur un lien intégré qui pointe vers un site Web et télécharge la charge utile malveillante sur le bureau de l’utilisateur.
Les attaques BEC sont une forme de phishing à fort enjeu, également connue sous le nom de spear phishing. Les attaques BEC impliquent spécifiquement des utilisateurs à hauts privilèges identifiés au sein d’une organisation. L’objectif de ces attaques est de gagner beaucoup d’argent.
Les attaquants passent souvent des mois à scruter et à surveiller le trafic de courrier électronique d’un système compromis afin de connaître sa culture et ses protocoles de communication.
Bien que les attaques de BEC n’impliquent pas toujours l’internet, un système de sécurité web peut être l’outil permettant d’éviter une perte qui peut facilement atteindre des dizaines de millions de dollars.
Malware
La lutte contre les malwares ne se limite plus aux points d’accès. Vous ne pouvez plus placer toute votre confiance dans les solutions d’extrémité, car des attaquants expérimentés ont développé des méthodologies pour contourner ces outils de sécurité à petite échelle.
Vous devez arrêter les malwares à la source. Les utilisateurs ne peuvent pas télécharger accidentellement des malwares s’ils ne sont jamais autorisés à se connecter à un site de téléchargement.
Même dans le cas où un site n’a pas été correctement identifié, une solution moderne de filtrage web devrait pouvoir analyser les paquets qui traversent le réseau et les débarrasser du code malveillant avant qu’ils ne puissent s’infiltrer sur les ordinateurs des utilisateurs finaux.
Ransomware
Bien que les ransomwares soient un type de malwares, ils méritent désormais leur propre catégorie. Nombreux sont ceux qui les considèrent aujourd’hui comme la première menace de cybersécurité.
Les attaques de phishing et du type BEC ont généralement pour but de réaliser une arnaque rapide. Ce n’est pas le cas des ransomwares, car ils peuvent entraîner l’arrêt des opérations essentielles à la mission d’innombrables organisations, grandes ou petites.
En sécurisant la couche DNS, vous faites plus que protéger votre entreprise contre les cyberattaques. Vous protégez également votre organisation contre une perturbation potentiellement dévastatrice des opérations de base.
Attaques par déni de service
Les attaques par déni de service (DoS) constituent un type d’attaque différent. Comme les ransomwares, elles ont pour but de perturber le fonctionnement du réseau d’une entreprise dans l’espoir de lui extorquer de l’argent.
Ces attaques impliquent une armée de robots qui travaillent en coordination les uns avec les autres. Chaque robot envoie du trafic divers dans le but de consommer toute la bande passante disponible.
Ces attaques visent souvent les détaillants en ligne ou d’autres entreprises qui dépendent fortement de l’infrastructure de leur site Web. Bien qu’elles ne soient pas aussi répandues, les attaquants peuvent également mener des attaques DoS au sein du réseau interne d’une entreprise.
Ces attaques impliquent généralement un type de malware qui utilise ensuite les nœuds disponibles pour envoyer des paquets malveillants.
Typosquattage
Les attaques de typosquattage sont des exemples parfaits pour attirer les visites accidentelles d’un utilisateur peu méfiant. Les cybercriminels achètent des noms de domaine dont l’orthographe est similaire à celle de sites web bien connus.
Lorsqu’un utilisateur se trompe accidentellement de nom de domaine dans son navigateur web, il est alors redirigé vers un faux site de connexion qui capture ses identifiants de connexion.
Les pirates utilisent ensuite les informations d’identification compromises pour accéder au site Web lui-même et mener leurs actions malveillantes, comme le retrait de fonds ou la réalisation d’achats non autorisés.
Solution contre ces différents types d’attaques DNS
De la même manière que les utilisateurs dépendent aujourd’hui des services d’identification de l’appelant pour trier les appels de télémarketing et les appels automatisés, les solutions de filtrage DNS sont le moyen privilégié d’éliminer les attaques basées sur le Web.
Vos utilisateurs et vos opérations critiques dépendent d’une expérience Internet sûre. Par conséquent, une solution de filtrage DNS avancée telle que WebTitan est aujourd’hui un outil indispensable.
Une approche de sécurité à plusieurs niveaux est essentielle pour toutes les organisations afin de protéger les clients, les employés et les données de l’entreprise contre les attaques DNS. Une combinaison de SpamTitan et de WebTitan peut rendre votre organisation à l’abri des attaques DNS avancées.
Avec la hausse astronomique des attaques de phishing en 2021, découvrez comment les éviter. En général, vous recevez un email dans votre boîte de réception. Il a l’air légitime, semble urgent et vous demande d’entreprendre une action immédiate. Devriez-vous le prendre au sérieux ou simplement le supprimer ?
Les professionnels de la sécurité vous diront qu’il faut toujours faire preuve de prudence et supprimer le message. Pourtant, il y a cette incertitude innée qui pousse de nombreuses personnes à suivre l’action suggérée par l’email, si c’est le cas.
Après tout, il est parfaitement logique que les grandes marques comme Netflix, PayPal ou Bank of America vous contactent si vous êtes un de leurs clients.
Sachez que plus de 3 milliards d’emails frauduleux sont envoyés chaque jour. Bien que la plupart des comptes de messagerie soient protégés par une solution de filtrage de sécurité, quelques-uns parviennent tout de même à se frayer un chemin dans le système.
Ceci accentue la possibilité qu’il s’agisse d’un message légitime pour l’utilisateur final puisqu’il est arrivé dans sa boîte de réception.
Quelques moyens de se protéger du phishing
Vérifiez toujours l’adresse d’envoi
Il faut un bon appât pour piéger un utilisateur d’email peu méfiant avec une attaque de phishing. Si, il y a dix ans, les emails de phishing étaient truffés de fautes d’orthographe et de grammaire, ce qui les rendait très évidents, ce n’est plus le cas aujourd’hui.
Désormais, de nombreux emails de phishing incluent le logo et l’en-tête de l’entreprise dans le corps du message. Ces graphiques ne sont pas seulement utilisés pour donner à l’email un aspect aussi officiel que possible, mais aussi pour détourner votre attention de l’adresse réelle de l’expéditeur.
Prenons un exemple : alors que le nom de l’expéditeur annonce IRS.Gov, l’adresse réelle de l’expéditeur provient clairement d’un domaine distinct. Cependant, le sceau officiel de l’IRS dans le coin droit fait que l’utilisateur y prête attention, détournant entièrement son attention de l’en-tête de l’email. Notez que le message contient souvent une pièce jointe et un lien intégré.
Les cybermenaces clés qui menacent les travailleurs à domicile
Si le corps de l’email se lit bien et est parfaitement logique, vous n’avez même pas besoin de perdre du temps à le lire si vous validez d’abord l’adresse d’envoi à chaque fois.
Si, pour une raison quelconque, vous utilisez un client de messagerie qui ne vous est pas familier et que vous ne trouvez pas l’en-tête de l’email, vous pouvez toujours appuyer sur le bouton de transfert. L’email de transfert comprendra l’adresse email réelle de l’expéditeur dans le corps de l’email.
Les cybercriminels achètent souvent des domaines de typosquattage d’un nom de domaine populaire et imitent ensuite son site web. Le mieux serait donc de lire attentivement l’adresse électronique d’envoi.
Comment les escrocs savent-ils que je suis un client ?
Vous vous demandez peut-être comment ils savent que vous êtes client d’une entreprise donnée. Comment savent-ils par exemple que vous attendez un colis d’une société de transport particulière ?
