Archives de catégorie : Argent

Argent, Arnaque, Cybersécurité, escroquerie, ID, Identité numérique, Particuliers, Scam, Securite informatique, Social engineering, Vie privée

Vous avez été piraté, vous avez 48h pour payer

Un commentaire

Depuis plusieurs jours, des courriels diffusés en masse menacent les internautes d’une diffusion de documents compromettant les concernant. Un escroquerie 2.0 qui, de part son ampleur, fait de gros dégâts dans la tête des récepteurs de la missive.

L’escroquerie qui fait trembler dans les chaumière arrive dans votre boite mail ! Le courrier électronique arrive dans les boites mails sous divers noms. Des inconnus ou celui du récepteur du courriel. Ce dernier cas fait son petit effet sur le lecteur. La lettre indique que la boîte mail a été piratée et qu’elle a permis de communiquer ce message. « Vous avez 48 heures pour effectuer le paiement. » explique le mail. Un maître chanteur, comme le révèle ZATAZ.COM, qui profite de la crédulité des gens, et la peur que peut provoquer son message. Le courrier est divisé en deux partie. La première, une image. Cette image contient la grande majorité de la menace. L’escroc utilise cette méthode pour contrer les logiciels antispams.

Du bluff, mais qui fait mouche !

La seconde partie termine la menace. Un texte qui change. Ici aussi, quelques petites modifications pour paraître légitime aux yeux des outils de sécurité informatique. « J’ai un traqueur dans ce mail, et en ce moment je sais que vous avez lu ce message » enchéri l’escroc. Le traqueur, une image collé dans le mail. Il ne dirige nul part. Du bluff ! « Si je n’obtiens pas les Bitcoins, j’enverrai certainement l’enregistrement vidéo à tous vos contacts, y compris vos parents, vos collègues, et ainsi de suite. Cela dit, si je reçois le paiement, je détruirai la vidéo immédiatement. » L’escroc annonce avoir découvert que le lecteur se rendait sur des sites pornographiques et qu’il aurait été filmé. Ici aussi, du bluff. ZATAZ a mis en place un numéro d’appel pour rassurer les internautes ayant reçu le courriel.

Une cyberattaque qui démontre les possibilités malveillantes des escrocs du web.

APT, Argent, Arnaque, Cyber-attaque, Cybersécurité, Entreprise, escroquerie, Fuite de données, ID, Identité numérique, Leak, Particuliers, Piratage, Securite informatique, Vie privée

Un Javascript permet de piéger des boutiques en ligne

2 commentaires

Une bibliothèque Javascript hébergée par Feedify et utilisée par des sites de commerce électronique piégée à plusieurs reprises. Mission, intercepter les données bancaires des visiteurs.

Le code de la bibliothèque est généralement intégré aux pages Web de vente au détail par les administrateurs de sites et les développeurs afin d’ajouter un moyen de paiement pour les clients. Ce code – feedbackembad-min-1.0.js – se diffuse à partir des serveurs Web de Feedify. Altéré à plusieurs reprises par des pirates informatiques pour inclure le logiciel malveillant MageCart. Cet outil pirate recherche les informations de carte de crédit saisies sur les pages Web compromises. Copiées en temps réel sur un serveur externe (info-stat*ws) des pirates.

Ainsi, si quelqu’un visite un site Web piégé, leur navigateur va lancer le malware MageCart. Ce dernier va siphonner les informations confiées par le visiteur. Les internautes utilisateurs de l’un des sites de commerce basés sur le code de Feedify risquaient de tomber dans le piège. Selon Feedify, plus de 4 000 sites Web utilisent son code.

Une recherche rapide démontre quelques centaines d’utilisateurs de cette bibliothèque. MageCart est apparu sur les sites Web de British Airways et de Ticketmaster.

Argent, Communiqué de presse, Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, ID, Logiciels, Microsoft, Mise à jour, Particuliers, Patch, Piratage, Propriété Industrielle, Sauvegarde, Securite informatique

Menace : les documents Office peuvent être dangereux

Nous utilisons quasiment tous des documents Microsoft Office. Qu’il s’agisse de documents de travail, de reçus électroniques ou du bail d’un nouvel appartement, les documents Office sont utiles à chacun d’entre nous et c’est en partie la raison pour laquelle nous sommes susceptibles de les ouvrir lorsque nous en recevons en pièce jointe d’un e-mail. Connaissant la propension de nombreux utilisateurs à ouvrir la quasi-totalité des documents, même ceux provenant d’une source non fiable, des individus malintentionnés choisissent couramment ces fichiers pour attaquer et infecter un système.

