Qu'est-ce que le phishing et comment s'en protéger ?

Le phishing est une technique de cyberattaque visant à dérober des informations personnelles. Pour s'en protéger, il est essentiel de sensibiliser les employés et d'utiliser des logiciels de sécurité adéquats.

Quels sont les services de sécurité informatique pour PME en Wallonie ?

ITFacility offre des services complets incluant la prévention des cyberattaques, la gestion de réseaux sécurisés et la formation en cybersécurité pour les PME.

Sep 13 2024

Cyberattaques : 10 millions $ offerts pour des informations sur les pirates russes

Blizzard Hackers : 10 millions $ pour localiser les cybercriminels

Les États-Unis offrent 10 millions de dollars pour des informations sur les pirates russes responsables des cyberattaques majeures contre l’Ukraine

Dans une nouvelle escalade de la guerre cybernétique, le gouvernement des États-Unis a annoncé une récompense allant jusqu’à 10 millions de dollars pour des informations pouvant mener à l’identification ou à la localisation des membres du groupe de pirates russes, connu sous le nom de Cadet Blizzard. Ce groupe, associé à l’unité 29155 du GRU (Direction principale du renseignement de l’état-major général russe), est responsable de nombreuses cyberattaques destructrices depuis 2020.

Selon un avis conjoint publié par les agences de cybersécurité et de renseignement des États-Unis et leurs alliés internationaux, Cadet Blizzard est impliqué dans des opérations de sabotage, d’espionnage, et d’atteinte à la réputation contre des cibles critiques à travers le monde, notamment dans les secteurs des services financiers, de la santé, et de l’énergie. Ces attaques, visant à perturber les infrastructures critiques, ont récemment pris pour cible les efforts internationaux d’aide à l’Ukraine, déclenchant une vaste enquête internationale.

Un groupe notoire de cybercriminels

Cadet Blizzard, également désigné sous les pseudonymes Ember Bear, FROZENVISTA, et Ruinous Ursa, a attiré l’attention mondiale en janvier 2022, lorsqu’il a déployé un malware destructeur appelé WhisperGate contre plusieurs organisations ukrainiennes. L’attaque s’est produite juste avant l’invasion militaire de l’Ukraine par la Russie, marquant ainsi un tournant dans les tactiques de guerre hybride, qui combinent cyberattaques et opérations militaires classiques.

L’objectif principal de ces cyberattaques est d’infiltrer les infrastructures critiques pour déstabiliser les gouvernements et semer la peur chez les populations locales. Depuis 2022, les cyberacteurs de Cadet Blizzard ont élargi leurs attaques à des cibles gouvernementales, financières et de transport à travers l’Union européenne, l’Amérique centrale, et l’Asie. Leurs méthodes incluent le vol de données sensibles, leur manipulation et leur divulgation dans le but de nuire à la réputation de leurs cibles, voire d’organiser des campagnes de sabotage.

Opération Toy Soldier

Le dernier avis conjoint concernant Cadet Blizzard a été émis dans le cadre d’une opération internationale appelée Toy Soldier. Cette opération regroupe les autorités de cybersécurité et de renseignement de plusieurs pays, dont les États-Unis, le Royaume-Uni, l’Allemagne, l’Estonie, et l’Australie, tous unis pour combattre ces cybermenaces globales.

Les cibles des pirates incluent des services gouvernementaux, des systèmes de transport, ainsi que des secteurs de la santé et de l’énergie au sein des pays membres de l’OTAN. Le DoJ (ministère américain de la Justice) a déjà inculpé cinq officiers du GRU pour leur implication dans ces cyberattaques, dont Yuriy Denisov, colonel de l’armée russe, et quatre autres lieutenants : Vladislav Borovkov, Denis Denisenko, Dmitriy Goloshubov, et Nikolay Korchagin. Tous sont accusés de complot en vue de commettre des intrusions informatiques et des fraudes électroniques contre des cibles ukrainiennes, américaines, et européennes.

L’infrastructure critique sous menace

Le malware WhisperGate, utilisé par Cadet Blizzard, a été conçu pour perturber des systèmes informatiques et effacer des données essentielles. Contrairement aux ransomwares traditionnels, qui demandent une rançon en échange de la restitution des données, WhisperGate est principalement destructeur et vise à rendre les données inaccessibles, aggravant ainsi les perturbations économiques et politiques.

Les pirates informatiques ont également exploité des vulnérabilités dans des systèmes populaires comme Atlassian Confluence, Sophos Firewalls, et Dahua Security pour infiltrer les réseaux des victimes et voler des informations critiques. Les données exfiltrées sont ensuite vendues sur des forums de crimeware ou publiées pour nuire à la réputation des entreprises ciblées.

Une stratégie coordonnée

Pour assurer la réussite de leurs cyberattaques, les membres de Cadet Blizzard s’appuient sur une infrastructure cybercriminelle sophistiquée. Ils exploitent des vulnérabilités connues, comme celles présentes dans les systèmes de Microsoft Outlook Web Access (OWA), pour obtenir des accès non autorisés aux réseaux. Selon les autorités américaines, ces cybercriminels ont utilisé le malware Raspberry Robin pour faciliter les mouvements latéraux dans les réseaux des victimes, leur permettant ainsi d’accéder à des systèmes hautement sécurisés.

En réponse, les agences de cybersécurité recommandent aux organisations de corriger rapidement les vulnérabilités exploitées, de mettre en place une authentification multifacteur robuste et de segmenter les réseaux internes afin de limiter les risques de propagation d’attaques. Les entreprises doivent aussi former leurs employés à reconnaître et signaler les tentatives de phishing, technique de prédilection des cyberpirates pour tromper leurs victimes.

La prime de 10 millions de dollars

Pour intensifier la pression sur le groupe de hackers, le Département d’État américain a promis une récompense pouvant atteindre 10 millions de dollars pour toute information menant à l’arrestation ou à l’identification des membres de Cadet Blizzard. Ce programme, baptisé Récompenses pour la justice, fait partie d’un effort global visant à renforcer la sécurité internationale face à des menaces cybernétiques croissantes.

« Les cybercriminels de Cadet Blizzard sont responsables d’actions de sabotage et d’espionnage menaçant la sécurité mondiale. Leur neutralisation est primordiale pour la sécurité des systèmes critiques », a déclaré un porte-parole du Département d’État.

Les cyberattaques orchestrées par le groupe Cadet Blizzard illustrent la montée en puissance de la guerre cybernétique dans le cadre des conflits modernes. Alors que les gouvernements du monde entier cherchent à sécuriser leurs infrastructures critiques, la coopération internationale et les récompenses pour la justice restent des outils essentiels pour contrer ces cybermenaces. La cyberguerre, avec ses impacts dévastateurs sur les infrastructures et les économies, souligne l’importance d’une vigilance accrue et de réponses coordonnées pour protéger les systèmes et les données sensibles.

Webmaster 0 Comments

Sep 13 2024

Cybercriminalité : Les Hackers Utilisent le Cloud pour Visée la Finance et l’Assurance

Les Pirates Ciblent les Services Cloud : Menace Grandissante pour les Sociétés Financières

Les Cyberattaques Cloud Visent les Secteurs Financiers et d’Assurance : Une Nouvelle Menace

Les pirates informatiques adaptent sans cesse leurs tactiques pour cibler les secteurs les plus rentables. Aujourd’hui, les sociétés financières et d’assurance font face à une menace grandissante : les attaques contre leurs services cloud. En s’introduisant dans les systèmes cloud d’entreprise, les hackers cherchent à obtenir des informations précieuses qu’ils monétisent sous forme de rançon ou revendent sur des plateformes illégales.

