L’un des outils préférés des cybercriminels mis à mal par un coup de filet ?

L’Angler Exploit Kit connaissait ces dernières années une popularité redoublée. Ce couteau suisse du cybercriminel était une plateforme utilisée pour infecter les machines de victimes : en l’installant sur un serveur et en amenant la cible à se connecter à ce serveur via un navigateur par exemple, le cybercriminel pouvait avoir recours à tout un éventail d’exploits fournis par les créateurs du kit pour tenter d’infecter la machine de la victime.

Simple à utiliser, évolutif et souvent à jour avec les derniers exploits et dernières vulnérabilités découvertes, l’Angler Exploit Kit dominait naturellement le marché. Mais en juin 2016, l’utilisation de cet outil par les cybercriminels a soudainement chuté sans véritable explication.

De nombreux observateurs avaient néanmoins fait le lien entre l’arrestation d’un groupe de 50 cybercriminels par les autorités russes et la soudaine disparition de l’Angler Kit. Dans une longue note de blog, Ruslan Stoyanov, dirigeant de l’unité investigation chez Kaspersky confirme cette théorie et détaille les 5 années passées sur la piste de ce groupe de cybercriminels de haute volée qui avaient été baptisés « Lurk ».

Le nom du groupe Lurk vient du premier malware repéré par Kaspersky en 2011. Celui-ci se présentait sous la forme d’un malware bancaire sophistiqué, qui visait principalement les logiciels bancaires afin de procéder à des virements frauduleux en direction des cybercriminels. Swift a connu plusieurs versions et évolutions, allant parfois jusqu’à fonctionner entièrement in memory pour éviter la détection.

Le malware Lurk se présentait comme un logiciel modulaire, pouvant embarquer plusieurs modules capables de réaliser des actions différentes, mais toujours orientées vers le vol de données bancaires et l’émission de virements frauduleux depuis les machines infectées.

Une petite PME sans histoire

« Avec le temps, nous avons réalisé que nous étions face à un groupe d’au moins 15 personnes. (…) Cette équipe était en mesure de mettre en place le cycle complet de développement d’un malware : à la fois sa conception, mais aussi la diffusion et la monétisation, à l’instar d’une petite entreprise de développement logiciel » explique Ruslan Stoyanov. Et le groupe Lurk avait également un autre atout de taille dans sa poche : exploitant leur renommée parmi les cybercriminels russophones, ils avaient commencé à louer les services de leur plateforme d’exploit, baptisée Angler Kit.

Cet exploit kit était à l’origine utilisé pour diffuser le malware bancaire Lurk, mais face aux mesures de sécurisation mises en place par de nombreuses banques, les revenus déclinants du groupe les ont forcés à diversifier leur activité. Les premières détections d’Angler Kit remontent à 2013, mais ce kit vendu en Saas par les cybercriminels du groupe Lurk a rapidement gagné en popularité.

Les créateurs du Blackhole kit ont été arrêtés en 2013, ce qui a laissé au nouveau programme du groupe Lurk un boulevard pour devenir le nouvel exploit kit préféré des cybercriminels. Dès le mois de mai 2015, celui-ci dominait largement le marché. Angler Kit pouvait être loué par d’autre groupe de cybercriminels qui s’en servaient pour diffuser différents types de malwares allant du ransomware au traditionnel trojan bancaire.

Mais le 7 juin, les autorités russes sont parvenues à arrêter les cybercriminels cachés derrière ce système. Kaspersky explique avoir collaboré avec les autorités afin de mener cette investigation, notamment via de l’échange d’informations compilées par la société sur le groupe. Un processus qui semble avoir été long et difficile, mais qui aura finalement porté ses fruits : l’Angler Kit est hors service et peut maintenant laisser la place… au nouvel exploit kit à la mode.

Selon les données récentes compilées par la société Trend Micro, l’exploit kit Neutrino aurait maintenant le vent en poupe et profiterait le plus de la retraite anticipée de son concurrent. Un de coffré, dix de retrouvés ?