Nous allons ici passer en revue cinq techniques différentes permettant de détourner les documents Office pour en faire des armes d’attaque et d’infection des postes de travail Windows. Nous en avons déjà évoqué certaines précédemment, tandis que d’autres sont nouvelles.

Macros

Les macros sont le moyen le plus simple pour un assaillant d’infecter des documents Office. Les applications Office intègrent un moteur de scripts capable d’exécuter le langage VBA (Visual Basic for Applications). Du code malveillant contenu dans ces scripts peut ainsi s’exécuter sur le système dès l’ouverture du document, sans aucune intervention de l’utilisateur (à condition toutefois que ce dernier ait au préalable activé les macros). Si l’utilisateur n’a pas activé les macros, un message apparaît pour lui demander s’il souhaite le faire. Il s’agit de l’un des divers mécanismes de sécurité mis en place par Microsoft afin d’atténuer le risque présenté par les macros. Microsoft impose également une autre extension de nom de fichier (.docm au lieu de .docx pour les nouveaux documents contenant des macros). En dépit de ces mesures de sécurité, des utilisateurs décident néanmoins d’ouvrir ces fichiers et d’activer leur contenu, de sorte que les macros demeurent un vecteur courant, aussi bien pour des attaques vastes et simples destinées à propager un ransomware, telles que Emotet, que pour des campagnes élaborées, à l’image de Sofacy.

Comme l’illustre cet exemple, les auteurs des attaques tentent de convaincre les utilisateurs de désactiver les mécanismes de sécurité mis en place par Microsoft. Ils usent, pour ce faire, de techniques d’ingénierie sociale, persuadant l’utilisateur d’activer le contenu afin de pouvoir consulter l’intégralité du document. Dans l’exemple Sofacy, les assaillants ont simplement coloré le texte en blanc, de sorte que celui-ci était bien présent avant que l’utilisateur n’active les macros, mais invisible.

Fichiers Flash incorporés

En dehors des fonctionnalités intégrées telles que les macros, les documents Office peuvent aussi incorporer des objets externes, par exemple des fichiers Adobe Flash. Ces objets étant transmis au logiciel approprié pour leur traitement, toute vulnérabilité éventuellement présente dans ce logiciel peut également être exploitée par son incorporation dans le contenu Adobe Flash à l’intérieur du document Office. Un exemple de ce vecteur d’attaque est la faille Zero Day CVE-2018-4878dans Adobe Flash Player, exploitée par l’incorporation de fichiers SWF malveillants dans des documents Excel. Dans les attaques de ce type, le document Excel infecté incorpore un contenu Adobe Flash capable de déclencher la vulnérabilité Flash et d’exécuter du code shell intégré.

Editeur d’équations Microsoft

Comme pour les fichiers Adobe Flash incorporés dans un document Office, il est également possible d’insérer dans des documents des équations mathématiques qui seront interprétées par l’Editeur d’équations Microsoft, un outil ayant pour vocation de faciliter leur écriture :

Comme dans notre exemple précédent, des vulnérabilités dans l’éditeur d’équations s’exploitent par l’intermédiaire de documents Office malveillants. Nous en avons observé des cas tout récemment lorsque la faille CVE-2017-11882 a été exploitée, ouvrant la voie à d’autres, telles que CVE-2018-0802. Toutes deux touchent l’éditeur d’équations, ce qui permet d’amener l’utilisateur à ouvrir un document Office pour l’exécution de code à distance. Des vulnérabilités similaires dans l’Editeur d’équations Microsoft, telles que CVE-2018-0807 et CVE-2018-0798, identifiées par les chercheurs de l’Unité 42.

Il est à noter que, l’Editeur d’équations Microsoft s’exécutant sous la forme d’un processus distinct (eqnedt32.exe), les protections spécifiques à Microsoft Office, telles que EMET et Windows Defender Exploit Guard ne sont pas efficaces par défaut, car elles protègent uniquement les processus Microsoft Office (par exemple winword.exe).

Objets OLE et handlers HTA

Les objets OLE et les handlers HTA sont des mécanismes pour les documents Office. Ils font référence à d’autres documents inclus dans leur contenu. Ils peuvent servir à infecter un poste de travail de la manière suivante :

Un objet OLE2 (lien) s’incorpore dans un document Microsoft Word. Une fois le document ouvert, le processus Word (winword.exe) envoie une requête HTTP à un serveur distant afin de télécharger un fichier HTA contenant un script malveillant. Winword.exe recherche alors dans le handler le type « application/hta » via un objet COM, ce qui entraîne le chargement et l’exécution du script malveillant par l’application Microsoft HTA (mshta.exe).