Dans la plupart des cas, ils ne le savent pas. Les cybercriminels envoient simplement des millions d’emails en se faisant passer pour des entreprises internationales, sachant qu’un certain pourcentage d’utilisateurs sera effectivement des clients réels.
Si vous recevez de nombreux emails suspects de la part de sociétés Internet que vous visitez fréquemment, il se peut que votre ordinateur soit infecté par un spyware qui capte tout votre trafic Web et le transmet à l’attaquant. Si tel est le cas, vous aurez besoin d’une bonne application de sécurité des points d’accès ou d’une solution antispyware pour nettoyer votre machine.
Trame commune
Les attaques de phishing ont tendance à utiliser toujours le même type de leurre. Pourquoi ? Parce qu’elles fonctionnent. Voici une liste de scénarios qui devraient immédiatement vous mettre la puce à l’oreille.
Le service informatique de votre employeur vous demande de faire quelque chose, mais la signature du email est générique, telle que « Service informatique » ou « Service d’assistance ».
Une entreprise vous envoie un avis d’activité suspecte concernant votre compte et vous demande de prendre une mesure quelconque, comme réinitialiser votre mot de passe.
Une entreprise vous a envoyé une facture sous la forme d’un fichier PDF joint.
Un bureau gouvernemental ou l’IRS déclare que vous avez droit à un remboursement ou à une subvention.
Il vous est demandé de confirmer certaines informations personnelles concernant votre compte.
L’email ne comporte pas de salutation personnelle et se réfère à un contexte générique tel que « Cher utilisateur ».
Les bonnes règles à suivre
Voici une liste de bonnes règles à suivre pour vous épargner du temps et des efforts dans l’évaluation de la légitimité d’un email.
Aucune organisation ne vous demandera jamais votre mot de passe. Elle n’enverra pas non plus d’email non sollicité pour vous demander de changer votre mot de passe
Bien que l’IRS ou les institutions financières vous envoient des emails pour confirmer la réception ou une modification de votre profil ou de votre compte, ils ne vous enverront jamais un email non sollicité vous demandant de faire quelque chose.
N’appelez jamais le numéro de téléphone d’une institution financière contenu dans un email qui vous demande de répondre à quelque chose. Recherchez le numéro vous-même et appelez.
Si quelqu’un vous envoie par email une facture que vous n’attendez pas, ignorez-la. Il en va de même pour un email concernant un colis que vous n’attendez pas.
Deux bonnes mesures de sécurité contre les escroqueries par phishing
Toute organisation qui fournit du courrier électronique à ses employés doit sécuriser toutes les activités de courrier électronique à l’aide d’un système de sécurité avancé.
Il est possible de se défendre contre les escroqueries par phishing, les piratages de mots de passe, les fraudes à la carte de crédit et les attaques de malwares les plus courants avec des outils largement disponibles et une formation de bas niveau.
Une solution de sécurité du courrier électronique telle que SpamTitan bloquera les attaques de phishing ainsi que les ransomwares et d’autres variantes de malwares. Vous devriez également protéger tous les comptes financiers avec un type d’authentification multifactorielle.
Vous serez ainsi protégé si vos informations d’identification sont compromises. Si les attaques de phishing restent aujourd’hui une menace très sérieuse, les défenses pour s’en protéger sont disponibles.
La première défense contre la cybersécurité pour les petites entreprises commence par la prise en charge de celle-ci. Parlez-en directement avec nous ou avec votre fournisseur de services gérés.
Ils seront en mesure de vous proposer des services de cybersécurité essentiels, des formations de sensibilisation à la sécurité et des conseils sur la protection, la sauvegarde et la récupération des données.
Contactez un expert en sécurité chez TitanHQ dès aujourd’hui et découvrez comment SpamTitan Email Security peut prévenir les attaques de phishing.
Croyez-le ou non, la structure fondatrice d’Internet a à peine 50 ans. Quant au DNS, il a été créé en 1983 et est devenu une norme Internet en 1986.
Le courrier électronique est un peu plus ancien puisque la première personne à utiliser le signe @ pour relier un nom d’utilisateur à un serveur de destination pour communiquer a eu lieu en 1971.
Ces deux normes ont été créées à une époque d’innocence. À notre connaissance, il n’y avait pas de pirates informatiques à l’époque. Il n’y avait certainement pas d’organisations criminelles qui diffusaient des ransomwares ou d’acteurs de la menace d’État qui faisaient du cyberespionnage. Vous pouviez faire confiance à la communauté Internet dont vous faisiez partie.
Les inventeurs de ces technologies n’ont probablement même pas pensé à la sécurité à l’époque. En raison des risques et des dangers persistants qui sont toujours présents dans la nature numérique d’aujourd’hui, nous nous retrouvons à devoir ajouter des mécanismes de sécurité à une technologie qui n’a pas été conçue pour être sécurisée à l’origine.
La sécurité DNS implique le concept général de sécurisation de votre infrastructure DNS. Le DNSSEC est en fait un aspect de ce processus.
La sécurité DNS implique non seulement la mise en œuvre du DNSSEC en tant que meilleure pratique, mais aussi des choses telles que le maintien de vos serveurs DNS corrigés et à jour, leur sécurisation par un pare-feu périmétrique et local et l’utilisation d’autres protocoles de sécurité DNS spécifiques tels que DoH (DNS over http).
Pour référence, DoH est connu comme les requêtes DNS par le biais de sessions HTTPS afin de chiffrer la communication DNS par l’utilisation de clés négociées, tout comme un site web sécurisé.
Lorsqu’un ordinateur émet une requête DNS afin de diriger correctement un utilisateur vers le site Web qu’il souhaite, il envoie une demande d’assistance à un serveur DNS. Cette demande est appelée « requête DNS ». Il existe une hiérarchie DNS dans le monde entier. Au sommet se trouvent treize serveurs DNS « racine ».
Ces serveurs représentent la première étape de la résolution d’un nom de domaine. Les serveurs racine renvoient les demandes vers le serveur de domaine de premier niveau (TLD) approprié. Ces serveurs DNS font office d’autorité pour .COM, .NET, .ORG, etc.
Ces serveurs transmettent ensuite les demandes aux serveurs DNS de domaines spécifiques ou éventuellement de sous-domaines si nécessaire. À la fin de ce processus, le client reçoit l’adresse IP demandée pour le nom d’hôte en question. Ce qui est fascinant dans tout cela, c’est la rapidité incroyable avec laquelle tout se déroule.
La validité de l’adresse IP renvoyée repose sur l’hypothèse que seules les autorités DNS appropriées ont été impliquées. Mais ce n’est pas toujours le cas.
La nature non sécurisée du DNS le rend sensible aux attaques de type « man-in-the-middle ». Un pirate informatique pourrait injecter un serveur malveillant dans le processus, qui pourrait ensuite renvoyer les clients vers des sites non légitimes.
Ces sites pourraient être utilisés pour imiter un site Web afin de voler les informations d’identification des utilisateurs ou de télécharger un code malveillant ou un cheval de Troie.
Comment fonctionne le DNSSEC ?
Le DNSSEC est utilisé pour éliminer cette vulnérabilité inhérente du DNS aux attaques de type « man-in-the-middle ». Pour ce faire, il fournit une couche supplémentaire d’authentification à la réponse du DNS qui utilise la cryptographie à clé publique.
L’utilisation de ces clés permet de vérifier les enregistrements DNS associés à un domaine. Lorsque plusieurs serveurs DNS sont impliqués dans un processus de requête, chacun d’eux est validé, ce qui garantit au client que chaque étape est légitime.