Article original de Louis Adam

Réagissez à cet article

Caméras IP installées par des incompétents ? Une aubaine pour les pirates

Le piratage des caméras de vidéo surveillance n’est pas nouveau. Je vous parlais déjà de ces infiltrations de webcams en 2000. En novembre 2015, par exemple, je revenais sur un fichier contenant des centaines de webcams non sécurisées vendues dans le blackmarket ou encore de ce bébé réveillé par des hurlements d’un idiot du village ayant pris la main sur le baby phone de la famille.

En 2014, je vous révélais la création d’un site Internet Russe qui référencent plusieurs dizaines de milliers de webcams. Bref, un business juteux pour les commerçants du voyeurisme et autres vendeurs de données sensibles (La boutique est-elle vide ? Le hangar stocke en ce moment des téléphones portables ; la banque vient d’être livrée en billets frais…).

La sécurité des caméras sur IP est souvent mise à la mal comme j’ai pu le montrer dans ZATAZWeb.tv de mars 2014. Il ne devrait pas être si facile, normalement, de regarder dans la chambre d’un étranger, et encore moins dans des centaines de chambres filmées par ces caméras de vidéo surveillance. Pourtant, cela reste possible comme je vais vous l’expliquer plus bas.

Montrez moi votre contrat, que je vous renseigne. (Boutique du 92)

Failles et mots de passe facilitent le piratage des caméras de vidéo de surveillance

Pour accéder à une caméra de vidéo surveillance rien de plus facile. D’abord avoir l’IP de la cible. Un détail pour les adeptes du social engineering. Autant dire que cette adresse n’est à communiquer à personne. Lisez le mode d’emploi de votre caméra. Chercher les options de sécurité proposées. Soyons honnête, plus votre webcam IP aura d’option, plus elle sera coûteuse. Mais la réflexion vaut, je pense, la sécurité de ce que vous souhaitez protéger. Ensuite, le malveillant va rechercher la marque de votre matériel. Pour cela, rien de plus simple une fois encore. La page d’accès à l’administration de votre matériel parle.

Mais tu vas le changer ce password… c’est marqué en GRAS ! (Hôtel du 77)

Un conseil, faites de manière à ce qu’elle ne soit pas lisible : un Htaccess par exemple, ou modifier le logo et toutes marques de reconnaissance pour le malveillant. Ensuite, le mot de passe. Trop de webcam IP, de caméras de vidéo surveillance gardent le mot de passe usine. Je vous laisse imaginer la facilité déconcertante que de retrouver ce sésame dans les notices et listes disponibles sur la toile. Un admin:admin ; root:root et autre admin:0000 sont légions. Des clés qui se changent. Vous le faites bien quand vous perdez les clés de votre maison, faites le sur Internet. Enfin, les failles. Assurez-vous que votre cerbère ne soit pas référencé comme étant un outil « open bar« . Pour cela, un petit coup de Google ou ne soyez pas timide, posez la question !

Dans mon exemple, le pirate possède donc dorénavant l’IP, l’accès à la page d’administration de votre webcam IP, sa marque, vous n’avez pas changé le mot de passe usine et si c’est le cas, il vient de rechercher sur la toile les failles et accès « pasvraimentprévudanslemodedemploi« . Dernier exemple en date que ZATAZ a pu constater, l’alerte au sujet de la société AXIS. Un logiciel pirate, baptisé « Hack AXIS » permettait (permet toujours pour les caméras non mises à jour, NDR) d’accéder à la racine des périphériques sans avoir besoin de connaitre le mot de passe ; changer le mot de passe du matériel ; contrôler la caméra et, dans ce cas, lancer des attaques via la caméra transformée en Zombie/botnet. La caméra prise en main de la sorte par un pirate au fait de la faille, même mise à jour ensuite, restait dans le sac à malveillance de l’intrus. Une attaque d’autant plus gênante que l’exploit a été diffusé, en juillet 2016.

