FreshRSS

🔒
❌ À propos de FreshRSS
Il y a de nouveaux articles disponibles, cliquez pour rafraîchir la page.
À partir d’avant-hierFlux principal

Phishing : l’éventail ingénieux des cybercriminels

23 juin 2022 à 16:40
Par : UnderNews

Les cybercriminels ont toujours joué sur nos mécanismes psychologiques pour infiltrer nos boîtes mail. Proofpoint a observé d'innombrables tactiques et procédures s'appuyant sur notre propension à ouvrir et répondre, ou non, à nos mails.

The post Phishing : l’éventail ingénieux des cybercriminels first appeared on UnderNews.

Phishing : une nouvelle campagne avec de faux messages vocaux cible les comptes Microsoft 365

21 juin 2022 à 15:04

Actuellement, les États-Unis sont ciblés par une nouvelle campagne de phishing dont l'objectif est de dérober les identifiants de connexion à Microsoft 365 et Outlook.com. Cette campagne cible les organisations dans différents secteurs, notamment l'armée, la santé, l'industrie pharmaceutique et les éditeurs de logiciels de sécurité.

Pour tenter de piéger les utilisateurs, les cybercriminels à l'origine de cette campagne malveillante cherchent à diffuser une pièce jointe HTML malveillante, qui prend la forme d'une fausse notification de messagerie vocale. D'après les chercheurs en sécurité de chez ZScaler, cette campagne a plusieurs points communs avec une campagne analysée précédemment, à la mi-juin 2020.

L'utilisateur reçoit un e-mail avec le titre "Vous avez un nouveau message vocal" dans sa boîte mail, et il est invité à lire le message vocal qui est en pièce jointe, sauf qu'il s'agit d'un piège bien entendu. En effet, la pièce jointe malveillante, bien qu'elle ait un nom plutôt rassurant, contient un code JavaScript obscurci qui conduit la victime vers un site de phishing.

Pour tenter de tromper la victime, l'adresse URL contient le nom de l'entreprise ciblée dans le nom, en tant que sous-domaine de celui utilisé par les pirates informatiques. Pour éviter les détections avec les services anti-phishing, l'utilisateur doit compléter un CAPTCHA avant de pouvoir accéder à l'étape suivante, ce qui est une manière aussi de lui montrer que c'est un site protégé. Au final, il arrive sur une fausse page de connexion à son compte Microsoft dans le but de lui dérober ses identifiants de connexion.

Les personnes éduquées sur le sujet remarqueront rapidement que le domaine n'est pas celui de Microsoft et qu'il s'agit d'un piège. Visiblement, les cybercriminels utilisent les domaines suivants dans le cadre de cette attaque :

  • briccorp[.]com
  • bajafulfillrnent[.]com
  • bpirninerals[.]com
  • lovitafood-tw[.]com
  • dorrngroup[.]com
  • lacotechs[.]com
  • brenthavenhg[.]com
  • spasfetech[.]com
  • mordematx[.]com
  • antarnex[.]com

Enfin, pour acheminer les messages vocaux, les cybercriminels s'appuient sur des services de messagerie électronique basés Japon et ils en profitent pour usurper l'adresse de l'expéditeur, en reprenant une adresse e-mail correspondante à l'organisation ciblée, toujours dans l'objectif de rassurer la victime en quelque sorte. Le prétexte du message vocal est fréquemment utilisé, depuis plusieurs années et c'est une méthode qui continue de faire ses preuves.

Si vous souhaitez entraîner vos utilisateurs à la détection d'e-mails de phishing, vous pouvez tester Gophish (voir mon article à ce sujet).

Source

The post Phishing : une nouvelle campagne avec de faux messages vocaux cible les comptes Microsoft 365 first appeared on IT-Connect.

Sur le darknet, vos informations personnelles sont vendues pour moins de 10 euros

14 juin 2022 à 12:32

Une étude réalisée par NordVPN liste le prix moyen des données privées et des papiers d'identité sur le darknet. Il est possible d'acquérir des identifiants pour quelques pièces.  [Lire la suite]

Abonnez-vous aux newsletters Numerama pour recevoir l’essentiel de l’actualité https://www.numerama.com/newsletter/

Cette plateforme française recense les menaces cyber contre l’Ukraine

13 juin 2022 à 14:23

Un projet commun du Campus Cyber avec plusieurs acteurs privés recense les attaques survenues en Ukraine depuis le début de la guerre et propose de télécharger des fichiers pour se prévenir des attaques.  [Lire la suite]

Abonnez-vous aux newsletters Numerama pour recevoir l’essentiel de l’actualité https://www.numerama.com/newsletter/

Pourquoi êtes-vous harcelé par les arnaques au CPF ?

