Les technologies employées par les pirates informatiques évoluent. Les cybergendarmes tentent de s’adapter aux flots de données que déverse le numérique. Relèvent-ils ce pari 2.0 ? Quels sont leurs outils d’investigation ? Découverte ! C’est dans la caserne d’Arras, au sein du Groupement de la Gendarmerie Départementale (commandé par le Colonel Jérôme Bisognin), que les rédactions de zataz.com et datasecuritybreach.fr ont été invitées à rencontrer les N’Tech, les cybergendarmes du Pas-de-Calais. L’occasion pour les quatre Sherlock Holmes 2.0 de la Cellule d’Investigations Criminelles de nous présenter une partie de leurs outils d’investigations numériques.
Selon une étude des Laboratoires Bitdefender, Jennifer Aniston (19,55 %) est la célébrité la plus utilisée ces derniers mois par les scammeurs afin de piéger les utilisateurs et ainsi leur dérober des données privées, ou encore tenter d’exécuter du contenu malveillant sur leur ordinateur. Rihanna (16,26 %) et Selena Gomez (13,84 %) arrivent respectivement en 2e et 3e position. Cette étude montre aussi que les films attendus en salle se révèlent être un leurre efficace pour piéger les cinéphiles un peu trop curieux.
TOP 10 des célébrités les plus utilisées dans les campagnes de spams ces derniers mois
Certains de ces spams associent le nom d’Aniston à du contenu sexuellement explicite, et un simple clic du destinataire sur le lien permet au scammeur d’installer un Cheval de Troie sur son système afin de récupérer ses données bancaires. Rihanna, quant à elle, apparaît dans des e-mails redirigeant l’utilisateur vers des pages Web au contenu pornographique et des sites plus ou moins frauduleux de vente d’accessoires en ligne (il est peu probable que l’utilisateur piégé reçoive un jour la marchandise commandée et payée sur ces sites). Enfin, les spams citant Selena Gomez vantent les mérites de la chirurgie esthétique ou des concerts gratuits en ligne. Ces publicités visent en fait à rediriger l’utilisateur piégé sur des sites de phishing permettant alors aux scammeurs de voler ses identifiants et mots de passe à des fins malveillantes. Miley Cyrus, Scarlett Johansson, Marilyn Monroe, Katy Perry, Beyonce Knowles, Sandra Bullock et Eminem sont également ces derniers mois, des célébrités très utilisées pour propager des campagnes de scams.
Outre les noms de célébrités, l’analyse de Bitdefender révèle que les scammeurs utilisent aussi des titres de films pour attiser la curiosité et piéger les utilisateurs. Gravity, occupe une place de premier ordre suivi de 12 Years a Slave, Insidious et The Avengers qui font figure d’appâts pour des campagnes de spams en cette fin d’année.
Selon Bitdefender, ces spams aux titres accrocheurs restent une stratégie payante pour piéger un grand nombre d’internautes trop curieux et maintenir ainsi la rentabilité de campagnes de scams et/ou de spams. Ces arnaques vont d’ailleurs souvent trop loin dans le sensationnel afin d’attirer le chaland, déclarant par exemple des célébrités comme étant prétendument mortes, photographiées battues ou impliquées dans des scandales sexuels sordides.
Ces e-mails promettant des photos ou des vidéos chocs ont un seul objectif : soutirer de l’argent à l’utilisateur. En effet, ce dernier, en ouvrant les pièces jointes et/ou en cliquant sur les liens associés, infecte sa machine avec un malware et/ou se retrouve exposé à des contenus inappropriés, offrant ainsi aux scammeurs la possibilité de récupérer ses informations personnelles à son insu et de les exploiter par la suite. Bitdefender rappelle aux utilisateurs que la meilleure chose à faire est de supprimer tout e-mail non sollicité et de rester vigilant contre ces messages promettant ce genre de contenus chocs.
Depuis quelques jours, un pirate informatique diffuse un courriel aux couleurs du Paris Saint-Germain, et plus précisément de la boutique du club de football parisien. Le phishing est bien réalisé. L’escroc indique un achat dans la boutique du PSG. « Vous pouvez consulter votre facture FR9077796 via le lien suivant en cliquant dessus ou en le recopiant« . Dans la missive usurpatrice, un extrait d’une carte bancaire. Bref, de quoi inquiéter l’internaute qui n’a jamais rien acheté chez les footeux.