Bref, voilà donc le pirate avec une nouvelle source d’information à votre sujet. Imaginez, le serveur et l’IP l’oriente sur votre situation numérique ; la caméra, et les informations qu’elle peut transporter, fournissent au malveillant les yeux qu’il n’avait pas. En France, c’est une liste de plusieurs milliers de webcams accessibles qui trainent sur la toile, que ce soit dans le blackmarket ou sur des sites offrant de regarder à travers ces « yeux » non sécurisés.

Auteur : Damien Bancal

Réagissez à cet article

Les pirates informatiques recrutent des complices chez les opérateurs télécoms

Réagissez à cet article

68 millions de comptes Dropbox piratés

La semaine dernière, Dropbox annonçait la réinitialisation de mots de passe d’utilisateurs inscrits depuis au moins 2012, en expliquant avoir été informé du fait qu’une base de données piratée à l’époque circulait, dans laquelle des adresses e-mails et des mots de passe hashés figurent. Dropbox avait prévenu dès 2012 qu’il avait été victime d’un tel piratage dû au vol d’un mot de passe d’un employé, et que les adresses e-mails obtenues avaient été utilisées pour envoyer des spams.

 
DROPBOX A MIS QUATRE ANS À RÉAGIR

Rien ne permet de penser que des mots de passe ont pu être déchiffrés. En revanche si vous utilisez le même mot de passe sur Dropbox que sur d’autres services en ligne, et si ces services ont eux-aussi été piratés, il est possible d’accéder à votre Dropbox en utilisant le mot de passe obtenu ailleurs. En 2012, le service en ligne avait d’ailleurs indiqué que des accès frauduleux avaient été faits par cette méthode, neutralisée lorsque l’on active la validation en deux étapes.

Dès lors, on ne comprend pas pourquoi Dropbox a attendu quatre ans ( !) avant de réinitialiser les mots de passe.

Ce piratage dont la base de données resurgit après plusieurs années est le dernier en date d’une série similaire, qui fait penser qu’il pourrait s’agir du même groupe, ou de mêmes failles ont pu être exploitées à l’époque. Ainsi ces derniers mois on a appris la diffusion de 171 millions de mots de passe VK (le Facebook russe),427 millions de comptes Myspace,167 millions de mots de passe LinkedIn ou encore 32 millions de mots de passe Twitter.

Article original de Guillaume Champeau

Réagissez à cet article

Des systèmes biométriques piratés à partir de vos photos Facebook

De nombreuses entreprises de haute technologie considèrent le système de reconnaissance faciale comme l’une des méthodes fiables pour être reconnu par votre ordinateur. J’utilise moi-même la reconnaissance biométrique digitale, rétinienne et du visage pour certaines de mes machines. C’est clairement un des moyens simples et fiables de vérification d’une identité. Cependant, des chercheurs prouvent que la biométrie peut se contourner, dans certains cas, avec une photo, de la colle…

Une nouvelle découverte vient de mettre à mal, cette fois, la reconnaissance faciale mise en place par Facebook. Comme je pouvais vous en parler en 2014, Facebook met en place une reconnaissance faciale que des commerçants Américains ont pu tester avec succès. Des chercheurs ont découvert que cette prouesse technologique n’est pas encore parfaite et sujette au piratage. Des pirates peuvent utiliser votre profil Facebook, et les photos sauvegarder.

Systèmes biométriques

Des étudiants de l’Université de Caroline du Nord ont expliqué lors de la conférence d’Usenix, à Austin, avoir découvert une nouvelle technique particulièrement exaspérante pour intercepter l’intégralité d’un visage, via Facebook. Le rendu 3D et certaines « lumières » peuvent permettre de cartographier votre visage en deux clics de souris. Les chercheurs ont présenté un système qui créé des modèles 3D du visage via les photos trouvées sur Facebook. Leur modèle 3D va réussir ensuite à tromper quatre systèmes de reconnaissance faciale… sur 5 testés : KeyLemon, Mobius, TrueKey, BioID, et 1D.

Pour leur étude, 20 cobayes volontaires ont participé à l’expérience. Leurs photos sont tirées d’espaces publiques comme Facebook, mais aussi LinkedIn et Google+. La modélisation des visages à partir de 27 images différentes va permettre de créer des modèles en 3D, avec des animations faciales : bouches, yeux… Les chercheurs ont reconstruit les visages via les bouts trouvés sur les différentes photographies.

