Étiquette : phishing

Les cybercriminels ont profité de la pandémie de coronavirus

Les cybercriminels ont profité de la pandémie de coronavirus0 La pandémie de coronavirus a servi d’appât pour un grand nombre de cyberattaques au premier semestre. Globalement, le nombre d’attaques dues aux rançongiciels a de nouveau augmenté. Les cybercriminels exploitent régulièrement pour leurs attaques les grands événements bénéficiant d’une importante couverture médiatique, comme la pandémie de coronavirus, relève jeudi la Centrale d’enregistrement et d’analyse pour la sûreté de l’information (MELANI) dans son rapport semestriel. Un virus inédit, dont on ne sait pas grand-chose et qui peut infecter n’importe qui, est une aubaine pour de telles attaques, qui tirent parti du sentiment d’incertitude, des craintes ou de la curiosité. Offres mensongères La pénurie initiale de masques ou de désinfectant a conduit les agresseurs à diffuser des offres mensongères en la matière afin d’attirer l’attention. Le développement et le lancement de vaccins sont également susceptibles d’être utilisés par les criminels comme sujet d’attaque, prévient MELANI. Tous les acteurs impliqués dans la recherche et le développement en lien avec la pandémie doivent par ailleurs s’attendre à des attaques d’espionnage d’origines diverses. Déjà avant la crise du coronavirus, les hôpitaux figuraient parmi les cibles des cybercriminels. Dans son rapport, MELANI souligne également les risques du télétravail. L’utilisation d’infrastructures informatiques privées, en particulier les ordinateurs privés, augmente les possibilités de cyberattaques. Plus de 5000 signalements Toutes les cyberattaques ne sont cependant pas liées au coronavirus. Au premier semestre, le Centre national pour la cybersécurité (NCSC) a enregistré au total 5152 signalements. Les tentatives d’escroquerie représentaient, avec 2938 annonces, plus de la moitié des incidents. Quelque 825 cas de courriels de fraude à la commission figuraient dans cette catégorie. Par ailleurs, 270 cas concernaient un abonnement abusif lié à un faux paquet. L’arnaque repose sur principe du piège à l’abonnement. Des offres prétendument gratuites se transforment, quelques jours plus tard, en abonnements payants. L’information figure à dessein en petits caractères. Les variantes mises en circulation durant l’été invitaient à s’acquitter d’une taxe modique afin de recevoir un prétendu paquet. Or, là aussi, la victime contractait un abonnement à son insu. Il lui fallait indiquer les coordonnées de sa carte de crédit ou transmettre un code à un numéro court. Les escrocs se sont spécialisés dans cette nouvelle variante durant la crise du coronavirus. Beaucoup de personnes avaient en effet passé des commandes en ligne et attendaient un paquet. Attaques par rançongiciels Des incidents liés à des maliciels ont été rapportés à 232 reprises au premier semestre. En particulier, 42 cas impliquaient des rançongiciels, dont le nombre d’attaques a de nouveau augmenté. Les agresseurs chiffrent les données et réclament une rançon en échange de leur déchiffrement. Jusqu’à présent, les rançongiciels avaient épargné les infrastructures informatiques de leurs victimes et n’avaient causé que des dégâts collatéraux aux systèmes de contrôle. Un rançongiciel observé au premier semestre a toutefois été spécialement conçu pour s’attaquer au pilotage des processus des systèmes de contrôle industriels. ‘De telles attaques peuvent avoir des conséquences désastreuses pour les entreprises et la population’, relève le rapport. Extorsion Des courriels d’extorsion ont également été envoyés à grande échelle. Il s’agissait principalement, dans 578 cas, de tentatives de sextorsion. Le pirate prétend s’être introduit dans l’ordinateur de la victime et avoir eu accès à sa webcam, qui aurait réalisé des photos compromettantes. Ce n’est généralement que du bluff, précise le rapport de MELANI. L’arnaque au nom de domaine a connu un regain de popularité au premier semestre, avec 63 annonces. Concrètement, un prétendu administrateur de noms de domaine communique au propriétaire d’un site du domaine ‘.ch’ qu’une autre société s’intéresse au même nom, mais avec l’extension ‘.com’. Le propriétaire du site peut alors l’en empêcher en achetant ledit nom de domaine ‘.com’, à un tarif souvent prohibitif. Enfin, dans 94 cas, des entreprises ont signalé une arnaque au président (CEO fraud). Celle-ci consiste à contacter la comptabilité ou le service financier d’une société, au nom du chef de l’entreprise, pour lui demander de procéder en son nom à un paiement urgent. Source : RTN

