Vue normale

Il y a de nouveaux articles disponibles, cliquez pour rafraîchir la page.
À partir d’avant-hierFlux principal

Attention à ces faux sites web dans vos recherches de cadeaux

22 novembre 2023 à 16:19

Le Black Friday, avec le lancement des achats de cadeaux pour Noël, est devenu la période classique où les arnaques en tout genre débarquent dans les boites mail. Voici quelques exemples d’escroqueries montées par les pirates, auxquels vous devriez prendre garde.

Orange a fabriqué une extension Chrome qui détecte les sites de phishing 

29 novembre 2023 à 16:50

Destiné à un usage interne dans un premier temps, HookAlert utilise l'intelligence artificielle pour détecter si un site est un vrai ou un faux. Il renvoie ensuite l'utilisateur vers le bon site.

Les formulaires Google utilisés à des fins de phishing

Par : UnderNews
12 décembre 2023 à 13:14

Les cas d’utilisation de Google Forms pour l’envoi de formulaires sont infinis : un questionnaire pour élèves, un espace pour recueillir des commentaires ou simplement un emplacement centralisé pour les inscriptions. Tribune par Jeremy Fuchs, chercheur/analyste en cybersécurité, Check Point Software Nous sommes tous utilisateurs de boites emails, dans nos vies privées comme professionnelles. Et […]

The post Les formulaires Google utilisés à des fins de phishing first appeared on UnderNews.

Arnaques téléphoniques : voici les techniques les plus utilisées et nos conseils pour les déjouer [Sponso]

Par : humanoid xp
28 décembre 2023 à 07:45

Cet article a été réalisé en collaboration avec Bitdefender

Vous avez sécurisé tous vos appareils contre les virus et les malwares, mais que faire pour se prémunir contre les arnaques téléphoniques ? Voici un tour d’horizon des escroqueries les plus répandues, et quelques clés pour les repérer avant que le piège ne se referme sur vous. Et surtout, pour les contrer. 

Cet article a été réalisé en collaboration avec Bitdefender

Il s’agit d’un contenu créé par des rédacteurs indépendants au sein de l’entité Humanoid xp. L’équipe éditoriale de Numerama n’a pas participé à sa création. Nous nous engageons auprès de nos lecteurs pour que ces contenus soient intéressants, qualitatifs et correspondent à leurs intérêts.

En savoir plus

Les piratages de célèbres comptes X s’enchainent, activez la double authentification

16 janvier 2024 à 07:40

Trois célèbres comptes sur X (ex Twitter) ont été piratés en moins de 10 jours. Les hackers ont profité de la suppression d'une option sur le réseau social.

iPhone : 5 erreurs fréquentes qui exposent vos données aux hackers [Sponso]

Par : humanoid xp
22 janvier 2024 à 07:00

Cet article a été réalisé en collaboration avec Bitdefender

Les iPhone sont réputés comme étant les smartphones les plus sûrs du marché, mais qu’en est-il réellement ? Certaines erreurs courantes restent susceptibles de mettre en danger vos données personnelles.

Cet article a été réalisé en collaboration avec Bitdefender

Il s’agit d’un contenu créé par des rédacteurs indépendants au sein de l’entité Humanoid xp. L’équipe éditoriale de Numerama n’a pas participé à sa création. Nous nous engageons auprès de nos lecteurs pour que ces contenus soient intéressants, qualitatifs et correspondent à leurs intérêts.

En savoir plus

Derrière le conflit Israël-Hamas, la vraie cyberguerre se joue avec l’Iran

15 février 2024 à 18:14

Dans un rapport sur les cyberattaques dans le cadre du conflit Israël-Hamas, les experts en cyber de Google mettent en avant les nombreuses opérations iraniennes contre Israël depuis le 7 octobre 2023.

Pourquoi il ne faut pas publier sa carte d’identité sur les réseaux sociaux comme Emmanuel Macron

Par : Nelly Lesage
20 février 2024 à 17:42

Emmanuel Macron a tweeté au sujet de l'application France Identité, qui permet de dématérialiser des documents officiels sur le smartphone. La publication est accompagnée d'une photo de sa propre carte d'identité. C'est une pratique à éviter.