Les treize serveurs DNS racine sont déjà protégés par le DNSSEC. Une fois qu’une réponse d’un serveur racine est validée, le serveur fournit les clés publiques du serveur situé en dessous de lui dans la chaîne. Cette clé publique est ensuite authentifiée par la clé privée du serveur. Et ainsi de suite jusqu’en bas de la chaîne.
Gardez à l’esprit que le DNSSEC ne chiffre pas le trafic lui-même, c’est le travail du DoH. Notez également que le DNSSEC nécessitera plus de puissance de traitement pour votre serveur DNS que la normale.
DNSSEC et sécurité DNS : Optez pour TitanHQ
TitanHQ a pour mission de sécuriser votre trafic Internet basé sur le DNS et vos communications par e-mail grâce à ses solutions de sécurité avancées.
WebTitan offre une sécurité DNS et un filtrage du contenu DNS afin d’empêcher vos utilisateurs d’accéder à des sites malveillants et de télécharger du code malveillant sur Internet.
La sécurité du courrier électronique de SpamTitan vous protège en bloquant les attaques de phishing, les ransomwares et bien d’autres menaces basées sur des malwares.
Si le DNS et la messagerie ont été créés à une époque d’innocence, TitanHQ dispose actuellement des outils nécessaires pour les sécuriser à une époque de « confiance zéro ».
Parlez à un expert en sécurité de TitanHQ pour découvrir comment protéger votre couche DNS avec une approche de sécurité multicouche. Contactez-nous dès aujourd’hui.
Une étude récente concernant les effets à long terme des fermetures des écoles de la classe de la maternelle à la terminale (K12) à cause de la pandémie du COVID en 2020 souligne à quel point cette perturbation de l’apprentissage en classe sera coûteuse.
Selon les estimations, les étudiants K12 peuvent s’attendre à une baisse de 3 % de leurs revenus au cours de leur vie. À l’échelle macroéconomique, on estime que les pays devraient s’attendre à une baisse moyenne de 1,5 % de la croissance annuelle de leurs PIB pour le reste du siècle.
Il ne fait aucun doute que toute influence négative sur l’expérience d’apprentissage des élèves a des répercussions qui vont bien au-delà de la salle de classe.
Cybersécurité dans le secteur de l’éducation
Les perturbations en classe, à tout moment, peuvent avoir de graves conséquences pour les élèves. C’est pourquoi il est impératif de veiller à ce que les étudiants puissent apprendre dans un environnement optimal, sans interruption.
Pour atteindre ce premier objectif, il faut se concentrer sur la cybersécurité au sein de nos institutions K12. Nous avons tous lu dans les journaux les histoires de districts scolaires entiers contraints de fermer pendant plusieurs jours à cause d’une attaque de ransomware.
Si ces perturbations du système ont un impact important, de petits incidents de cybersécurité isolés peuvent également nuire à l’environnement d’apprentissage de façon dramatique.
Lorsqu’un ordinateur portable d’un étudiant est mis hors service pendant une journée en raison d’une infection par un virus informatique, l’expérience d’apprentissage personnelle de cet étudiant est affectée.
Lorsqu’un élève lance une attaque DDoS afin d’éviter un test en ligne, ce sont des classes entières qui sont touchées. Lorsqu’un enseignant clique sur un lien d’hameçonnage et se fait escroquer, cela affecte son état d’esprit, ce qui entrave le processus d’enseignement.
Ransomware et attaques DDoS
Selon un bulletin de sécurité publié conjointement par le FBI et le DHS en décembre 2020, plus de la moitié des attaques de ransomware aux États-Unis ont concerné des systèmes scolaires K12 au cours des mois d’août et de septembre.
Ce n’est pas une coïncidence si cette période est liée au début de la saison scolaire. Selon un article publié par ZDNet, plus de 500 écoles aux États-Unis ont été touchées par un ransomware en 2019. Ces types d’attaques ont gravement nui aux activités des établissements scolaires victimes.
Les écoles sont particulièrement sensibles aux attaques de ransomware, car elles manquent souvent de ressources pour sécuriser correctement leur parc informatique. Elles sont également confrontées au défi de la concurrence avec le secteur privé pour obtenir des talents formés à la cybersécurité.
Souvent, les systèmes scolaires n’ont d’autre choix que de payer la rançon suite à des attaques de ransomware en raison de leur manque de préparation pour surmonter ces attaques.
Mais si les ransomwares font beaucoup parler d’eux aujourd’hui, les attaques par déni de service distribué (Distributed Denial of Service ou DDoS) sont également une menace fréquente pour les systèmes scolaires.
Les écoles publiques du comté de Miami-Dade avaient été la cible de plus d’une douzaine d’attaques DDoS au cours de l’année scolaire 2020-2021. Il s’avère que le coupable derrière l’attaque n’était pas un hacker russe, mais un étudiant local.
Malheureusement, il ne s’agit pas d’un incident isolé, et les attaques vont s’intensifier, car les étudiants peuvent désormais demander facilement des attaques DDoS sur le dark web afin de perturber un examen en ligne, par exemple.
Vol de données
La nécessité de donner la priorité à la cybersécurité dans le secteur de l’éducation va au-delà de l’expérience en classe. Les écoles contiennent un vaste dépôt de données personnelles, notamment des numéros de sécurité sociale.
Même si les lycéens n’ont pas encore de carte de crédit, les cybercriminels peuvent conserver leurs données personnelles pendant de nombreuses années en vue de les utiliser ultérieurement.
Les cybercriminels ne s’intéressent pas seulement aux dossiers des élèves. Dans de nombreuses zones rurales, le système scolaire est le plus gros employeur, ce qui signifie qu’il dispose de la plus grande base de données RH. C’est donc une mine d’or pour les pirates qui souhaitent voler des informations personnelles afin de mener des attaques plus ciblées.
L’informatique fantôme
Le défi de l’informatique fantôme – une menace tapie dans l’ombre — est un problème auquel de nombreux départements informatiques internes doivent faire face aujourd’hui.
Comme son nom laisse entendre, l’informatique fantôme est une technologie qui est là, mais qui n’est pas vraiment visible de votre service informatique. Il s’agit d’un concept qui rassemble toutes les formes d’IT que vous retrouverez dans votre organisation sans que votre service informatique ait approuvé ou même ait connaissance de leur existence.
Le concept de l’informatique fantôme s’applique également dans le secteur de l’éducation, car les enseignants et les administrateurs scolaires doivent adopter ouvertement les nouvelles technologies susceptibles d’améliorer le processus d’apprentissage des élèves.
Bien que les raisons qui motivent ces achats de technologies pour les salles de classe soient très admirables, on en sait souvent peu sur les vulnérabilités de ces technologies en matière de sécurité.
Les cybercriminels ciblent les collèges et les universités pour les mêmes raisons que celles susmentionnées (vol de données, attaque DDoS, etc.). Ils les ciblent également pour les importantes sommes d’argent qu’ils gèrent.
Les collèges et les universités gèrent beaucoup d’argent sous la forme de frais de scolarité et de dotations privées. En outre, ils hébergent de nombreuses recherches de données de grande valeur qui peuvent rapporter gros sur le marché libre.
Conclusion
S’il est vrai qu’on ne peut pas gérer les écoles de la même manière qu’une entreprise, elles doivent être sécurisées de la même manière que toute organisation à but lucratif. Il est temps de mettre réellement l’accent sur la cybersécurité dans le secteur de l’éducation.