Cette fonctionnalité a été exploitée dans la vulnérabilité CVE-2017-0199, permettant l’exécution de code à distance dans Microsoft Office/WordPad et corrigée par Microsoft en septembre 2017. Diverses campagnes y ont eu recours, par exemple OilRig.

Aux côtés des vulnérabilités OLE et HTA décrites plus haut, les auteurs des attaques ont découvert que des fichiers RTF peuvent également exécuter des objets OLE de type mime « text/html », au moyen de MSHTML. Cela signifie que les documents RTF présentent la même vulnérabilité aux attaques qu’Internet Explorer.

CVE-2018-8174

L’exploitation de cette vulnérabilité logique, nommée CVE-2018-8174, permet aux auteurs d’attaques d’exécuter du code HTML/JavaScript/VBScript arbitraire. Tandis que le code exécuté de cette façon se place dans une « sandbox » (où il ne peut lancer de nouveaux processus, écrire dans le système de fichiers ou effectuer d’autres opérations) à l’instar de tout autre code exécuté à partir d’Internet Explorer. Cette faille peut servir à en exploiter d’autres, par exemple une vulnérabilité UAF de corruption de mémoire dans le moteur VBScript, pour permettre l’exécution de code arbitraire dans le cadre de l’application Word (winword.exe) et la prise de contrôle du système.

Tandis que les attaques utilisant des documents comme vecteur sont courantes depuis plus d’une dizaine d’années, nous observons une augmentation récente de leur fréquence et de leur complexité. Cette tendance pourrait s’expliquer par la difficulté croissante d’exploiter les vulnérabilités des navigateurs, en raison du renforcement de leur protection par leurs développeurs. Quoi qu’il en soit, il est important pour les entreprises de savoir comment se défendre.

Android, Argent, Arnaque, backdoor, Communiqué de presse, Cyber-attaque, Cybersécurité, Leak, Particuliers, Piratage, Sécurité, Securite informatique, Smartphone, Téléphonie

Cybersécurité : Les Chevaux de Troie bancaires mobiles atteignent un niveau historique

Une société de cybersécurité constate lors de ces trois derniers mois que les chevaux de troie ont atteint le haut de la pile des cyber casse-tête.

Cybersécurité – Le nombre de packs d’installation pour les services bancaires mobiles – permettant d’apporter des modifications qui aident les attaquants à éviter la détection par les solutions de sécurité – a atteint plus de 61 000. Cela représente un sommet historique ; Plus du triple par rapport au premier trimestre de 2018, et plus du double par rapport au premier trimestre de 2017.

Les Chevaux de Troie mobiles sont les malwares les plus impopulaires, créés pour voler de l’argent directement depuis les comptes en banque.

Les Etats-Unis, la Russie et la Pologne sont les 3 pays avec la plus grande proportion d’utilisateurs ciblés par les malwares bancaires mobiles.

Le Cheval de Troie Hqwar est la principale source de cette croissance, avec plus de la moitié des modifications enregistrées relatives à ce malware.

De tels chiffres pour les malwares bancaires mobiles peuvent s’expliquer par l’augmentation de l’intérêt pour les malwares mobiles de manière générale (+ 421 000 sur Q2).

61 045

C’est le nombre de chevaux de Troie bancaires mobiles enregistrés sur le 2e trimestre 2018. Le pic le plus haut jusqu’alors datait de Q4 2016 et n’atteignait pas 40 000.

351 913 075

URLs uniques reconnues comme malveillantes (+24% par rapport à Q1) par des composants antivirus web.

215 762

C’est le nombre de tentatives d’infections par malware ayant pour but de voler de l’argent.

962 947 023

Attaques malveillantes en provenance de ressources en ligne de 187 pays du monde repoussées par Kaspersky ce trimestre (+20% par rapport à Q1).

Argent, Arnaque, backdoor, Banque, Chiffrement, Communiqué de presse, cryptage, Cyber-attaque, Cybersécurité, DDoS, escroquerie, Fuite de données, ID, Identité numérique, Leak, Particuliers, Piratage, ransomware, Securite informatique

Cybermenaces : Que font les pirates en 1 minute ?

Cybermenaces : Les pirates feraient perdre plus de 1 million de dollars par minute dans leurs actions malveillants.

