Archives de catégorie : Particuliers

Actualités liées à la sécurité informatique des particuliers et à la vie privée.

Arnaque, escroquerie, Particuliers

Les utilisateurs encore trop laxiste avec leur informatique

Une nouvelle étude menée, portant sur 2000 adultes français, révèle que 3 utilisateurs sur 10 de smartphones ne repèrent pas un vrai d’un faux SMS !

37 % de Français, sur 2.000 interviewés dans l’étude OnePoll, indique avoir été trompés par un SMS, un email ou un message sur les réseaux sociaux qui leur laissait croire qu’il venait d’une personne ou d’une compagnie légale.

L’étude a aussi trouvé que 55 % des adultes ne savent pas trouver la différence entre une arnaque et une demande d‘information légitime, que ce soit via les réseaux sociaux ou par SMS. Les arnaques en ligne les plus communes sont des tickets gagnants aléatoires, des livraisons par La Poste et des liens suspicieux venant de nulle part. Des messages de compagnies d’énergie à propos de données expirées et des détails de connexion pour paiements en ligne ont aussi été reçus.

La confiance dans les réseaux sociaux a tellement diminué que seulement un adulte sur 20 se sent en sécurité – et 43 % pensent que chaque compte devrait être associé à un vrai nom et une véritable identité.

LES 10 ARNAQUES EN LIGNE LES PLUS SOUVENT RENCONTRÉES

1. Gagner un prix aléatoire
2. Livraisons de La Poste
3. Liens suspicieux
4. Autres types de livraisons, par exemple DHL, DPD, etc.
5. Messages de compagnies d’énergie
6. Utilisateurs et logins incorrects pour paiements, par exemple Paypal
7. Données bancaires expirées, par exemple Netflix ayant besoin des derniers numéros de compte à jour
8. Individus envoyant des messages à propos d’une relation
9. Notifications d’avoir gagné une enchère sur par exemple eBay
10. Des membres de familles que vous n’avez jamais rencontrés prenant contact avec vous.

Pour en savoir plus sur comment se protéger cybervictimes.net

Identité numérique

Google se lance dans le FLoC

Le géant de l’Internet Google vient d’annoncer que le traçage des internautes à des fins marketing, c’était bientôt fini. La firme américaine va lancer ses FLoC.

Les FLoCs, la prochaine invention de Google pour abandonner les cookies à des fins publicitaires. A la base, les cookies permettent d’identifier un ordinateur surfant sur la toile afin de lui proposer des services individualisés : passant de la publicité, à la gestion d’une authentification, à la couleur du site qu’il visite. Google annonce depuis plusieurs mois la fin des cookies. « Nous annonçons explicitement qu’une fois que les cookies tiers supprimés, nous ne construirons pas d’identificateurs alternatifs pour pister les individus quand ils surfent sur la toile, et nous ne les utiliserons pas non plus dans nos produits », indique David Temkin, responsable des produits publicitaires et de la confidentialité chez Google. A la place, Google va utiliser des FLoC, Federated Learning of Cohorts. Ici, on ne vise plus « une » personne, mais un « groupe » de personnes. Le FLoC va permettre de cibler des segments d’audience. Une audience qui sera définie selon la navigation des internautes.

Les Federated Learning of Cohorts (FLoC) proposent une nouvelle façon pour les entreprises d’atteindre les personnes avec un contenu et des publicités pertinents en regroupant de grands groupes de personnes ayant des intérêts similaires. Cette approche masque efficacement les individus «dans la foule» et utilise le traitement sur l’appareil pour garder l’historique Web d’une personne privée sur le navigateur. En créant des simulations basées sur les principes définis dans la proposition FLoC de Chrome, les équipes publicitaires de Google ont testé cette alternative de confidentialité aux cookies tiers.

Les résultats indiquent que lorsqu’il s’agit de générer des audiences basées sur les intérêts, FLoC peut fournir un signal de remplacement efficace pour les cookies tiers.