Article original de Damien Bancal

Réagissez à cet article

Peur d’être surveillés ? mettez à jour votre iPhone

La mésaventure qui vient d’arriver à Apple, obligé de déployer en urgence un correctif pour son OS mobile iOS, ne manquera pas d’alimenter le débat sur l’utilisation des vulnérabilités logicielles par les gouvernements. Et sur le bien-fondé de l’activité de très discrètes petites sociétés spécialisées dans la vente de failles zero day. Avec sa version 9.3.5 d’iOS, la firme de Cupertino vient en effet combler 3 vulnérabilités sévères exploitées probablement depuis des années pour dérober des informations sur les terminaux de la marque.

Selon les chercheurs en sécurité de Lookout, société spécialisée dans la sécurité des terminaux mobiles, et du Citizen Lab, une émanation de l’université de Toronto (Canada), ces failles étaient exploitées conjointement par un logiciel espion. Cette menace, que les chercheurs ont appelée Pegasus, aurait été développé par NSO Group, société basée en Israël et passée, en 2014, sous le contrôle de Francisco Partners Management, un fonds d’investissement américain, pour 120 millions de dollars. L’enquête des chercheurs a pu déterminer que Pegasus a été utilisé pour espionner un dissident aux Emirats Arabes Unis, Ahmed Mansoor. Au-delà de ce cas particulier, le spyware pourrait avoir été utilisé par d’autres gouvernements ou entreprises afin d’espionner des dissidents, des journalistes, des concurrents, des partenaires… Le kit d’attaque est vendu environ 8 millions de dollars pour 300 licences. Cher mais pas hors de portée d’un Etat ou d’une grande entreprise.

NSO : un discret et lucratif business

En novembre dernier, un article de Reuters se penchait sur l’activité de la très secrète société NSO, spécialisée dans l’assistance technique aux gouvernements pour l’espionnage de terminaux mobiles. Une société qui a plusieurs fois changé de nom et que Francisco Partners espérait revendre pas moins d’un milliard de dollars. Selon Reuters, la société israélienne, fondée en 2010 par Omri Lavie et Shalev Hulio, afficherait 75 M$ de bénéfices opérationnels par an.

Les fonctions de Pegasus. Une image qui serait issue de la documentation de NSO et ui a fuité lors du piratage de Hacking Team. 

L’analyse du code semble faire remonter Pegasus à 2013, l’année de la sortie d’iOS 7 ; le malware renfermant des réglages adaptés à cette version de l’OS de Cupertino. « Pegasus est l’attaque la plus sophistiquée ciblant un terminal que nous ayons jamais rencontrée parce qu’elle exploite la façon dont les terminaux mobiles s’intègrent dans nos vies et tire parti de la combinaison de fonctionnalités présente uniquement sur les mobiles : connexion permanente (WiFi, 3G/4G), communications vocales, caméra, e-mail, messages, GPS, mots de passe et liste de contacts », écrivent les chercheurs de Lookout et de l’université de Toronto. Modulaire et exploitant le chiffrement pour éviter d’être repéré, Pegasus déroule une séquence d’attaque classique : envoi d’un message texte, ouverture d’un navigateur, chargement d’une page contrefaite (la Croix Rouge, le service de visa britannique, des médias, des sites d’entreprises IT…), exploitation des trois vulnérabilités et installation de codes permettant une surveillance de la cible (avec récupération de données tous azimuts, y compris des données de localisation, l’activation du micro ou de la caméra à distance, selon la documentation de NSO Group !).

Ahmed Mansoor : cible à répétition

C’est la prudence d’Ahmed Mansoor qui a permis la mise au jour de Pegasus : le 10 août, le dissident reçoit un message sur son iPhone accompagné d’un lien lui promettant d’en savoir plus sur les tortures dans les prisons de son pays. Plutôt que de cliquer, Mansoor fait suivre ce message à un chercheur du Citizen Lab, un laboratoire travaillant sur les sujets à la croisée des droits de l’homme et de la cybersécurité. Selon ce labo, c’est la troisième fois qu’Ahmed Mansoor est la cible d’un spyware (après d’autres attaques menées avec des outils conçus par le Britannique Gamma Group en 2011 et par l’Italien Hacking Team en 2012).

