Cyberattaques : Attaques par e-mail et via le navigateur

Les campagnes de phishing et les cyberattaques par e-mail sont toujours deux des plus grandes menaces auxquelles sont confrontés les utilisateurs d’ordinateurs, même des décennies après leur première apparition.

Les dernières escroqueries par hameçonnage par e-mail peuvent être très convaincantes, ce qui les rend difficiles à repérer, même par les personnes formées à la cybersécurité des e-mails. Et les résultats peuvent être préjudiciables pour une victime, tant pour ses données que pour ses finances.

Pour des nouvelles sur les dernières escroqueries par e-mail et les menaces par e-mail en matière de cybersécurité, tenez-vous au courant ci-dessous.

Cyberattaques et courrier indésirable

De nombreuses personnes dépendent d’Internet pour bon nombre de leurs activités professionnelles, sociales et personnelles. Mais il y a aussi des gens qui tentent d’endommager nos ordinateurs connectés à Internet, de violer notre vie privée et de rendre les services Internet inutilisables.

Le courrier électronique est un service universel utilisé par plus d’un milliard de personnes dans le monde. En tant que l’un des services les plus populaires, le courrier électronique est devenu une vulnérabilité majeure pour les utilisateurs et les organisations.

Même avec des fonctionnalités de sécurité, certains messages peuvent passer entre les mailles du filet. Soyez vigilant et vérifiez les éléments suspects suivants :

• E-mail sans objet
• E-mail demandant des informations sur un compte
• E-mail contenant des mots mal orthographiés ou une ponctuation inhabituelle
• E-mail contenant des liens très longs ou difficiles à lire
• E-mail ayant l’apparence d’une correspondance émanant d’une entreprise connue
• E-mail demandant expressément à l’utilisateur d’ouvrir une pièce jointe

Voici quelques-uns des types d’attaques les plus courants.

Le Phishing

Le phishing est une forme de fraude. Les cybercriminels utilisent le courrier électronique, la messagerie instantanée ou d’autres médias sociaux pour essayer de recueillir des informations telles que les identifiants de connexion en se faisant passer pour une personne de bonne réputation.

L’hameçonnage se produit lorsqu’une partie malveillante envoie un e-mail frauduleux déguisé en provenance d’une source autorisée et fiable. L’intention du message est d’inciter le destinataire à installer des logiciels malveillants sur son appareil ou à partager des informations personnelles ou financières.

Ces attaques utilisent des techniques d’ ingénierie sociale pour inciter le destinataire de l’e-mail à croire que le message est quelque chose qu’il veut ou dont il a besoin (une demande de sa banque, par exemple, ou une note d’un membre de son entreprise) et à cliquer sur un lien ou télécharger une pièce jointe. .

“Phish” se prononce exactement comme il est orthographié, c’est-à-dire comme le mot “poisson” – l’analogie est celle d’un pêcheur lançant un hameçon appâté là-bas (l’e-mail de phishing) et espérant que vous mordiez.

Les e-mails d’hameçonnage peuvent être ciblés de différentes manières, certains n’étant pas ciblés du tout, d’autres étant « ciblés en douceur » sur une personne jouant un rôle particulier dans une organisation, et d’autres sur des personnes spécifiques de grande valeur.

Historique d’hameçonnage

L’un des types de cyberattaques les plus anciens, le phishing remonte aux années 1990 et reste l’un des plus répandus et des plus pernicieux, avec des messages et des techniques de phishing de plus en plus sophistiqués.

Le terme est apparu parmi les pirates visant à inciter les utilisateurs d’AOL à donner leurs informations de connexion. Le “ph” fait partie d’une tradition d’orthographe fantaisiste des hackers et a probablement été influencé par le terme “phreaking”, abréviation de “phone phreaking”, une première forme de piratage qui impliquait de jouer des tonalités sonores dans les combinés téléphoniques pour obtenir des appels téléphoniques gratuits. .