Selon les experts en cybersécurité d’Eclectic IQ, un groupe de cybercriminels connu sous le nom de « Scattered Spider » utilise de nouvelles méthodes sophistiquées pour s’en prendre aux services cloud des entreprises. Ce groupe, qui a déjà fait ses preuves en matière de phishing et d’ingénierie sociale, s’attaque désormais à des cibles dans les secteurs financiers et de l’assurance, où les données ont une valeur inestimable.

Scattered Spider : Un Groupe de Cybercriminels Redoutable

Scattered Spider est une APT (Advanced Persistent Threat) bien connue des défenseurs de la cybersécurité. L’un de ses modes opératoires préférés consiste à exploiter les services cloud pour s’introduire dans les systèmes des entreprises. En se concentrant sur les entreprises financières et d’assurances, les cybercriminels visent des gains rapides et significatifs en volant des données sensibles ou en perturbant des services critiques.

Le groupe Scattered Spider utilise couramment des techniques d’ingénierie sociale telles que le vishing (phishing vocal) et le smishing (phishing par SMS) pour tromper ses victimes. En se faisant passer pour des employés légitimes, les pirates parviennent à contourner des mécanismes de sécurité comme l’authentification multifacteur (MFA), ce qui leur permet de prendre le contrôle des réseaux d’entreprise.

Les Méthodes des Hackers pour Accéder aux Services Cloud

Les attaquants utilisent une variété de méthodes pour obtenir un accès aux services cloud des entreprises. L’une des plus courantes consiste à rechercher des jetons d’accès accidentellement laissés dans le code source, notamment sur des plateformes comme GitHub. Les développeurs commettent parfois l’erreur de laisser des informations sensibles dans le code, ce qui peut être rapidement exploité par des hackers.

D’autres méthodes incluent l’achat d’identifiants sur le dark web, issus de campagnes de phishing réussies. Les attaquants, après avoir mis la main sur les identifiants d’accès au cloud, peuvent rapidement prendre le contrôle des systèmes et commencer à extraire des données sensibles. Des campagnes de smishing permettent également aux pirates de voler des mots de passe à usage unique utilisés pour l’authentification multifacteur, rendant ainsi les attaques encore plus efficaces.

Les Cibles des Attaques : Finance et Assurance

Les entreprises financières et d’assurances sont des cibles particulièrement lucratives pour les cybercriminels. Ces secteurs détiennent des volumes considérables de données personnelles et financières, qui peuvent être revendues à prix d’or sur le marché noir ou retenues contre rançon.

Les services cloud tels qu’AWS EC-2, Microsoft EntraID, Okta, ServiceNow, et VMWare Workspace One sont les plateformes fréquemment ciblées. En accédant à ces services, les pirates peuvent voler des informations cruciales, perturber les opérations ou exiger des rançons en échange de la récupération des données.

Protéger Votre Entreprise Contre les Cyberattaques Cloud

La meilleure défense contre ces cyberattaques repose sur une combinaison de bonnes pratiques de sécurité et de technologies avancées. L’authentification multifacteur (MFA) doit être un élément central de la protection des services cloud. En multipliant les couches de sécurité, vous compliquez la tâche des attaquants.

En outre, les développeurs doivent être formés pour ne jamais inclure de jetons d’accès dans le code source. Il est essentiel d’adopter des outils permettant de détecter automatiquement toute information sensible laissée dans le code.

Les entreprises doivent également former leurs employés aux risques de phishing et les encourager à signaler toute tentative suspecte de vishing ou smishing. Une vigilance accrue peut faire toute la différence pour éviter une attaque coûteuse.

L’Importance de la Surveillance et de la Préparation

En plus de mettre en place des systèmes de sécurité robustes, il est crucial de surveiller en permanence les activités suspectes sur les plateformes cloud. Les entreprises peuvent déployer des systèmes de détection des intrusions qui alertent immédiatement les administrateurs en cas d’activité anormale.

Enfin, les entreprises doivent élaborer un plan de réponse aux incidents de cybersécurité. En cas d’attaque réussie, la rapidité de la réponse est cruciale pour limiter les dégâts. Un plan bien défini peut aider à rétablir rapidement l’accès aux données et réduire l’impact financier de l’attaque.

La Sécurité Cloud au Cœur des Préoccupations des Secteurs Financiers et de l’Assurance

Les attaques sur les services cloud représentent une menace sérieuse pour les entreprises des secteurs de la finance et de l’assurance. Alors que les cybercriminels comme Scattered Spider adoptent des tactiques toujours plus sophistiquées, il est plus important que jamais de renforcer la sécurité de vos services cloud. En mettant en œuvre des pratiques de sécurité solides et en restant vigilant face aux menaces émergentes, vous pouvez protéger vos données sensibles et assurer la continuité de vos activités.

Webmaster 0 Comments

Juil 29 2024

Un malware Mac se cache derrière les annonces Google

Un malware Mac déguisé en navigateur populaire via Google Ads

Google Ads diffuse un malware Mac déguisé en navigateur populaire

Un malware Mac se propage discrètement via les résultats de recherche sponsorisés de Google Ads. Lorsque vous cliquez sur l’annonce, vous êtes redirigé vers un faux site web, arc-download[.]com, qui prétend offrir une version Mac du navigateur Arc. Le fichier téléchargé ressemble à un installateur d’application Mac typique.

Cependant, il y a un piège : on vous demande d’exécuter le fichier en faisant un clic droit et en choisissant « Ouvrir », plutôt que la méthode plus simple de double-cliquer sur le fichier. Cette méthode contourne une mesure de sécurité présente sur les Mac. En vous obligeant à sauter cette étape, le malware vous trompe pour l’installer.

Qu’est-ce que l’intelligence artificielle (IA) ?

Une analyse du code du malware montre qu’une fois installé, le voleur envoie les informations volées, telles que vos mots de passe, à l’adresse IP 79.137.192.4, qui est le centre de contrôle de ce malware. Ce panneau permet aux cybercriminels d’accéder aux données volées des comptes infectés.

« Il existe une scène active de développement de malwares pour Mac axée sur les voleurs d’informations », écrit Jérôme Segura, analyste principal en intelligence sur les malwares chez Malwarebytes. « Comme nous pouvons le voir dans cet article, de nombreux facteurs contribuent à une telle entreprise criminelle. Le vendeur doit convaincre les clients potentiels que son produit est riche en fonctionnalités et peu détectable par les logiciels antivirus. »

Le malware Mac est « vérifié par Google »

Selon les chercheurs de Malwarebytes, le malware Mac déguisé en annonce Google est appelé Poseidon. En cliquant sur l’option « plus d’informations » à côté de l’annonce, il apparaît que celle-ci a été achetée par une entité appelée Coles & Co, une identité publicitaire que Google prétend avoir vérifiée.

Google vérifie chaque entité souhaitant faire de la publicité sur sa plateforme. Selon Google, ce processus vise à « fournir un écosystème publicitaire sûr et fiable pour les utilisateurs et à se conformer aux réglementations émergentes ». Cependant, il semble y avoir des failles dans le processus de vérification si des annonceurs peuvent distribuer ouvertement des malwares aux utilisateurs. Bien que ce soit le rôle de Google de bloquer les mauvaises annonces, il arrive que des acteurs malveillants échappent temporairement à leur détection.