Selon les chercheurs du Citizen Lab et de Lookout, Pegasus serait « hautement configurable » afin de s’adapter aux spécificités de chaque cible et à l’épaisseur du porte-feuille des ‘clients’ de NSO. « En fonction du pays concerné et des fonctions achetées par les utilisateurs, les capacités du spyware peuvent inclure les messages, les appels, les e-mails, les logs et d’autres données issues d’apps comme Gmail, Skype, WhatApp, Viber, FaceTime, Calendar, Line, Mail.ru, WeChat, Tango et d’autres », écrivent les chercheurs, qui précise que le malware semble en mesure de résister à une montée de version de l’OS (sauf évidemment celle vers iOS 9.3.5) et se montre capable de se mettre à jour pour remplacer des parties de code devenues inopérantes. Selon les premières recherches du Citizen Lab, Pegasus a aussi servi à espionner un journaliste mexicain, travaillant sur la corruption dans son pays, et une personne non identifiée au Kenya.

iOS hyper-sécurisé ? Voire

Au passage, la sécurité légendaire des iPhone est passablement égratignée. Les trois failles, baptisées Trident par les chercheurs de Lookout et du Citizen Lab, montrent que le système d’Apple n’est pas hors de portée des hackers de haut vol. L’installation de Pegasus repose sur l’exploitation d’une vulnérabilité de Safari (corruption de mémoire avec CVE-2016-4655) et de deux failles du noyau d’iOS (CVE-2016-4656 & CVE-2016-4657), détaillent Lookout dans un rapport (PDF).

Rappelons que l’image de l’OS des iPhone et iPad avait bénéficié de la bataille qui avait opposé Apple au FBI concernant une demande de déblocage d’un smartphone frappé de la pomme ayant appartenu à un des auteurs de la tuerie de San Bernardino, aux Etats-Unis. Idem avec le bug bounty lancé l’année dernière par la société Zerodium, un autre de ces prestataires vendant des failles zero day au plus offrant, qui offrait alors un million de dollars pour un code d’exploitation permettant de prendre le contrôle total d’un iPhone. Rappelons que, de son côté, Apple va lancer son propre programme de chasse aux bugs, mais n’offrira au maximum que 200 000 $ de récompense. Vu les tarifs pratiqués par NSO Group et autres sociétés vendeuses de zero day, pas sûr que ce maigre pactole suffise…
Article original de Reynald Fléchaux

Sans information sur l’existence de dysfonctionnements consécutifs à l’installation de IOS 9.3.5 lors de l’écriture de ces lignes, Denis JACOPINI vous recommande fortement l’installation de cette mise à jour si votre téléphone en a les capacités.

Réagissez à cet article

La Loi de Programmation militaire au secours de la sécurité des systèmes d’information des opérateurs d’importance vitale

La France est le premier pays à s’appuyer sur la réglementation pour définir un dispositif efficace de cybersécurité de ses infrastructures critiques, qui sont indispensables au bon fonctionnement et à la survie de la Nation.

A partir du 1^er juillet 2016, l’entrée en vigueur d’une première vague d’arrêtés a marqué la mise en place effective de ce dispositif pour les secteurs d’activité suivants « produits de santé », « gestion de l’eau » et « alimentation ». D’autres arrêtés seront progressivement publiés au cours de l’année 2016.

Ces arrêtés sectoriels, signés par le Secrétaire général de la défense et de la sécurité nationale par délégation du Premier ministre, fixent les critères d’application des mesures relatives à la sécurité des systèmes d’information des OIV [J. Barnu Quelles conséquences pour les OIV] notamment :

• les règles de sécurité, à la fois organisationnelles et techniques, sécurisent l’accès et la gestion des systèmes d’information ciblés. Elles prennent aussi en compte les spécificités de chaque secteur, leurs enjeux et contraintes ainsi que leur niveau de maturité en matière de sécurité du numérique.
• les modalités d’application des autres mesures avec l’identification des systèmes d’information d’importance vitale (SIIV), la notification d’incidents de sécurité et les contrôles pour suivre la mise en place du dispositif.