Protégez les enfants et les étudiants des cyberattaques avec la solution WebTitan DNS & Content Filtering. Commencez l’essai gratuit de 14 jours de WebTitan et voyez comment TitanHQ peut protéger votre école ou votre collège contre les attaques cybercriminelles. Commencez l’essai gratuit dès aujourd’hui et voyez les résultats en moins d’une heure.
Les violations de données sont dévastatrices pour les organisations. Elles perdent de l’argent en raison des litiges, de la réponse aux incidents, des violations de la conformité et de la perte de confiance des clients. L’atteinte à la marque peut coûter des millions en perte de revenus, et les litiges peuvent durer des années.
La vague de violations de données de grande ampleur a commencé avec Target en 2013, et des données massives continuent d’être volées chaque année alors que de plus en plus d’organisations apprennent l’importance de la cybersécurité et de la protection des données.
Des violations de données du 21e siècle lors desquelles des milliards de dossiers ont été volés
Equifax – 147,9 millions de consommateurs affectés
Juillet 2017
Comme la société Equifax gère les évaluations et les rapports de crédit des consommateurs, il n’est donc pas surprenant que cette violation de données ait entraîné une perte massive de données financières.
Les attaquants ont pu exploiter un logiciel serveur obsolète présentant des vulnérabilités connues en matière de cybersécurité. Les développeurs du logiciel du serveur ont publié une mise à jour plusieurs semaines avant la compromission, mais les administrateurs du serveur d’Equifax ont été négligents.
Equifax a également été accusée d’avoir été lente à signaler la violation, ce qui a déclenché un changement de politique qui oblige désormais les organisations à signaler une violation de données dans un délai déterminé.
LinkedIn — 165 millions de comptes d’utilisateurs touchés
2012-2016
LinkedIn est la plaque tournante de toutes les informations orientées vers la carrière et les connexions professionnelles. Toute personne sur le marché du travail a intérêt à conserver un profil LinkedIn, ce qui fait de cette plate-forme une cible idéale pour les attaquants en quête d’informations personnelles.
LinkedIn est une cible majeure pour les attaquants utilisant l’ingénierie sociale contre une organisation. Un pirate utilise ce réseau social pour effectuer une reconnaissance et trouver des organigrammes contenant les noms et les coordonnées des employés de haut niveau.
Un attaquant a pénétré sur le site Web et a volé des millions de mots de passe SHA-1. SHA-1 est cryptographiquement peu sûr, ce qui rend les mots de passe volés vulnérables aux attaques par force brute. Les mots de passe étaient disponibles à la vente sur des forums de pirates pour 2000 $ en bitcoins.
Si un attaquant réussit à forcer les mots de passe des utilisateurs, il est possible qu’il puisse avoir accès à d’autres comptes d’utilisateurs avec le même mot de passe sur d’autres sites Internet.
Yahoo — 3 milliards de comptes d’utilisateurs touchés
2013-2014
À ce jour, la violation des données de Yahoo a entraîné la plus grande perte de données, et la marque a été largement critiquée pour l’avoir caché pendant des années.
Yahoo stocke les coordonnées, notamment la date de naissance et les numéros de téléphone de millions d’utilisateurs, et un attaquant a pu exploiter son système de messagerie pour voler des informations sur 500 millions d’utilisateurs.
En 2016, Yahoo a révélé une violation de données de 2013 où un attaquant a volé 1 milliard d’enregistrements, mais l’entreprise a ensuite modifié le nombre d’enregistrements à 3 milliards.
Au moment de l’annonce, Yahoo était en négociations avec Verizon pour vendre son activité principale. Parce que Yahoo a omis de divulguer la violation de données initiale, l’entreprise a été contrainte de réduire son prix de rachat de 350 millions de dollars.
Sina Weibo — 538 millions de comptes utilisateurs affectés
Mars 2020
Sina Weibo est la version chinoise de Twitter, et a donc été la cible des attaquants pour les noms réels des utilisateurs, leurs informations démographiques, leur localisation et leurs numéros de téléphone.
La Chine a des lois différentes de celles de l’Union européenne et des États-Unis en matière de confidentialité et de réglementation des données. On ignore donc les conséquences auxquelles Sina Weibo a dû faire face par la suite.
Les numéros de téléphone volés lors de la violation de données ont été mis en vente sur le darknet, mais les mots de passe n’étaient pas disponibles en ligne après la violation.
La violation a utilisé une faille logique dans l’API de Sina Weibo qui a permis à un attaquant de croiser les contacts avec le carnet d’adresses disponible via le point de terminaison de l’API.
MySpace — 360 millions de comptes d’utilisateurs touchés
2013
Bien que MySpace ait perdu depuis longtemps sa popularité, l’application web est toujours disponible et contient des informations de contact, notamment des adresses électroniques, des mots de passe et des noms d’utilisateur MySpace.
Les données volées étaient stockées sur l’ancienne plateforme MySpace, seuls les comptes créés avant juin 2013 ont été donc affectés. Les comptes plus anciens utilisaient l’algorithme de hachage SHA-1, qui n’est pas sûr sur le plan cryptographique.
Toute valeur hachée utilisant SHA-1 est vulnérable aux attaques par force brute, de sorte que les hachages MySpace volés pourraient révéler le mot de passe de l’utilisateur ciblé. Si l’utilisateur utilise le même mot de passe sur plusieurs sites, ses autres comptes sont également susceptibles d’être compromis.
Marriott International — 500 millions de clients touchés
2014-2018
Il faut un certain temps pour que les administrateurs découvrent une violation, mais pour Marriott International, la violation de données a duré quatre ans avant qu’elle ne soit découverte. En fait, la compromission a eu lieu en 2014, mais elle n’a été découverte qu’en 2018.
Les attaquants ont pu voler des informations de mot de passe et des données de contact pour les clients de voyage. 100 millions de numéros de cartes de crédit utilisées pour payer les chambres d’hôtel ont également été volés. On pense que les attaquants étaient parrainés par l’État chinois pour recueillir des informations de renseignement sur les citoyens américains.
Combler le fossé des violations de données en 2021
L’écart entre les systèmes sécurisés et l’activité cybercriminelle doit être comblé pour éviter les violations de données en 2021. Des recherches menées par un consortium composé de Google, PayPal, Samsung et de l’université d’État de l’Arizona fournissent quelques renseignements sur la manière d’atténuer les campagnes de phishing.
Les résultats des recherches exposent plusieurs mécanismes efficaces pour prévenir les attaques de phishing qui se terminent par le vol de données. Il s’agit notamment de l’utilisation d’avertissements basés sur le navigateur qui peuvent réduire à 71,51 % le nombre de réussites de phishing dans l’heure qui suit la détection.
Les chercheurs concluent toutefois que l’utilisation d’une atténuation proactive et d’un écosystème anti-phishing étendu est le meilleur moyen de faire face à des campagnes sophistiquées et complexes de vol de données.
En 2021, nous devons nous attendre à ce que les violations de données continuent d’être la nourriture qui alimente la cybercriminalité. Toutefois, grâce à certaines mesures d’atténuation axées sur la réduction de la probabilité du phishing, les entreprises peuvent faire des percées dans un système complexe d’attaques.
Protégez votre organisation en 2021 contre les violations de données en utilisant une solution de sécurité de messagerie telle que SpamTitan. Commencez un essai gratuit et découvrez comment SpamTitan peut protéger votre organisation et vos clients. Commencez l’essai gratuit dès aujourd’hui.
L’informatique dans le cloud et le travail à distance ont donné lieu à des cyberattaques en ligne apparemment sans fin. Mais selon un rapport de Thycotic, près des trois quarts des pirates informatiques « black hat » ont déclaré que les pare-feu et les antivirus traditionnels ne pouvaient pas les arrêter.