Ce n’est même pas la première fois que des cybercriminels exploitent les annonces Google. En mai, des annonces étaient utilisées pour positionner des sites web frauduleux en tête de vos résultats de recherche. Ces sites se faisaient passer pour des sites de confiance et volaient votre argent et vos informations personnelles.

Dans ce dernier cas, Google a identifié le problème et suspendu le compte de l’annonceur pour violation de ses politiques, supprimant toutes ses annonces de ses plateformes, même avant le rapport de Malwarebytes.

Nous avons contacté Google, et un porte-parole a offert cette déclaration :

« Nous interdisons les annonces qui tentent de contourner notre application en déguisant l’identité de l’annonceur pour tromper les utilisateurs. Lorsque nous identifions des annonces qui violent nos politiques, nous agissons rapidement pour les supprimer et suspendre le compte de l’annonceur associé, comme nous l’avons fait dans ce cas. »

Cinq façons de vous protéger contre les malwares des annonces Google

Il est difficile de détecter quelles annonces Google sont malveillantes. Suivez ces cinq conseils pour vous protéger contre ces escroqueries sur les moteurs de recherche.

Marquez ou enregistrez l’URL : Si vous visitez fréquemment certains sites, en particulier les réseaux sociaux et les plateformes financières, marquez ou enregistrez leurs URL. Cela vous assurera d’atterrir sur la bonne page et d’éviter les pages contrefaites.
Évitez de cliquer sur des liens inconnus : Tapez toujours l’adresse du site web directement dans la barre d’adresse de votre navigateur. Évitez de cliquer sur des liens, surtout ceux envoyés par e-mail ou trouvés sur des sites web inconnus, car ils pourraient mener à des pages contrefaites ou malveillantes. En saisissant manuellement l’URL, vous vous assurez de naviguer vers le site correct, réduisant ainsi le risque d’attaques de phishing et autres menaces en ligne.
Téléchargez des applications à partir de plateformes de confiance : Lors du téléchargement d’applications sur votre Mac ou tout autre appareil Apple, utilisez l’App Store. Apple a des directives de sécurité strictes qui n’autorisent que les applications sécurisées et légitimes sur sa plateforme.
Maintenez votre navigateur à jour pour une sécurité maximale : Mettez régulièrement à jour votre navigateur, car les mises à jour incluent souvent des correctifs de sécurité qui protègent contre les vulnérabilités nouvellement découvertes.
Reconnaître les demandes urgentes comme des escroqueries potentielles : Soyez toujours méfiant si quelqu’un vous demande de faire quelque chose de manière urgente, comme envoyer de l’argent, fournir des informations personnelles ou cliquer sur un lien — il y a de fortes chances que ce soit une escroquerie.

Le cas du malware Poseidon est un appel à la vigilance pour tous face aux annonces en ligne, en particulier celles concernant des logiciels populaires. Ne cliquez pas simplement sur le premier résultat sponsorisé qui apparaît. Assurez-vous de ne télécharger des applications qu’à partir de sources fiables, comme les magasins d’applications officiels. Pour ajouter une couche supplémentaire de sécurité, envisagez d’utiliser une protection antivirus solide.

En suivant ces conseils et en restant vigilant, vous pouvez vous protéger contre les menaces en ligne et assurer la sécurité de vos informations personnelles et professionnelles.

Webmaster 0 Comments

Juil 29 2024

Comment les entreprises peuvent se protéger contre la fraude deepfake

Comment les entreprises peuvent se protéger contre la fraude deepfake et les attaques BEC

Les risques de fraude deepfake sont-ils surestimés ? Où les entreprises sont-elles exposées

Les deepfakes, ces contenus générés par intelligence artificielle (IA) qui imitent de manière réaliste des personnes réelles, ont émergé comme une menace potentielle majeure pour les entreprises. Le groupe d’ingénierie britannique Arup en a fait les frais, perdant 25 millions de dollars à cause d’escrocs utilisant des deepfakes pour se faire passer pour le directeur financier et orchestrer des virements frauduleux. Cependant, malgré cette sophistication technologique, les deepfakes deviendront-ils réellement l’outil principal des fraudeurs pour voler de l’argent ? La réponse pourrait bien être négative.

La menace persistante des attaques BEC

Les données montrent que d’autres méthodes de cyberfraude, telles que les attaques de compromission de courrier électronique professionnel (BEC), sont bien plus courantes. En effet, 83 % des entreprises ont constaté une augmentation des tentatives de cyberfraude, principalement via des attaques BEC, des piratages et des tentatives de phishing sophistiquées. Les statistiques révèlent que les fraudeurs utilisent les escroqueries BEC et le piratage beaucoup plus fréquemment (31 % chacun) que les deepfakes (11 %) pour tromper les organisations.

Pourquoi les deepfakes restent une menace

Bien que moins courantes, les deepfakes constituent toujours une menace sérieuse. Leur capacité à imiter de manière convaincante des dirigeants d’entreprise peut causer des pertes financières importantes, comme le démontre le cas d’Arup. Il est donc crucial que les entreprises adoptent des mesures pour se protéger contre ce type d’attaques. Néanmoins, il est également important de ne pas se laisser distraire par le battage médiatique entourant les deepfakes au point de négliger les menaces plus courantes et tout aussi dévastatrices comme les attaques BEC.

Le paysage actuel de la cyberfraude

La cybersécurité et la prévention de la fraude sont désormais inextricablement liées, la majorité des cyberattaques visant à commettre des délits financiers tels que la fraude aux paiements. Aux États-Unis, 96 % des entreprises ont été confrontées à une tentative de fraude aux paiements au cours de l’année écoulée, une augmentation de 71 % par rapport à l’année précédente. Une fois qu’un cybercriminel a pénétré les défenses internes d’une entreprise, il cherche les maillons faibles pour voler de l’argent, souvent les employés ayant accès aux finances et aux paiements.

Les faiblesses humaines

Une étude récente a révélé que 31 % des employés ont commis des erreurs susceptibles d’avoir un impact sur la sécurité de leur entreprise. Les escroqueries par phishing et le partage de mots de passe avec des collègues figurent parmi les principales erreurs. Les équipes des finances, de la trésorerie et des achats sont particulièrement ciblées par les fraudeurs en raison de leur accès direct aux fonds de l’entreprise.

La montée des attaques BEC

Avec l’évolution de l’intelligence artificielle, les cybercriminels peuvent désormais lancer des attaques BEC sur des milliers d’entreprises simultanément. L’IA permet également aux fraudeurs de créer des e-mails de phishing convaincants, difficiles à détecter même pour un œil averti. Les attaques BEC basées sur l’ingénierie sociale ont augmenté de 1 760 % l’année dernière, principalement grâce aux avancées de l’IA générative.

Pourquoi les attaques BEC sont plus dangereuses

La principale raison pour laquelle les attaques BEC constituent une menace plus grande réside dans la manière dont les professionnels utilisent certains canaux de communication. La plupart des professionnels ne divulguent pas leurs informations de paiement ou n’autorisent pas de transactions via des vidéoconférences. Le partage de ces informations sensibles par e-mail est beaucoup plus courant, ce qui rend les attaques BEC particulièrement efficaces.

La sophistication des attaques BEC

Les entreprises disposent généralement de pare-feux robustes, de systèmes d’exploitation sécurisés et de systèmes de détection d’intrusion. Cependant, les attaques BEC contournent ces mesures en utilisant des techniques d’ingénierie sociale où les employés divulguent des informations sensibles par e-mail, permettant ainsi aux pirates d’infiltrer leurs systèmes. Ces attaques peuvent être extrêmement difficiles à repérer, à contrôler et à prévenir.