L’objet du courrier pirate « Confirmation de votre commande effectuée sur La Boutique officielle. » En cliquant sur le lien, direction non pas le club Qatari, mais un site piraté, utilisé pour cacher le logiciel espion. Un blog basé en Suisse. En lieu et place d’une facture, un logiciel pirate, chargé de téléchargé un outil d’espionnage dans l’ordinateur du surfeur ainsi piégé. Même si l’icône à l’écran affiche un « PDF », il s’agit d’un exécutable qu’aucun antivirus, au moment de l’écriture de notre article, n’a détecté comme dangereux. Prudence, donc !
L’application SnapChat dangereuse. Des hackers démontrent comment intercepter identité et numéro de téléphone d’un utilisateur. L’application SnapChat permet de diffuser des photos, via son smartphone (iOS et Android). Les hackers australiens de chez Gibson Security viennent de tirer à boulet rouge sur le prochain jouet de Facebook en annonçant des fuites de données. La vulnérabilité permet à un malveillant de mettre la main sur le numéro de téléphone et le nom de l’utilisateur visé.
Contacté voilà 4 mois, SnapChat fait la source oreille. Les hackers ont décidé de publier tous les détails de leur découverte le 25 décembre. Un « chantage pour le bien de la société» exprime les hackers au magazine Business Insider. « Espérons que Snapchat vérifiera son code et améliorera la façon dont la sécurité et les bugs sont traités dans l’entreprise». Une faille qui fait suite à celle qui permettait de sauvegarder les photographies éphémères ou encore extraire d’un smartphone les documents pourtant effacés. Si vous voulez vous rassurer, le site Snapchatdb.info proposait de s’avoir si vous étiez dans les 4,6 millions de gagnants. Cependant, l’espace web a été suspendu. Il est revenu via lookup.gibsonsec.org. Les derniers chiffres sont masqués, histoire de ne pas voir débarquer les spammeurs téléphoniques.
Voici quelques conseils techniques et de bon sen pour éviter de voir partir son compte Facebook dans les mains d’un malveillant. Des techniques efficaces et simples à mettre en place. L’intérêt pour un pirate de mettre la main sur votre compte Facebook est multiple. La rédaction de DataSecurityBreach.fr a pu en recenser 10.
D’abord, la curiosité pure et simple. Que se cache-t-il dans les messages privés que vous pouvez diffuser à vos amis. Pas bien méchant, mais malsain. Ensuite, le malveillant classique, celui qui va usurper votre identité pour ventre de faux crédits à la consommation. Il diffuse, via votre compte, de fausse proposition financière.
Vient ensuite le vendeur de médicaments, de fausses marques, de faux comptes pour console de jeux (la grande mode en ce moment est de vous offrir, pour du faux, des accès au PSN de Sony). Mettre la main sur votre compte Facebook peut aussi servir à de vrais escrocs, celui qui expliquera à vos abonnés que vous êtes perdus au fin fond de l’Afrique, de l’Asie ou de l’Amérique du Sud et que de vous (lui) envoyer de l’argent, via Paypal, vous (lui) permettra de rentrer chez vous.
Les trois derniers cas, et pas des moindres, sont les plus nocifs. Le premier, diffuse des informations à vos amis (photos, fausses informations, …) Si vous souhaitez que cela cesse, le maître chanteur réclame de l’argent. Le second, des achats sous votre identité. N’oubliez pas qu’en prenant la main sur votre compte, le pirate connait tout de vous, du moins ce que vous avez pu sauvegarder dans l’administration de votre compte Facebook. Le pirate peut ainsi converser avec ses cibles, via votre adresse XXXX@facebook.fr. Je finirai par le compte servant de rebond à une attaque plus fine, plus pointue, comme la diffusion d’un virus, d’une page phishing, comme ce fût le cas pour l’Elysée ou d’une agence américaine. Ne pensez pas n’être qu’un anonyme sur la toile. Pour un pirate, nous sommes une star en devenir !