Alors que les cybercriminels et les cybermenaces ont coûté 600 milliards de dollars à l’économie mondiale l’an dernier, la société RiskIQ, spécialiste dans la gestion des menaces numériques, a fait appel à des recherches exclusives pour examiner le volume croissant d’activités malveillantes sur Internet.

L’étude montre que, dans une seule minute employée par les pirates informatique du globe, 1 138 888 dollars sont perdus. Dans ce même laps de temps, 1 861 personnes sont victimes d’un acte de piratage. Malgré les efforts des entreprises pour se protéger contre les cybermenaces externes, en dépensant jusqu’à 171 233 dollars en 60 secondes aux USA, les pirates continuent à proliférer et à lancer des campagnes malveillantes.

« Alors qu’Internet et sa communauté continuent de croître à un rythme rapide, le ciblage de la menace se développe également à grande échelle« , déclare à DataSecurityBreach.fr le PDG de RiskIQ, Elias Manousos.

Les tactiques d’attaque

Les méthides d’attaques ? Elles vont des logiciels malveillants au phishing en passant par les attaques de chaînes d’approvisionnement ciblant des tiers. Les motivations pirates incluent l’argent, les dommages à la réputation à grande échelle, la politique et l’espionnage. Les cybercriminels continuent de réussir à déployer des tactiques à partir de 1 274 logiciels malveillants uniques (par minute) et à déployer plus de neuf publicités piégées.

Activités malveillantes

Selon la société américaine RiskIQ, toutes les minutes, 1,5 entreprises de part le monde touchée par un ransomware. Coût moyen pour les entreprises : 15 221 $. (corrections, pertes …) ; En une minute, 17 applications mobiles se retrouvent sur liste noire. 21 nouveaux domaines sont créés pour du phishing et un nouveau site utilisateur (volontaire ou non) du script d’extraction de crypto-monnaie CoinHive voit le jour.

Argent, Arnaque, Bitcoin, Cybersécurité, Entreprise, Espionnae, ID, Paiement en ligne, Particuliers, Securite informatique

Les stratagèmes d’ingénierie sociale liés aux cryptomonnaies ont rapporté aux cybercriminels près de 10 millions en 2017

2 commentaires

Des experts ont mis à jour un type de fraude relativement nouveau : le développement des cryptomonnaies n’attire pas seulement les investisseurs mais aussi des cybercriminels poussés par l’appât du gain. Au cours du premier semestre 2018, les produits de la société ont bloqué plus de 100 000 événements déclencheurs liés à des cryptomonnaies, sur de faux sites et d’autres plateformes. Chacune de ces tentatives visait à leurrer un nombre croissant d’utilisateurs crédules par des stratagèmes frauduleux.

Le phénomène des cryptomonnaies et l’engouement qu’elles suscitent ne sont pas passés inaperçus des cybercriminels. Pour réaliser leurs noirs desseins, ceux-ci emploient généralement des techniques classiques de phishing mais vont souvent au-delà des scénarios « ordinaires » que nous connaissons. En s’inspirant des investissements ICO (Initial Coin Offering) et de la distribution gratuite de cryptomonnaies, les cybercriminels ont pu abuser aussi bien de l’avidité des détenteurs de monnaie virtuelle que de la naïveté des néophytes.

Certaines des cibles plus prisées sont les investisseurs ICO, qui cherchent à placer leur argent dans des start-ups dans l’espoir d’en tirer profit à l’avenir. A leur intention, des cybercriminels créent de fausses pages web imitant les sites de projets ICO officiels ou bien tentent d’accéder à leurs contacts de façon à pouvoir diffuser un message de phishing contenant le numéro d’un e-portefeuille et incitant les investisseurs à y envoyer leurs cryptomonnaies. Les attaques les plus fructueuses se servent de projets ICO bien connus. Par exemple, en exploitant l’ICO Switcheo au moyen d’une proposition de distribution gratuite de cryptomonnaies, des malfaiteurs ont dérobé l’équivalent de plus de 25 000 dollars après avoir propagé un lien via un faux compte Twitter.

Autre exemple, la création de sites de phishing pour le projet ICO OmaseGo a permis à des escrocs d’empocher plus de 1,1 million de dollars dans cette cryptomonnaie. Les cybercriminels ont été tout aussi intéressés par les rumeurs entourant l’ICO Telegram, ce qui a eu pour effet l’apparition de centaines de sites factices destinés à recueillir de prétendus « investissements ».