Exemples d’attaques BEC

Un fraudeur peut utiliser un e-mail de phishing sophistiqué pour extraire des informations critiques sur le processus de paiement d’une entreprise et cibler les employés ayant accès à ces informations. En utilisant une ingénierie sociale agressive, il peut tromper un employé en charge des paiements et le pousser à transférer des fonds vers un compte frauduleux.

L’importance d’une cybersécurité robuste

Bien que de nombreux dirigeants estiment que leurs investissements dans les mesures de cybersécurité sont suffisants, ces mesures doivent être complétées par de solides mécanismes de prévention de la fraude. Les investissements dans la cybersécurité ne peuvent pas, à eux seuls, prévenir toutes les formes de fraude si des processus internes robustes et une vigilance constante ne sont pas également en place.

Les principaux types d’escroqueries BEC

Les entreprises doivent être conscientes des principaux types d’escroqueries BEC :

Fraude à la facture : Des e-mails provenant de fournisseurs légitimes contiennent de vraies factures, mais les comptes bancaires appartiennent à des fraudeurs. En 2023, 30 % des entreprises américaines ont été confrontées à ce type d’attaque.
Fraude au PDG/Directeur financier : Des e-mails provenant des comptes du PDG ou des cadres supérieurs demandent des transferts de fonds vers des comptes frauduleux. C’est le troisième type de fraude le plus courant.
Comptes piratés : Le compte de messagerie d’un employé demande le paiement de factures à des fournisseurs. Les paiements sont alors redirigés vers le compte de l’escroc.
Vol de données : Les employés des services RH et comptables sont ciblés pour des vols d’informations personnelles identifiables (PII) ou d’informations fiscales sur les employés. Ces informations peuvent être utilisées pour détourner les fonds de paie.
Demandes d’informations d’un cabinet d’avocats : Des courriels apparemment provenant du cabinet d’avocats d’une entreprise demandent des informations confidentielles.

Trois étapes pour se protéger contre les attaques BEC

Pour se protéger efficacement contre les attaques BEC, les entreprises peuvent suivre ces trois mesures clés :

Mettre en place deux lignes de défense : Malgré des investissements importants dans les défenses informatiques, les violations de données atteignent des niveaux records. Il est crucial de compléter ces défenses par un logiciel de prévention des fraudes qui utilise l’automatisation pour vérifier que chaque paiement est dirigé vers un compte bancaire légitime.
Assurer la précision des données de paiement : Le risque de fraude provient souvent des données de paiement obsolètes ou incorrectes des fournisseurs. Les entreprises doivent contrôler et mettre à jour régulièrement ces données pour s’assurer que chaque paiement est effectué en toute confiance.
Encourager la collaboration interne : Les équipes de finance, de trésorerie et des achats doivent collaborer étroitement pour prévenir la fraude. La communication et la transparence entre ces équipes permettent de détecter et de répondre rapidement aux tentatives de fraude.

Les deepfakes, bien que préoccupants, ne représentent pas la menace principale pour les entreprises en matière de fraude. Les attaques BEC, en revanche, sont bien plus courantes et dévastatrices. Il est essentiel pour les entreprises de renforcer leurs défenses contre ces attaques en investissant dans des technologies de prévention de la fraude, en assurant la précision des données de paiement et en favorisant une collaboration étroite entre les équipes internes. En adoptant ces mesures, les entreprises peuvent se protéger efficacement contre les menaces actuelles et futures de la cyberfraude.

Webmaster 0 Comments

Juil 26 2024

Mise à Jour : 97 % des Systèmes Windows de Nouveau Fonctionnels

Mise à Jour : 97 % des systèmes Windows de nouveau fonctionnels, selon CrowdStrike

Près d’une semaine après qu’une mise à jour logicielle ratée de CrowdStrike a déclenché une panne mondiale massive des systèmes Windows, 97 % des ordinateurs concernés sont à nouveau opérationnels. George Kurtz, PDG de CrowdStrike, a annoncé jeudi soir que « 97 % des capteurs Windows étaient de nouveau en ligne au 25 juillet » et a remercié « les efforts inlassables de nos clients, partenaires et le dévouement de notre équipe chez CrowdStrike ».

Pour les 3 % de clients encore en difficulté, Kurtz a exprimé ses regrets. « À nos clients toujours touchés, sachez que nous ne nous reposerons pas tant que nous n’aurons pas complètement récupéré. Chez CrowdStrike, notre mission est de gagner votre confiance en protégeant vos opérations. Je suis profondément désolé pour la perturbation causée par cette panne et je m’excuse personnellement auprès de toutes les personnes touchées. Bien que je ne puisse pas promettre la perfection, je peux promettre une réponse ciblée, efficace et avec un sentiment d’urgence. »

Dans une publication LinkedIn, Kurtz a ajouté que les techniques de récupération automatisées combinées à la « mobilisation de toutes nos ressources pour soutenir nos clients » ont contribué à accélérer la récupération des systèmes. Sur la page d’assistance de CrowdStrike, il est indiqué : « En utilisant une comparaison hebdomadaire, plus de 97 % des capteurs Windows sont en ligne au 24 juillet à 17 heures PT, par rapport à avant la mise à jour du contenu. »

Plus tôt dans la journée, la société a publié un rapport préliminaire après incident indiquant la cause première de la mise à jour défectueuse du capteur Falcon. « Le 19 juillet 2024, à 04h09 UTC, une mise à jour du contenu de réponse rapide pour le capteur Falcon a été publiée sur les hôtes Windows exécutant la version 7.11 et supérieure du capteur. Cette mise à jour devait recueillir des données de télémétrie sur les nouvelles techniques de menace observées par CrowdStrike, mais a déclenché des plantages (BSOD) sur les systèmes qui étaient en ligne entre 04h09 et 05h27 UTC. »

L’analyse post-incident a également indiqué que les plantages étaient liés à « un défaut dans le contenu de réponse rapide, qui n’a pas été détecté lors des contrôles de validation ». Lorsque le contenu mis à jour était chargé par le capteur Falcon, « cela provoquait une lecture de mémoire hors limites, entraînant des plantages de Windows (BSOD) ».

Pour éviter que les futures mises à jour ne connaissent le même sort catastrophique, CrowdStrike a déclaré qu’il améliorerait les tests de contenu de réponse rapide en utilisant « des tests de développement local, de mise à jour et de restauration de contenu, de stress, de fuzzing, d’injection de pannes, de stabilité et d’interface de contenu ». Les tests incluront de nouveaux contrôles de validation du code pour éviter des problèmes similaires.

En plus de ce qui précède, CrowdStrike a déclaré qu’il ferait :

Résilience et capacité de récupération améliorées
Stratégie de déploiement affinée
Renforcement de la validation par des tiers

Impact financier et responsabilités

Selon la compagnie d’assurance Parametrix, le coût estimé de la mise à jour défectueuse de CrowdStrike et de la panne du système Microsoft qui a suivi s’élève à 5 milliards de dollars en pertes directes pour les seules entreprises du Fortune 500. Les principales conclusions du rapport Parametrix intitulé « L’impact de CrowdStrike sur les entreprises Fortune 500 » incluent :

Environ 25 % des entreprises du Fortune 500 ont connu des perturbations en raison de la panne de CrowdStrike.
Les secteurs les plus touchés sont les compagnies aériennes, la santé et la banque.
Les pertes assurées devraient se situer entre 0,54 et 1,08 milliard de dollars, soit 10 à 20 % de la perte financière totale.