Certaines escroqueries par hameçonnage ont assez bien réussi pour faire des vagues :

• L’une des attaques de phishing les plus importantes de l’histoire s’est peut-être produite en 2016, lorsque des pirates ont réussi à convaincre le président de la campagne d’Hillary Clinton, John Podesta, d’ offrir son mot de passe Gmail .
• L’attaque “fappening”, dans laquelle des photos intimes d’un certain nombre de célébrités ont été rendues publiques , était à l’origine considérée comme le résultat de l’insécurité sur les serveurs iCloud d’Apple, mais était en fait le produit d’un certain nombre de tentatives de phishing réussies.
• En 2016, des employés de l’Université du Kansas ont répondu à un e-mail de phishing et ont donné accès à leurs informations de dépôt de chèque de paie , ce qui leur a fait perdre leur salaire.

Ce qu’un e-mail de phishing peut faire

Il existe plusieurs façons de diviser les attaques en catégories. L’un est le but de la tentative d’hameçonnage, c’est-à-dire ce qu’elle est censée faire. Généralement, une campagne de phishing tente d’inciter la victime à faire l’une des deux choses suivantes :

Transmettez des informations sensibles. Ces messages visent à inciter l’utilisateur à révéler des données importantes, souvent un nom d’utilisateur et un mot de passe que l’attaquant peut utiliser pour violer un système ou un compte. La version classique de cette arnaque consiste à envoyer un e-mail conçu pour ressembler à un message d’une grande banque ; en envoyant le message à des millions de personnes, les attaquants s’assurent qu’au moins certains des destinataires seront des clients de cette banque. La victime clique sur un lien dans le message et est redirigée vers un site malveillant conçu pour ressembler à la page Web de la banque, puis entre, espérons-le, son nom d’utilisateur et son mot de passe. L’attaquant peut désormais accéder au compte de la victime.

Télécharger des logiciels malveillants. Comme beaucoup de spams, ces types d’e-mails de phishing visent à amener la victime à infecter son propre ordinateur avec des logiciels malveillants. Souvent, les messages sont « soft-ciblés » – ils peuvent être envoyés à un membre du personnel des RH avec une pièce jointe qui prétend être le CV d’un demandeur d’emploi, par exemple. Ces pièces jointes sont souvent des fichiers .zip ou des documents Microsoft Office contenant du code malveillant intégré. L’une des formes les plus courantes de code malveillant est le ransomware. En 2017, on estimait que 93 % des e-mails de phishing contenaient des pièces jointes de ransomware .

Types d’hameçonnage

Une autre façon de classer ces attaques est de savoir qui elles ciblent et comment les messages sont envoyés. S’il y a un dénominateur commun parmi les attaques de phishing, c’est le déguisement. Les attaquants usurpent leur adresse e-mail pour donner l’impression qu’elle provient de quelqu’un d’autre, créent de faux sites Web qui ressemblent à ceux auxquels la victime fait confiance et utilisent des jeux de caractères étrangers pour déguiser les URL .

Cela dit, il existe une variété de techniques qui relèvent du phishing. Chacun de ces types de phishing est une variation sur un thème, l’attaquant se faisant passer pour une entité de confiance quelconque, souvent une personne réelle ou vraisemblablement réelle, ou une entreprise avec laquelle la victime pourrait faire affaire.

Hameçonnage par e-mail : avec les attaques de phishing généralisées sur le marché de masse, des e-mails sont envoyés à des millions de victimes potentielles pour tenter de les inciter à se connecter à de fausses versions de sites Web très populaires.

Ironscales a répertorié les marques les plus populaires utilisées par les pirates dans leurs tentatives de phishing. Parmi les plus de 50 000 fausses pages de connexion surveillées par l’entreprise, voici les principales marques utilisées par les attaquants :

• PayPal : 22 %
• Microsoft : 19 %
• Facebook : 15 %
• eBay : 6 %
• Amazon : 3 %

Spear phishing : Lorsque les attaquants élaborent un message pour cibler un individu spécifique. Par exemple, le spear phisher peut cibler quelqu’un du service financier et se faire passer pour le responsable de la victime en demandant un virement bancaire important à court terme.