Une autre tendance répandue porte sur des escroqueries aux faux dons de cryptomonnaie. La méthode la plus courante consiste à demander aux victimes de faire cadeau d’une petite somme en monnaie virtuelle, en leur faisant miroiter un gain bien plus élevé dans cette même monnaie à l’avenir. Les malfrats vont même jusqu’à utiliser les comptes de personnalités réputées sur les réseaux sociaux, telles que l’homme d’affaires Elon Musk ou le fondateur de la messagerie Telegram, Pavel Durov. En créant de faux comptes et en s’en servant pour répondre aux tweets d’utilisateurs de bonne foi, les escrocs réussissent à tromper des internautes.

Selon les estimations approximatives de Kaspersky Lab, des cybercriminels seraient parvenus l’an dernier à engranger plus de 21 000 ETH (la cryptomonnaie Ether, qui utilise la blockchain générée par la plate-forme Ethereum), soit plus de 10 millions de dollars au cours actuel, grâce aux stratagèmes que nous venons de décrire. Cette somme ne tient même pas compte des attaques de phishing classiques ou des cas de génération d’une adresse individuelle pour chaque victime.

« Notre étude révèle que les cybercriminels sont passés maîtres dans l’art d’actualiser et de développer leurs ressources afin d’obtenir un maximum de résultats de leurs attaques de phishing liées aux cryptomonnaies. Ces nouveaux stratagèmes de fraude reposent sur des méthodes élémentaires d’ingénierie sociale mais se distinguent des attaques de phishing habituelles car ils peuvent rapporter des millions de dollars à leurs auteurs. Les succès obtenus par ces escrocs donnent à penser qu’ils savent comment exploiter le facteur humain, l’un des éternels maillons faibles de la cybersécurité, pour profiter du comportement des utilisateurs », commente Nadezhda Demidova, analyste en contenus web chez Kaspersky Lab.

Les chercheurs conseillent aux utilisateurs d’observer quelques règles élémentaires afin de protéger leurs avoirs en cryptomonnaie :
· Rappelez-vous que rien n’est jamais gratuit et que les offres qui paraissent trop belles pour être vraies doivent être traitées avec scepticisme.
· Vérifiez auprès de sources officielles les informations concernant la distribution gratuite de cryptomonnaies. Par exemple, si vous remarquez une distribution pour le compte de l’écosystème de blockchain Binance, piraté récemment, rendez-vous sur le site officiel pour y obtenir des éclaircissements.
· Vérifiez si des tiers sont liés au portefeuille vers lequel vous envisagez de transférer vos économies. L’une des solutions consiste à faire appel à des navigateurs de blockchain, tels que etherscan.io ou blockchain.info, qui permettent aux utilisateurs de visualiser des informations détaillées sur toute transaction en cryptomonnaie et de déterminer si le portefeuille risque d’être dangereux.
· Vérifiez toujours les liens et données affichés dans la barre d’adresse du navigateur, par exemple que vous y lisez bien « blockchain.info », et non « blackchaen.info ».
· Conservez l’adresse de votre e-portefeuille dans un onglet et accédez-y depuis ce dernier, ce qui évitera une erreur de saisie dans la barre d’adresse, susceptible de vous faire aboutir accidentellement à un site de phishing.

Argent, Arnaque, Banque, Base de données, Chiffrement, cryptage, Cyber-attaque, Cybersécurité, Entreprise, escroquerie, Fuite de données, ID, Identité numérique, Justice, Leak, Particuliers, Piratage, RGPD, Securite informatique, Smartphone, Vie privée

Dixons Carphone : Plusieurs millions de données compromises

Dixons Carphone : Une importante entreprise du Royaume-Uni face à une violation de données personnelles. Des infos financières de millions de clients compromises.

La société ciblée Dixons Carphone a reconnu la violation et a déclaré que les pirates avaient eu accès à 1,2 million de données personnelles et 5,9 millions de cartes de paiement à partir des systèmes de traitement de ses magasins Currys PC World et Dixons Travel. Dans un communiqué de presse [voir ci-dessus, NDR], le PDG de Dixons Carphone, Alex Baldock, a déclaré : « Nous sommes extrêmement déçus de tout ce bouleversement que cela pourrait vous causer. La protection des données doit être au cœur de nos activités« .

La société a également révélé que sur 5,9 millions de cartes de paiement, 5,8 millions de cartes sont protégées par des combinaisons de puce et de numéro d’identification, mais que 105 000 cartes basées en dehors de l’Union européenne ne sont pas protégées.

De plus, les 1,2 million d’enregistrements compromis contenaient des données personnelles de clients, notamment des noms, des adresses électroniques et des adresses. Cependant, l’entreprise affirme n’avoir aucune preuve que cette information a quitté ses systèmes ou a entraîné une fraude à ce stade.