Dave Stapleton, responsable de la sécurité des systèmes d’information chez ProcessUnity, a déclaré que CrowdStrike pourrait être confronté à des problèmes de responsabilité et de droit. « Il reste encore à voir si les clients auront la capacité ou la volonté d’engager des poursuites judiciaires », a-t-il déclaré. Des inquiétudes ont également été exprimées concernant le fait que CrowdStrike n’aurait pas dû publier une mise à jour un vendredi. « [Aucun fournisseur] ne devrait publier une mise à jour pour l’ensemble de la population mondiale en une seule fois, toutes les versions nécessitent la suite complète de tests et ne devraient pas supposer qu’une mise à jour est solide en se basant sur le succès d’une mise à jour précédente », a-t-il déclaré.

Josh Lemon, directeur de la détection et de la réponse gérées pour Uptycs, est d’accord avec Stapleton, ajoutant : « D’après ce qui s’est passé la semaine dernière, CrowdStrike semble simplement envoyer des mises à jour à tous les clients en même temps, ce qui est assez dangereux compte tenu du nombre de clients qu’ils ont. »

Selon Lemon, les meilleures pratiques consistent à envoyer les mises à jour à un sous-ensemble de clients sur les systèmes de production. Ensuite, il faut surveiller pour s’assurer qu’il n’y a pas d’effets indésirables. Puis envoyer les mises à jour à un autre sous-ensemble de clients et continuer ce processus jusqu’à ce que tout soit mis à jour dans la production, a-t-il déclaré.

Le club des trois pourcent

Jeudi, Delta Airlines a déclaré qu’elle continuait de réparer les systèmes endommagés liés à la panne. La compagnie a indiqué que même si les systèmes étaient en train de revenir en ligne, des milliers de vols Delta ont été annulés.

Atténuer les problèmes liés à la panne de CrowdStrike-Microsoft pourrait être plus difficile pour certains, a expliqué Justin Endres, directeur des revenus chez Seclore. « Il y a plusieurs raisons pour lesquelles la récupération est lente pour certains », a déclaré Endres. « Tout d’abord, l’intervention manuelle pour reconstruire ces systèmes. Il est clair que ceux qui ont un grand nombre de machines Windows prendront plus de temps. »

Le chiffrement peut également constituer un défi lorsqu’il s’agit de remédier aux problèmes des appareils CrowdStrike-Microsoft, a déclaré Endres. « Les organisations qui ont investi dans la sécurité en cryptant les disques durs de leurs ordinateurs auront encore plus de mal à accéder au fichier (du capteur Falcon) qui doit être supprimé. »

Par ailleurs, le ministère des Transports enquête sur Delta concernant la manière dont les passagers ont été traités pendant la panne de CrowdStrike-Microsoft. CrowdStrike reste déterminé à restaurer les systèmes restants et à améliorer ses processus pour éviter de futures pannes similaires.

Webmaster 0 Comments

Juil 22 2024

Le FBI et Europol neutralisent des réseaux de cybercriminels

Démantèlement Historique : Opération Endgame Cible IcedID, Smokeloader, Pikabot et Bumblebee

Opération Endgame : les forces de l’ordre internationales neutralisent un réseau de cybercriminels responsable d’attaques contre des établissements de santé et de vols d’informations financières

Le FBI, en collaboration avec des agences internationales de maintien de l’ordre, a mené à bien l’opération Endgame, une opération coordonnée de grande envergure visant à démanteler un réseau sophistiqué de cybercriminels. Cette opération, qui s’est étendue sur plusieurs pays et continents, représente une étape importante dans la lutte contre la cybercriminalité mondiale. Les forces de l’ordre ont ciblé les groupes notoires IcedID, Smokeloader, Pikabot et Bumblebee, responsables d’attaques contre des établissements de santé et de vols d’informations financières.

Une Collaboration Internationale Inédite

Le FBI, en collaboration avec des partenaires du Danemark, de France, d’Allemagne, des Pays-Bas, du Royaume-Uni et avec le soutien crucial d’Europol et d’Eurojust, a mené une série d’actions synchronisées qui ont abouti à des perquisitions, des arrestations et la perturbation de plus de 100 serveurs essentiels aux opérations de ces groupes de malwares. Cet effort mondial a efficacement affaibli l’infrastructure criminelle de ces syndicats de cybercriminels, qui ont infecté des millions d’ordinateurs et semé le chaos dans le monde entier.

« L’opération Endgame démontre la lutte continue du FBI contre la cybercriminalité et les modèles de malwares en tant que service », a déclaré le directeur du FBI Christopher Wray. « En exploitant nos pouvoirs uniques et en collaborant étroitement avec des partenaires internationaux, le FBI a mené une opération internationale inédite visant à démanteler l’infrastructure criminelle de plusieurs services de malwares. Ces services ont infecté des millions d’ordinateurs et ont été responsables d’attaques contre des établissements de santé et des services d’infrastructures critiques dans le monde entier. Notre engagement à lutter contre la cybercriminalité sans frontières reste inébranlable. »

Une Opération de Grande Envergure

L’opération, qui a débuté le 28 mai 2024, a impliqué une douzaine de pays travaillant de concert pour démanteler les réseaux criminels. Cela comprenait des actions policières en Ukraine, au Portugal, en Roumanie, en Lituanie, en Bulgarie et en Suisse. Ces efforts ont conduit à l’arrestation ou à l’interrogatoire de suspects, à l’exécution de perquisitions et à la saisie ou à la désactivation de serveurs utilisés par les cybercriminels.

Cibles Principales : IcedID, Smokeloader, Pikabot et Bumblebee

L’opération Endgame a ciblé au moins quatre groupes de malwares notoires : IcedID, Smokeloader, Pikabot et Bumblebee. Ces groupes sont responsables de toute une série d’activités malveillantes, allant de l’installation de ransomwares sur les ordinateurs des victimes au vol d’informations personnelles et financières. Un incident notable a concerné un réseau hospitalier aux États-Unis, où l’attaque par malware a non seulement causé des millions de dollars de dégâts, mais a également mis en danger des vies en compromettant les systèmes de soins intensifs.

« Les résultats de l’opération Endgame sont stupéfiants et envoient un message fort aux cybercriminels du monde entier », a déclaré Robert M. DeWitt, agent spécial en charge du bureau extérieur du FBI à Charlotte. « Le FBI, avec ses agents spécialisés, ses informaticiens et ses experts en criminalistique, est déterminé à démanteler les réseaux de cybercriminalité, où qu’ils se trouvent. Nous sommes fiers du rôle essentiel joué par les employés du FBI des bureaux extérieurs de tout le pays dans ce démantèlement international massif. »

Un Effort de Collaboration Inégalé

L’effort de collaboration a impliqué plusieurs bureaux extérieurs du FBI, notamment ceux de Charlotte, Indianapolis, Jacksonville, Los Angeles et Cleveland, travaillant en étroite coordination avec le Service d’enquête criminelle de la Défense, les services secrets des États-Unis, l’Unité nationale spéciale de la criminalité de la police nationale danoise, la police nationale et la gendarmerie nationale françaises, la police criminelle fédérale allemande, l’Unité nationale de la criminalité de haute technologie de la police nationale néerlandaise, la Polícia Judiciária du Portugal, le Service de sécurité de l’Ukraine et l’Agence nationale de la criminalité du Royaume-Uni.

