Archives de catégorie : Social engineering

Base de données, Cybersécurité, Entreprise, Justice, Mise à jour, Social engineering

Des hôtels de luxe Français visés par un piratage informatique

Je vous révélais, en décembre 2015, une attaque massive à l’encontre d’hôtels de luxe. Un piratage qui a visé, en France, Le Hyatt Regency Paris Étoile, le Hyatt Paris Madeleine et le Grand Hyatt Cannes Hôtel Martinez. Des stars dans les données volées ?

Après les Hôtels Sheraton, Hilton et Le Méridien, c’est au tour du groupe hôtelier Hyatt d’être la cible d’une attaque informatique. Des pirates ont infiltré les machines en charge de la gestion du système de paiement de ses sites Internet du groupe hôtelier. Hyatt vient de diffuser les conclusions de son enquête interne. 250 hôtels ont été piratés dans 54 pays. Une attaque massive entre le 13 août et le 8 décembre 2015. Trois hôtels Français ont été touché (du 13 août au 14 octobre 2015) : le Hyatt Regency Paris Etoile, le Hyatt Paris Madeleine et le Grand Hyatt Cannes Hôtel Martinez.

Alors qu’en décembre 2015, Hyatt indiquait ne pas savoir si des données bancaires avaient été touchées. Un mois plus tard, il a été confirmé le vol, via les terminaux de paiement de restaurants, spas, parking, réceptions… des noms, numéros de carte bancaire, dates d’expiration, CVV, codes de vérification interne.

Argent, Arnaque, Banque, Contrefaçon, Cybersécurité, Emploi, Entreprise, escroquerie, Justice, Particuliers, Social engineering

Fraude : Pôle Emploi diffuse de fausses annonces

Devenir chauffeur, recevoir un chèque à débiter et renvoyer l’argent liquide par Wester Union ? Bienvenue dans les petites annonces pirates diffusées par Pôle Emploi.

Les fraudes à l’emploi, via Internet sont légions. Je vous en parle malheureusement très souvent. Elles prennent différentes formes : faux contrat de gestion de colis. Des objets volés ou acquis avec des CB piratées. Les colis sont à renvoyer à une adresse donnée (DropBox) au dernier moment, par le pirate. Gestion de fausses commandes. L’employé reçoit de l’argent sur son compte en banque. L’escroc explique qu’il provient de commandes de clients d’un « grand distributeur international de produits de créateurs ». Il s’agit surtout de fraudes bancaires [Phishing, CB piratée, cyber boutiques pillées…). Le pigeon doit renvoyer un pourcentage en liquide, par Western Union. Bref, la fausse offre d’emploi permet aux voleurs d’amadouer sa victime. Il lui communique un chèque à déposer en banque. La cible doit renvoyer la liquidité par un procédé choisi par le pirate. Le chèque est faux ou sans provision.

De la Mule à l’âne, il n’y a qu’un pas

En plus de devenir une « mule » en blanchissant de l’argent volé et de participer à une escroquerie en bande organisée, l’internaute piégé par ce type d’escroquerie met aussi ses informations personnelles en danger. En fournissant des renseignements privés comme son compte bancaire ou la photocopie de son passeport. L’activité de la « mule » consiste à accepter des transferts d’argent sur son compte personnel. La victime utilise ensuite les services de transfert de fonds comme la Western Union pour envoyer l’argent vers une supposée adresse d’entreprise, en Europe de l’Est, à Hong-Kong ou simplement en Belgique. L’ « employé » conserve un certain pourcentage sur le montant du transfert, généralement entre 3% et 5%, comme commission pour le service. L’opportunité d’embauche proposée dans ces emails est alléchante : travailler comme agent financier ou chef de transaction, pour quelques heures par semaine seulement et à partir de son domicile, contre une rémunération élevée. Une fois l’argent en route vers l’étranger, la victime escroquée n’a quasiment plus aucune chance de récupérer son argent. Lorsque la fraude est découverte, ce sont les blanchisseurs d’argent, les mules insouciantes, qui reçoivent les demandes de dommages et intérêts et/ou les lettres de l’accusation. Sans parler de la visite des « Amis du petit déjeuner« . Bref, de la Mule à l’âne, il n’y a qu’un pas.