Dixons Carphone est une importante société de distribution et de services de télécommunication et d’électricité avec des magasins dans toute l’Europe, notamment au Royaume-Uni, en Irlande, au Danemark, en Suède, en Norvège, en Finlande, en Grèce et en Espagne.

On ne sait pas comment la violation de données a eu lieu et qui est derrière elle depuis que les enquêtes sont en cours. Cependant, ce n’est pas la première fois que Dixons Carphone subit une violation de données aussi massive. En 2015, des pirates avait pu accéder aux données personnelles et bancaires de millions de clients de Carphone Warehouse lors d’une cyberattaque.

Argent, Base de données, Communiqué de presse, Cybersécurité, Entreprise, Fuite de données, Particuliers, RGPD, Securite informatique

Les cyber attaques contre le secteur financier de la zone EMEA ont diminué de 24% en 2017

FireEye vient de publier son rapport annuel M-Trends, qui révèle que les attaques contre le secteur financier de la zone EMEA ont diminué au cours de l’année écoulée. En 2016, 36% des cyberattaques observées dans la région EMEA ont ciblé le secteur financier. Cependant, en 2017, ce nombre a diminué d’un tiers à 24%. Malgré cette baisse du nombre d’attaques, le secteur financier est toujours victime des attaques les plus importantes, suivi de près par la haute technologie et les soins de santé.

  • Les attaques répétées sont une tendance croissante – Les organisations sont de plus en plus ciblées de nouveau. 49% des clients ayant au moins une découverte hautement prioritaire ont été attaqués de nouveau dans un délai d’un an. 56% des organisations mondiales qui ont reçu un soutien en cas d’incident ont été ciblées à nouveau par le même groupe d’attaque motivé de la même manière.
  • Le temps de séjour des organisations EMEA est de 175 jours – Le temps d’attente médian (la durée d’un acteur de la menace dans l’environnement d’une organisation avant qu’il ne soit détecté) est de 175 jours, soit environ six mois. La durée médiane de séjour est de 101 jours dans le monde entier, ce qui fait que les organisations de l’EMEA ont un délai de réponse inférieur de 2,5 mois à la médiane mondiale.
  • L’activité cyber-menace iranienne était prédominante – Tout au long de 2017, l’Iran est devenu plus capable d’une perspective offensive. Nous avons observé une augmentation significative du nombre de cyberattaques provenant d’acteurs menacés par l’Iran.

En toile de fond, le rapport est basé sur des informations recueillies lors d’enquêtes menées par les analystes de sécurité en 2017 et révèle les nouvelles tendances et tactiques utilisées par les acteurs de la menace pour compromettre les organisations.

Cyber attaques, 49% des victimes sont revisitées par les attaquants après la première détection contre seulement 37% en 2013

Comme tous les ans FireEye publie le rapport MTRENDS. Le rapport 2018 met à jour la collecte d’informations lors des interventions Mandiant et des analyses basées sur le renseignement FireEye Isight de définir les grandes tendances 2017 en termes de cyber-attaques ainsi que les prévisions pour 2018.

Cette édition du rapport, la septième depuis 2011, offre un comparatif détaillé sur des métriques précis lié à la cyber menace. Ainsi nous pouvons observer cette année les éléments suivants :

–          Un abaissement du temps de résidence moyen de l’attaquant sur le réseau de sa victime lors d’une détection interne, avec une moyenne qui passe de 80 jours en 2016 à 57,5 jours en 2018.Néanmoins le temps de détection moyen global lui reste quasi inchangé en passant de 99 jours à 101 jours en 2018

–          Une volonté de réattaque des victimes par leurs attaquants avec 49% des victimes revisitées par les attaquants après la première détection contre seulement 37% en 2013.

–          Des attaquants qui pendant nos investigations en Europe (EMEA) sont restés 54% des fois plus de 121 jours sur le réseau de leur victime.

–          Plus aucun secteur d’activité n’est épargné par les attaquants, de la cyber criminalité au cyber espionnage toutes les industries même les associations caritatives sont aujourd’hui des cibles. Néanmoins le TOP3 des industries visées par de multiples attaques simultanées est : High Tech, Education, Télécommunication

Le rapport permet aussi de mettre en avant des informations sur les grandes tendances 2017 et les risques associés :

–          Les attaquants utilisent de plus en plus le Phishing et les attaques ciblées à travers l’ingénierie sociale.