Cybersécurité, Identité numérique

Cybersécurité : à l’approche des élections, mieux vaut prévenir que guérir

Guillaume Poupard, directeur de l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) place les élections comme un risque majeur de cyberattaques. Des présidentielles, aux sénatoriales, en passant par les municipales, les opportunités sont multiples pour les cybercriminels ; comme l’a indiqué récemment dans une interview, l’ex-faussaire et consultant du FBI, Franck Abagnale Junior, avec internet, la cybercriminalité est aujourd’hui sans frontières. Forts de l’expérience des élections de 2016 – 2017 ciblées par de nombreux pirates et face au risque que cela perdure, les Etats doivent plus que jamais redoubler de vigilance.

A l’approche des élections présidentielles américaines, le 3 novembre prochain, les avertissements de l’ANSSI sont plus que jamais à prendre au sérieux, et peuvent servir de piqûre de rappel pour celles à venir en France afin d’anticiper les potentielles menaces. Alors que les campagnes de désinformation font l’objet d’une grande attention en matière de sécurité en période électorale, le déni de service distribué (DDoS) peut entraver la disponibilité des informations. Cette situation peut se révéler tout aussi dangereuse, voire plus. Il existe deux temps où la disponibilité des informations est essentielle et durant lesquels une attaque pourrait mettre à mal l’élection : l’inscription en ligne des électeurs sur les listes et la publication des résultats des élections.

D’après le manuel du Center for Internet Security (CSI) sur la sécurité des infrastructures électorales, la possibilité d’accéder aux systèmes d’inscription des électeurs par internet a renforcé leur vulnérabilité face aux attaques à distance, destinées à manipuler ces systèmes. Les États-nations, par exemple, pourraient accéder aux bases de données d’inscription des électeurs et les compromettre afin d’empêcher les électeurs légitimement inscrits de voter le jour des élections — une pratique qui s’est par ailleurs déjà concrétisée. En France, les listes électorales sont désormais numériques et très surveillées. Cela permet d’éviter que l’élection soit décrédibilisée par des attaques qui supprimeraient des noms ou empêcheraient de correctement imprimer les listes. La maîtrise de ce type de menaces constitue une priorité absolue pour renforcer la résilience de ces composants en matière de sécurité.

La publication des résultats des élections le soir du scrutin constitue également un sujet de préoccupation. C’est la raison pour laquelle Google a souhaité protéger les candidats des dernières élections du Parlement Européen face à ces potentielles menaces, en donnant accès aux partis politiques à un package empêchant l’arrêt d’un site internet à la suite d’une attaque DDoS. Or, les cybercriminels pourraient aller encore plus loin, en obtenant par exemple l’accès aux systèmes de publication des votes le soir du scrutin, afin de modifier les résultats affichés ; ils pourraient ainsi faire du véritable vainqueur de l’élection, le perdant et saper ainsi la confiance des électeurs.

Les administrateurs doivent ainsi définir une stratégie d’atténuation des attaques DDoS en amont des élections afin d’en assurer la protection. Pour ce faire, il est important qu’ils évaluent le paysage des attaques de déni de service distribué de l’infrastructure électorale et élaborent un plan d’atténuation d’urgence. L’établissement de partenariats pérennes avec un fournisseur de services réseau et un spécialiste de la prévention DDoS permettra également de renforcer la sécurité des élections.

La protection de la démocratie passe avant tout par la protection des élections. Les motivations de telles attaques peuvent être diverses mais les Etats doivent partir du principe que les élections seront victimes de cyberattaques, afin de ne plus être pris par surprise. Il est donc plus que jamais essentiel qu’ils anticipent les menaces afin de garder une longueur d’avance sur les cybercriminels et ainsi protéger la voix des citoyens. (Philippe Alcoy, NETSCOUT)

Phishing

Hameçonnage du compte d’un employé de GoDaddy

Le phishing, ça n’arrive pas qu’aux autres. Un employé de la société GoDaddy, entreprise spécialisée dans les noms de domaine, se fait piéger par un hameçonnage. Le pirate en profite pour modifier des pages de clients.

Voilà un piratage qu aurait pu faire de gros dégâts dans les mains d’un pirate informatique « professionnel ». Il y a quelques jours Un employé de la société GoDaddy, un fournisseur de noms de domaine (Registar), s’est fait piéger par un hameçonnage. A la suite de ce phishing, le pirate en a profité pour usurper un client du registar.