Le Whaling : le hameçonnage à la baleine, ou chasse à la baleine , est une forme d’hameçonnage ciblé visant les très gros poissons — les PDG ou d’autres cibles de grande valeur comme les membres du conseil d’administration de l’entreprise .

Recueillir suffisamment d’informations pour tromper une cible de très grande valeur peut prendre du temps, mais cela peut avoir un rendement étonnamment élevé. En 2008, les cybercriminels ont ciblé les PDG d’entreprises avec des e-mails prétendant être accompagnés d’assignations du FBI. En fait, ils ont téléchargé des enregistreurs de frappe sur les ordinateurs des cadres et le taux de réussite des escrocs était de 10 %, faisant près de 2 000 victimes.

Compromission de messagerie professionnelle (BEC) : type d’attaque de phishing ciblée dans laquelle les attaquants prétendent être le PDG d’une entreprise ou un autre cadre supérieur, généralement pour amener d’autres personnes de cette organisation à transférer de l’argent.

Vishing et smishing : hameçonnage via un appel téléphonique et un SMS , respectivement.

D’autres types d’hameçonnage incluent l’hameçonnage par clone, la raquette, l’hameçonnage sur les réseaux sociaux, etc. La liste s’allonge à mesure que les attaquants font constamment évoluer leurs tactiques et leurs techniques.

Comment fonctionne le phishing ?

Tous les outils nécessaires pour lancer des campagnes de phishing (connus sous le nom de kits de phishing ), ainsi que des listes de diffusion sont facilement disponibles sur le dark web , ce qui permet aux cybercriminels, même ceux qui ont des compétences techniques minimales, de réaliser facilement des attaques de phishing.

Un kit de phishing regroupe des ressources et des outils de sites Web de phishing qui doivent uniquement être installés sur un serveur. Une fois installé, tout ce que l’attaquant doit faire est d’envoyer des e-mails aux victimes potentielles.

Certains kits de phishing permettent aux attaquants d’usurper des marques de confiance, augmentant ainsi les chances que quelqu’un clique sur un lien frauduleux. Les recherches d’Akamai fournies dans son rapport Phishing–Baiting the Hook ont ​​trouvé 62 variantes de kit pour Microsoft, 14 pour PayPal, sept pour DHL et 11 pour Dropbox.

Le rapport de Duo Labs,  Phish in a Barrel, comprend une analyse de la réutilisation des kits de phishing. Sur les 3 200 kits de phishing découverts par Duo, 900 (27 %) ont été trouvés sur plusieurs hôtes. Ce nombre pourrait cependant être plus élevé. « Pourquoi n’observe-t-on pas un pourcentage plus élevé de réutilisation des kits ? Peut-être parce que nous mesurions sur la base du hachage SHA1 du contenu du kit. Une seule modification d’un seul fichier dans le kit apparaîtrait comme deux kits distincts, même s’ils sont par ailleurs identiques », a déclaré Jordan Wright, ingénieur R&D senior chez Duo et auteur du rapport.

Lire aussi : Cybercriminels : Qui sont-ils ? Comment opèrent-ils ?

Comment prévenir l’hameçonnage ?

La meilleure façon d’apprendre à repérer les e-mails de phishing est d’étudier des exemples capturés dans la nature ! Le département des services technologiques de l’université de Lehigh tient à jour une galerie d’e-mails de phishing récents reçus par les étudiants et le personnel .