Comment se protéger
Première chose, évitez de cliquer sur n’importe quel lien qui vous passe sous la souris. Regardez bien les adresses web qui vous sont proposées. Si https://www.facebook.com ne débute pas l’url proposé, passez votre chemin. Autre élément important, votre mot de passe. On ne cesse de le répéter, mais il doit contenir au moins 12 signes : lettres (minuscules, majuscules), signes de ponctuations et chiffres.
Dans la partie « Sécurité » que vous trouverez en cliquant sur l’icône, en haut à droite, de votre page Facebook (puis sur compte), sélectionnez : « Navigation sécurisée ». Personne ne pourra plus intercepter votre mot de passe entre – Vous et Facebook -. Cela se traduit par le S du https de l’url indiqué plus haut dans cet article. N’hésitez pas à cocher l’option « Notification lors des connexions« . Cela vous permet d’être averti, par courriel, d’une connexion « pirate ». Loin d’être négligeable pour agir vite en cas de pépin.
Autres options indispensables, l’approbation de connexion et le générateur de code. Dans ce premier cas, votre smartphone vous offre une sécurité supplémentaire. Par SMS vous pourrez recevoir le code secret de secours qui vous rendra votre Facebook. La seconde option, le générateur de code, vous propose une série de chiffres uniques, toutes les 30 secondes, pour accéder à votre Facebook. En plus de votre mot de passe, le deuxième code devient indispensable pour vous connecter. Sans ces deux « sésames », le pirate ne pourra rien faire.
Je finirai avec les contacts de confiance. Je ne l’utilise pas, mais l’idée est intéressante. Elle permet de définir les amis qui peuvent vous aider à récupérer votre compte auprès de Facebook. S’ils vous connaissent, Facebook vous rendra votre bien… ou pas ! En cas de problème, il est toujours possible de contacter Facebook via la page dédiée : Compte piraté.
Le pic de ces envois a été enregistré dans la première moitié de novembre 2013. BackDoor.Caphaw est capable de voler les identifiants d’accès aux comptes en ligne et d’autres données sensibles stockées sur la machine infectée. Il exploite les vulnérabilités des navigateurs (par exemple les packages d’exploits BlackHole), et se copie sur les supports amovibles et réseau.
Depuis la deuxième quinzaine d’octobre 2013, les attaquants utilisent Skype pour distribuer le Trojan BackDoor.Caphaw. Le pic de la propagation, selon DrWeb, a été enregistré entre le 5 et 14 novembre 2013. Les attaquants envoient des messages via Skype en utilisant les comptes des utilisateurs déjà infectés. Les messages incluent un lien vers une archive portant le nom invoice_XXXXX.pdf.exe.zip (où XXXXX est un ensemble aléatoire de chiffres). L’archive contient le fichier exécutable du Trojan BackDoor.Caphaw.
Après son lancement, le Trojan sauvegarde sa copie dans un dossier d’application comme un fichier, avec un nom aléatoire, et modifie la clé du Registre chargée du lancement automatique des applications. Afin de faire face aux tentatives d’être étudié, ce Trojan possède un mécanisme de détection de lancement sur une machine virtuelle.
Suite à son installation, le Trojan BackDoor.Caphaw essaie de s’intégrer dans les processus en cours et de se connecter à un serveur des attaquants. Ce Trojan surveille l’activité de l’utilisateur et détecte les connexions aux banques en ligne. Dans ce cas, BackDoor.Caphaw peut injecter du contenu malveillant et intercepter les données entrées dans différents formulaires.
Une autre de ses fonctions est l’utilisation de la caméra et l’enregistrement, sur la machine infectée, de vidéos en streaming, afin de le transmettre au serveur des attaquants sous la forme d’une archive RAR. En outre le BackDoor.Caphaw peut télécharger depuis le serveur distant des composants additionnels et les lancer. Par exemple, des modules pour rechercher et transmettre aux attaquants les mots de passe des clients FTP ou créer un serveur VNC. Il existe également un module MBR bootkit, capable d’infecter des secteurs d’amorçage etc. Enfin, il existe un module pour l’envoi automatique de liens malveillants via Skype. Les utilisateurs doivent rester prudents et éviter de cliquer sur les liens reçus dans les messages via Skype, même si ces messages proviennent de leurs connaissances, car leurs ordinateurs peuvent être déjà infectés par le BackDoor.Caphaw.