Nouvelle arnaque au président : cinq suspects franco-israéliens passibles d’extradition vers Paris

Soupçonnées d’avoir escroqué de nombreuses entreprises au cours des derniers mois, cinq personnes dont trois binationaux ont été interpellées en Israël et pourraient être extradées vers l’Hexagone. Après l’«arnaque au président», voici l’«arnaque aux sous-traitants». Fin juin, cinq personnes dont trois Franco-Israéliens ont été interpellées à Netanya, petite station balnéaire du nord de l’Etat hébreu, en pleine exécution d’une fraude sophistiquée. Selon des sources officielles israéliennes jointes par Libération, les suspects, quatre hommes et une femme, contactaient des entreprises françaises en se faisant passer pour des agents de l’administration fiscale soucieux d’obtenir des informations sur leurs sous-traitants, dans le cadre d’un prétendu calcul de TVA. Une fois cette information obtenue, ils attendaient quelques jours pour rappeler l’entreprise et se faisaient passer cette fois pour l’un des sous-traitants en question, qui demandait que les virements soient effectués sur un nouveau compte bancaire. Les aigrefins se sont fait pincer par la police israélienne lors de la dernière phase de l’opération, dans le petit appartement qui servait de centrale d’appel. Son locataire, Ethan T., 54 ans, déjà condamné en France pour escroquerie, apparaît comme le cerveau de l’opération. Les quatre autres, âgés de 24 à 36 ans et sans antécédents judiciaires, auraient été recrutés dans l’importante communauté franco-israélienne de Netanya pour leur connaissance de la langue et leur agilité à travestir leur identité. Sociétés fantômes La bande n’en était pas à son coup d’essai. Toujours selon des sources officielles, les premiers forfaits identifiés remontent au mois de mars, au début du confinement. Profitant de la crise liée à l’épidémie de Covid-19, les suspects sollicitaient des entreprises françaises pour leur vendre du matériel médical, notamment du gel hydroalcoolique, des gants et des masques, qui faisaient alors cruellement défaut. Pour piéger leurs interlocuteurs, ils utilisaient un logiciel permettant d’afficher un numéro de téléphone français tout en appelant de l’étranger. Une fois les cibles ferrées, les commandes passées et les virements effectués, les sociétés fantômes se volatilisaient sans avoir honoré la moindre livraison. Au moins 190 000 euros auraient ainsi été détournés avant d’être transférés sur des comptes bancaires ouverts sous de fausses identités au Royaume-Uni et au Portugal. Une procédure d’extradition a été lancée contre les cinq suspects dans la foulée de leur arrestation. Le département international du parquet général de Jérusalem a déposé lundi une requête en ce sens auprès du tribunal de district de la ville. L’Etat hébreu ayant signé la Convention européenne d’extradition, la France a officiellement quarante jours pour communiquer sa demande et les pièces requises aux autorités israéliennes, à compter de l’ouverture du dossier. Mais l’affaire de Netanya illustre une nouvelle approche judiciaro-policière dans les affaires visant des binationaux. Désormais, dès qu’une infraction grave est identifiée, les deux pays ouvrent une enquête et mutualisent leurs preuves. Ensuite, en fonction des éléments recueillis, les suspects sont poursuivis dans le pays le plus légitime pour les juger, en général celui où les victimes sont les plus nombreuses : en l’occurrence la France où, selon nos informations, l’affaire a été confiée à la nouvelle Juridiction nationale chargée de la lutte contre la criminalité organisée (Junalco). Signal fort Cette affaire intervient alors que deux autres Franco-Israéliens font actuellement l’objet d’une procédure d’extradition. Interpellés en avril à Ra’anana, ils sont suspectés d’avoir escroqué plus d’une vingtaine de sociétés françaises, sur le modèle plus classique de l’«arnaque au président» : selon les enquêteurs, ils téléphonaient à des employés du service comptabilité en se faisant passer pour le patron de l’entreprise ou un de ses avocats, avant de leur demander d’effectuer discrètement des virements pour de prétendus projets confidentiels. Longtemps considérées comme l’apanage d’une poignée de fraudeurs chevronnés, ces escroqueries aux variantes multiples se sont multipliées ces dernières années dans la communauté franco-israélienne. En extradant ses ressortissants plus facilement que par le passé, le pays cherche aussi à adresser un signal fort aux apprentis escrocs tentés par la martingale. Si Ethan T. et les autres suspects consentent à leur extradition, ils pourraient être renvoyés en France dans les prochaines semaines pour y être jugés. Dans le cas contraire, la procédure peut durer jusqu’à un an. Source : Libération