Une fois l’employé usurpé, autant dire que la cible n’était pas n’importe qui, le malveillant le pirate a modifié six DNS de plusieurs sociétés, dont Escrow.com. GoDaddy n’a pas précisé le nombre d’adresse web impactées par la fraude. Le pirate, un Malaisien, a modifié l’affichage des sites. Une modification possible via le remplacement des DNS d’origine d’un serveur légitime vers un serveur malveillant. Il aurait pu afficher une fausse page de collecte de données ou intercepter les courriels.

Le pirate a été contacté par téléphone. Se dernier a avoué que son attaque avait débuté par son hameçonnage. GoDaddy a assuré aux clients du fait que seuls les domaines appartenant à l’entreprise elle-même étaient compromis et que toutes les données des clients étaient totalement sécurisées.

Argent, backdoor

Découverte du cheval de Troie bancaire Android, Ginp.

Le cheval de Troie Ginp est apparu dans le paysage des menaces en juin 2019 en tant qu’outil d’espionnage. Il vise avant tout les données bancaires. Découverte de cette malveillance.

Le logiciel pirate Ginp, encore peu connu, vise banques et données bancaires transitant par votre smartphone et tablette. Un outil malveillant sous Android.

En tant que logiciel malveillant bancaire, Ginp incite ses victimes à fournir des informations personnelles et sensibles, telles que des informations d’identification de connexion en ligne, des codes de sécurité bancaires et même des détails de carte de crédit grâce à des attaques par superposition.

Ginp est un trojan construit à partir de rien et recevant de nouvelles fonctionnalités via un autre cheval de Troie, Anubis.

Une méthode qui a tendance à indiquer des acteurs sélectifs et ciblés.

La liste des cibles indique un intérêt évident pour les banques espagnoles. Du moins, pour le moment.

Un total de 24 cibles uniques pour 7 banques différentes. Bien que les objectifs se concentrent sur les institutions espagnoles, la structure utilisée par le ou les auteurs semble indiquer un élargissement possible des objectifs à d’autres pays. Il serait même étonnant que ces pirates n’agissent pas de la sorte.

Ginp est peut-être un test, voir un leurre.

C’est déjà le deuxième nouveau cheval de Troie bancaire découvert cette année. Des logiciels espion qui commencent par une focalisation claire sur des banques européennes.

Étonnante envie et intérêts à commettre une fraude en Europe.

L’attaque par superposition fonctionne toujours en deux étapes: voler les identifiants bancaires et les détails de carte de crédit, maximisant ainsi les chances de recueillir des informations personnelles précieuses auprès des victimes.

The Reat Fabric revient sur ce piège numérique dans une analyse complète qui sera diffusée ce 21 novembre.

Cybersécurité, Identité numérique

Geneva, le priseur de censure ?

La censure d’Internet par des gouvernements autoritaires interdit un accès libre à l’information. Des millions de personnes dans le monde bloquées. Des chercheurs viennent de présenter Geneva, un tueur de censure ?

Les tentatives pour échapper à une telle censure se sont transformées en une course sans cesse croissante pour suivre le rythme de la censure sur Internet, en constante évolution et de plus en plus sophistiquée. Les régimes de censure ont eu l’avantage dans cette course. Les chercheurs doivent chercher manuellement des moyens de contourner cette censure. Processus qui prend beaucoup de temps.

Des universitaires américains viennent de présenter à Londres Geneva. Un algorithme capable de contourner les outils mis en place pour bloquer la liberté d’expression sur la toile.

De nouveaux travaux dirigés par des informaticiens de l’Université du Maryland vont-ils modifier l’équilibre de la course à la censure ?

Les chercheurs ont développé un outil baptisé Genetic Evasion (Geneva).

Cette IA apprend automatiquement à contourner la censure.

Elle a été testée en Chine, en Inde et au Kazakhstan. Genèva a trouvé des dizaines de façons de contourner la censure en exploitant des bogues.

Des « accès » pratiquement impossibles à trouver manuellement.

