Archives de catégorie : Social engineering

Arnaque, Cybersécurité, Fuite de données, Identité numérique, Social engineering, Vie privée

Méfiez-vous de l’ingénierie sociale, l’outil préféré des escrocs

L’ingénierie sociale est sournoise car elle exploite notre tendance naturelle à vouloir nous rendre utile. Les escrocs peuvent également jouer sur les émotions humaines, telles que la peur et la compassion. Voici quelques astuces employées par les escrocs pour soutirer des informations confidentielles, et comment vous en protéger. Vous êtes au bureau et un électricien vient résoudre un problème, ou votre téléphone sonne et c’est votre FAI qui vous informe d’un problème avec votre compte.

C’est dans la nature humaine de coopérer, non ? Vous laissez l’électricien entrer et le laissez faire ce qu’il doit faire. Vous répondez aux questions posées par le représentant du service clientèle afin de vérifier votre identité. Malheureusement, au lieu de vous rendre utile, vous êtes désormais victime de l’ingénierie sociale. L’électricien a installé un routeur pirate ou des caméras de surveillance dans votre bureau. Le faux représentant du service clientèle connaît vos données personnelles, les informations de votre compte ou encore votre numéro de carte bancaire.

L’ingénierie sociale désigne les techniques utilisées par des individus pour conduire d’autres individus à effectuer certaines tâches ou révéler certains types d’information. Les cybercriminels et les voleurs profitent du désir humain naturel de se rendre utile et de croire ce que les gens disent. Ces escrocs n’ont pas besoin d’employer de techniques de piratage sophistiquées ni de logiciels malveillants exploitant une vulnérabilité logicielle, quand il leur suffit simplement d’envoyer une pièce jointe malveillante par email et demander au destinataire d’ouvrir le fichier.

L’ingénierie sociale n’est pas quelque chose de nouveau ; les escrocs et leurs escroqueries élaborées ont existé de tout temps. Ce qui est nouveau, c’est la quantité d’information que les escrocs peuvent recueillir sur leurs victimes ciblées avant même d’attaquer. Grâce aux réseaux sociaux, ils peuvent trouver toutes sortes d’information, par exemple le lieu de travail de leurs victimes ciblées, les noms de leurs collègues, l’école où elles ont étudié, et même le dernier endroit où elles sont parties en vacances. Ils peuvent déterminer l’organigramme de l’entreprise ou les types de logiciels qu’elle utilise. Ils peuvent exploiter toutes ces informations pour convaincre une victime qu’ils disent la vérité.

Il est dans la nature humaine d’aider
Defcon, la plus grande conférence de pirates, organise tous les ans une compétition de type « capture du drapeau » en s’aidant de l’ingénierie sociale. Les participants ont quelques semaines pour étudier une société ciblée. De grandes entreprises telles qu’Apple, Johnson & Johnson et d’autres, ont été ciblées les années précédentes. Le jour de la compétition, les concurrents entrent dans une cabine, appellent une personne de la société, et tentent de lui faire révéler des « drapeaux », tels que la version du navigateur utilisé dans l’entreprise ou le type de logiciel installé sur son ordinateur. Les candidats prétendent généralement être des collègues d’un autre bureau essayant de recueillir des informations pour le PDG, et avoir vraiment besoin d’aide parce qu’ils sont complètement dépassés. La plupart du temps, les gens veulent aider et proposent librement des informations.

La peur est lucrative
Les escrocs sont passés maîtres de l’alarmisme. Une escroquerie courante consiste à appeler de la part d’un service d’assistance technique ou similaire en raison d’un problème sur l’ordinateur de l’utilisateur. L’appelant demande à l’utilisateur de taper quelques commandes standard sur l’ordinateur et explique que le résultat obtenu témoigne de la présence de programmes malveillants ou d’autres problèmes graves. À ce stade, l’utilisateur est convaincu que quelque chose ne va pas bien et communique son numéro de carte bancaire au « représentant » pour résoudre le problème.

Vérifiez vérifiez, et vérifiez encore
Si quelqu’un appelle en prétendant être d’une qualité officielle, demandez des preuves. Demandez un numéro de poste afin de pouvoir rappeler cette personne. Si la personne prétend être un employé d’un autre bureau ou d’un fournisseur, demandez une information vous permettant de confirmer son identité. S’il s’agit d’un policier, demandez son numéro de badge. Si ces personnes sont légitimes, elles vous fourniront les informations demandées sans hésitation. Ne cédez pas à la pression « vous avez quelques minutes pour agir ». Vous avez toujours le temps de réfléchir et de vérifier.