Fausse annonce, faux chèque, vraie arnaque

C’est cette dernière possibilité qui a touché plusieurs demandeurs d’emploi du nord de la France. Un habitant de la région Lilloise a répondu, par exemple, à une petite annonce diffusée par Pôle emploi. La mission, devenir chauffeur de maître pour une famille Suisse qui doit s’installer quelques temps en France. L’arnaque est simple, mais efficace. Pour louer la voiture dédiée à ce travail, l’escroc envoie un chèque à sa victime. Le document bancaire, d’un montant variant de 2000 à 3000se, doit permettre de louer la voiture. La cible le dépose donc sur son compte en banque. Le surplus d’argent doit être renvoyé, par Wester union. Le voyou 2.0 vient de récupérer des euros sonnants et trébuchants. La personne piégée se retrouve avec un énorme trou dans son compte en banque. Sans parler de la location de la voiture, que les escrocs pourront récupérer et utiliser à d’autres fins que les vacances !

Comment les repérer ?

Pôle Emploi, qui dans le Nord de la France ne semble pas vérifier l’intégralité de ces offres comme l’indique la Voix du Nord du 5 janvier 2016, donne quelques clés pour ne pas être piégés. Parmi les propositions : Ne donnez jamais vos données personnelles à un inconnu (votre numéro de sécurité sociale, le numéro de permis de conduire, votre RIB, numéros de compte, de carte bancaire, accès de connexions, etc.). Tout recruteur qui vous demanderait ce type d’information, avant même de vous avoir rencontré, doit être considéré comme suspect ; protégez votre ordinateur ou votre périphérique en installant antivirus et pare-feu ; n’envoyez pas d’argent à un employeur potentiel ; Ne versez aucune somme d’argent en échange d’un contrat de travail potentiel ; N’acceptez aucune rétribution, de quelque nature que ce soit, de votre futur employeur tant que vous n’avez pas signé le contrat de travail [Attention, j’ai pu croiser de faux contrats de travail. Bannissez les entreprises inconnues, basées à l’étranger, NDR) ; Ne poursuivrez pas la communication si vous doutez de l’honnêteté de votre interlocuteur. « N’hésitez pas à demander toute précision qui vous semble utile afin de vous assurer que l’offre proposée est bien réelle et sérieuse » termine Pôle Emploi sur son site web.

Dans le quotidien nordiste, l’une des victimes indique cependant n’avoir reçu aucune réponse à ses demandes insistantes sur le sérieux d’une des annonces « J’ai contacté mon conseiller pour demander si une vérification est faite sur le sérieux des offres. Je n’ai jamais obtenu de réponse. »

En cas de fraude ou d’abus de ce type, n’hésitez pas à contacter la rédaction de ZATAZ.COM via leur protocole d’alerte sécurisé ou encore Info Escroquerie au 0 811 02 02 17 ou via le site Internet internet-signalement.gouv.fr.

Cybersécurité, Entreprise, Fraude au président, Fuite de données, Mise à jour, Social engineering

La signature de vos mails, porte d’accès pour pirate

Quoi de plus anodin qu’une signature dans un courrier électronique. Prenez garde, elle peut révéler beaucoup d’informations au premier pirate qui passe. DataSecurityBreach vous propose un mode d’emploi contre la collecte d’information via votre répondeur.

Dans le piratage informatique, la collecte d’informations sur la cible est primordiale. Avant d’attaquer un ordinateur, le pro de la malveillance informatique doit tout savoir sur l’humain et son environnement. Connaitre sur le bout des doigts la vie de l’objectif. Parmi les « espaces » de travail de l’espion : les poubelles (on se retrouve au FIC 2016 lors du challenge CDAISI, NDR) ; les bureaux ; les pages communautaires (Facebook, …) ainsi que les mails, les signatures et, surtout, le répondeur qui annonce votre absence.