Il existe également un certain nombre de mesures que vous pouvez prendre et d’états d’esprit que vous devriez adopter pour vous empêcher de devenir une statistique de phishing, notamment :

• Vérifiez toujours l’orthographe des URL dans les liens des e-mails avant de cliquer ou de saisir des informations sensibles
• Méfiez-vous des redirections d’URL, où vous êtes subtilement envoyé vers un site Web différent avec un design identique
• Si vous recevez un e-mail d’une source que vous connaissez mais que cela semble suspect, contactez cette source avec un nouvel e-mail, plutôt que de simplement répondre
• Ne publiez pas de données personnelles, telles que votre date de naissance, vos projets de vacances, votre adresse ou votre numéro de téléphone, publiquement sur les réseaux sociaux

Si vous travaillez dans le service de sécurité informatique de votre entreprise, vous pouvez mettre en œuvre des mesures proactives pour protéger l’organisation, notamment :

• E-mail entrant “Sandboxing”, vérifiant la sécurité de chaque lien sur lequel un utilisateur clique
• Inspection et analyse du trafic Web
• Mener des tests de phishing pour trouver les points faibles et utiliser les résultats pour éduquer les employés

Encouragez les employés à vous envoyer des e-mails suspectés d’hameçonnage, puis faites suivre par un mot de remerciement.

Les autres types d’attaques courantes

• Pharming : Le pharming est l’usurpation d’identité d’un site Web autorisé dans le but de tromper les utilisateurs pour qu’ils saisissent leurs informations d’identification. Le pharming redirige les utilisateurs vers un faux site Web qui semble être officiel. Les victimes entrent alors leurs informations personnelles en pensant qu’elles sont connectées à un site légitime.
• Logiciel espion : un logiciel espion est un logiciel qui permet à un criminel d’obtenir des informations sur les activités informatiques d’un utilisateur. Les logiciels espions incluent souvent des trackers d’activité, la collecte de frappes et la capture de données. Pour tenter de contourner les mesures de sécurité, les logiciels espions modifient souvent les paramètres de sécurité. Les logiciels espions se regroupent souvent avec des logiciels légitimes ou avec des chevaux de Troie. De nombreux sites Web de shareware regorgent de logiciels espions.
• Scareware : Scareware persuade l’utilisateur de prendre une action spécifique basée sur la peur. Les scareware forgent des fenêtres contextuelles qui ressemblent aux fenêtres de dialogue du système d’exploitation. Ces fenêtres transmettent des messages falsifiés indiquant que le système est à risque ou a besoin de l’exécution d’un programme spécifique pour revenir à un fonctionnement normal. En réalité, aucun problème n’existe, et si l’utilisateur accepte et permet au programme mentionné de s’exécuter, un logiciel malveillant infecte son système.
• Logiciels publicitaires : les logiciels publicitaires affichent généralement des fenêtres contextuelles gênantes pour générer des revenus pour leurs auteurs. Le logiciel malveillant peut analyser les intérêts des utilisateurs en suivant les sites Web visités. Il peut ensuite envoyer des publicités contextuelles pertinentes pour ces sites. Certaines versions de logiciels installent automatiquement Adware.
• Spam : le spam (également connu sous le nom de courrier indésirable) est un courrier électronique non sollicité. Dans la plupart des cas, le spam est une méthode de publicité. Cependant, le spam peut envoyer des liens nuisibles, des logiciels malveillants ou du contenu trompeur. L’objectif final est d’obtenir des informations sensibles telles qu’un numéro de sécurité sociale ou des informations sur un compte bancaire. La plupart des spams proviennent de plusieurs ordinateurs sur des réseaux infectés par un virus ou un ver. Ces ordinateurs compromis envoient autant d’e-mails en masse que possible.

Failles de sécurité provenant des navigateurs web

Plug-ins et empoisonnement du navigateur

Les failles de sécurité peuvent affecter les navigateurs web en affichant des fenêtres publicitaires, en collectant des informations permettant d’identifier une personne ou encore en installant des logiciels publicitaires, des virus ou des logiciels espions. Un cybercriminel peut pirater le fichier exécutable d’un navigateur, ses composants ou ses plug-ins.