13 juin 2022 à 07:30

Depuis son lancement en 2019, le compte personnel de formation attire massivement les escrocs qui cherchent à dérober cet argent alloué à tous les actifs français. Il est difficile de s'extirper de ce harcèlement.  [Lire la suite]

Abonnez-vous aux newsletters Numerama pour recevoir l’essentiel de l’actualité https://www.numerama.com/newsletter/

« Nouvelle connexion sur votre compte » : attention à ce phishing qui imite Metamask

9 juin 2022 à 17:16

Des escrocs tentent de se faire passer pour Metamask, le populaire service de portefeuille de cryptomonnaies. Faites attention aux mails que vous recevez.  [Lire la suite]

Abonnez-vous aux newsletters Numerama pour recevoir l’essentiel de l’actualité https://www.numerama.com/newsletter/

Spear phishing : Microsoft a bloqué 41 domaines utilisés par les pirates de Bohrium

8 juin 2022 à 09:07

L'unité de Microsoft dédiée aux crimes numériques a engagé des poursuites judiciaires contre des cybercriminels iraniens, surnommés Bohrium, qui agissaient dans le cadre d'une opération de spear phishing.

Microsoft Digital Crimes Unit (DCU) affirme que ce groupe de cybercriminels aurait des entreprises dans différents secteurs, notamment de la technologie, du transport, mais aussi des entités gouvernementales et des écoles. Ces attaques ciblées concernent des établissements situés aux États-Unis, au Moyen-Orient et en Inde.

Pour rappel, une attaque de spear phishing est une attaque de type hameçonnage à laquelle s'ajoute une couche d'ingénierie sociale, ce qui signifie que ces attaques sont plus ou moins ciblées selon les méthodes utilisées. Dans le cas présent, Amy Hogan-Burney du DCU, précise : "Les acteurs de Bohrium créent de faux profils sur les médias sociaux, se faisant souvent passer pour des recruteurs". Elle ajoute également : "Une fois les informations personnelles des victimes obtenues, Bohrium envoie des e-mails malveillants avec des liens dont l'objectif est d'infecter les ordinateurs de leurs cibles avec des logiciels malveillants."

Grâce à ces attaques et à l'installation des malwares, les cybercriminels espéraient exfiltrer des informations sensibles, prendre le contrôle des machines infectées et explorer l'infrastructure compromise. En réaction aux activités de Bohrium et pour mettre fin à ces activités malveillantes, Microsoft a supprimé 41 domaines ".com", ".info", ".live", ".me", ".net", ".org" et ".xyz" utilisés par l'infrastructure de serveurs C2 (Command & Control) des pirates informatiques.

Récemment, Microsoft a également contrarié les activités des cybercriminels du groupe Polonium qui s'appuyaient sur OneDrive dans le cadre d'attaques informatiques.

Source

The post Spear phishing : Microsoft a bloqué 41 domaines utilisés par les pirates de Bohrium first appeared on IT-Connect.

350 000 euros de NFT dérobés : les hackers utilisent toujours la même méthode

6 juin 2022 à 11:11

Les propriétaires des célèbres Bored Ape Yacht Club ont encore été ciblés par un piratage. Cette fois, les attaquants ont usurpé le compte du community manager de la société pour tromper les victimes.  [Lire la suite]

Abonnez-vous aux newsletters Numerama pour recevoir l’essentiel de l’actualité https://www.numerama.com/newsletter/

Les arnaques cryptos pullulent : vous pouvez les signaler sur cette plateforme

4 juin 2022 à 16:53

Le monde des crypto-monnaies est plein d'arnaques, que ce soit l'achat de faux jetons, des tentatives de vol de NFT, des phishings, ou des investissements dans des projets louches. Il existe un site pour vous aider à vous repérer.  [Lire la suite]

Abonnez-vous aux newsletters Numerama pour recevoir l’essentiel de l’actualité https://www.numerama.com/newsletter/

Un VPN peut-il limiter les e-mails de phishing ?

26 mai 2022 à 07:00

Les cybermenaces peuvent commencer par quelque chose d'aussi simple qu'un courrier électronique. Certains sites Web douteux ont tendance à collecter des adresses e-mail dans le seul but de constituer des listes à transmettre aux pirates informatiques. À partir de là, ces boîtes aux lettres sont ciblées régulièrement par des campagnes de phishing, ce qui va venir remplir la boîte de courriers indésirables de l'utilisateur, même si certains e-mails finiront toujours par arriver dans la boîte de réception. Un courrier électronique malveillant, c'est souvent de là que commence une attaque informatique. Vous vous demandez peut-être si un VPN peut vous aider à améliorer votre expérience en ligne et à la rendre plus sûre ? Autrement dit, un VPN peut-il arrêter ou réduire le spam, empêcher les e-mails malveillants de type "phishing" et vous protéger contre d'autres cybermenaces dangereuses ? Réponse dans cet article.