Les réponses automatiques, l’ami de vos ennemis
Aussi bête que cela puisse paraître, j’ai pu constater depuis des années que les messages automatiques des répondeurs de nos boites mails étaient capables de fournir des informations sensibles, stratégiques pour celui qui sait les lires. Comme l’explique le site Internet dédié aux Professionnels de l’opérateur Orange « Au moment de paramétrer votre message d’absence pensez à faire figurer quelques informations comme » et l’entité historique des télécoms Français d’égrainer les données à fournir dans le message automatique : La durée de votre absence ; les coordonnées d’une personne à contacter en cas d’urgence... »

Aujourd’hui, ces informations ne sont plus à mettre. Imposez à votre direction une adresse électronique générique à mettre en place durant les absences. Paul.Abuba@Federalbank.gov.us n’est plus pensable dans un répondeur. Absence@Federalbank.gov ou informatique@Federalbank.gov (si vous officiez dans ce service, NDR) semble plus logique. Il ne faut plus communiquer la durée de l’absence, et encore moins l’identité de la personne à contacter en cas d’absence.

Social Engineering automatisé

Votre répondeur ne doit plus ressembler au message ci-dessus, mais à celui proposé ci-dessous. Un message qui aura pour mission de préserver les intérêts de votre entreprise et de votre vie numérique. De bloquer les tentatives de fraudes, de type Fraude au président par exemple. Il est aujourd’hui impératif d’éviter toute personnalisation. Un malveillant possédant l’identité de vos proches collaborateurs, d’un numéro de téléphone direct et de la date de votre absence à suffisamment de données pour piéger votre entreprise.

backdoor, Banque, Cybersécurité, Social engineering

Piratage d’entreprises au Japon : la moitié ne le savaient pas

Sur 140 entreprises privées et publiques japonaises interrogées, 75 organisations ne savaient pas que les données de leurs utilisateurs avaient été volées.

Le piratage informatique n’arrive pas qu’aux autres. Nous sommes toutes et tous susceptibles de finir dans les mains malveillantes de pirate informatique. Nos données sont tellement partagées par les entreprises qu’il est difficile, voire impossible, de les contrôler.

Au japon, par exemple, une étude intéressante vient d’être publiée par le Kyodo News. Sur les 140 entreprises interrogées, et ayant été piratées en 2015, 75 organisations ont confirmé qu’elles n’avaient pas remarqué l’attaque. Plus de la moitié avaient découvert la fuite de données après l’intervention de la police, ou d’une autre source. Sur ces 140 entreprises, 69 étaient du secteur privé, 49 étaient des agences gouvernementales et 22 universités.

Les 65 entreprises restantes ont indiqué s’être rendues compte, via des audits internes, de la fuite de leurs données. En 2015, les sociétés telles que Seki Co (267000 CB piratées) ; Chateraise CO (200000 données clients) ; Tamiya Inc (110000 données clients) ou encore Itochu Corp, l’Université de Tokyo, la Waseda University, l’association du pétrole japonais ont été touchés par un piratage informatique.

La plus grosse fuite aura touché le service des pensions de retraite du Japon (Japan Pension Service) avec 2,7 millions de données dans la nature. En 2014, Japan Airlines avait du faire face à la fuite de 750,000 données de son club de clients VIP. En 2013, Yahoo! Japan enquêtait sur le vol probable de 22 millions de comptes utilisateurs.

Cybersécurité, Emploi, Entreprise, ID, Identité numérique, Mise à jour, Particuliers, Propriété Industrielle, Social engineering

Première solution de sécurité pour Instagram

La société Proofpoint, spécialiste dans la cybersécurité nouvelle génération, a annoncé ce mercredi 06 janvier 2015 le lancement de la première solution qui identifie automatiquement les menaces de sécurité, violations de conformité et publications inappropriées sur Instagram.

Baptisée Proofpoint SocialPatrol, l’outil permet d’exécuter une analyse avancée des images et du texte, lui-même incorporé ou non dans une image. Les marques et les organisations soucieuses des questions de conformité peuvent ainsi surveiller et supprimer les publications et commentaires inappropriés.