Alors que les mesures de sécurité traditionnelles s’adaptent pour déjouer les cyberattaques, les tactiques de piratage éprouvées, telles que le phishing et le téléchargement de malwares, échappent à toute détection.
Une méthode alternative pour stopper à la source les cyberattaques véhiculées par le web est le filtrage DNS. Il peut être profondément intégré à Microsoft Azure Active Directory (AD) pour offrir un filtrage DNS Azure basé sur l’accès au niveau de l’utilisateur.
Dans ce dossier spécial, nous allons vous expliquer ce qu’est le filtrage DNS Azure AD : comment fonctionne-t-il et quels avantages procure-t-il à votre entreprise par rapport aux mesures de sécurité traditionnelles ?
Qu’est-ce qu’un DNS, et quel rôle joue Microsoft Azure dans ce concept ?
Un DNS (Domain Name System) est en quelque sorte la base de l’Internet. Il permet de faire correspondre un nom de domaine lisible par l’homme à une adresse IP lisible par les machines (IP signifie Internet Protocol).
Lorsqu’un utilisateur tape une adresse web dans un navigateur, un « résolveur DNS » fait correspondre ce domaine à une adresse IP en utilisant les serveurs DNS. En d’autres termes, le système DNS résout l’adresse et la mappe à l’adresse IP. Cette adresse IP est ensuite utilisée pour établir la connexion entre l’appareil et l’adresse IP avant de charger le contenu.
Les objets, comme l’appareil mobile d’un travailleur distant, ont également une adresse IP. Les milliards d’objets, de personnes et de sites web dépendent tous d’un DNS en état de marche pour fournir du contenu et des données.
Un DNS est hautement distribué et ne dépend pas d’un seul serveur. Les domaines dans Azure sont hébergés sur un réseau mondial de serveurs de noms DNS qui sont gérés par l’infrastructure dans le cloud d’Azure. L’ensemble du système est configuré pour optimiser la vitesse et la haute disponibilité pour un domaine donné.
Les administrateurs d’Azure utilisent Azure DNS pour des services tels que l’hébergement de sites web, d’applications, d’API et de services dans le cloud, ainsi que la gestion des zones DNS.
Qu’est-ce que le filtrage DNS Azure AD ?
Le filtrage DNS est une méthode utilisée pour empêcher les utilisateurs d’accéder à certains sites web ou adresses IP. Ceci est important, car des tactiques telles que le phishing et l’infection par des malwares via des sites web malveillants sont des méthodes de cyberattaque les plus couramment utilisées par les cybercriminels.
Le filtrage DNS fonctionne en parallèle avec le système DNS. Lorsqu’un résolveur DNS est configuré pour bloquer une certaine adresse IP, en l’ajoutant à une « liste de blocage », l’utilisateur est empêché de naviguer vers cette adresse IP.
Généralement, la liste de blocage contient des sites web malveillants. De la même manière, un filtre DNS peut également autoriser la visite de certains sites web, en les plaçant sur une « liste blanche » de sites considérés comme sûrs.
Le filtrage DNS peut également être appliqué sur la base d’un appareil, par exemple en appliquant des politiques de filtrage aux utilisateurs de Chromebook du secteur de l’éducation.
De plus, le filtrage DNS Azure peut être appliqué aux services hébergés spécifiques d’Azure pour créer des zones sûres auxquelles les utilisateurs peuvent accéder.
Filtrage DNS basé sur Azure Active Directory (AD)
Azure AD est un annuaire qui peut être utilisé pour appliquer un contrôle d’accès basé sur les rôles. Le filtrage DNS d’Azure utilise des politiques qui couvrent l’ensemble d’une organisation, appliquant et surveillant le filtrage à l’aide de ces politiques appliquées à l’appartenance à un groupe AD.
WebTitan, par exemple, est profondément intégré à Azure AD, utilisant une application d’entreprise Azure AD pour analyser toute ouverture de session Azure afin de trouver de nouveaux utilisateurs. Ces utilisateurs sont ensuite associés à l’adresse IP de toute machine virtuelle utilisée pour se connecter et les politiques de sécurité et d’accès sont appliquées en conséquence.
Avantages de l’utilisation du filtrage DNS d’Azure
Une solution de filtrage DNS pilotée par l’Intelligence artificielle, telle que WebTitan, utilise des techniques avancées comme l’apprentissage automatique pour s’assurer que même les menaces du type « zero day » sont protégées.
Lorsqu’elle est intégrée à Azure AD, les politiques de sécurité nécessaires pour gérer et contrôler l’accès des employés à votre réseau peuvent être automatiquement appliquées et gérées à distance.
Une solution de filtrage DNS, en particulier celle qui peut s’adapter de manière sélective aux menaces du type « zero day », offre des avantages majeurs pour protéger votre organisation contre les cyberattaques véhiculées par le Web.
Bloquer dynamiquement l’accès à des sites Web inappropriés ou malveillants
Les sites web infectés par des malwares servent d’appât pour attirer les utilisateurs et infecter tout appareil se connectant à l’adresse IP du domaine malveillant. D’autres sites peuvent aussi contenir du matériel inapproprié.
Les utilisateurs sont encouragés à ouvrir de tels sites en utilisant des techniques d’ingénierie sociale. Si un utilisateur navigue sur un site malveillant, le code malveillant profite des vulnérabilités des navigateurs mal corrigés ou mal configurés pour infecter son appareil avec des malwares.
Il peut être difficile pour les solutions antivirus ou antispam traditionnelles d’empêcher l’impact de la visite de ces sites, car de nouvelles variantes apparaissent. Celles-ci sont conçues pour échapper à la détection par les mesures de sécurité traditionnelles.
L’une des dernières tactiques utilisées par les pirates consiste à utiliser les applications Azure comme vecteur d’infection par des malwares et de vol d’identifiants de connexion. Les pirates utilisent des applications Azure réalistes, mais malveillantes, pour encourager les utilisateurs à se rendre sur un site Web contrôlé par l’attaquant afin d’exécuter l’attaque complète.
L’utilisation d’un filtre DNS permet de stopper ce type d’attaque en coupant la route vers le site web malveillant. En utilisant un filtre DNS basé sur l’adhésion à Azure AD, votre administrateur système peut rapidement et dynamiquement mapper un utilisateur ou un rôle de l’Active Directory pour bloquer l’accès aux sites web mmalveillantsdéjà établis et couveaux.
Bloquer les sites de phishing
En 2020, 75 % des organisations dans les quatre coins du globe ont subi une attaque de phishing. Ces attaques commencent souvent par l’incitation d’un utilisateur à se rendre sur un site de phishing. Une fois que l’utilisateur entre sur le site malveillant, ses identifiants de connexion, ses données et/ou son accès aux ressources de l’entreprise sont en danger.
La technologie intelligente pilotée par l’Intelligence artificielle permet d’atténuer les menaces, même celles qui ne sont pas encore connues.
Empêcher l’infection par les ransomwares et le vol de données
Les ransomwares sont des malwares très populaires. Auparavant, le principal objectif d’une attaque de ransomware était de chiffrer des données et d’extorquer de l’argent aux victimes – sous la forme d’une rançon – en échange de la clé de déchiffrement.
Désormais, selon IBM X-Force, 59 % des incidents liés aux ransomwares incluent également l’exfiltration de données, les données volées étant ensuite utilisées pour faire pression sur les organisations afin qu’elles paient. Cependant, même si la rançon est payée, rien ne garantit que les données volées ne seront pas vendues et utilisées à des fins de fraude.