Virement, cagnotte, carte bancaire…. Ces arnaques boostées par le confinement

Fausses identités, faux ordres de virements mais aussi fausses cagnottes d’entraide… Les autorités ont constaté une augmentation massive des arnaques en ligne pendant le confinement. Florilège de ce qu’il faut savoir pour ne pas être piégé. L’épidémie de Covid-19 s’est accompagnée d’une recrudescence de fraudes et d’escroqueries, notamment en ligne. Pour faire face au phénomène, sept ministères ont mis sur pied une Task-Force de lutte qui enquête et distribue ses conseils pour mieux se prémunir contre des fraudes très variées qui visent autant les consommateurs que les entreprises. Faux ordres de virement bancaire Depuis 2010, plus de 3 000 escroqueries ou tentatives d’escroqueries aux faux ordres de virement à l’étranger ont visé des sociétés implantées en France pour un préjudice d’environ 750 millions d’euros. Si on y ajoute les tentative de fraudes, le montant grimpe à plus de 1,8 milliard d’euros. Il est recommandé de se méfier de trois techniques, très souvent utilisées : Le changement de RIB : de nouvelles coordonnées bancaires sont adressées par courrier électronique avec des caractéristiques de messagerie très proches de celles du fournisseur ou de l’interlocuteur habituel. Un peu d’inattention et le tour est joué. La fausse identité : les fraudeurs usurpent l’identité du dirigeant, d’un responsable de la société ciblée ou encore d’une personnalité publique pour soutirer de l’argent à l’entreprise. Il y a récemment eu un procès contre des escrocs qui ont pendant deux ans utilisé l’identité du ministre des Affaires étrangères Jean-Yves Le Drian. Le lien frauduleux : un lien contenant un logiciel espion invite à se connecter sur le portail de la banque gestionnaire des comptes et à composer les identifiants et codes d’accès. De faux ordres de virement sont alors établis, les mots de passe modifiés, privant les services comptables de toute vérification de leur trésorerie. Gare au hameçonnage Le rapport donne un exemple simple : lors d’une navigation sur Internet, vous êtes interrompu par un message d’alerte. Celui-ci, relativement habituel et qui reprend à la perfection les codes graphiques de votre ordinateur, incite la victime à contacter un service de support technique via téléphone. Cette méthode, c’est de l’hameçonnage (ou phishing en anglais), une technique frauduleuse destinée à leurrer l’internaute pour l’inciter à communiquer des données personnelles ou bancaires via de faux message, SMS ou appel téléphonique de banques, de réseau sociaux, d’opérateurs de téléphonie, de fournisseurs d’énergie, de sites de commerce en ligne, d’administrations. Pour se prémunir, il est essentiel de se méfier des contacts inconnus, de bien lire l’intégralité des messages, d’évaluer son niveau de langue, se méfier des liens, des demandes saugrenues ou trop tentantes et ne pas considérer qu’une adresse mail est 100% fiable. Comment se protéger ? Utilisez un logiciel bloqueur de publicités, installez un anti-virus et mettez-le à jour. Désactivez le volet de prévisualisation des messages ou lisez vos messages en mode de texte brut. Le vol des coordonnées remplace le vol de la carte bancaire Votre carte bancaire est toujours dans votre portefeuille mais vous constatez des opérations bancaires dont vous n’êtes pas à l’origine sur vos comptes ? Il faut réagir vite en contactant votre banque et la police ou la gendarmerie. Vos coordonnées ont peut-être été soutirées lors d’un achat en ligne. Sur Internet, n’achetez que sur des sites protégés par le logo cadenas en haut à gauche dans la barre de frappe dont l’adresse commence par « https ». Evitez aussi d’accepter l’enregistrement de vos coordonnées bancaires même pour un site marchand que vous fréquentez régulièrement. Si votre banque le permet, la carte à usage unique ou carte virtuelle est un bon moyen de limiter les risques, tout comme l’utilisation d’un antivirus et d’un pare-feu. Les fausses cagnottes en ligne sont en augmentation La Task Force intergouvernementale met en garde contre les appels malveillants aux dons qui se sont multipliés. Soit les cagnottes sont organisées par des entités ou des sites internet non autorisés à exercer cette activité en France, soit les escrocs tentent de recourir à des cagnottes mensongères sur des sites reconnus comme Leetchi par exemple. Il est essentiel de vérifier les informations explicatives qui accompagnent la mise en ligne et d’en vérifier l’authenticité. Gare aux placements bancaires trop alléchants L’Autorité de contrôle prudentiel et de résolution (ACPR) et l’Autorité des marchés financiers (AMF) constatent, depuis plusieurs années, une recrudescence des arnaques aux placements alléchants, crédits et autres assurances. Un phénomène qui se développe particulièrement dans le contexte de taux d’intérêt bas. Source : Moneyvox