Vers une Cybersécurité Mondiale

Cette coalition internationale, forte de son expertise et de sa détermination, a porté un coup dur aux cybercriminels, perturbant leurs opérations et empêchant de nouvelles atteintes à la cybersécurité mondiale. Le FBI et ses partenaires continuent de souligner l’importance de la coopération mondiale pour lutter contre la menace en constante évolution de la cybercriminalité, en veillant à ce que les cybercriminels n’aient nulle part où se cacher.

L’opération Endgame marque un tournant dans la lutte contre la cybercriminalité mondiale. La coordination et l’efficacité démontrées par le FBI et ses partenaires internationaux envoient un message clair : les cybercriminels ne peuvent plus agir en toute impunité. Avec cette opération, la cybersécurité mondiale a été renforcée, et les infrastructures critiques protégées contre des menaces toujours plus sophistiquées.

La réussite de l’opération Endgame prouve que seule une coopération internationale étroite et une détermination sans faille peuvent venir à bout des réseaux de cybercriminalité. Le FBI, en collaboration avec ses partenaires internationaux, a une fois de plus démontré son engagement à protéger le monde des cybermenaces et à assurer la sécurité des informations personnelles et financières à l’échelle mondiale.

Webmaster 0 Comments

Juil 17 2024

Phishing 2024 : Les Services de Protection d’URL Devenus Outils des Hackers

Phishing Avancé : Comment les Hackers Utilisent les Services de Protection pour Masquer les Liens ?

Une nouvelle tactique de phishing détourne les protections de messagerie pour masquer les liens

La société de sécurité de messagerie Barracuda a récemment révélé une campagne de phishing qui utilise des services de protection d’URL légitimes pour masquer les liens de messagerie malveillants. Cette nouvelle tactique de phishing a été exposée dans un article de blog de Barracuda lundi, indiquant que ces attaques ont débuté vers la mi-mai 2024.

Les attaques profitent de la légitimité des services de protection des URL utilisés par les organisations, transformant une mesure anti-phishing en outil de phishing. Plusieurs services de protection différents ont été utilisés à mauvais escient par cette campagne, selon Barracuda.

Comment Fonctionne la Protection des URL

La protection des URL réécrit les liens reçus par les comptes de messagerie professionnels, les obligeant à revenir au service de protection, qui analyse le lien d’origine à la recherche de menaces. Les utilisateurs sont ensuite redirigés vers l’URL d’origine si aucune menace n’est détectée.

Exploitation des Services de Protection d’URL

Dans les attaques identifiées par Barracuda, qui ont ciblé des centaines d’organisations, les attaquants ont réussi à « envelopper » leurs propres liens de phishing dans un domaine de service de protection légitime, diminuant ainsi la probabilité de détection et de filtrage automatiques. Les chercheurs de Barracuda ont affirmé que les attaquants ont probablement utilisé des comptes d’entreprise déjà compromis pour générer les liens pré-encapsulés. Après avoir envoyé les liens de phishing aux comptes compromis sous leur contrôle, les attaquants pourraient copier l’URL réécrite pour l’inclure dans leurs e-mails de phishing ultérieurs.

Techniques Utilisées dans la Campagne

Les courriels liés à cette campagne comprenaient de faux rappels de réinitialisation de mot de passe et de faux documents DocuSign qui attiraient les victimes vers des sites Web de phishing malveillants. Les domaines de phishing liés à la campagne incluaient wanbf[.]com et clarelocke[.]com.

Réponse et Recommandations

SC Media a demandé à Barracuda si les analyses effectuées par le service de protection des URL permettraient de stopper ces attaques en empêchant l’utilisateur d’être redirigé vers le domaine de l’attaquant. Un porte-parole de Barracuda a déclaré que les propres produits de la société détecteraient les domaines malveillants, mais n’a pas fait de commentaires sur d’autres services de protection des e-mails.

« Les organisations doivent déployer des produits qui fournissent plusieurs couches de défense. Au sein de la protection des e-mails de Barracuda, nous avons la technologie ML combinée à LinkProtect qui garantit le moins d’interaction possible », a déclaré Barracuda à SC Media.

Phishing : Une Évolution Constante

Masquage des Liens de Phishing

Le blog de Barracuda souligne que la dernière campagne est similaire aux campagnes précédentes où les attaquants ont utilisé des services légitimes de raccourcissement de liens pour masquer une URL malveillante. En fait, les cybercriminels ont déployé de nombreuses tactiques pour masquer les liens de phishing avec des domaines légitimes.

En octobre dernier, Cofense a découvert une recrudescence des campagnes de phishing utilisant les liens intelligents LinkedIn pour diriger les cibles vers des sites Web malveillants. Les liens intelligents LinkedIn sont générés via le Sales Navigator de LinkedIn pour fournir du contenu et suivre l’engagement. Comme ils sont connectés au domaine LinkedIn, ils sont moins susceptibles d’être signalés comme malveillants par les services de sécurité de messagerie.

Utilisation de Google AMP et Services Cloud

Les attaquants ont également utilisé le framework Accelerated Mobile Pages (AMP) de Google pour ajouter des URL malveillantes aux liens google.com, ce qui permet d’éviter la détection en raison du statut de confiance de Google, a rapporté Cofense en août dernier.

Les cybercriminels ont également utilisé des services de cloud public comme Google Cloud pour héberger des kits de phishing et générer des URL apparemment légitimes, a révélé Resecurity dans un article de blog de février 2024.

Importance d’une Protection Multiniveaux

De telles tactiques soulignent la nécessité d’une protection du courrier électronique à plusieurs niveaux qui va au-delà du filtrage de domaine de base. La protection de messagerie moderne doit inclure des technologies avancées telles que l’apprentissage automatique pour analyser les comportements suspects et les anomalies dans les communications. Les entreprises doivent également former leurs employés à reconnaître les signes de phishing et à signaler immédiatement toute activité suspecte.

Webmaster 0 Comments

Juil 17 2024

HardBit 4.0 : Ce Que Vous Devez Savoir sur le Ransomware le Plus Avancé

Nouvelle Variante de HardBit 4.0 : Amélioration de la Furtivité et de la Persistance des Ransomwares

La nouvelle variante du ransomware HardBit augmente la furtivité et la persistance

Le virus ransomware-as-a-service (RaaS) HardBit possède une nouvelle variante qui augmente la capacité du ransomware à éviter la détection, à établir une persistance et à empêcher la récupération. Cybereason a fait état de la nouvelle variante HardBit 4.0 dans un article de blog la semaine dernière, soulignant deux mises à jour principales : la protection par mot de passe et l’emballage avec le virus Neshta, qui est devenu un dropper de ransomware populaire ces dernières années.

Qu’est-ce que le ransomware HardBit ?

Le groupe de ransomware HardBit est apparu pour la première fois en 2022 et ne dispose pas de site de fuite public, la plupart des communications avec ses victimes se faisant via le service de messagerie crypté Tox. Néanmoins, la demande de rançon de HardBit menace de publier les données des victimes si une rançon n’est pas payée.

On ne sait pas actuellement comment les acteurs de la menace HardBit obtiennent l’accès initial aux systèmes des victimes, bien que Cybereason ait noté avoir observé des preuves de force brute du protocole de bureau à distance (RDP) et du blocage des messages du serveur (SMB) dans ses recherches.