Le phishing en quelques mots

Le phishing, ou hameçonnage en français, est une escroquerie très courante sur Internet permettant d'inciter l'utilisateur à communiquer des informations personnelles à son sujet en se faisant passer pour un tiers de confiance, c'est-à-dire un organisme ou une entreprise connue. L'objectif des pirates informatiques à l'origine de l'attaque est de récupérer des identifiants, des mots de passe, des adresses e-mail, mais également des coordonnées bancaires afin d'arnaquer la victime.

Par exemple, l'utilisateur reçoit un e-mail aux couleurs de sa banque où il lui est demandé de se connecter immédiatement sur son compte pour vérifier la dernière opération bancaire qui vient d'être effectuée. Paniqué, l'utilisateur va cliquer sur le lien afin d'accéder au site Web, se connecter avec ses identifiants bancaires et se faire piéger ! En effet, l'e-mail en question n'était qu'un e-mail falsifié envoyé dans le cadre d'une campagne de phishing, et le site n'est qu'une vulgaire copie du site officiel de la banque. Résultat, les identifiants de connexion de l'utilisateur sont entre les mains des pirates. Ce type d'escroquerie s'applique à des services et sites divers et variés : sites des impôts, compte Office 365, compte Google, compte Améli pour l'Assurance Maladie, etc.

Cet article du site Cybermalveillance.gouv.fr explique très bien le comportement à tenir pour se protéger et différencier un e-mail légitime d'un e-mail malveillant.

Un VPN peut-il empêcher le phishing ?

Les pirates ne manquent pas d'imagination lorsqu'il s'agit de créer des campagnes de phishing toujours plus vraie, toujours plus trompeuse. Résultat, elles parviennent toujours à faire de nouvelles victimes, malheureusement. Soyons clairs dès le départ : aucun logiciel ne peut éliminer complètement le risque. Néanmoins, on peut réduire le risque et en étant vigilant, réussir à esquiver les différentes tentatives.

Les différents services de messagerie intègrent des filtres anti-spam, ce qui va permettre de donner un score à chaque e-mail que vous allez recevoir afin de déterminer s'il est légitime ou non. Ensuite, il pourra être bloqué totalement, être orienté vers votre boîte de courriers indésirables ou arriver dans votre boîte de réception.

En utilisant une bonne solution VPN, il est possible d'éliminer certains risques, et donc indirectement, de se protéger. Le détail se trouve dans la suite de cet article.

Gardez à l'esprit que, lorsque l'on active son accès VPN grand public, tout le trafic transite vers ce tunnel VPN. On parle de full tunnel, ou tunnel complet en français. Dans certains cas, c'est gênant, car certaines applications ou certains services seront perturbés par la présence d'un VPN, et notamment la latence du VPN. Pour proposer un mode hybride, si on peut l'appeler ainsi, il est bon de connaître la fonctionnalité de tunneling partagé du VPN par PIA qui va permettre d'exclure certains flux du VPN afin d'avoir plus de confort à l'usage. On parle de split tunnel.

Comment un VPN peut-il limiter le phishing ?

Un accès VPN va vous permettre de bloquer certaines attaques de phishing, mais peu surtout réduire la quantité d'e-mails que vous recevez dans le cadre de campagnes de phishing. Par définition, un service de VPN grand public va permettre de surfer de façon anonyme sur Internet, de bloquer le tracking publicitaire, la géolocalisation, et de sécuriser vos communications grâce aux différents niveaux de chiffrement du tunnel VPN.

En limitant la collecte de données personnelles, vous êtes plus discret sur Internet, et donc potentiellement, vous serez moins ciblés par les campagnes de phishing. Accessoirement, c'est la quantité de courriers indésirables qui sera réduite. Quand c'est trop tard, et que l'e-mail de phishing est déjà dans votre boîte de réception, c'est plus compliqué.

Néanmoins, certains services VPN, tels que NordVPN, incluent des fonctionnalités spécialement conçues pour détecter et bloquer les sites Web malveillants. Cela signifie que si vous cliquez sur un lien dans un e-mail de phishing, le service peut vous avertir que le site n'est pas sûr et qu'il peut essayer de voler vos informations. C'est intéressant, car ces services maintiennent une base de données de liens de sites Web qui sont réputés pour être assimilés à du phishing. Grâce à cette base, le VPN peut bloquer les sites malveillants et éviter que les utilisateurs tombent dans le piège.