Les ransomwares infectent souvent une entreprise par le biais d’e-mails de phishing et de sites web infectés. Le Verizon Data Breach Investigation Report (DBIR) indique que dans 85 % des cas de violation de données, un être humain est impliqué, généralement en naviguant sur un site web infecté ou en cliquant sur un lien dans un e-mail de phishing.
Le filtrage DNS d’Azure empêche les membres d’Azure AD de faire partie des 85 % d’utilisateurs qui aident les infections par des ransomwares à se propager.
Protéger les appareils
Avec le télétravail et le travail à domicile, les entreprises peuvent autoriser leurs employés à utiliser leurs appareils personnels pour réaliser des tâches professionnelles. Cependant, les appareils personnels sont beaucoup plus difficiles à protéger, car les politiques sont plus difficiles à appliquer et à gérer à distance.
Grâce à un filtrage DNS d’Azure AD, qui utilise des agents basés sur les appareils et gérés à distance, même les appareils personnels peuvent être protégés contre les infections par des malwares.
Simple à configurer et à utiliser
Enfin, tout filtre DNS doit être facile à mettre en place et doit pouvoir être configuré à distance pour une main-d’œuvre basée dans le cloud ou à distance.
Les environnements cloud changent constamment. De nouvelles applications et de nouveaux points d’extrémité sont ajoutés constamment, ce qui nécessite des politiques appropriées pour différents environnements.
Les filtres DNS doivent être faciles à mettre en place, à configurer et à modifier. Les filtres de contenu basés sur l’API permettent une configuration et une surveillance à distance. La mise en correspondance d’Azure AD avec l’accès au site web offre un moyen simple de créer des politiques de sécurité par utilisateur et par rôle.
En appliquant le contrôle puissant du filtrage DNS intégré d’Azure AD à l’accès au web, votre entreprise peut améliorer sa posture de sécurité et réduire les risques liés au web.
Un filtre DNS offre à votre organisation un moyen d’améliorer la sécurité de la navigation web de votre personnel, en prévenant le vol de données et d’identifiants, les attaques de ransomwares et d’autres cyberattaques, ainsi que l’utilisation inappropriée du web.
Depuis plusieurs mois, les cryptomonnaies sont en plein essor. Les prix ont grimpé en flèche, ce qui signifie qu’elles ont de plus en plus de valeur pour les utilisateurs légitimes et les pirates informatiques.
Pour gagner de l’argent sur leurs exploits, les pirates ont ajouté des malwares aux jeux piratés. Le malware, nommé Crackonosh, utilise les ressources de l’ordinateur d’un utilisateur pour générer de la cryptomonnaie pour l’attaquant.
On recommande toujours aux utilisateurs de ne pas utiliser des logiciels piratés, mais beaucoup d’entre eux ne tiennent pas compte des avertissements et téléchargent des logiciels piratés sans penser que cela pourrait impliquer des risques élevés.
Des jeux populaires trafiqués minent du Monero
Lorsque les attaquants ajoutent leurs propres malwares, ils prennent souvent des jeux légitimes et enveloppent l’installation de leur propre code. Le programme d’installation ajoute le logiciel légitime, mais aussi un malware qui fonctionne en arrière-plan.
Avec Crackonosh, le programme d’installation ajoute une application de minage nommée XMRig. L’application minière est légitime, mais la méthode pour l’utiliser ne l’est pas.
L’extraction de millions de cryptomonnaies nécessite plus d’un ordinateur, c’est pourquoi les attaquants ont diffusé les fichiers exécutables malveillants à autant d’utilisateurs que possible. On estime que 222 000 appareils sont infectés en décembre 2020, et les attaquants ont récolté un peu plus de 2 millions de dollars en cryptomonnaie Monero.
Les régions les plus touchées sont les Phillippines, le Brésil, l’Inde, la Pologne, les États-Unis et le Royaume-Uni.
Mode d’infection et désactivation de l’antivirus
Les malwares distribués selon cette méthode commencent généralement par ce qui ressemble à un programme d’installation légitime. Avec Crackonosh, le programme d’installation pointe vers un fichier nommé maintenance.vbs ; un script personnalisé qui lance le programme d’installation qui, à son tour, exécute le fichier serviceinstaller.exe.
Le logiciel XMRig s’installe en utilisant l’exécutable final serviceinstaller.exe en le téléchargeant sur Internet.
Comme la plupart des malwares, Crackonosh présente différentes variantes pour éviter d’être détecté par les logiciels antivirus, mais il tente également de désactiver les applications antivirus exécutées sur l’appareil. Si l’appareil fonctionne sous Windows, le malware tente de désactiver Windows Defender, qui est l’application antimalware incluse dans le système d’exploitation.
Crackonosh ne se contente pas de désactiver l’antivirus et Windows Defender, il crée et stocke une icône dans la barre d’état du système Windows pour faire croire aux utilisateurs que leur système antivirus est toujours en cours d’exécution. Il désactive également toute mise à jour automatique afin que le système antimalware ne puisse pas être réactivé.
Prévention de Crackonosh sur votre ordinateur
Bien que Crackonosh se propage principalement sur les forums Internet, il peut être diffusé de différentes manières par un attaquant qui peut inciter les utilisateurs à exécuter le faux programme d’installation. Il peut être envoyé dans un courrier électronique malveillant, inclus dans des macros de documents et lié à d’autres messages.
Comme le malware est caché dans du contenu piraté, il se propage principalement sur les forums qui proposent des liens vers des logiciels piratés distribués.
Crackonosh utilise des ressources, qu’il s’agisse d’un appareil privé ou professionnel. Les particuliers pourraient voir leur facture d’électricité augmenter lorsque XMRig fonctionne en permanence sur les appareils de la maison, mais ce sont les entreprises qui pourraient en souffrir le plus si plusieurs machines sont victimes du malware.
L’antivirus étant désactivé, les administrateurs ne se rendront pas compte que l’appareil est compromis.
Les filtres de cybersécurité sont le meilleur moyen de bloquer les messages électroniques malveillants. Ces systèmes détectent de nombreuses attaques telles que le phishing, les en-têtes usurpés, les liens vers des sites contrôlés par des attaquants et les pièces jointes malveillantes.
Si un attaquant contourne les filtres de messagerie, les filtres de contenu Web interdisent l’accès à un site malveillant si l’utilisateur se laisse prendre au piège et clique sur un lien vers un forum hébergeant le malware Crackonosh ou tout autre programme malveillant susceptible d’endommager un appareil local.
Les deux défenses de cybersécurité fonctionnent bien ensemble pour empêcher l’accès des programmes malveillants aux appareils des utilisateurs.
Bien entendu, ces derniers doivent toujours être formés pour éviter les sites de téléchargement de logiciels piratés, mais l’utilisation des défenses de cybersécurité pour bloquer les e-mails et les sites Web malveillants ajoute une couche de protection aux appareils des utilisateurs finaux et à l’ensemble de votre environnement réseau.
La formation des utilisateurs est toujours nécessaire, mais la cybersécurité des e-mails et du contenu Web est indispensable pour éviter les erreurs humaines. Vous ne pouvez pas réduire complètement tous les risques, mais vous pouvez ajouter des couches de cybersécurité qui aideront à protéger vos appareils.
Prenez de l’avance sur le paysage des menaces en constante évolution et soyez à l’abri des attaques cybercriminelles grâce à la sécurité multicouche de TitanHQ.