Méfiez-vous toujours des situations dans laquelle vous êtes activement contacté au sujet d’un problème. Aucune entreprise légitime ne vous demandera votre mot de passe, et le gouvernement enverra toujours une lettre pour les communications officielles. Et si vous recevez soudainement un appel d’un ami ou d’un parent prétendant être bloqué dans un pays étranger et ayant besoin que vous leur envoyez de l’argent au plus vite, ne leur faite pas simplement confiance parce qu’il ou elle connaît le nom de vos frères et sœurs ou le nom de votre chien.

Soyez conscient de ce que vous communiquez en ligne, et réglez les paramètres de contrôle de votre confidentialité. Il existe certaines informations que vous ne devriez jamais communiquer en ligne, telles que votre mot de passe, les réponses aux questions de sécurité (comme le nom de jeune fille de votre mère) ou votre numéro de sécurité sociale. Vous pouvez toujours vous rendre utile, mais prenez le temps de douter et de tout évaluer. Une petite dose de scepticisme n’a jamais fait de mal, et peut faire une énorme différence lorsqu’il s’agit de cybercriminalité. (Par Thierry Karsenti, Directeur Technique Europe – Check Point Software Technologies)

 

Argent, Arnaque, Cyber-attaque, escroquerie, Piratage, Social engineering, Twitter, Vie privée

Piratage d’une compte Twitter estimé à 50.000 euros

Un internaute, propriétaire du compte Twitter N piraté via un social engineering bien préparé. Nous vous en parlons très souvent, le social engineering est la base du piratage informatique. Connaitre sa cible, son environnement, avant de s’attaquer à son informatique. C’est ce que vient de vivre l’ancien propriétaire du compte Twitter @N, Naoki Hiroshima. Son espace de micro blogging a été, d’après ses dires, très souvent sollicités pour être racheté. Des marketeurs lui auraient même proposé 50.000 dollars. Bref, une cible pour les pirates. L’un d’eux a pris la main sur la vie numérique de cet ancien de chez Google. L’idée, lui voler son compte @N. La méthode d’attaque : compromettre le Paypal, Facebook et GoDaddy du créateur de l’application Cocoyon et développeur d’Echofon. Le pirate a expliqué s’être fait passer pour un employé de Paypal pour récupérer les données bancaires de Naoki et récupérer quatre chiffres qui auraient donné l’occasion, ensuite, de valider son identité chez GoDaddy. « C’est difficile de dire ce qui est le plus choquant, le fait que PayPal donne les quatre derniers chiffres du numéro de ma carte de crédit par téléphone au pirate ou que GoDaddy l’accepte comme moyen de vérification ». Naoki a du fournir son compte Twitter @N au pirate afin de récupérer son compte, et ses sites web, gérés par GoDaddy. Depuis, Naoki a ouvert un nouveau Twitter baptisé @N_is_stolen, qui se traduit par N a été volé. (The Verge)

Cyber-attaque, Cybersécurité, Facebook, Fuite de données, Linkedin, Social engineering, Twitter

Les réseaux sociaux, « faille insidieuse » des cyberattaques ?

Les cyberattaques sont plus sophistiquées que jamais et les techniques de hacking ne cessent d’évoluer, de se renouveler. Aujourd’hui, force est de constater que la menace ne provient plus exclusivement de l’extérieur. Au sein d’une organisation, les utilisateurs sont à la fois victimes et potentiels « cybercriminels » notamment dans le cadre de leur usage des réseaux sociaux.

Les bonnes pratiques de l’usage des réseaux sociaux au bureau
Afin de réduire les risques d’attaques et de renforcer la sécurisation des données, les entreprises doivent former les employés aux bonnes pratiques de l’usage des réseaux sociaux au bureau ; de nombreux utilisateurs ont un comportement à risque par manque de sensibilisation et/ou parce qu’ils ne mesurent pas les dangers qu’ils font prendre aux organisations. Pourtant, les menaces les plus importantes proviennent surtout des sites professionnels tels que LinkedIn ou Viadeo, qui sont des sources intarissables d’informations à très forte valeur ajoutée sur les entreprises pour les hackers.

Ceux-ci ont accès en « libre-service » à un très grand nombre d’informations sur l’activité de l’entreprise qui leur permettent de récupérer des données sensibles. Les réseaux sociaux professionnels sont, en effet, le point d’entrée à des informations sur les employés, leur rôle dans l’entreprise, leurs fonctions quotidiennes, voire les nombreuses informations sur les outils de sécurité utilisés et les problématiques auxquelles ils ont été exposés. Les hackers utilisent actuellement l’ensemble des vecteurs à leur disposition : ils peuvent également pirater des informations professionnelles via un terminal personnel lorsque l’employé utilise ses propres outils (BYOD) ou travaille de chez lui à partir de son ordinateur personnel. Aujourd’hui, les brèches de sécurité sont progressives et permettent aux pirates de s’introduire dans les systèmes informatiques de la manière la plus discrète possible pour collecter le maximum d’informations et accéder petit à petit aux données les plus critiques.