The post Un VPN peut-il limiter les e-mails de phishing ? first appeared on IT-Connect.

Le phishing par Browser-in-the Browser (BITB) : comment ça marche

17 mai 1980 à 16:26

Dans ce tutoriel, je vais expliquer le fonctionnement des attaques Browser-in-the Browser (BITB).
Il s’agit d’une méthode de phishing très vicieuse qui vise à voler des identifiants Google, Facebook, Steam, Microsoft, Twitter ou Apple.

Voici quelques explications sur cette méthode sophistiquée de Browser-in-the Browser (BITB) utilisée dans des attaques de phishing, comme toujours, une fois que vous avez compris le fonctionnement, vous avez moins de chance de vous faire avoir.

Phishing et arnaque : utilisation du plein écran sur les navigateurs internet

Le phishing par Browser-in-the Browser (BITB) : comment ça marche

L’attaque par Browser-in-the Browser (BITB) simule une fenêtre du navigateur internet dans le navigateur internet afin de contourner un domaine légitime, permettant ainsi de rendre les attaques de phishing plus difficiles à détecter.

Du phishing vise à exploiter l’authentification unique (SSO) ont d’ores et déjà été utilisés.
Pour rappel, ce dernier permet à un utilisateur de s’identifier sur un site avec un compte unique à partir d’un compte Google, compte Microsoft, Facebook, Steam ou Twitter.

Lorsqu’un utilisateur tente de s’identifier par ces méthodes, une popup s’ouvre pour terminer le processus d’authentification.
L’attaque BITB vise à reproduire tout ce processus en utilisant un mélange de code HTML et CSS pour créer une fenêtre de navigateur entièrement fabriquée.
La combinaison des fenêtres avec une iframe pointant vers le serveur malveillant hébergeant la page de phishing, et il est essentiellement indiscernable.

Le point problématique est que la fenêtre HTML reconstitué permet d’afficher une URL légitime.
Or, le premier réflexe de l’utilisateur est de vérifier l’adresse WEB (URL) pour s’assurer qu’il est bien sur le site légitime et non sur un site de phishing.
Comme le montre la capture d’écran ci-dessous entre la page de phishing à gauche et la page réelle à droite, il n’y a presque aucune différence.

Le phishing par Browser-in-the Browser (BITB) : comment ça marche

Cela rend donc les attaques Browser-in-the Browser (BITB) particulièrement efficaces.

En février 2020, Zcaler avait remonté une attaque visant les comptes Steam.
Par exemple sur ce faux forum CS:GO, la connexion reprend l’authentification par Steam.
Comme vous pouvez le constater l’URL qui s’affiche est la bonne et en HTTPS.

Le phishing par Browser-in-the Browser (BITB)

Comment se protéger des attaques Browser-in-the Browser (BITB) ?

Tout d’abord, il faut oublier la vérification de l’URL.
Il est possible de détecter que vous n’avez pas affaire à une véritable popup en vérifiant le comportement de celle-ci.
Par exemple, en déplaçant la fenêtre au bord de l’écran, lorsqu’il s’agit d’une véritable popup du navigateur elle se comporte comme telle et va s’ancrer.
Avec une page HTML, celle-ci sort de l’écran.
Mais cela reste assez difficile pour un utilisateur non confirmé.

De même, il est aussi possible de vérifier le code HTML mais là aussi c’est complexe.

Bref, ce n’est pas simple.
Pour limiter cette attaque, il convient de rester vigilant, ainsi :

  • Dans le cas d’un phishing par mail, vérifiez le contenu en amont et en cas de doute ne pas cliquer sur le lien
  • Vérifiez le contenu du site avant d’utiliser l’authentification unique
  • Le plus sûr est d’utiliser l’authentification unique que sur les sites connus

Liens

L’article Le phishing par Browser-in-the Browser (BITB) : comment ça marche est apparu en premier sur malekal.com.

Explosion du nombre de malwares au 1er trimestre 2022, et usurpation massive de l’identité des marques françaises

14 mai 2022 à 13:16
Par : UnderNews

Après avoir fait une petite pause en décembre 2021, les cybercriminels sont revenus plus en forme que jamais dès le 1er trimestre 2022. Partout dans le monde, le nombre de malwares et de mails de phishing s’est ainsi multiplié au cours des premiers mois de l’année 2022.