Cette intelligence artificielle a été présentée lors de la 26e conférence sur la sécurité des ordinateurs et des communications (ACM – Londres). « Avec Genèva nous avons pour la première fois, un avantage majeur dans cette course, déclare Dave Levin, professeur assistant en informatique à l’UMD. Geneva représente le premier pas contre les censeurs. »

Et gagner cette course signifie permettre la liberté de parole à des millions d’utilisateurs à travers le monde.

Phishing, Social engineering

Selon le FBI, les attaques BEC auraient coûté 26 milliards de dollars aux entreprises

Les attaques BEC auraient coûté 26 milliards de dollars aux entreprises entre juin 2016 et juillet 2019.

Plus de 99% des cyberattaques requièrent une action humaine pour se propager. Les attaques BEC reposent sur l’engagement des individus et les cybercriminels s’appuient sur la psychologie humaine en demandant des réponses urgentes à des sollicitations pour des virements ou l’envoi de données confidentielles, simulant souvent un besoin commercial immédiat mais fictif. Pour réduire les chances de succès de telles attaques, les entreprises doivent prendre des mesures rapidement, en sensibilisant leurs employés et en déployant des solutions qui placent l’individu au cœur de leur stratégie de sécurité.

Les BEC et les EAC (des attaques BEC lancées à partir de comptes internes compromis appartenant à des cadres – et donc plus difficiles à détecter) représentent des armes de choix car elles sont peu coûteuses et nécessitent plus de recherche que les infrastructures d’envoi.

L’envoi d’emails frauduleux est peu coûteux. Les messages n’exigent pas de logiciels malveillants coûteux ; pourtant, les attaques elles-mêmes sont très efficaces, entraînant des milliards de dollars de pertes.

E-mails frauduleux

L’exploitation du canal email par le biais de messages hautement personnalisés et conçus par ingénierie sociale permet aux cybercriminels d’usurper facilement l’identité d’un employé ou d’un partenaire de confiance. La prévalence et l’efficacité des stratégies de phishing et de vols d’identifiants alimentent également les attaques EAC, ouvrant aux attaquants un canal interne pour mettre en œuvre leurs cyberattaques.

« Ces systèmes d’ingénierie sociale vont devenir de plus en plus répandus et difficiles à identifier, à détecter et à combattre. Il est essentiel que les entreprises privilégient une approche de cybersécurité centrée sur les personnes qui protège toutes les parties (employés, clients et partenaires commerciaux) contre le phishing, la fraude par email, le vol d’identifiants et les attaques par force brute. » indique  Loïc Guézo de Proofpoint.

Des défenses à plusieurs niveaux au niveau de la périphérie du réseau, de la passerelle de messagerie, du cloud et des points d’accès, ainsi qu’une solide formation des utilisateurs afin d’offrir la meilleure défense contre ces types d’attaques.

D’autant plus malicieuses : le phishing n’est pas un virus. Le type de logiciel malveillant que détectent les antivirus par exemple.

Direction Hong Kong… mais pas que !

Sur la base des données financières, les banques situées en Chine et à Hong Kong restent les principales destinations des fonds frauduleux. Toutefois, le Federal Bureau of Investigation constate une augmentation du nombre de transferts frauduleux vers le Royaume-Uni, le Mexique et la Turquie.

Les statistiques BEC / EAC suivantes ont été rapportées à l’IC3 et proviennent de sources multiples. Notamment des données d’IC3 et de plaintes internationales en application de la loi, ainsi que des informations transmises par des institutions financières entre octobre 2013 et juillet 2019:

Les statistiques suivantes ont été rapportées dans les plaintes déposées par les victimes auprès de la CI3 entre juin 2016 et juillet 2019:

Incidents nationaux et internationaux: 166,349
Perte de dollars exposée aux niveaux national et international: $26,201,775,589
Les statistiques BEC / EAC suivantes ont été rapportées dans les plaintes des victimes déposées auprès de l’IC3 entre octobre 2013 et juillet 2019:
Total des victimes américaines: 69,384
Perte totale en dollars exposés aux États-Unis: $10,135,319,091
Total non-U.S. victims: 3,624
Perte totale en dollars exposés en dollars américains: $1,053,331,166
Les statistiques suivantes ont été rapportées dans les plaintes déposées par les victimes auprès de la CI3 entre juin 2016 et juillet 2019:
Total des bénéficiaires financiers américains: 32,367
Destinataire financier américain total exposé perte en dollars: $3,543,308,220
Total des bénéficiaires financiers non américains: 14,719
Total des pertes financières en dollars des bénéficiaires financiers autres que les États-Unis: $4,843,767,489