Enjeux Cybersécurité liés à la crise COVID-19

Le contexte actuel de crise sanitaire met à rude épreuve la capacité de résilience des entreprises. La pandémie du COVID-19 a contraint les entreprises à s’adapter très rapidement afin de protéger leurs collaborateurs et d’assurer la continuité des activités. Toutefois, parmi la multitude de mesures de sécurité mises en place, peu d’organisations ont intégré à leur gestion de crise la composante cybersécurité afin de préserver leurs actifs informationnels, et surtout leurs capacités opérationnelles vitales. Pourtant, le nombre bondissant de cyber-attaques depuis le début de la crise et la mise en place des mesures de distanciation sociale comme le télétravail, en passe de devenir le nouveau mode « standard » d’organisation du travail, tant qu’un vaccin ou un traitement efficace n’est pas mis au point voire même au-delà, sont autant de facteurs qui rendent essentielle la revue approfondie des dispositifs de cybersécurité des entreprises. En effet, les cyber-attaques s’enchaînent à travers le globe en exploitant des failles de sécurité liées principalement à la désorganisation causée par la pandémie. Dès le début du confinement en France, les attaques de type phishing se sont multipliées, à travers des liens vérolés proposant à la vente des masques FFP2 ou du gel hydroalcoolique, en pénurie à ce moment-là, ou mettant à disposition une version téléchargeable *.pdf de « l’attestation de déplacement dérogatoire ». Aussi, à cause du confinement, les applications de visioconférence se sont retrouvées prises d’assaut, que ce soit pour le télétravail, l’école à distance, les réunions familiales ou les apéritifs virtuels entre amis. Certaines plateformes, telles que Zoom, sont victimes de leurs succès. En effet, la plateforme américaine avait atteint les 300 millions d’utilisateurs mais enchainait les problèmes de sécurité telles que le Zoombombing qui permet une intrusion inopinée pour perturber la conférence (injures, harcèlement, diffusion de contenus inappropriés, etc.). La Secrétaire Générale Adjointe aux affaires de désarmement des Nations Unies a déclaré récemment qu’une cyber-attaque a lieu toutes les 39 secondes dans le monde, selon les observations de son Organisation. Des attaques plus sophistiquées, de type ransomware ou DDoS par exemple, sont de plus en plus fréquentes et ciblent massivement les secteurs sous tension en cette période. La violation de données sensibles survenue tout récemment chez la plus grande entreprise nippone de télécommunications, ainsi que le détournement des supercalculateurs d’universités européennes pour du crypto mining en sont la parfaite illustration. Face à l’accroissement de la Cybermenace et à l’augmentation de la surface d’attaque, il est primordial que les entreprises renforcent leur cybersécurité à l’aide de mesures adaptées, telles que : La conduite de campagnes de sensibilisation ciblées, notamment autour des attaques de phishing, social engineering, fraude au président et risques induits par l’utilisation d’outils non-recommandés par l’entreprise ; La définition d’une procédure utilisateur pour la gestion des incidents de sécurité claire et adaptée au contexte exceptionnel ; La réduction du délai de renouvellement des mots de passe, évidemment robustes et uniques. Cette mesure est d’autant plus essentielle si l’entreprise ne dispose pas de Single Sign-on (SSO), cas de figure dans lequel les utilisateurs auront tendance à réutiliser le même