Selon le « RSA Fraud Report », la France n’est plus dans le trio de tête des pays les plus attaqués par les campagnes de phishing. Dans l’édition de septembre de son Fraud Report, RSA, la division sécurité d’EMC, constate que les attaques utilisant des techniques de phishing ont diminué de 25% au mois d’août 2013 comparé au mois de juillet, passant de 45232 à 33861. De plus, la France – présente en quatrième position du classement des pays les plus attaqués en juillet – n’est plus dans la compétition au mois d’août, cédant sa place à l’Inde qui a enregistré une augmentation des attaques de 2 points. Le phishing ou hameçonnage est l’une des techniques les plus utilisées par les fraudeurs afin d’obtenir des renseignements personnels et usurper ainsi l’identité de l’internaute. Particulièrement adaptés pour obtenir des renseignements bancaires, ces trojans sont déployés pour présenter aux utilisateurs un site web généré par un programme malveillant qui les incite à rentrer leurs informations personnelles.
La grande braderie de la capitale flamande va attirer des centaines de milliers de visiteurs. Quelques conseils face aux distributeurs de billets. Qu’on le veuille ou non, les grands rendez-vous populaires comme la Braderie de Lille, qui se tiendra ce week-end dans la capitale flamande, attirent les pirates informatiques. Les premiers dans notre liste, les skimmeurs, les professionnels du vol de données bancaires. Il faut dire qu’avec un potentiel de 2 millions de visiteurs, voilà de quoi attirer les convoitises. DataSecurityBreach.fr propose plusieurs conseils de base à retenir, histoire de ne pas finir avec son clone de carte bancaire dans les mains du black market.
Vérifiez bien si :
– Le clavier bouge-t-il ?
– Le lecteur de carte vous semble-t-il mobile ?
– Le plafonnier a-t-il un trou en son centre ?
– Des « boites » publicitaires, pour flyers par exemple, sont-elles collées sur les côtés du GAB ? Oui ! N’utilisez pas ce distributeur.
– Des distributeurs en « panne » à côté d’un seul en fonction ? Passez votre chemin.
– Un papier vous indiquant des GAB hors-services et vous invite à utiliser un distributeur particulier ? No Way !
Si vous tombez sur un distributeur qui vous semble piégé (voir), ne touchez à rien, alertez les autorités proches du GAB. Ne vous interposez pas. Les « propriétaires » du matos de skimming ne sont pas des enfants de cœur.
La plupart des utilisateurs jugent important de protéger leurs informations personnelles stockées sur leurs ordinateurs. Et selon une récente enquête consultée par DataSecurityBreach.fr, réalisée pour Kaspersky Lab, aussi incroyable que cela puisse paraître un participant sur trois (33%) conserve ses coordonnées bancaires sur son ordinateur domestique. A noter que 62 % des utilisateurs considèrent la fuite de données financières comme la menace la plus dangereuse ; 47 % estiment que le vol d’informations bancaires lors d’achat en ligne est le problème le plus préoccupant lorsque l’on se rend sur internet. 57 % des français estiment qu’ils ne sont pas suffisamment outillés pour faire face aux menaces de sécurité sur internet.
Les cybercriminels multiplient les tentatives pour pirater les sites de banque et de commerce en ligne. C’est pourquoi, surveiller ses comptes de paiement en ligne (PayPal, Amazon, Google Checkout, etc.) de près peut éviter des mauvaises surprises à la fin du mois. Comme le rappelle ZATAZWeb.tv, s’informer, c’est déjà se sécuriser. Voici les six « alertes » qui doivent vous faire tendre l’oreille.
1. Surveiller les activités non autorisées : savoir toujours quelles opérations sont prévues. Tout montant débité sans l’autorisation du détenteur du compte, aussi faible soit-il, doit constituer un signal d’alerte.
2. Attention aux notifications : Le fait de recevoir un e-mail informant que les informations de son compte ont changé alors que rien n’a été modifié peut être un signe que le compte a été piraté.