Fonctionnalités de HardBit 4.0

Protection par mot de passe et emballage avec Neshta

L’une des nouvelles fonctionnalités notables de la dernière variante de HardBit est son emballage et sa livraison par le virus Neshta, ajoutant une couche supplémentaire d’obfuscation et rendant le malware plus difficile à supprimer du système de la victime. Neshta est actif depuis 2003 et a été utilisé par divers acteurs de la menace et groupes de ransomware comme un dropper pour les charges utiles de malware ces dernières années. Le binaire HardBit 4.0 compressé est déposé par Neshta dans le répertoire %TEMP% puis exécuté par Neshta à l’aide de ShellExecuteA.

Neshta établit sa persistance en se copiant dans le répertoire %SYSTEMROOT% déguisé en service Windows légitime « svchost.com » et en mettant à jour la clé de registre HKLM\SOFTWARE\Classes\exefile\shell\open\command pour exécuter cette copie « svchost.com » à chaque lancement d’un exécutable, a expliqué Cybereason. Tout exécutable sous les répertoires %TEMP%, %SYSTEMROOT% ou \PROGRA-1\ est ciblé par Neshta pour l’infection.

Interface Utilisateur et Commande

Depuis HardBit 3.0, le groupe RaaS propose deux versions différentes du ransomware : CLI, qui consiste en une seule chaîne d’exécution, ou GUI, qui donne à l’attaquant plus de contrôle sur le flux d’exécution. De plus, la version GUI contient également deux « modes » d’attaque différents, permettant aux acteurs malveillants de choisir entre le chiffrement des fichiers des victimes ou leur suppression. Les chercheurs ont noté que l’option d’effacement ne peut être utilisée que si l’attaquant a accès à un fichier de configuration appelé « hard.txt », ce qui suggère que ce mode nécessite un achat supplémentaire auprès du groupe HardBit.

Menaces et Défenses

Accès Initial et Mouvement Latéral

Une fois que les attaquants obtiennent l’accès initial, ils utilisent l’outil d’extraction d’informations d’identification Windows Mimikatz, l’outil de forçage brut RDP NLBrute et les outils de découverte de réseau Advanced Port Scanner, KPortScan 3.0 et 5-NS new.exe pour faciliter le mouvement latéral, en infectant autant de machines que possible au sein d’un réseau d’entreprise.

Une fois le ransomware exécuté, il commence à crypter les fichiers, remplace les icônes des fichiers cryptés par le logo HardBit et modifie l’arrière-plan du bureau de la machine par un message indiquant : « Si vous voyez cet arrière-plan, vous êtes définitivement crypté par HardBit 4.0. Ne stressez pas et lisez simplement le fichier d’aide. Tout y est écrit. »

Désactivation des Défenses et Suppression des Sauvegardes

HardBit 2.0 à 4.0 incluent tous des mesures pour désactiver Windows Defender, empêcher la récupération et supprimer les sauvegardes via les outils BCDEdit, Vssadmin, WBAdmin et WMIC, et obscurcir le binaire .NET du ransomware à l’aide de l’outil de compression Ryan-_-Borland_Protector Cracked v1.0, qui est censé être une version modifiée du packer .NET open source ConfuserEx.

Exigences de Rançon et Manipulation des Assurances

La demande de rançon de HardBit demande aux victimes d’indiquer aux attaquants la rançon maximale que leur plan d’assurance de cybersécurité couvrira, en précisant : « Étant donné que l’agent d’assurance sournois négocie délibérément pour ne pas payer la réclamation d’assurance, seule la compagnie d’assurance gagne dans cette situation. Pour éviter tout cela et obtenir l’argent de l’assurance, assurez-vous de nous informer de manière anonyme de la disponibilité et des conditions de la couverture d’assurance, cela profite à la fois à vous et à nous. »

Étant donné l’absence de site de fuite public pour HardBit, on sait peu de choses sur les victimes du groupe, et les méthodes d’exfiltration de données utilisées par le groupe et ses affiliés n’ont pas encore été identifiées. L’activité continue et l’évolution du ransomware soulignent la nécessité de solutions robustes pour empêcher les exécutions malveillantes, protéger les sauvegardes et détecter de manière fiable les téléchargements dangereux comme Neshta avant qu’ils ne s’implantent dans le réseau d’une organisation.

La nouvelle variante de HardBit 4.0 montre à quel point les ransomwares continuent d’évoluer et de s’adapter. Les entreprises doivent rester vigilantes, adopter des solutions de sécurité avancées et rester informées des dernières menaces pour protéger efficacement leurs systèmes et leurs données critiques.

Webmaster 0 Comments

Juil 17 2024

Ce que votre équipe de sécurité doit savoir sur Copilot pour Microsoft 365

Vectra AI vous aide à sécuriser Copilot pour M365. Découvrez comment détecter et stopper les attaques basées sur l'IA

Ce que votre équipe de sécurité doit savoir sur Copilot pour M365

Comme de nombreux outils numériques basés sur l’IA, Copilot pour Microsoft 365 (M365) promet aux entreprises de nouvelles opportunités d’amélioration de la productivité, de la précision et de l’efficacité avec leur suite de produits Microsoft. Cependant, Copilot pour M365 présente aussi des vulnérabilités significatives qui peuvent être exploitées par des attaquants pour compromettre la sécurité de votre entreprise.

Qu’est-ce que Copilot pour Microsoft 365 ?

Copilot pour Microsoft 365 est une amélioration basée sur l’intelligence artificielle pour l’ensemble des applications Microsoft. Développé par Microsoft, ce chatbot combine l’IA générative et les modèles de langage de grande taille (LLM) pour offrir des capacités avancées au sein de la suite d’outils de productivité Microsoft Office. Grâce à une interface de chat unifiée, Copilot permet un accès facile aux informations sur toutes les surfaces Microsoft, y compris Word, SharePoint, Teams, Email, etc. Il automatise les tâches banales et fournit des analyses de données utiles pour optimiser les charges de travail.

Menaces potentielles de Copilot pour M365

Malheureusement, Copilot pour M365 offre également aux attaquants les mêmes avantages qu’aux utilisateurs professionnels légitimes : un accès rapide aux fichiers grâce à l’IA. Les attaquants peuvent exploiter Copilot pour trouver des informations d’identification, se déplacer latéralement et accéder rapidement aux informations sensibles. En compromettant un compte compatible Copilot, les attaquants peuvent simultanément rechercher sur toutes les surfaces connectées, utilisant la puissance de l’IA pour lancer des attaques sophistiquées.

Techniques d’abus de Copilot pour M365

Bien que Copilot pour M365 interdise certaines recherches évidentes, comme demander des mots de passe, les attaquants peuvent contourner ces restrictions avec des demandes indirectes. Par exemple, une requête telle que « Y a-t-il des mots de passe dans mes 50 dernières conversations ? » obtiendra une réponse de Copilot. D’autres techniques de contournement incluent la demande de secrets, de clés, de numéros, de feuilles de route, de brevets, etc. Copilot répond également à des questions telles que « Quelle est la personne avec laquelle je communique le plus ? » ou « Nommez les dix personnes avec lesquelles je communique le plus au sein de l’entreprise ».

Comment se protéger contre les attaques via Copilot pour M365

La meilleure défense contre les attaques pilotées par l’IA utilisant Copilot pour M365 est une analyse comportementale basée sur l’IA. Chez Vectra AI, nous avons constaté un taux d’adoption de Copilot pour M365 d’environ 40 % parmi les entreprises qui nous font confiance pour surveiller leurs identités. Nous analysons le comportement des identités pour identifier les actions potentiellement irrégulières et prioriser les menaces les plus urgentes.