The post Explosion du nombre de malwares au 1er trimestre 2022, et usurpation massive de l’identité des marques françaises first appeared on UnderNews.

Recherches Netskope : forte augmentation des téléchargements de phishing

14 mai 2022 à 12:54
Par : UnderNews

Netskope, spécialiste du Security Service Edge (SSE) et du Zero Trust, publie une nouvelle étude qui révèle que les téléchargements de phishing ont connu une très forte augmentation, à hauteur de 450 % au cours des 12 derniers mois. Cette tendance est favorisée par l’utilisation de techniques d’optimisation des moteurs de recherche (SEO) par les cybercriminels, dans le but d’améliorer le référencement de fichiers PDF malveillants sur les moteurs de recherche populaires, tels que Google et Bing. Ces PDF incluent notamment des faux CAPTCHA, qui redirigent les utilisateurs vers des sites de phishing, de spam, et d’escroquerie.

The post Recherches Netskope : forte augmentation des téléchargements de phishing first appeared on UnderNews.

Phishing : Qbot distribue une archive ZIP qui intègre un MSI malveillant

12 avril 2022 à 08:10

Le botnet Qbot distribue des logiciels malveillants par e-mail grâce à une pièce jointe au format ZIP qui contient un package MSI malveillant ! Avant, il s'appuyait sur un document Word avec des macros malveillantes. Comment expliquer ce changement ?

Qbot est un logiciel malveillant redoutable utilisé pour distribuer d'autres malwares, notamment des ransomwares comme REvil.

Jusqu'ici, Qbot, connu également sous le nom de Qakbot, Quakbot, et Pinkslipbot, utilisait des campagnes de phishing pour distribuer des e-mails avec une pièce jointe malveillante, en l'occurrence un document Word. Désormais, Qbot s'appuie sur une nouvelle tactique pour faire de nouvelles victimes : une archive ZIP protégée par un mot de passe et qui contient un package MSI malveillant.

Pour comprendre ce changement, c'est-à-dire l'utilisation d'une archive ZIP avec un MSI malveillant plutôt qu'un document Word avec des macros malveillantes, il faut revenir au début de l'année 2022. En effet, Microsoft a annoncé dans un premier temps les macros Excel 4.0 seraient désormais désactivées par défaut. Ensuite, la firme de Redmond a affirmé qu'elle souhaitait faire la même chose avec les macros VBA pour Office. Tout en sachant que les pirates sont susceptibles d'utiliser les deux types de macros dans leurs documents.

En fin de compte, Microsoft a commencé à déployer la fonction de blocage automatique des macros VBA pour les utilisateurs d'Office (Windows) au début de ce mois d'avril 2022. Tout d'abord, Microsoft commence par la version 2203 pour ensuite le faire sur les différents canaux et les versions plus anciennes.

Donc, on peut imaginer que cette nouvelle tactique utilisée par les pirates est une réponse aux changements opérés par Microsoft. C'est une bonne idée de la part de Microsoft de réaliser ce changement afin d'améliorer le niveau de sécurité par défaut de la suite Office, et éviter certaines attaques.

En fait, je pense qu'un utilisateur se fera plus facilement avoir par un document Word qui intègre une macro malveillante que par une archive ZIP protégée par mot de passe (il doit être précisé dans le corps de l'e-mail de phishing) qui contient un package MSI malveillant.

Source

The post Phishing : Qbot distribue une archive ZIP qui intègre un MSI malveillant first appeared on IT-Connect.

Élections présidentielles sur fond de cyberattaques : à quels types d’attaques et de ransomwares se préparer ?

6 avril 2022 à 09:21
Par : UnderNews

Les cybermenaces sont entrées dans nos quotidiens avec une multiplication particulièrement remarquable en 2021 : 37% d’augmentation d’intrusions sévères selon l’ANSSI. A quelques jours des élections présidentielles, qui sont les moments privilégiés d’attaques phishing et spread phishing d’envergure, viennent s’ajouter les tensions géopolitiques actuelles. Dans ce contexte, quels types de menaces les organisations françaises doivent-elles appréhender ? et comment s’en prémunir ?

The post Élections présidentielles sur fond de cyberattaques : à quels types d’attaques et de ransomwares se préparer ? first appeared on UnderNews.

Mustang Panda’s Hodur: Old tricks, new Korplug variant

23 mars 2022 à 09:00

ESET researchers have discovered Hodur, a previously undocumented Korplug variant spread by Mustang Panda, that uses phishing lures referencing current events in Europe, including the invasion of Ukraine

The post Mustang Panda’s Hodur: Old tricks, new Korplug variant appeared first on WeLiveSecurity

❌