Selon la Federal Trade Commission, une agence indépendante du gouvernement des États-Unis, les escroqueries de phishing liées aux cryptomonnaies ont augmenté de plus de 1 000 % depuis octobre dernier. C’était un titre récent de CBS News. En 2020, on estime à 400 000 le nombre d’escroqueries impliquant des cryptomonnaies.
Il s’avère que les cryptomonnaies ne sont pas seulement populaires parmi les investisseurs spéculatifs. Les escrocs et les cybercriminels sont également très actifs dans cette nouvelle monnaie.
Les Américains ont perdu plus de 68 millions d’euros pendant cette période. Ces pertes résultent des escroqueries à l’investissement, des vols de portefeuilles numériques et des attaques de phishing.
Selon le FBI, les attaques par compromission des e-mails professionnels (Business Email Compromise ou BEC) liées aux cryptomonnaies ont considérablement augmenté au cours des deux dernières années, les entreprises perdant environ 8.5 millions d’euros en 2020.
Dans un exemple d’attaque, les escrocs ont pu s’en tirer en volant plus de 12.5 millions d’euros à une entreprise. Souvent, les victimes ne savent même pas que leurs fonds sont convertis en monnaie numérique.
Un certain nombre de raisons expliquent pourquoi les cryptomonnaies jouent un rôle aussi important dans les escroqueries en général. La technologie des monnaies numériques étant très récente, la plupart des gens ne savent pas comment elle fonctionne.
La blockchain est un concept d’avant-garde et constitue donc un nouveau territoire pour la plupart d’entre nous. Les cybercriminels sont alors en mesure de tirer parti du faible niveau de compréhension que les gens ont de ce concept.
Un autre facteur qui contribue à l’augmentation du nombre d’attaques cybercriminelles est le nombre de monnaies numériques. Il y a actuellement plus de 5 000 cryptomonnaies en circulation dans le monde, et de nouvelles sont créées à un rythme effréné.
Il est donc facile pour les attaquants de changer continuellement de monnaie. Ils créent également plusieurs portefeuilles de cryptomonnaies pour un usage unique. Une fois que la victime a payé, le portefeuille est abandonné.
Les pirates profitent également des documents d’identification de tiers qu’ils collectent lors d’attaques d’exfiltration de données. Ils ouvrent ensuite des portefeuilles de cryptomonnaies en utilisant ces informations personnelles saisies. De plus, les cryptomonnaies ont une qualité d’anonymat héritée.
Si les blockchains qui les soutiennent fournissent un enregistrement de la transaction financière réelle, la plupart d’entre elles ne divulguent pas d’informations personnelles concernant ces transactions. Il est donc difficile pour les autorités d’établir tout type de schéma financier susceptible de faciliter leurs enquêtes. Il s’avère que les cryptomonnaies sont un paradis pour les criminels.
Attaques BEC liées aux cryptomonnaies
De nos jours, de nombreuses attaques BEC sont bien pensées et coordonnées. Les attaquants se sont souvent renseignés sur l’organisation ciblée et sur les principaux dirigeants. Ils ont souvent compromis le système de messagerie de l’entreprise des semaines, voire des mois avant l’attaque initiale, afin de s’habituer aux protocoles et à la culture de l’organisation.
L’attaque elle-même implique généralement l’usurpation de l’identité d’un dirigeant clé, tel que le PDG ou le directeur financier d’une entreprise. Un employé de niveau inférieur ayant accès au système de paiement de l’entreprise est invité à transférer des fonds pour une raison précise comme une transaction importante ou un achat.
L’employé reçoit des instructions qui incluent un compte bancaire pour la transaction où l’échange de cryptomonnaies du pirate maintient un compte de dépôt. Une fois que les fonds sont virés sur le compte du pirate, la banque convertit automatiquement l’argent en cryptomonnaie.
Les attaques de phishing liées aux cryptomonnaies les plus courantes
Bien entendu, la plupart des attaques de phishing liées aux cryptomonnaies sont lancées dans le but d’obtenir un gain rapide de la confiance des utilisateurs peu méfiants. Il y a les escroqueries habituelles qui font la promotion de faux prix, de cadeaux et de tirage au sort impliquant d’une manière ou d’une autre des cryptomonnaies.
Les exemples les plus marquants d’escroqueries liées à la cryptomonnaie concernent les systèmes d’investissement. Il s’agit souvent de fausses approbations par des célébrités ou des défenseurs bien connus des cryptomonnaies, comme Elon Musk.
Les attaques par typosquattage – une technique basée sur les fautes de frappe et d’orthographe commises un internaute au moment de saisir une adresse web dans un navigateur — sont également populaires. Pour duper leurs victimes, les cybercriminels achètent des noms de domaine qui ressemblent beaucoup à ceux de sites d’échange de cryptomonnaies bien connus.
Recommandations du FBI
En plus de l’alerte publiée plus tôt cette année, le FBI a fourni une liste de mesures spécifiques que les entreprises et les particuliers devraient adapter afin d’éviter d’être la cible d’une escroquerie liée aux cryptomonnaies. Il s’agit notamment des mesures suivantes :
Augmentez vos processus d’authentification avec une solution d’authentification multifactorielle (AMF). La méthode la plus populaire consiste à transmettre un code PIN par SMS ou par e-mail après que l’utilisateur a saisi ses identifiants de connexion pour pouvoir l’authentifier. Les applications d’authentification sur Smartphone sont également de plus en plus populaires.
Les services informatiques doivent s’assurer que les applications de messagerie de leurs employés sont configurées de manière à permettre aux utilisateurs d’afficher les extensions complètes des e-mails qu’ils reçoivent.
Les particuliers sont encouragés à surveiller régulièrement leurs comptes bancaires pour détecter les indiscrétions et les transactions non reconnues.
Le FBI insiste fortement sur le fait que la meilleure protection contre le phishing est une solution antiphishing moderne. Une excellente option est SpamTitan, qui intègre un double antivirus, une protection contre les fuites de données, des listes noires en temps réel (RBL), un filtrage du contenu des e-mails ainsi qu’une analyse heuristique bayésienne intégrant l’apprentissage automatique.
De nombreux investisseurs traditionnels ont choisi de rester sur la touche et de se contenter d’observer les rendements frénétiques des cryptomonnaies. Mais sachez que, lorsqu’il s’agit de se protéger des escroqueries liées aux cryptomonnaies, aucun d’entre nous ne peut se permettre de ne par réagir face aux menaces cybercriminelles actuelles.
Protégez-vous et votre entreprise contre les attaques de phishing liées aux cryptomonnaies avec la solution antispam SpamTitan. SpamTitan est une solution de sécurité de la messagerie capable d’anticiper les nouvelles attaques grâce à une technologie d’Intelligence artificielle prédictive. Nous vous invitons à découvrir la démonstration de SpamTitan dès aujourd’hui.
La récente enquête réalisée par TitanHQ et Osterman Research, menée auprès des professionnels de la sécurité informatique, a montré que les incidents de sécurité les plus fréquents subis par les entreprises étaient les attaques par compromission des emails professionnels (BEC).
Qu’est-ce qu’une attaque de compromission d’emails professionnels, ou Business Email Compromise ?
Une attaque de type BEC consiste pour un cybercriminel à usurper la confiance d’un contact ou d’une entreprise, généralement pour inciter un employé à effectuer un virement frauduleux, à envoyer des données sensibles via la messagerie électronique ou à obtenir de l’argent par d’autres moyens.
Lors d’une attaque de type BEC, l’attaquant usurpe généralement un compte de messagerie ou un site web. Il peut aussi utiliser un compte de messagerie authentique et fiable qui a déjà été compromis dans une attaque de phishing.