Le Community Manager, danger insoupçonné
Le Community Manager a un rôle clé dans une entreprise puisqu’il gère son image et sa présence sur les réseaux sociaux. Il ne s’agit pas tant de ses privilèges (qui sont finalement peu élevés) que de son impact sur l’image et la communication officielle de l’entreprise sur les médias sociaux. Le détournement de ce type de compte est aujourd’hui une cible privilégiée de groupes cherchant à nuire à l’image d’une société ou à profiter de sa notoriété pour passer des messages non sollicités ou diffuser des informations confidentielles. Par ailleurs, lorsqu’un salarié quitte l’entreprise, il doit rendre ses clés, son badge mais les employeurs ne pensent pas nécessairement à changer ses mots de passe. Or, un Community Manager ou autre employé mécontent qui quitte l’entreprise emportant avec lui identifiants et mots de passe pourrait également lui nuire sans difficultés – tout salarié d’une entreprise est susceptible de conserver ses données de connexion après son départ de la société.

Prenons l’exemple récent de l’affaire PRISM, il ressortirait que l’ancien analyste de la NSA, Edward Snowden, aurait accédé à des informations extrêmement confidentielles grâce aux identifiants de connexion de plusieurs de ses collègues, qu’il aurait convaincu de lui fournir en prétextant un travail qu’il devait faire, en tant qu’administrateur du système informatique. Ce type de comportements peut avoir des conséquences catastrophiques sur l’économie d’une entreprise et engendrer des dommages collatéraux durables (perte de clients, impact sur le cours des actions en bourse pour les sociétés cotées, retrait d’investisseurs/business angels…).

De l’importance d’appliquer et transmettre les bonnes pratiques
Les cyberattaques sont une réalité pour tous et les entreprises comme les employés doivent prendre conscience que chaque individu est une porte d’accès aux données sensibles d’une société. Pour ce faire, les organisations peuvent appliquer plusieurs règles simples et peu coûteuses afin de renforcer la sécurisation des informations :

[dsb] Sensibiliser les utilisateurs au fait que le risque existe et  qu’ils doivent adopter un comportement de méfiance vis-à-vis d’informations en provenance de l’extérieur, mais également de l’intérieur – le fait de partager un simple mot de passe avec un collègue, peut aussi être considéré comme un comportement à risque.

[dsb] Identifier la source et le parcours des hackers afin de paralyser l’attaque et le retrait de données sensibles.

[dsb] Mettre en place des solutions de détection pour alerter les personnes responsables de l’entreprise qu’un compte sensible est en cours d’utilisation (peut-être frauduleuse) afin de favoriser une intervention rapide.

[dsb] Identifier et sécuriser les comptes à privilèges au sein des entreprises, premières cibles des attaquants puisque souvent méconnus et négligés.

En conclusion, pour parer au maximum à ces « failles humaines », employés et entreprises doivent redoubler de vigilance pour un usage plus réglementé des réseaux sociaux professionnels et privés. Commentaire d’Olivier Prompt, Regional Sales Engineer, Northern Europe & Africa chez Cyber-Ark Software pour Data Security Breach.

Argent, Cybersécurité, Espionnae, Facebook, Fuite de données, ID, Sauvegarde, Social engineering

Faites risettes, Facebook vend votre sourire

Un peu de biométrie, un peu de stockage et voilà nos photographies de profils devenus une denrée économique pour Facebook. Nous vous en parlions, l’année dernière dans zatazweb.tv. Facebook met en place des systèmes économiques avec nos données et nos photographies. Parmi les (très) nombreuses actions en préparations, une webcam, chez les commerçants qui, couplée avec Facebook et votre smartphone, vous communique des bons de réductions dans la boutique partenaire.

Depuis quelques jours, Big Brother a décidé de débuter une autre forme de commercialisation des vies privées proposées dans son portail communautaire. L’information a été diffusée de manière « douce », dans un courriel annonçant « de nouvelles conditions d’utilisation« . Dans ces nouveautés, l’utilisation des photos des profils des utilisateurs. Ces dernières peuvent être stockées (ce qui était déjà le cas, ndlr datasecuritybreach.fr) dans une base de données centrale (la nouveauté, ndlr zataz.com). Une BDD centralisée que peuvent consulter les annonceurs.

L’intérêt ? L’avenir va très rapidement nous le dire via les applications et outils (comme notre webcam citée plus haut, ndlr datasecuritybreach.fr). L’annonce de Facebook est aussi d’indiquer aux utilisateurs que leur visage pourra être scanné et exploitée à partir d’un système biométrique prévu à cet effet. Erin Egan, responsable de la confidentialité et de la vie privée chez Facebook, indique ces données offriront aux utilisateurs un meilleur contrôle sur leurs informations personnelles. En gros, si quelqu’un diffuse votre tête sur Facebook, Facebook vous préviendra. Un peu de vie privée par-ci et un gros coup de louche dans le tas car si vous n’acceptez pas les nouvelles conditions d’utilisations, dehors ! Bref, la BDD centrale ne gardera que votre photographie de profile, tout en étant capable de contrôler les autres.