Vectra AI permet de surveiller toutes les activités des identités, qu’elles soient sur Copilot, Azure AD ou AWS. En analysant les comportements, nous pouvons détecter et arrêter les attaques pilotées par l’IA avant qu’elles ne causent des dommages. Copilot pour M365 est un domaine supplémentaire où les attaquants tenteront de vivre de la terre pour accéder à vos données critiques. Avec une détection et une réponse pilotées par l’IA, votre équipe de sécurité peut rapidement et efficacement répondre aux menaces.

Mot de la fin

Alors que Copilot pour M365 continue de se répandre, il est crucial pour les entreprises de comprendre les risques potentiels et de mettre en place des mesures de sécurité robustes. En combinant les avantages de la productivité de Copilot avec des analyses comportementales avancées, les entreprises peuvent protéger leurs données critiques contre les menaces sophistiquées. IT Facility est prêt à vous aider à naviguer dans ce paysage de sécurité en constante évolution, en vous offrant les outils nécessaires pour détecter et stopper les attaques avant qu’elles ne compromettent votre entreprise.

Webmaster 0 Comments

Juil 8 2024

Nouvelle Arnaque Phishing : Identifiants Apple en Danger sur iPhone

Une Nouvelle Cyberattaque Vise les iPhone et les Identifiants Apple : Voici Comment Se Protéger

Les propriétaires d’iPhone doivent rester vigilants face à une nouvelle menace de cyberattaque ciblant leurs identifiants Apple. Les experts en sécurité de Symantec ont récemment découvert une campagne de phishing par SMS, sophistiquée et dangereuse, visant à tromper les utilisateurs pour qu’ils divulguent leurs informations de connexion.

La Mécanique de l’Attaque

Les cybercriminels envoient des SMS prétendant provenir d’Apple, incitant les destinataires à cliquer sur des liens pour effectuer des mises à jour ou des vérifications iCloud importantes. Les recherches de Symantec révèlent que ces liens mènent à des sites Web factices, conçus pour sembler authentiques et demander les identifiants Apple. Pour renforcer l’illusion, les attaquants ont même intégré un CAPTCHA sur ces pages.

Une fois le CAPTCHA complété, les victimes sont redirigées vers une ancienne page de connexion iCloud, où elles sont invitées à saisir leurs identifiants. Ces informations sont précieuses pour les cybercriminels, leur permettant d’accéder à des données personnelles et financières et de prendre le contrôle des appareils.

Réponse et Mesures de Protection d’Apple

Apple est conscient de ces tactiques et recommande plusieurs mesures pour se protéger. Premièrement, activez l’authentification à deux facteurs sur votre identifiant Apple.

Cela ajoute une couche de sécurité supplémentaire, en exigeant un mot de passe et un code de vérification à six chiffres chaque fois que vous vous connectez depuis un nouvel appareil.

Rappelez-vous qu’Apple ne demandera jamais de désactiver des fonctionnalités de sécurité telles que l’authentification à deux facteurs ou la protection contre le vol d’appareils. Les escrocs peuvent prétendre que c’est nécessaire pour résoudre un problème, mais il s’agit d’un piège conçu pour réduire vos défenses.

Détecter les Tentatives de Phishing

Les escroqueries par phishing peuvent être sournoises, mais il existe des moyens de les identifier. Examinez attentivement les URL des messages suspects. Même si le message semble légitime, l’adresse Web ne correspond généralement pas au site officiel d’Apple. Méfiez-vous également de tout texte qui s’écarte du style de communication habituel d’Apple.

Symantec a mis en évidence un message de phishing spécifique dans son avertissement du 2 juillet. Le SMS frauduleux disait : « Apple demande importante iCloud : visitez signin[.]authen-connexion[.]info/iCloud pour continuer à utiliser vos services. » Les caractères étranges et les domaines inconnus sont des indicateurs clairs d’une arnaque.

Tactiques d’Escroquerie Plus Larges et Comment les Éviter

Ces tentatives de phishing ne visent pas uniquement les utilisateurs d’Apple. Certains utilisateurs ont signalé avoir reçu des messages similaires prétendant provenir de sociétés comme Netflix et Amazon, évoquant des problèmes de compte ou des cartes de crédit expirées. Ces messages vous invitent également à cliquer sur un lien et à saisir vos informations personnelles.

La Federal Trade Commission (FTC) recommande aux entreprises légitimes de ne jamais demander d’informations sensibles par SMS. Si vous recevez un message de ce type, contactez directement l’entreprise en utilisant un numéro ou un site Web vérifié, et non les informations fournies dans le SMS.

Comment Vous Protéger des Escroqueries par SMS et par E-mail d’Apple

Utilisez toujours une protection antivirus puissante sur tous vos appareils
Un logiciel antivirus empêche de cliquer sur des liens malveillants ou de télécharger des fichiers suspects. Lisez mon avis sur les meilleurs choix d’antivirus ici.
Ne mordez pas à l’hameçon
Les escrocs utilisent souvent un langage alarmant pour provoquer une action immédiate. Restez calme et méfiez-vous des messages non sollicités.
Activez l’authentification à deux facteurs sur vos appareils Apple
Cette mesure améliore grandement votre sécurité. Vérifiez toujours la source des messages qui prétendent provenir d’Apple et, en cas de doute, connectez-vous manuellement à votre compte via le site officiel d’Apple.
Maintenez le logiciel à jour
Mettez régulièrement à jour votre système d’exploitation, vos navigateurs Web et votre logiciel antivirus pour vous protéger contre les dernières menaces. Vous pouvez vérifier ces mises à jour dans l’application Paramètres de votre appareil.

Que Faire si Vous Avez Cliqué sur un Lien et Installé un Logiciel Malveillant ?

Analysez votre appareil à la recherche de logiciels malveillants
Utilisez un programme antivirus fiable pour scanner votre appareil.
Changez immédiatement vos mots de passe
Si vous avez communiqué vos informations à des cybercriminels, modifiez vos mots de passe pour tous vos comptes importants à partir d’un appareil non infecté.
Surveillez vos comptes et transactions
Vérifiez régulièrement vos comptes pour détecter toute activité suspecte. Signalez toute anomalie au fournisseur de services ou aux autorités.
Utilisez une protection contre le vol d’identité
Ces services peuvent suivre vos informations personnelles et vous avertir de toute activité suspecte. Certains offrent une assurance contre le vol d’identité et une assistance pour récupérer vos pertes.
Contactez votre banque et vos sociétés de cartes de crédit
Informez-les de la situation pour qu’elles puissent vous aider à geler ou annuler vos cartes, contester les frais frauduleux et émettre de nouvelles cartes.
Alertez vos contacts
Si vos comptes de messagerie ou de réseaux sociaux ont été compromis, informez vos contacts pour qu’ils se méfient des messages suspects provenant de votre part.
Restaurez votre appareil aux paramètres d’usine
Pour éliminer toute trace de logiciel malveillant, restaurez votre appareil aux paramètres d’usine après avoir sauvegardé vos données importantes.

En deux mots ?

Les cyberattaques deviennent de plus en plus sophistiquées, rendant crucial le fait de rester informé et vigilant. Protégez vos identifiants Apple et vos informations personnelles en suivant les consignes de sécurité d’Apple et en vous méfiant des messages non sollicités. En prenant ces précautions, vous pouvez protéger vos appareils et vos données des acteurs malveillants.

Webmaster 0 Comments