mot de passe pour plusieurs applications et plateformes ; La mise-en-place d’un Helpdesk compétent sur les sujets de cybersécurité avec des fiches réflexes dédiées, pour une prise en charge rapide des demandes urgentes ou complexes, notamment celles relatives à la gestion des accès et habilitations ; L’utilisation de solutions de visioconférence sécurisées, propres à l’entreprise et de préférence recommandées par l’ANSSI ou un autre organisme certificateur ; L’utilisation systématique d’une solution d’accès VPN propre à l’entreprise, idéalement [IKEv2/]IPsec ou TLS à défaut, pour sécuriser l’accès au réseau interne et aux applications de l’entreprise ; La mise en place de mécanismes d’authentification multi facteur (MFA) pour limiter les risques d’usurpation d’identité ; Le durcissement des règles de proxy, au strict nécessaire. En effet, les collaborateurs qui travaillent depuis leurs domiciles peuvent consulter les plateformes relevant de leurs usages extra-professionnels depuis leurs équipements personnels. Une extension de la liste des sites ou mots-clés en “liste noire”, permettra de centrer l’utilisation des outils d’entreprise autour d’un usage strictement professionnel, et réduira de fait les risques de compromission. De même, il est conseillé de limiter au maximum le téléchargement de fichiers externes au Système d’Information de l’entreprise ; Le renforcement du monitoring et de la sécurité des connexions distantes, afin que tout échange de données liées à l’entreprise soit sécurisé. Pour cela, il convient, entre autres, de réduire le délai d’expiration automatique des sessions utilisateurs inactives. Pour les entreprises autorisant le BYOD, il convient, autant que possible, de mettre en place des environnements VDI, auxquels la connexion se fait exclusivement via une authentification forte ; L’application rapide des mises à jour de sécurité et la création de procédures de patch management adaptées aux problématiques et performances d’accès distants, notamment sur les équipements et logiciels exposés sur Internet, tels que le VPN, le bureau distant, la solution de messagerie, etc. ; Le blocage des ports USB, au moins le temps du télétravail, pour éviter que les utilisateurs ne branchent des périphériques de stockage personnels, potentiellement vérolés ou non-autorisés ; La surveillance de l’état du parc de machines via des outils d’inventaire, et s’assurer que les utilisateurs ont notamment des EDR à jour sur leurs postes de travail ; L’application stricte du marquage de l’information et le durcissement des dispositifs de DLP afin d’éviter toute fuite d’information, qu’elle soit volontaire ou non. Également, le renforcement des barrières de type CASB sont nécessaires pour limiter le transfert d’information aux seules plateformes Cloud réputées fiables par l’entreprise ; La revue régulière des journaux d’accès des services exposées sur Internet pour détecter les comportements suspects ; La sauvegarde des données critiques, y compris celles dispersées au niveau des terminaux BYOD. Il convient également de disposer d’une copie récente de ces sauvegardes, isolée du réseau de l’entreprise ; Le renforcement de la sécurité physique des sites de l’entreprise, qui se trouvent très peu ou pas du tout occupés, en veillant à l’application de la politique clean desk ; La mise en pré-alerte de la Cellule de Crise Cybersécurité, afin d’assurer une veille continue et proactive, garantissant qu’elle soit en capacité opérationnelle