(FBI)

Argent, Cybersécurité, Social engineering

Tentative de piratage CoinHouse

Des pirates informatiques ont tenté de piéger les clients du site spécialisé dans les cryptomonnaie CoinHouse. Mais comment les pirates ont-ils eu les mails utilisés dans leur tentative de fraude ?

Jeudi 12 septembre, 20 heures. La société CoinHouse alerte ses clients d’une tentative de fraude. Une cyber attaque aux couleurs de ce spécialise des cryptomonnaie prenant la forme d’un phishing. « Vous avez pu recevoir un mail ayant pour objet  »Action requise: vérifiez vos données », avec un message en anglais vous invitant à cliquer sur un bouton  »Verify ». » explique CoinHouse dans son courriel d’alerte. « Ce message a été envoyé par des pirates informatiques pour vous rediriger vers un faux site : app.colnhouse.com et ainsi récupérer vos identifiants. »

L’attaque a débuté quelques heures auparavant. Un courriel signe coinhouse.com comme le montre la capture écran de Data Security Breach. « In order to continue using our services, please verify our submitted data and documents. It will not take more than 3 mintues to complete the verifying steps, once you finish, please proceed by pressing save button. » annonçait l’arnaque.

La page pirate recupérait les identifiants de connexion.

Infiltration, exfiltration

Fait intéressant : si les hameçonnages sont très fréquents, l’histoire ne dit pas comment les pirates ont eu accès aux adresses électroniques. Plusieurs lecteurs de Data Security Breach, dont votre serviteur, exploitent une adresse dédiée à ce service ! A noter que ce courriel usurpateur a été envoyé via l’outil bmail exploité en interne par CoinHouse.

Les pirates avaient parfaitement organisés leur action. En plus du courriel et de sa méthode de diffusion, ils avaient enregistré le domaine https://app.colnhouse.com. Un typosquatting. Le i de CoinHouse remplacé par un L minuscule : app.colnhouse.com

ID, Mise à jour

Infiltration de votre agenda Google

Un commentaire

Retour en force du spam via l’agenda Google. Une attaque que les malveillants ressortent de leur tiroir.

Plusieurs lecteurs de Data Security Breach se sont étonnés de mystérieux messages apparus dans leur agenda Google. Des rendez-vous proposant des rencontres via des sites pour adultes.

Bref, un spam et des publicités non sollicités via ce support.

La technique est assez simple, elle permet des phishings efficace.

L’interlocuteur malveillant annonce un rendez-vous avec vous. Si vous avez mal configuré votre compte Agenda, le rendez-vous s’affiche dans votre agenda. J’avoue profiter de cette option chez des potes qui utilisent l’enceinte connectée Google et l’Agenda. Cela permet d’énoncer des rendez-vous… particuliers !

Ce qui est intéressant est que l’alerte mail termine dans les spams. Mais l’Agenda valide l’invitation. En juin 2019, Kaspersky se faisait l’écho de ce spam.

Originalité des pirates

Les menaces de spam et de phishing qui exploitent des vecteurs d’attaque non traditionnels peuvent être lucratives pour les criminels, car elles peuvent souvent tromper avec succès des utilisateurs qui pourraient ne pas craindre une attaque plus évidente.

Cela est particulièrement vrai en ce qui concerne les services légitimes de confiance, tels que les fonctionnalités de calendrier de messagerie, qui peuvent être exploitées via ce qu’on appelle le « phishing de calendrier« .

Dans cette attaque, les agenda se retrouvent avec des rendez-vous qui se répètent sur 7 jours.

La force de Google étant aussi la géolocalisation. Les spammeurs intègrent des invitations personnalisées selon votre localisation. Bilan, les annonces affichent l’Apple Store le plus proche de chez vous pour être plus convaincant.