Si un compte de messagerie compromis n’est pas utilisé, une personne est généralement usurpée en modifiant le nom d’affichage pour faire croire que l’email a été envoyé par un contact authentique, souvent le PDG, le directeur financier ou un fournisseur.
Il est également fréquent que des domaines similaires soient utilisés dans les attaques de type BEC. L’attaquant découvre le format des comptes de messagerie de l’entreprise usurpée et copie ce format en utilisant un domaine qui ressemble beaucoup au domaine authentique utilisé par cette entreprise. À première vue, le domaine usurpé semble parfaitement légitime.
Les attaques de type BEC sont généralement très ciblées. Un email est soigneusement conçu pour cibler une personne au sein d’une organisation ou une personne ayant un rôle particulier.
Étant donné que de nombreuses attaques visent à inciter les employés à effectuer des virements électroniques frauduleux. Les personnes du département financier sont le plus souvent visées, bien que les auteurs des attaques de type BEC ciblent également le département des ressources humaines, le département marketing, le département informatique et les cadres.
Comme les demandes contenues dans les emails sont plausibles et que le format du message, les signatures et la marque sont souvent copiés de emails authentiques, les emails BEC peuvent être très convaincants.
Il n’est pas rare non plus que les attaques impliquent des conversations qui s’étendent sur plusieurs messages avant que l’attaquant ne fasse une demande.
Si les attaques de phishing sont courantes, les pertes dues aux attaques de type BEC sont bien plus importantes. Selon les chiffres du FBI, les attaques de type BEC sont la première cause de pertes dues à la cybercriminalité.
Comment protégez votre entreprise de la compromission d’emails professionnels ?
La défense contre les attaques de type BEC nécessite une combinaison de mesures. Naturellement, comme ces attaques visent les employés, il est important de les sensibiliser à la menace et de leur apprendre à identifier une telle attaque.
Il convient également de mettre en place des politiques et des procédures exigeant que toute demande par courrier électronique de modifications des coordonnées bancaires ou des méthodes de paiement, ou de modification des informations de dépôt direct pour la paie, soit vérifiée à l’aide de coordonnées de confiance. Un appel téléphonique rapide pourrait facilement déjouer une attaque.
Bien que ces mesures soient importantes, la meilleure défense consiste à empêcher les emails BEC d’atteindre les boîtes de réception des utilisateurs finaux, car cela élimine le risque d’erreur humaine.
Pour ce faire, vous devez disposer d’une solide sécurité du courrier électronique. Une bonne solution de sécurité des emails bloquera les tentatives de vol d’identifiants qui sont les précurseurs de nombreuses attaques de type BEC.
Une solution avancée de filtrage du spam qui intègre des techniques d’apprentissage automatique peut détecter et bloquer les attaques de type « zero day » via des messages personnalisés, souvent uniques et utilisés par les attaquants pour cibler des cibles particulières.
Les solutions qui intègrent les protocoles DMARC et SPF permettront de détecter les emails provenant de personnes non autorisées à envoyer des messages depuis un domaine particulier. Il s’agit d’une protection vitale contre les attaques de type BEC.
Optez pour SpamTitan contre la compromission d’emails professionnels
SpamTitan intègre toutes ces mesures — et bien d’autres encore — pour protéger les entreprises. Associé à la formation des utilisateurs finaux et à des mesures administratives, les entreprises peuvent améliorer considérablement leurs défenses contre les attaques de type BEC.
Pour plus d’informations sur la façon dont SpamTitan peut protéger votre entreprise contre toute une série d’attaques par email, appelez l’équipe de TitanHQ dès aujourd’hui.
Découvrez également d’autres mesures que vous pouvez mettre en œuvre pour bloquer les attaques de phishing et de ransomware lors de notre webinaire qui s’est déroulé le 30 juin 2021.
Dans ce webinaire — organisé par TitanHQ et Osterman Research —, vous découvrirez les résultats de la dernière enquête TitanHQ auprès des professionnels de la sécurité et vous obtiendrez de précieuses indications sur la manière dont vous pouvez améliorer votre posture de cybersécurité.
En avril 2021, des pirates ont accédé au réseau de Colonial Pipeline et ont déployé un ransomware qui a forcé l’arrêt d’un système de pipelines de carburant desservant la côte est des États-Unis. L’approvisionnement en carburant étant menacé, les Américains de la côte est ont acheté du carburant en panique, ce qui a entraîné des pénuries locales.
Le prix de l’essence a atteint son niveau le plus élevé depuis plus de six ans et les stocks d’essence de la côte est ont diminué de 4,6 millions de barils.
L’attaque a été attribuée à l’opération d’un « ransomware-as-a-service (RaaS) » appelé DarkSide, qui a depuis cessé ses activités. Avant la fermeture, Colonial Pipeline a payé une rançon de plus de 3.7 millions d’euros pour obtenir les clés permettant de déverrouiller les fichiers chiffrés.
La décision de payer la rançon a été prise en raison de la menace qui pesait sur l’approvisionnement en carburant.
Colonial Pipeline fournit 45 % du carburant à la côte est, et bien que la décision de payer les attaquants ait été difficile à prendre, le paiement a été effectué en raison de la menace pour l’approvisionnement en carburant, étant donné le temps qu’il aurait fallu pour récupérer sans les clés de déchiffrement fournies par les attaquants.
Une attaque d’une telle ampleur contre une entreprise d’infrastructure critique aurait dû être difficile. Cependant, une enquête sur la cyberattaque a révélé que l’accès au système informatique de l’entreprise n’aurait pas pu être plus simple.
L’origine de l’attaque de ransomware provient d’un mot de passe non protégé
En fait, les attaquants ont utilisé un mot de passe compromis pour accéder à distance aux systèmes de Colonial Pipeline, et ce compte n’était pas protégé par une authentification multifactorielle.
Le mot de passe correspondait à un compte de réseau privé virtuel, selon Charles Carmakal, vice-président senior de la société de cybersécurité Mandiant, qui a participé à l’enquête. Le compte n’était pas utilisé, mais il était toujours possible d’utiliser les identifiants de connexion pour accéder au réseau de Colonial Pipeline.
On ne sait pas comment les pirates ont obtenu le mot de passe. Il a été trouvé dans une base de données de mots de passe usurpée qui a été divulguée sur le darkweb. Il est possible qu’une personne ait défini un mot de passe pour le compte qui avait été utilisé pour un autre compte qui avait été piraté.
Il est fréquent que les mots de passe provenant de violations de données soient tentés dans des attaques par la force brute, car la réutilisation des mots de passe est courante. Les mots de passe sont également souvent obtenus lors des attaques de phishing.
Mandiant a cherché des preuves de la façon dont le mot de passe a été obtenu par les pirates. Les chercheurs n’ont trouvé aucun signe d’activité des attaquants avant le 29 avril 2021, ni aucune preuve de phishing. On ne saura peut-être jamais comment le mot de passe a été obtenu et le nom a été d’utilisateur déterminé.
Ce qui est clair, c’est que l’attaque aurait pu être facilement évitée si les meilleures pratiques en matière de cybersécurité avaient été suivies, comme :
La réalisation d’audits des comptes et la fermeture des comptes qui ne sont plus utilisés
La définition de mots de passe uniques et complexes pour chaque compte
La mise en œuvre d’une authentification multifactorielle pour empêcher l’utilisation de mots de passe compromis
La mise en œuvre d’une solution antispam efficace pour bloquer les e-mails de phishing.