–          Les entreprises manquent de ressources et de talents pour faire face à l’industrialisation des attaquants et mettre en place des plans de réponses à incidents Adhoc.

–          L’IRAN a été une des sources les plus active en 2017 avec les publications sur les groupes spécifiques comme APT33, 34 et 35

–          La cyber revêt une importance capitale dans le positionnement géopolitique de certains pays, c’est ainsi que l’on voit apparaître de nouveaux pays sur l’échiquier du risque cyber avec à titre d’exemple en 2017, APT32 au Vietnam

–          Les attaquants sont de plus en plus rapides dans l’utilisation de zero days, ils utilisent aussi de manière massives les outils « autorisés » et la « supply chain » pour attaquer leurs victimes.

–          Les groupes chinois continuent leur moisson de patrimoine informationnel en Europe.

Enfin le rapport permet de mettre en avant les tendances à venir sur 2018, avec un contexte géopolitique tendu qui se traduit déjà par une menace cyber de plus en plus forte et une volonté de tous les états du monde à se doter de compétences sur le sujet.

Android, Argent, Arnaque, backdoor, Banque, Communiqué de presse, Contrefaçon, Cyber-attaque, Cybersécurité, Entreprise, escroquerie, Fuite de données, ID, Identité numérique, ios, OS X, Paiement en ligne, Particuliers, Piratage, Sécurité, Securite informatique, Smartphone, Windows phone

Chevaux de Troie visant les applications bancaires mobile

La prolifération des chevaux de Troie visant les applications bancaires mobiles expose les particuliers à d’importants risques. De fausses interfaces reproduisent fidèlement les applications bancaires mobiles des plus grandes banques du monde entier. Plus d’un consommateur sur trois est incapable de faire la différence entre une application authentique et sa version piratée.

Les utilisateurs de services bancaires mobiles du monde entier sont confrontés à un risque plus grand d’être piégés par des cybercriminels, et d’être victimes de fraudes. Telle est la conclusion de la nouvelle étude mondiale publiée par Avast, leader mondial des produits de sécurité digitale, qui a demandé à près de 40 000 consommateurs de douze pays, dont la France, de comparer l’interface de plusieurs applis bancaires officielles avec leur version contrefaite.

Au niveau mondial, 58 % des personnes interrogées ont identifié l’interface officielle des applications bancaires mobiles comme frauduleuse, tandis que 36 % prenaient l’interface piratée pour la version authentique. En France, les résultats sont similaires avec respectivement 74 % et 35 % des personnes interrogées. Ces résultats soulignent le niveau de sophistication et d’exactitude qu’ont atteint les cybercriminels pour réaliser des copies extrêmement fiables, ce qui leur permet d’espionner les utilisateurs et de collecter leurs identifiants personnels pour faire main basse sur leur compte en banque.

Ces derniers mois, Avast a détecté plusieurs fausses applications bancaires mobiles qui représentent une menace croissante pour la confidentialité et la sécurité. Parmi les banques visées par les cybercriminels, on retrouve Crédit Agricole, Citibank, Wells Fargo, Santander, HSBC, ING, Chase, Bank of Scotland et Sberbank. En dépit des mesures strictes de sécurité déployées ainsi que des sauvegardes, les importantes bases de données clients de ces organisations constituent des cibles particulièrement attrayantes pour les cybercriminels, pour réussir à créer de fausses applications qui imitent les officielles à la perfection.

 En novembre 2017, l’équipe Threat Labs Mobile a découvert dans Google Play une nouvelle version du cheval de Troie BankBot qui cible les identifiants de connexion bancaire des particuliers. Avast a ainsi analysé la menace, en collaboration avec ESET et SfyLabs. Cette toute dernière variante était dissimulée dans des applications réputées fiables, telles que des lampes de poche et des versions du célèbre jeu Solitaire. Une fois téléchargés, les logiciels malveillants lançaient et ciblaient les applications des plus grandes banques. Lorsqu’un utilisateur ouvrait son appli bancaire, le malware positionnait une fausse interface sur l’appli officielle, afin de collecter les coordonnées bancaires du client et de les transmettre au cybercriminel.