Cette énorme campagne de spams détourne les noms de domaine de grandes entreprises

27 février 2024 à 06:00

SubdoMailing, c'est le nom d'une campagne publicitaire malveillante qui est utilisée pour envoyer 5 millions d'e-mails par jour, à partir de 8 000 domaines légitimes et 13 000 sous-domaines. Faisons le point sur cette menace !

Nati Tal et Oleg Zaytsev, chercheurs en sécurité chez Guardio Labs ont mis en ligne un rapport pour évoquer cette campagne malveillante lancée en 2022. Si c'est campagne a été surnommée "SubdoMailing", ce n'est pas un hasard : les cybercriminels détournent des sous-domaines abandonnés et des domaines appartenant à des entreprises populaires pour émettre leurs e-mails malveillants.

Par exemple, les pirates utilisent des noms de domaine de MSN, McAfee, VMware, Unicef, Java.net, Marvel, Pearson, ou encore eBay. Dans le cas de VMware, les cybercriminels ont détourné le sous-domaine "cascade.cloud.vmware.com", tandis que pour MSN, ce serait le sous-domaine "marthastewart.msn.com".

L'avantage de ces domaines, c'est qu'ils semblent légitimes, aussi bien aux yeux du destinataire que des serveurs de messagerie. Ainsi, ils sont susceptibles de passer les filtres anti-spams et les mécanismes d'authentification des e-mails. Autrement dit, les e-mails malveillants parviennent à passer les contrôles SPF, DKIM et DMARC !

Plusieurs techniques utilisées : CNAME, SPF, etc...

Il est intéressant de noter que les cybercriminels analysent les zones DNS des domaines populaires à la recherche d'un enregistrement CNAME faisant correspondre un sous-domaine vers un domaine externe qui serait disponible. Ensuite, les cybercriminels ont eux-mêmes l'acquisition du domaine externe pour l'exploiter au sein de cette campagne malveillante. L'achat est effectué via NameCheap. Comme le montre l'exemple ci-dessous donné par les chercheurs en sécurité, le sous-domaine "marthastewart.msn.com" avait un enregistrement CNAME qui renvoyait vers "msnmarthastewartsweeps.com" mais qui n'appartenait plus à MSN (Microsoft) depuis plus de 20 ans !

Campagne SubdoMailing - Exemple CNAME
Source : Guardio Labs

Une seconde technique est utilisée et elle vise à tirer profit d'enregistrements SPF qui ne sont pas maintenus à jour. Ce qui intéresse les cybercriminels, c'est l'option "include :" puisqu'elle peut pointer vers des domaines externes qui ne sont plus enregistrés. Dans ce cas, c'est une aubaine pour les cybercriminels. Le cas du domaine SPF du domaine "swatch.com" est un parfait exemple puisqu'il fait référence à un domaine disponible à la vente : "directtoaccess.com" ! En achetant ce fameux domaine, les cybercriminels peuvent émettre des e-mails pour "swatch.com" de manière légitime !

Campagne SubdoMailing - Exemple SPF
Source : Guardio Labs

Une campagne de phishing supplémentaire !

Que se passe-t-il si l'on clique sur le lien d'un e-mail ? Les boutons et liens intégrés dans les e-mails redirigent les utilisateurs vers différents sites contrôlés par les cybercriminels. Parfois, il s'agit simplement de sites avec de la publicité, alors que dans d'autres cas, l'utilisateur doit faire face à une alerte de sécurité pouvant mener à un vol d'informations : compte Facebook, compte iCloud, fin d'abonnement Amazon Prime, etc... Différents prétextes sont utilisés.

Résultat, les cybercriminels disposent d'un important réseau de 8 000 domaines et 13 000 sous-domaines exploité par des serveurs SMTP situés dans le monde entier ! Guardio Labs évoque près de 22 000 adresses IP uniques utilisées pour envoyer environ 5 millions d'e-mails par jour. Cette technique est bien rodée et elle se montre très efficace !

Enfin, à partir de l'outil mis en ligne par Guardio Labs, vous pouvez vérifier si votre domaine est affecté ou non :

Source

The post Cette énorme campagne de spams détourne les noms de domaine de grandes entreprises first appeared on IT-Connect.

Authentification Windows : ces pirates volent les hash NTLM avec des e-mails malveillants !