 « La solution Proofpoint SocialPatrol nous a permis de lutter contre une grande quantité de spams et de commentaires inappropriés sur nos comptes Instagram », a déclaré Jeff Hagen à DataSecurityBreach.fr, directeur du service de relation clientèle internationale chez General Mills. « Sans cette technologie, nous aurions dû procéder à un renforcement coûteux de nos processus de modération manuelle, ou prendre le risque de perdre des abonnés. »

SocialPatrol analyse l’ensemble des images, légendes et commentaires publiés sur les comptes Instagram des marques ou entreprises. L’objectif est de détecter le contenu à caractère pornographique, malveillant ou inapproprié et d’en informer les propriétaires du compte. Ces derniers peuvent alors supprimer ces éléments indésirables, généralement publiés par des cybercriminels, spammeurs ou employés malhonnêtes.

Quatre-vingt-cinq pour cent des grandes marques communiquent avec leurs clients via Instagram. Ce réseau comptant plus de 400 millions d’utilisateurs actifs chaque mois, les entreprises doivent se prémunir des risques inhérents à son usage.

 Les solutions de conformité basées exclusivement sur le texte et les mots clés ne prennent pas en compte le contenu des images, et entraînent de trop nombreuses fausses détections. Proofpoint SocialPatrol analyse le texte et les images, puis les compare à plus d’une centaine de classificateurs. Les entreprises sont ainsi en mesure de protéger leurs marques, en identifiant rapidement les publications et commentaires malveillants, inappropriés ou non conformes. La solution Proofpoint SocialPatrol peut être complétée par Proofpoint SocialDiscover™, qui permet de détecter, de suivre et de vérifier le compte Instagram des marques.

La suite de solutions Proofpoint dédiée aux réseaux sociaux permet également aux entreprises de protéger leurs comptes Facebook, Twitter, LinkedIn, Google+ et YouTube, notamment. Les plus grandes marques utilisent cette technologie en attente de brevet pour signaler les comptes frauduleux, empêcher tout discrédit dû aux cybercriminels, supprimer le contenu malveillant ou inapproprié, stopper les flux de publication non autorisés et veiller au respect des règles de conformité.

Chiffrement, cryptage, Cybersécurité, Entreprise, Fuite de données, Propriété Industrielle, Scada, Social engineering

Piratage : Coupure de courant en Ukraine à la suite d’un acte 2.0 contre une centrale

Coupures de courant en Ukraine à la suite de l’attaque informatique à l’encontre d’une centrale électronique.

Les professionnels de la sécurité des systèmes d’information alertent depuis quelques années sur les vulnérabilités, les failles et les défauts de sécurisation dans les systèmes industriels. L’attaque Stuxnet en 2010 a non seulement démontré que ce genre d’attaque pouvait endommager un système SCADA mais a aussi généralisé l’outillage et le mode opératoire, pour être exploitable par des non experts.

Le 23 décembre 2015, une variante du logiciel malveillant Black Energy a paralysé plusieurs centrales électriques Ukrainiennes, causant une coupure électrique dans une des régions du pays. Avec cette attaque et 5 ans après Stuxnet, on voit bien que la menace ciblant les systèmes industriels SCADA est plus que jamais présente et constitue un risque réel pour les infrastructures vitales d’un pays.

Conçu au départ en 2007 comme Cheval de Troie pour mener des attaques en Déni de Service Distribués (DDOS), BlackEnergy a mué au fil du temps en un outil modulaire et sophistiqué, capable de passer inaperçu et conçu comme une boite à outil pour contourner les antivirus, mener des campagnes de fraude sur les banques en ligne ou des attaques ciblées.

La Loi de Programmation Militaire aborde ces aspects de protection contre les cybermenaces et liste les mesures de sécurité à mettre en œuvre en vue de protéger les infrastructures vitales. Afin de se préparer au mieux contre des attaques visant des OIV (Opérateur d’Importance Vitale), il faut effectivement mettre en place des mécanismes de protection et de cloisonnement entre les réseaux SCADA et les autres réseaux ; mais encore faut-il avoir la visibilité et l’intelligence pour détecter les intrusions au niveau applicatif.

La solution pourrait venir de l’Analyse Comportementale ou des “Analytics” qui consistent à agréger, corréler et interpréter des informations issues des infrastructures réseaux et applicatives. La société F5 Network propose ce type d’outil, capable de détecter différent types de malwares qu’ils soient génériques ou ciblés. En novembre dernier, le HackFest Canada 2015, proposait un concours de hacking éthique sur le thème, entre autres, du piratage d’infrastructures SCADA.