Plugins

Les plug-ins Flash et Shockwave d’Adobe permettent de développer de superbes animations qui améliorent sensiblement l’apparence d’une page web. Les plug-ins affichent le contenu développé à l’aide d’un logiciel approprié.

Jusqu’il y a peu, les plug-ins offraient un niveau de sécurité remarquable. Cependant, constatant la popularité du contenu Flash, les criminels ont examiné les logiciels et plug-ins Flash, détecté les vulnérabilités et exploité Flash Player. Une exploitation réussie peut entraîner une panne du système ou autoriser un criminel à prendre le contrôle du système infecté. On peut s’attendre à une augmentation des pertes de données à mesure que les criminels continueront d’étudier les protocoles et plug-ins populaires à la recherche de vulnérabilités.

Empoisonnement par SEO

Les moteurs de recherche comme Google fonctionnent en classant des pages et en présentant les résultats pertinents en fonction des requêtes de recherche des utilisateurs. En fonction de la pertinence du contenu du site Web, celui-ci peut se situer plus haut ou plus bas sur la liste des résultats de recherche. L’optimisation pour les moteurs de recherche ou SEO est un ensemble de techniques utilisées pour améliorer le classement d’un site Web par un moteur de recherche.

Alors que de nombreuses entreprises légitimes se spécialisent dans l’optimisation de sites web pour un meilleur positionnement, l’empoisonnement par SEO (Search Engine Optimization) utilise la technologie de SEO afin de faire apparaître un site web malveillant en tête des résultats de recherche.

L’objectif le plus commun de l’empoisonnement par SEO est d’augmenter le trafic vers des sites malveillants qui peuvent héberger un malware ou effectuer une ingénierie sociale. Pour forcer un site malveillant à se classer au sommet des résultats de recherche, les agresseurs tirent parti des termes de recherche populaires.

Piratage de navigateur

Un pirate de navigateur est un malware qui modifie les paramètres du navigateur afin de rediriger l’utilisateur vers des sites web financés par les clients du cybercriminel. En règle générale, ces programmes sont installés à l’insu de l’utilisateur et font partie d’un téléchargement de type « drive-by ». Un téléchargement de type « drive-by » est un programme qui se télécharge automatiquement sur un ordinateur lorsqu’un utilisateur consulte un site web ou affiche un message électronique au format HTML. Pour éviter ce type de malware, lisez toujours attentivement les contrats d’utilisation lorsque vous téléchargez des programmes.

Protection contre les attaques par e-mail et via le navigateur

Il existe plusieurs méthodes pour lutter contre le courrier indésirable : filtrer les e-mails, apprendre aux utilisateurs à se méfier des e-mails envoyés par des inconnus ou encore utiliser des filtres d’hôte/serveur.

S’il est difficile d’éradiquer le spam, certaines méthodes permettent toutefois d’en limiter les effets. Par exemple, la plupart des fournisseurs d’accès Internet filtrent le courrier indésirable avant qu’il n’arrive dans la boîte de réception de l’utilisateur. De nombreux logiciels antivirus et de messagerie procèdent à un filtrage automatique des e-mails. Cela signifie qu’ils détectent et suppriment le courrier indésirable de la boîte de réception.

Les entreprises doivent également informer leurs employés des dangers que représentent les pièces jointes aux e-mails, qui peuvent contenir un virus ou un ver informatique. Soyez vigilant avec les pièces jointes des e-mails, même si les messages proviennent d’un contact de confiance. Il se peut qu’un virus tente de se propager en utilisant l’ordinateur de l’expéditeur. Analysez toujours les pièces jointes avec un programme antivirus avant de les ouvrir.

L’Anti-Phishing Working Group (APWG) est une association industrielle qui s’attache à éliminer l’usurpation d’identité et la fraude dues au phishing et à l’usurpation d’adresse électronique.

Veiller à la mise à jour des logiciels permet de s’assurer que le système dispose de tous les correctifs de sécurité nécessaires pour éliminer les vulnérabilités connues.