Pour vous protéger, rien de plus simple.

Désactivez l’ajout automatique d’invitations à votre calendrier. Pour ce faire, ouvrez Google Agenda, cliquez sur les paramètres, puis sur Paramètres d’événement.

Pour l’option « ajouter automatiquement des invitations« , cliquez sur le menu déroulant et sélectionnez « Non, ne montrer que les invitations auxquelles j’ai répondu« .

En dessous, dans la section Options d’affichage, assurez-vous que la case « Afficher les événements refusés » ne soit PAS cochée, à moins que vous ne souhaitiez spécifiquement les afficher.

Arnaque, Cyber-attaque, Cybersécurité

Varenyky, le virus qui prend des captures d’écran durant la consultation de sites pornographiques

Des chercheurs découvrent une série de campagnes de spam ciblant spécifiquement la France. Ces campagnes distribuent un code malveillant baptisé Varenyky. À l’image de beaucoup d’autres bots de ce type, Varenyky peut bien sûr envoyer du spam ou voler des mots de passe. Mais là où il se distingue, c’est qu’il est aussi capable d’espionner les écrans de ses victimes lorsqu’elles regardent du contenu sexuel en ligne.

Cette campagne de spam est apparue sur le radar des chercheurs ESET lors d’un premier pic de distribution en mai 2019, et n’a pas cessé d’évoluer depuis. « Nous pensons que ce spambot est en plein développement, car il a considérablement changé depuis la première fois que nous l’avons vu. Comme toujours, nous recommandons aux utilisateurs d’être prudents lorsqu’ils ouvrent des pièces jointes de sources inconnues et de s’assurer que leur système et leurs logiciels de sécurité sont tous à jour », explique Alexis Dorais-Joncas, chercheur principal au centre de R&D ESET à Montréal.

Les victimes de Varenyky sont en effet infectées en ouvrant une pièce jointe malveillante reçue dans un spam.

Pour changer, écrit dans un très bon français, ce qui pourrait indiquer que ses opérateurs parlent couramment notre langue. Une fois ouvert, le document exécute la charge utile malveillante, qui amorce à son tour le processus d’infection.

Utilisation de Tor

Enfin, à la fin de l’infection, Varenyky se met au travail et lance le logiciel Tor.

Il établit une communication anonyme avec son serveur de Commandes & Contrôle. À partir de ce moment, l’activité criminelle à proprement parler peut commencer. Le code malveillant lancera deux tâches en parallèle : diffusion de spams. Exécution sur l’ordinateur de la victime des commandes reçues depuis son serveur contrôle.

« L’une de ses capacités les plus dangereuses est qu’il recherche des mots-clés spécifiques tels que le terme ‘bitcoin’ et des mots en correspondance avec la pornographie. détaille Alexis Dorais-Joncas. Varenyky commence alors à enregistrer l’écran de l’ordinateur et télécharge ensuite l’enregistrement sur le serveur C&C », ajoute le chercheur.

Les commandes dont disposent les opérateurs leur permettent en effet de prendre des captures d’écran, mais aussi de lire les textes qui s’y affichent.

Nous connaissions déjà bien entendu les fausses campagnes de sextorsion, dans lesquels les criminels ne détenaient pas réellement d’images incriminantes de la victime. Mais la diffusion de Varenyky pourrait très bien conduire cette fois à de véritables campagnes de ce type. Sans compter l’autofinancement en parallèle par la capacité de vol d’identifiants des portefeuilles Bitcoin.

« Il faut également ajouter que Varenyky est aussi capable de voler les mots de passe, grâce au déploiement d’une application potentiellement dangereuse », explique Alexis Dorais-Joncas.

Intéressant, mais étonnant ! Quel intérêt pour un code malveillant de filmer les sites pornos ! Il aurait été plus judicieux d’allumer la webcam présente pour filmer le visiteur. Une perte de temps, d’énergie et d’outil. Quel est la chance de tomber sur un internaute qui possède du Bitcoin et qui visite des sites pour adultes. Trop peu pour que cet outil soit rentable !