Pour vous protéger de ce genre de débordement commercial, plusieurs choix. Ne pas s’inscrire à Facebook. Bien choisir ses options de confidentialités proposées par le portail. Chiffrer votre visage. Pour cela, troublez par exemple, vos yeux ; mettez un bonnet ; où faîtes comme votre serviteur, faîtes des sourires à vous arracher la mâchoire.

Espionnae, Fuite de données, ios, Sécurité, Smartphone, Social engineering, Vie privée

La prochaine mise à jour de l’iPhone va vous espionner

2 commentaires

Vous avez un travail qui demande discrétion. Bref, vous n’avez pas envie d’indiquer l’adresse de vos bureaux. Vous êtes « volage » et vous n’avez pas vraiment envie d’indiquer à votre époux/épouse les lieux de vos rencontres extra conjugales. Si vous avez un iPhone et que vous avez l’intention de mettre à jour votre « précieux » vers l’iOS 7 lisez ce qui va suivre.

Une des options du nouvel opus d’iOS mérite d’être désactivée. Apple propose d’affiner votre localisation GPS à partir de votre téléphone. Une option activée par défaut. Ce qui veut dire que le géant de l’informatique indique et sauvegarde vos lieux préférés. Autant dire que regrouper vos informations, avec celles d’autres internautes, aura de quoi donner de l’eau au moulin « PRISMique » des géants du marketing, ou bien pire que les vendeurs de rêves.

Apple indique que cette option permet « une meilleure approximation de la localisation géographique (…) Apple veut retenir les coordonnées afin d’améliorer les cartes et autres produits et services d’Apple basés sur la localisation« . Bref, la grosse pomme veut tout savoir sur vous !

Vous pourrez désactiver l’option, explique Protecus, en allant dans les « Paramètres », option Confidentialité > Location > Système > Emplacements fréquentés.

Argent, Arnaque, Entreprise, escroquerie, Fuite de données, Phishing, Social engineering

Social engineering et cheval de Troie, vos meilleurs ennemis

Une série d’attaques particulièrement préparées, basées sur un mécanisme d’ingénierie sociale et d’infection par cheval de Troie, et ciblant des entreprises françaises a été porté à la lecture de datasecuritybreach.fr. En avril 2013, l’éditeur Symantec a été alerté d’une série d’attaques dont l’élément le plus distinctif est l’appel téléphonique que la victime de la part de l’attaquant se faisant passer pour un employé ou un partenaire de l’organisation, en français, et demandant à la victime de traiter une facture qu’il va recevoir par email. Le courriel piégé contient soit un lien malveillant soit une pièce jointe, qui se révèle être une variante de W32.Shadesrat, un cheval de Troie.

Ces attaques ont commencé en février 2013. Cependant, ce n’est que récemment, en avril, que des appels téléphoniques ont commencé à accompagner l’envoi des emails. Pour le moment, les attaques ont concerné des entreprises françaises, ainsi que certaines de leurs filiales basées à l’étranger (Roumanie et Luxembourg). L’attaquant est bien préparé et il a, bien sûr, obtenu l’adresse email et le numéro de téléphone de sa victime avant l’opération. Les victimes de ces attaques sont le plus souvent des employés des départements comptables ou financiers de ces entreprises. Comme le traitement des factures fait partie de leurs tâches quotidiennes, ce leurre s’avère plutôt convaincant. Chaque élément de cette attaque requiert une soigneuse préparation qui contribue au taux de réussite général de l’attaque.

Il semble que la motivation de l’attaquant soit pour le moment purement financière. Cibler des employés des départements comptables et financiers des entreprises concernées lui assure un paiement ou une transaction en ligne rapide, ainsi qu’un accès facilité aux informations bancaires et comptables des entreprises attaquées qu’il pourra utiliser ultérieurement.  Mais le cheval de troie permet également un accès aux documents de l’entreprise. W32.Shadesrat est en effet un Trojan d’accès à distance (RAT : Remote Access Trojan), connu et documenté dans les solutions de sécurité Symantec, déjà utilisé par une grande variété d’attaquants, et toujours actif dans différents pays.

Recommandations à destination des entreprises :

–          Informer le personnel des services concernés de ces attaques ;

–          Disposer d’une solution de sécurité de dernière génération sur chacun de ses postes de travail et la mettre à jour ;

–          Stocker les informations sensibles de l’entreprise dans un espace sécurisé, et les chiffrer ;

–          Vérifier l’identité des prestataires émettant une facture urgente avec les différents services ayant pu faire appel à leurs services, ainsi que leurs coordonnées bancaires.