5 mars 2024 à 07:32

Un groupe de cybercriminels associés au nom TA577 est à l'origine d'une nouvelle campagne de phishing dont l'objectif est de collecter des hash NTLM pour effectuer du détournement de comptes utilisateurs. Faisons le point sur cette menace.

Le groupe TA577 est ce que l'on appelle un "Initial access broker", c'est-à-dire qu'il est spécialisé dans le vol de données permettant l'accès à des infrastructures. Ensuite, ces données sont revendues à d'autres groupes de cybercriminels qui peuvent les utiliser au sein d'attaques. TA577 est connu pour collaborer avec d'autres gangs que vous connaissez probablement : Qbot et le ransomware Black Basta.

Les chercheurs en sécurité de chez ProofPoint ont mis en ligne un nouveau rapport pour évoquer deux campagnes de phishing initiées par TA577, les 26 et 27 février 2024. À cette occasion, le groupe de cybercriminels a envoyé des milliers d'e-mails à des centaines d'organisations dans le monde entier dans le but de voler le hash NTLM des utilisateurs pris pour cible.

Quel est l'intérêt de voler ces hash NTLM ?

Utilisé pour l'authentification Windows, notamment lorsque Kerberos ne peut pas être utilisé, l'authentification NTLM est vulnérable à différentes attaques.

Par exemple, un attaquant peut récupérer le hash NTLM et essayer de le "craquer" en mode hors ligne afin de récupérer le mot de passe du compte utilisateur en clair. Il est également possible de réutiliser tel quel le hash NTLM capturé dans une attaque de type "pass-the-hash".

Comment fonctionne la campagne de phishing de TA577 ?

Tout d'abord, sachez que cette campagne de phishing utilise la technique dite du "thread hijacking", c'est-à-dire que les e-mails semblent être des réponses à une discussion antérieure avec la cible.

Comme souvent, le danger, c'est la pièce jointe. Ici, ProofPoint explique que chaque e-mail est accompagné par une archive ZIP, et que chaque archive ZIP est unique : un destinataire = une archive ZIP. Cette archive ZIP contient un fichier HTML et dans le code source de cette page HTML, nous pouvons voir la balise META "Refresh" qui va permettre d'établir une connexion à un fichier texte situé sur un serveur distant, via le protocole SMB.

Campagne de phising - Vol hash NTLM - Février 2024
Source : ProofPoint

Windows va interpréter ce code HTML et tenter une connexion à la machine distante, de façon automatique. Cette connexion sera effectuée via le protocole NTLMv2, à l'aide du compte utilisateur avec lequel la victime est connectée. Ainsi, l'attaquant peut voler les hash NTLM à partir de son serveur distant où il reçoit les connexions.

Le fait d'utiliser une archive ZIP avec un fichier HTML, va permettre de s'appuyer sur un fichier local présent sur l'hôte. Si le code malveillant était présent directement dans le corps de l'e-mail (dans le code source HTML), ceci ne fonctionnerait pas. "Si l'URI du schéma de fichier était envoyé directement dans le corps du message, l'attaque ne fonctionnerait pas sur les clients de messagerie Outlook patchés depuis juillet 2023.", précise ProofPoint.

Cette campagne de phishing a pour seul objectif de collecter des hash NTLM dans le but de les revendre. Aucun malware n'est déployé sur les machines. Au-delà de chercher à désactiver le protocole NTLM sur Windows, vous pouvez déjà faire une chose : bloquer les flux SMB (ports 445 et 139) en direction d'Internet sur votre firewall.

Source

The post Authentification Windows : ces pirates volent les hash NTLM avec des e-mails malveillants ! first appeared on IT-Connect.

Kaspersky rapporte une augmentation de 40 % des attaques de phishing en 2023

Par : UnderNews
11 mars 2024 à 17:27

Le dispositif anti-phishing de Kaspersky a déjoué plus de 709 millions de tentatives d’accès à des pages de phishing et des sites web frauduleux en 2023, marquant une augmentation de 40 % par rapport aux chiffres de l’année précédente. Les applications de messagerie, les plateformes d’intelligence artificielle, les réseaux sociaux et les échanges de crypto-monnaies figurent […]

The post Kaspersky rapporte une augmentation de 40 % des attaques de phishing en 2023 first appeared on UnderNews.
❌
❌