Sébastien Gest, Vade Secure : des cyberattaques post Covid-19 à anticiper

Les cyberattaques durant le confinement ont permis un travail de récolte de données (campagnes de phishing, spear phishing, etc.) et d’infection initiale dans les réseaux d’entreprise (par le biais de malwares, keylogger, etc.) qui pourrait donner lieu à des attaques sophistiquées très prochainement. Les cyberattaquants pourraient tout à fait, par exemple, attendre le retour au bureau des télétravailleurs pour activer des ransomwares dormants, installés plusieurs semaines plus tôt. Sébastien Gest, Tech Évangéliste chez Vade Secure, spécialiste français de la sécurité des emails, incite les entreprises à anticiper ce retour au bureau massif, et une possible nouvelle phase dans les attaques initiées durant le confinement :« Les attaquants ont largement utilisé les failles créées par le télétravail pendant le confinement. Mais nous avons vu finalement assez peu de réelles attaques sophistiquées, ce qui nous laisse présager un retour de bâton dans les prochains mois. Pourquoi ?Les attaques de ransomware de ces derniers mois (durant la phase du covid19) ont plutôt ciblé les hôpitaux. Nous avons vu beaucoup d’activité de phishing – l’email étant resté le principal vecteur d’attaque – mais pas uniquement. En effet, la plupart des ransomwares que nous avons observés furent insérés directement par les hackers, comme ponyfinal analysé par Microsoft. Pour les hackers il est en effet bien plus intéressant de placer des « mouchards » sous la forme d’adware, ou des keylogger, ayant la capacité d’aspirer les accès utilisateurs de nombreux logiciels. Ce sont ces accès qui vont permettre par la suite soit d’utiliser les machines comme machine zombie, soit d’accéder au système d’information de l’entreprise. Pendant le confinement, les attaquants ont réalisé un important travail préparatoire. Ces attaques – phishing, spear phishing, vol d’identifiants/mot de passe, injection de malware, keylogger, etc. sont généralement les prémices d’attaques plus sophistiquées, et il est donc clair qu’il faut nous attendre à voir apparaître des attaques évoluées, résultant de ce travail de préparation. A titre d’exemple, rappelons-nous que la campagne de NotPetya en 2017 a nécessité une longue période de préparation. Les types de menaces que nous pourrions ainsi voir rapidement surgir, pourraient être des ransomwares (as-a-service) déclenchés à distance pour asphyxier le système d’informations d’entreprises en bonne santé financière, ou encore de la Fraude au président, très facile à mettre en œuvre grâce au grand volume d’informations collectées pendant la période de confinement… Certains attaquants pourraient également se montrer plus patients et attendre le retour des télétravailleurs au bureau, pour attaquer l’entreprise en l’infiltrant plus en profondeur. L’utilisateur dont on a compromis les identifiants ou compromis les outils de travail à distance (à l’aide de malwares par exemple) de retour au bureau, permettra à l’attaquant de poursuivre plus facilement son infiltration au cœur du réseau de l’entreprise, pour mener des attaques encore plus dangereuses. » Source: Global Security Mag par Sebastien Gest

CLIENTS
0 +
Clients
nos webinars
nous contacter
  • MATA
  • 4 rue de Sarrelouis 67000 Strasbourg
  • + 0806 110 020
  • contact@mata-conseil.fr
NOS LOGICIELS
NOS LOGICIELS
Créée en 1999, MATA est détenue à 100% par un actionnariat stable et indépendant. En 2022, MATA, soucieuse d’avoir un positionnement clair vis-à-vis de ses clients et partenaires a séparé ses activités d’intégration et d’édition. La société MATA IO est créée, qui va se concentrer sur son activité d’éditeur dans les métiers de la sécurité des paiements, de la mise en conformité des tiers et de la facturation électronique. MATA est intégrateur des solutions MATA IO mais également intégrateur de solutions de trésorerie, de liasse fiscale et de frais professionnels.

© 2024 Bubbelcom. All rights reserved