Applications bancaires piégées

« Nous assistons à une augmentation constante du nombre d’applications malveillantes pour Android. Ces applis sont capables d’échapper aux contrôles de sécurité des principales plateformes de téléchargement d’applications, avant de se frayer un chemin jusqu’aux téléphones des consommateurs, confie Gagan Singh, Senior Vice President et General Manager, Mobile, chez Avast. Dans de nombreux cas, elles se font passer pour des jeux ou des applis « lifestyle », et utilisent des tactiques d’ingénierie sociale pour inciter les utilisateurs à les télécharger. »

« En règle générale, les internautes peuvent faire confiance à la fiabilité des plateformes de téléchargement d’applications, telles que celles de Google et d’Apple, pour télécharger des applications bancaires, mais une vigilance accrue est de mise. Il est indispensable de vérifier que l’application utilisée est bien la version officielle, poursuit Gagan Singh. Si l’interface semble étrange, il ne faut pas hésiter à contacter le service client de la banque. Le cas échéant, il est vivement conseillé d’utiliser la fonction d’authentification à deux facteurs et de se protéger en installant un antivirus puissant sur Android, qui détectera et supprimera les logiciels malveillants. »

L’étude menée souligne en outre que les consommateurs du monde entier se disent davantage préoccupés par le vol d’argent sur leur compte bancaire, que par la perte de leur portefeuille ou de leur sac à main ; voire même par le piratage de leurs comptes sur les réseaux sociaux ou la consultation de leurs messages personnels. Au niveau mondial, 72 % des personnes interrogées ont déclaré que la perte d’argent était leur principale préoccupation, contre 67 % en France.

Au niveau mondial, environ deux personnes interrogées sur cinq (43 %) ont déclaré utiliser des applications bancaires mobiles. En France, 38 % ont affirmé les utiliser de façon active. Parmi les personnes interrogées qui ne se servent pas d’un smartphone ou de tablette pour accéder aux services de leur banque, près du tiers (30 %) des français ont indiqué que le faible niveau de sécurité était leur principal souci.

 Cette enquête en ligne a été réalisée dans 12 pays : États-Unis, Royaume-Uni, France, Allemagne, Russie, Japon, Mexique, Argentine, Indonésie, République tchèque, Brésil et Espagne. Au total, 39 091 personnes y ont participé, dont 5 852 français.

Argent, Banque, Bitcoin, Chiffrement, cryptage, Cyber-attaque, Cybersécurité, Particuliers, Piratage, Securite informatique

Zealot : Des codes pirates de la NSA utilisés pour installer des mineurs de cryptomonnaie

Opération Zealot : des codes informatiques volés aux pirates de la National Security Agency utilisés pour miner de la cryptomonnaie.

Des amateurs de jeux vidéos derrière l’Opération Zealot ? Les failles informatiques qui étaient exploitées par la National Security Agency (NSA) et volées par des pirates du nom de Shadow Brokers, ont été utilisés en mai et juin 2017 afin d’infiltrer des ordinateurs et lancer une cyberattaques de type ransomware. Du rançonnage avec le chiffrement des données sur un disque dur pénétré. Le propriétaire devait payer pour récupérer ses informations. Des attaques qui n’avaient pas eu l’impact financier qu’avaient du escompter les pirates.

On apprend aujourd’hui que des vulnérabilités NSA sont exploitées pour installer des mineurs de cryptomonnaies dans des ordinateurs piratés. Les experts de F5 Networks ont découvert une attaque qui recherche sur Internet des machines exécutant des serveurs exploitant des versions vulnérables d’Apache Struts et du logiciel DotNetNuke ASP.NET Content Management System. Des machines qui n’ont pas été mis à jour afin de corriger ces failles.

Exploitation de Struts

La vulnérabilité Apache Struts a été utilisée par un autre groupe de pirates dans une attaque à l’encontre d’Equifax. La nouvelle campagne de piratage a été surnommée Zealot.

Zealot télécharge un fichier qui permet de créer du Monero. Monero est une cryptomonnaie très centrée sur la vie privée. Une monnaie numérique devenue très populaire parmi les utilisateurs du Darknet. Elle est conçue pour protéger les utilisateurs. Les montants des portefeuilles et transactions ne peuvent être regardés par des tiers. Contrairement à de nombreuses autres cryptocurrences, telles que Bitcoin. Il a été découvert qu’une adresse Monero qui recevait des pièces extraites du logiciel malveillant avait reçu au moins 8 500 dollars US sous forme de Monero.

Il n’est pas possible de connaître le montant total des Moneros minés par cette infiltration informatique.

Les auteurs de ce nouveau malware « miner » Monero semblent être des fans du jeu vidéo Starcraft. La plupart des noms et des termes utilisés dans le code malveillant malware sont également utilisés dans le jeu vidéo Starcraft.

Le terme Zealot lui-même est utilisé dans les deux jeux vidéo StarCraft et StarCraft 2, et il se réfère à un type de guerrier.