Archives mensuelles : juillet 2021

Arnaque, escroquerie, Particuliers

Les utilisateurs encore trop laxiste avec leur informatique

Une nouvelle étude menée, portant sur 2000 adultes français, révèle que 3 utilisateurs sur 10 de smartphones ne repèrent pas un vrai d’un faux SMS !

37 % de Français, sur 2.000 interviewés dans l’étude OnePoll, indique avoir été trompés par un SMS, un email ou un message sur les réseaux sociaux qui leur laissait croire qu’il venait d’une personne ou d’une compagnie légale.

L’étude a aussi trouvé que 55 % des adultes ne savent pas trouver la différence entre une arnaque et une demande d‘information légitime, que ce soit via les réseaux sociaux ou par SMS. Les arnaques en ligne les plus communes sont des tickets gagnants aléatoires, des livraisons par La Poste et des liens suspicieux venant de nulle part. Des messages de compagnies d’énergie à propos de données expirées et des détails de connexion pour paiements en ligne ont aussi été reçus.

La confiance dans les réseaux sociaux a tellement diminué que seulement un adulte sur 20 se sent en sécurité – et 43 % pensent que chaque compte devrait être associé à un vrai nom et une véritable identité.

LES 10 ARNAQUES EN LIGNE LES PLUS SOUVENT RENCONTRÉES

1. Gagner un prix aléatoire
2. Livraisons de La Poste
3. Liens suspicieux
4. Autres types de livraisons, par exemple DHL, DPD, etc.
5. Messages de compagnies d’énergie
6. Utilisateurs et logins incorrects pour paiements, par exemple Paypal
7. Données bancaires expirées, par exemple Netflix ayant besoin des derniers numéros de compte à jour
8. Individus envoyant des messages à propos d’une relation
9. Notifications d’avoir gagné une enchère sur par exemple eBay
10. Des membres de familles que vous n’avez jamais rencontrés prenant contact avec vous.

Pour en savoir plus sur comment se protéger cybervictimes.net

Cybersécurité, IOT

Mise en garde contre les ransomwares ciblant les systèmes de contrôle industriels

La France fait partie du Top 10 des pays comptabilisant le plus grand nombre de réseaux IT/OT.

Une entreprise japonaise de cybersécurité vient publier les résultats d’une nouvelle étude portant sur les attaques de ransomwares ciblant les installations industrielles. Intitulée « 2020 Report on Threats Affecting ICS Endpoints« , l’étude met en évidence le risque croissant de temps d’arrêt et de vol de données sensibles résultant de ces attaques.

« Les systèmes de contrôle industriels sont particulièrement complexes à sécuriser, exposant de nombreuses brèches que les attaquants exploitent avec une détermination croissante », explique Nurfedin Zejnulahi, Directeur Technique France chez Trend Micro. « Les attaques par ransomwares constituent un véritable fléau, au point que le gouvernement américain les place sur le même plan que le terrorisme. Dans ce contexte, nous espérons que nos récentes recherches aideront les fabricants industriels à prioriser et accentuer leurs efforts de sécurité pour faire face à ces menaces. »

Les systèmes de contrôle industriels (ICS) sont au centre des installations des services publics, des sites de production et autres activités sensibles, où ils sont utilisés pour surveiller et contrôler les processus industriels sur les réseaux IT/OT. Susceptible d’interrompre l’activité pendant plusieurs jours, la présence d’un ransomware sur ces derniers peut entraîner un risque majeur, à savoir la mise à disposition de projets de conception, de programmes et autres documents sensibles sur le dark web.

La France fait partie des 10 pays comptant le plus grand nombre de réseaux IT/OT

On y découvre que les variants des ransomwares Ryuk (20%), Nefilim (14,6%), Sodinokibi (13,5%) et LockBit (10,4%) ont représenté plus de la moitié des infections sur les systèmes ICS en 2020. Les attaquants ciblent les endpoints ICS pour miner des cryptomonnaies en exploitant des systèmes d’exploitation non patchés et encore vulnérables à EternalBlue. Des variantes du virus Conficker se répandent sur les endpoints ICS exécutant des systèmes d’exploitation plus récents et en forçant les partages d’administration. Les anciens malwares tels qu’Autorun, Gamarue et Palevo sont encore répandus sur les réseaux IT/OT et se propageant via des supports de stockage amovibles.

La France fait partie des 10 pays comptant le plus grand nombre de réseaux IT/OT intégrant des endpoints ICS. L’étude de Trend Micro révèle que les environnements ICS sont à la fois affectés par les nouveaux malwares (ransomwares et coinminers) et par les malwares traditionnels (virus infectant les fichiers). Toutefois, les graywares -applications ou fichiers non classés parmi les virus ou les chevaux de Troie, mais capables de nuire à la performance des appareils et d’entraîner des risques de sécurité majeurs- constituent également une menace non négligeable.

« Il est indispensable que les équipes sécurité et celles en charge de l’OT coopèrent de façon plus étroite. En travaillant conjointement, ces dernières seront en mesure d’identifier les systèmes clés et les dépendances, telles que la compatibilité du système d’exploitation et les exigences de disponibilité, pour développer in fine des stratégies de sécurité plus efficaces », commente Nurfedin Zejnulahi.