3. Attention aux faux appels : si un interlocuteur se présente comme travaillant pour un établissement bancaire ou prestataire de paiement au téléphone, ne pas hésiter à rappeler le service client pour vérifier l’authenticité de l’appel.
4. Se méfier des textos : si l’utilisateur reçoit soudainement des SMS ou des appels provenant d’un numéro de mobile habituellement non utilisé par son prestataire, il faut être extrêmement prudent quant à son origine.
5. Vérifier chaque e-mail : si un e-mail ou une autre forme de communication en ligne ne paraît pas authentique, ne pas y répondre sans avoir vérifié son authenticité auprès de son prestataire.
6. Attention aux faux liens : si des activités inhabituelles sont observées sur son compte, il faut vérifier si aucun lien suspect dans un e-mail n’a été ouvert.
Ainsi, il est bien sûr recommandé aux utilisateurs d’adopter les bons réflexes de sécurité lors des achats en ligne. En outre, l’installation d’un logiciel efficace de sécurisation d’Internet, et notamment des fonctions de banque en ligne, permet d’éviter les attaques de type « man in the browser » qui interceptent les données normalement sécurisées transitant dans un navigateur Web. Dans ce type d’attaque, un malware implanté sur l’ordinateur infecté modifie de manière invisible des pages Web légitimes afin de prendre le contrôle des activités de banque en ligne. L’internaute est bien connecté au site Web authentique de la banque, l’adresse affichée (URL) est la bonne mais des cybercriminels peuvent intercepter la transaction pour dérober les informations financières et, plus grave, de l’argent.
Bitdefender, éditeur de solutions de sécurité, a informé DataSecurityBreach.fr que les utilisateurs de Pinterest étaient visés par la propagation d’une arnaque publicitaire sur ce réseau social qui permet d’épingler ses photos préférées. Ce scam publicitaire concerne une solution « miracle » pour se débarrasser de la cellulite et perdre du poids, une arnaque qui apparaît bien souvent en cette saison estivale. Les scammeurs voient en Pinterest l’endroit idéal pour diffuser ce type d’arnaque puisque parmi les 49 millions d’utilisateurs du réseau social, 80 % sont des femmes. Ce scam n’est pas malveillant mais vise à tirer profit des utilisatrices qui, tombées dans le piège, achèteront le ‘pack beauté’ ou ‘l’offre du jour’.
Cette arnaque, qui a envahi Pinterest en quelques semaines, utilise le tableau d’utilisatrices pour s’y afficher en tant que ‘pin’. Ainsi, de nombreuses femmes ont épinglé malgré elles, sur leur tableau, des dizaines de photos d’un corps exhibant de la cellulite et d’une personne « avant/après » le test de cette solution miraculeuse.
Scam anti-cellulite
L’interface de Pinterest se prête particulièrement à la mise en avant de ce genre de produits. Les images utilisées sont efficaces et le slogan optimiste, ce qui pousse les utilisatrices à cliquer afin de recevoir des « informations auxquelles seulement quelques personnes privilégiées ont accès ». En cliquant sur la photo, l’utilisatrice est redirigée vers plusieurs sites qui affichent tous la même vidéo : quelques exercices basiques qui permettraient de faire fondre les excès de graisse à vitesse grand V. Après ce teasing attrayant, la visiteuse est invitée à s’offrir le pack beauté, sans oublier l’offre du jour, elle aussi à ne pas manquer.
Certains noms de domaines de ces sites sont enregistrés anonymement afin de ne pas révéler l’identité de « l’entreprise » qui fournit les produits en question. Cependant, Pinterest et Google parviennent à bloquer quelques-uns de ces sites, signalés comme dangereux. Afin de se prémunir des arnaques en ligne, Bitdefender préconise aux internautes de toujours utiliser une solution de sécurité à jour et de vérifier sur Internet les informations relatives à la société qui commercialise les produits désirés. Les internautes peuvent aussi bénéficier d’éventuels avertissements ou de l’expérience d’autres acheteurs, grâce à de simples recherches sur le Web.
Petites entreprises, grandes menaces : restez informés, restez protégés