En France, la licence CDAISI (Licence Professionnelle Cyber défense, anti-intrusion des systèmes d’information) de Maubeuge apprend aux informaticiens (à partir de bac +2) à réfléchir comme un pirate informatique afin de mieux les contrer propose des cours sur ce thème.

Dans le cas des centrales électriques Ukrainienne, le cheval de Troie BlackEnergy a ciblé et exploité des postes de travail des opérateurs, donc « légitimes », en utilisant des vulnérabilités connues comme vecteurs d’attaques. Une fois installé sur le poste de l’opérateur, Black Energy a eu le champ libre pour intercepter les crédentiels (couples nom d’utilisateurs / mots de passes) utilisés par les opérateurs en charge des systèmes SCADA. Rien de magique. Un pirate malin, un courriel bien ciblé, des ordinateurs nons sécurisés, ni mi à jour et le tour était joué. la cible est moins conventionnelle.

Face à ce mode opératoire, la solution est de mettre en place des technologies de protection contre la fraude qui permettent d’avoir une visibilité sur les activités frauduleuses initiées depuis le poste de l’opérateur d’un système SCADA. L’objectif étant de détecter les comportements identifiables d’un malware et de brouiller, par exemple, les crédentiels collectés lors de l’utilisation d’un navigateur Web, comme le fait BlackEnergy.

Android, Cybersécurité, Espionnae, ios, Particuliers, Sécurité, Smartphone, Social engineering, Vie privée, Windows phone

NSA : l’espionnage toujours en cours

Le Wall Street Journal a rapporté que la NSA a espionné le Premier ministre israélien Benjamin Netanyahu et ses principaux collaborateurs.

Le président Obama et son administration continuent l’espionnage des alliés et alliés « pour du semblant ». Le Wall Street Journal a confirmé l’espionnage numérique du Premier ministre israélien Benjamin Netanyahu et de ses principaux collaborateurs. Comme le rapporte le WSJ, une mise sur écoute « de certaines conversations privées avec les législateurs américains et des groupes américano-juif». La NSA voulait clairement emmagasiner de l’information sur les tentatives de sabotage des accords avec l’Iran.

Ce qui est « marrant » dans cette histoire, c’est de lire les propos de toutes sortes d’internautes, tel que le politique Pete Hoekstra. Ce dernier a passé de nombreuses années à défendre les programmes de surveillance de la NSA. Aujourd’hui, il s’indigne de cette mise sur écoute massive de dirigeants israéliens. En 2014, Pete Hoekstra se moquait du Brésil et de l’Allemagne. Deux nations qui montraient du doigt l’espionnage de ses dirigeants par la National Security Agency.

Argent, Banque, Base de données, Chiffrement, cryptage, Cybersécurité, Emploi, Entreprise, Espionnae, Fuite de données, ID, Identité numérique, Justice, Paiement en ligne, Particuliers, Phishing, Social engineering

Chantage informatique saveur Macaron

Une entreprise de Montmorillon piratée. Sa base de données volée. Les pirates ont tenté de faire chanter la PME spécialisée dans les Macarons.

Les amateurs de Macarons connaissent l’artisan Rannou-Métivier. Cette entreprise familiale basée à Montmorillon, dans la région de Poitiers, est spécialisée dans cette petite gâterie sucrée qu’est le macaron. Des pirates informatiques ont jeté leur dévolu sur le site Internet de la société. Une faille SQL plus tard et les malveillants sont repartis avec la base de données [BDD].

Une BDD comprenant les informations clients : mails et mots de passe. « Notre service informatique a immédiatement réagi pour renforcer la sécurité du site. Cependant, des données ont déjà été volées » souligne dans le courriel envoyé aux clients de Rannou-Métivier. Les pirates ont réclamé de l’argent à la société. En contre partie, les voyous du web ne diffuseraient pas les informations collectées. Depuis, le chiffrement des sésames a été instauré, espérons juste que cela n’est pas un modeste format MD5 et que les pirates ne diffuserons pas les informations volées.