Parmi les recommandations aux industriels

Appliquez rapidement les correctifs. Si cela n’est pas possible, segmentez le réseau ou utilisez des solutions de « patching » virtuel disponibles sur le marché ;
Luttez contre les ransomwares en atténuant les causes de l’infection via des outils de monitoring des applications et de détection et de réponse aux menaces pour analyser les systèmes à la recherche d’IoC (indicateur de compromission) ;
Limitez les partages de réseau et appliquez des combinaisons nom d’utilisateur/mot de passe robustespour empêcher tout accès non autorisé par le biais d’attaques par force brute visant à déchiffrer des identifiants ;
Utilisez des services IDS (détection d’intrusion) ou IPS (prévention d’intrusion) pour définir le comportement normal du réseau et mieux identifier les activités suspectes ;
Analysez les endpoints ICS dans des environnements isolés à l’aide d’outils autonomes ;
Mettez en place des kiosques d’analyse antimalware pour permettre l’examen des lecteurs amovibles utilisés pour transférer des données entre endpoints isolés ;
Appliquez le principe du moindre privilège aux administrateurs et opérateurs du réseau OT.

Android, backdoor, Cybersécurité

Des Trojans Android volent des logins et mots de passe d’utilisateurs Facebook

Détection de plusieurs applications malveillantes sur Google Play. De fausses applications qui volent des logins et des mots de passe d’utilisateurs de Facebook. Plus de 5,8 millions d’installations.

Un éditeur photo nommé Processing Photo. Il a été propagé par son développeur chikumburahamilton, ce malware a été installé plus de 500 000 fois.

Des applications App Lock Keep du développeur Sheralaw Rence, App Lock Manager éditée par Implummet col et Lockit Master du développeur Enali mchicolo, ces programmes malveillants permettent de configurer une limitation d’accès aux appareils Android et aux logiciels installés sur les appareils. Ces malwares ont été téléchargés au moins 50 000, 10 et 5 000 fois respectivement.

Un utilitaire destiné à optimiser le fonctionnement d’appareils Android – Rubbish Cleaner du développeur SNT.rbcl qui a été téléchargé plus de 100 000 fois.

Des programmes d’astrologie Horoscope Daily du développeur HscopeDaily momo et Horoscope Pi du développeur Talleyr Shauna. La première application a été installée plus de 100 000 fois et la deuxième plus de 1000 fois. Un programme de fitness Inwell Fitness du développeur Reuben Germaine, qui a connu plus de 100 000 installations.

Stealers

Un éditeur d’image PIP photo diffusé par le développeur Lillians. Les différentes versions de ce programme sont détectées comme Android.PWS.Facebook.17 et Android.PWS.Facebook.18. Cette application a été téléchargée plus de 5 millions de fois.
Dès que les experts de Doctor Web ont rapporté le problème à Google Inc., une partie des applications malveillantes ont été retirées mais au moment de la sortie de cette publication, certaines d’entre elles restent encore disponibles en téléchargement.

De plus, l’étude de ces stealers a montré l’existence d’une version antérieure d’un de ces malwares, propagée via Google Play sous couvert de l’éditeur photo EditorPhotoPip. Bien qu’il ait été retiré du catalogue, il restait disponible en téléchargement sur les sites d’agrégateurs d’applications.

Les applications étaient pleinement opérationnelles, ce qui devrait affaiblir la vigilance de leurs victimes potentielles. Pour accéder à toutes leurs fonctions, ainsi que pour prétendument désactiver la publicité, les utilisateurs étaient invités à se connecter à leurs comptes Facebook. Certaines applications contenaient des publicités, ce qui pouvait également affaiblir l’attention des utilisateurs et les pousser à exécuter une action proposée par les pirates. Si l’utilisateur acceptait la proposition et qu’il cliquait sur le bouton, il voyait un formulaire standard de saisie de login et de mot de passe.

Paramètres nécessaires pour voler des noms d’utilisateur et mots de passe

Il faut noter que les champs de saisie sont authentiques. Les Trojans utilisent un mécanisme spécialisé pour tromper leurs victimes. Après avoir reçu les paramètres d’un des serveurs de contrôle, les pirates téléchargent la page légitime de Facebook https://www.facebook.com/login.php dans WebView. Dans cette même WebView, ils téléchargent JavaScript depuis leur serveur qui intercepte les données d’authentification saisies. Ensuite, le JavaScript, en utilisant les méthodes fournies via JavascriptInterface, transmet les logins et les mots de passe volés aux applications, qui à leur tour les envoient au serveur des pirates. Une fois qu’une victime était connectée à son compte, les Trojans volaient également les fichiers cookies de la session d’authentification pour les envoyer aux pirates.

L’analyse de ces programmes malveillants a montré qu’ils ont tous reçu les paramètres nécessaires pour voler des noms d’utilisateur et mots de passe des comptes Facebook. Cependant, les attaquants sont en mesure de changer facilement les paramètres et de donner la commande de télécharger la page d’un service légitime ou d’utiliser un formulaire de saisie contrefait publié sur un site de phishing. Ainsi, les chevaux de Troie peuvent être utilisés pour voler des noms d’utilisateur et mots de passe de n’importe quel service. Le programme malveillant Android.PWS.Facebook.15 qui est une modification antérieure, est identique aux autres, mais il comprend également la sortie des données vers un fichier log dans la langue chinoise, ce qui peut indiquer son origine.