Une attaque qui démontre une fois de plus l’intérêt des base de données pour le blackmarket. Si cette derniére ne peut-être vendue, ce qui ne veut pas dire  que les données n’ont pas été diffusés dans le BM, les pirates n’hésitent plus à contacter les victimes pour « dealer » une rançon. L’année derniére, le groupe Rex Mundi s’était spécialisé dans ce type de chantage à la base de données clients. [La Nouvelle république]

Banque, Chiffrement, cryptage, Cyber-attaque, Cybersécurité, Leak, Piratage, Social engineering

Code malveillant dans la gestion des Hôtel Hyatt

Après les Hôtels Sheraton, Hilton et Le Meridien, c’est au tour du groupe hôtelier Hyatt d’être la cible d’une attaque informatique.

L’hôtelier américain Hyatt a indiqué sur son site Internet avoir été la cible d’une attaque informatique d’envergure. Une enquête en cours a permis de découvrir que des ordinateurs de la marque américaine avait été infiltrés et qu’un code malveillant permettait l’accès aux informations internes et sensibles.

Dans son communiqué de presse Hyatt Hotels indique avoir identifié « récemment » un programme informatique malveillant dans des systèmes informatiques habituellement utilisés dans la gestion du système de paiement de ses sites Internet « Sitôt l’activité découverte, la société a lancé une enquête et engagé les meilleurs experts en sécurité, dixit Hyatt, Les clients peuvent avoir confiance quand ils utilisent une carte de paiement dans des hôtels Hyatt dans le monde ». Chuck Floyd, le président des opérations chez Hyatt, encourage les clients à surveiller de près leurs relevés bancaires. Sait-on jamais !

Les hôtels, cibles faciles pour les pirates
Comme je peux vous l’expliquer et démontrer depuis des années, les Hôtels, et leurs clients, sont des proies faciles pour les pirates informatiques. Poubelles, documents bancaires, ordinateurs sont quelques portes d’entrées faciles. Combien d’hôtels infiltrés sans que personne ne puisse le savoir ? Impossible à savoir. Les cas que je traite, via le protocole de zataz.com, sont de plus en plus nombreux à l’image de du Carthage Thalasso sur la côte Tunisienne. Des internautes annonçait avoir la main sur les ordinateurs de cet important établissement hôtelier.

Cheval de Troie, accès à l’administration, aux documents des employés. Autant de données revendus, ensuite, dans le blackmarket. Fin septembre, le Département de la Justice de l’État de Californie (DoJC) confirmait le piratage d’au moins sept hôtels du groupe Trump. Ici aussi, un code malveillant avait été découvert. Des Français impactés ? très certainement, à l’image de ceux touchaient par le piratage de 10 hôtels du groupe Mandarin Oriental ou encore cette révélation concernant plusieurs dizaines d’Hôtels de part le monde dans lesquels j’avais pu découvrir des données privées et sensibles appartenant à des entreprises Françaises. Documents oubliés par des vacanciers, dans les ordinateurs en accès libres des hôtels visités.

Argent, Arnaque, Banque, Base de données, Cybersécurité, Entreprise, escroquerie, Fuite de données, Justice, Paiement en ligne, Particuliers, Social engineering

Manipulation des données d’une compagnie aérienne chinoise

Un internaute met la main sur le site Internet d’une compagnie aérienne Chinoise et réussi à détourner 150 000 euros en annulant des voyages.

Zhang est un internaute Chinois de 19 ans. Comme beaucoup de ses petits camarades, ils touchent au piratage. Le gouvernement ne dit rien, tant que ces « visites » ne visent pas les entreprises locales. Sauf que Zhang a oublié l’adage « Une petite armée résiste à l’ennemi, une grande armée le capture » L’art de la Guerre – Art. III. Bilan, après s’être invité dans le serveur d’une compagnie aérienne, il a manipulé les comptes clients et réussi à soutirer 150 000 euros via les 1,6 million d’informations de réservations qu’il a copié et qui incluaient noms, numéros de carte d’identité, numéros de téléphone, adresses e-mail et autres données de vol. Dans son « attaque », elle va durée 15 jours, Zhang écrivait aux passagers en indiquant que leur vol avait été annulé et qu’il fallait reprogrammer un voyage. Zhang vendait de nouveaux billets et prenant sa commission. Il a été arrêté. (People)