Tout savoir sur la sécurité des systèmes d’information des OIV avec une nouvelle rubrique dédiée.

Un nouvel espace d’information dédié à la sécurité des systèmes d’information des OIV est dès aujourd’hui en ligne sur le site Internet de l’ANSSI.

Cette rubrique « OIV » est accessible depuis l’onglet « administration » et « entreprise », en page d’accueil.

Elle a été conçue pour être à la fois :

• un espace de ressources pratiques pour les opérateurs impactés, directement ou indirectement, par le dispositif français de cybersécurité des OIV ;
• un espace d’information pour un public intéressé par le dispositif français de cybersécurité des infrastructures critiques.

Article original de ANSSI

Réagissez à cet article

Les réseaux SDN ouverts à tous les vents (mauvais)

Et si l’un des principes de base du fonctionnement des SDN masquait une inquiétante faille de sécurité ? Les contrôleurs des Software Defined Networks, pilotés de manière logicielle, configurent le réseau en attribuant de nouvelles règles de traitement des flux aux switches. Et c’est ce fonctionnement même qui poserait problème.

C’est du moins le résultat des travaux de trois chercheurs italiens, Mauro Conti (de l’université de Padoue), Fabio De Gaspari et Luigi V. Mancini (tous deux de l’université de Sapienza). « Nous pensons que des aspects importants de la sécurité des SDN restent encore inexplorés », notent-ils dans leur rapport. Pour en convaincre la communauté, ils ont mis au point une nouvelle forme d’attaque, baptisée Know Your Enemy (KYE), au moyen de laquelle un attaquant peut recueillir des informations vitales sur la configuration du réseau.

Moisson d’informations de configuration

A travers leurs travaux, ils entendent démontrer comment un attaquant peut recueillir des informations sur la configuration des outils de sécurité du réseau (dont les seuils de détection d’attaque par scan), sa politique de qualité de service ou encore sa virtualisation. Et d’ajouter qu’une seule table de routage d’un commutateur peut fournir ces informations tout en servant de canal d’attaque. Cerise sur le gâteau : « nous montrons qu’un attaquant peut effectuer une attaque KYE dans un mode furtif, à savoir sans risquer d’être détecté », expliquent-ils.

Selon les universitaires, un attaquant pourrait se connecter aux ports d’écoute passive qu’intègrent la plupart des commutateurs pour le débogage à distance afin de récupérer le plan de routage (notamment avec la commande ‘dpctl’ sur les HP Procurve qu’ils ont utilisés au cours de leurs travaux), en déduire des informations sur la table de routage, espionner le contrôle du trafic en cas d’absence de protection de ce dernier (par chiffrement TLS ou usage de certificats d’authentification), exploiter les vulnérabilités connues dans les systèmes d’exploitation des switches pour introduire une backdoor, ou encore extraire la table de routage ou le contenu de la mémoire du commutateur pour la copier vers un support externe au réseau.

Obscurcir pour limiter les risques

Autant d’informations qui permettent une attaque ou un espionnage plus massif ou plus ciblé du SI dans l’absolu. Les conclusions des chercheurs italiens sont d’autant plus inquiétantes que, en apportant une flexibilité optimale de gestion des réseaux, les technologies SDN sont de plus en plus adoptées par les opérateurs et grandes entreprises. Le rapport insiste bien sur le fait que ces possibilités d’espionnage ne sont pas liées aux systèmes matériels présents sur le réseau, mais bien à son fonctionnement intrinsèque.

Pour limiter les risques d’attaque, les scientifiques détaillent une contremesure basée sur un « obscurcissement » des flux entrants. « S’il était possible d’empêcher l’attachant de comprendre quel flux est responsable de l’application des règles de routage, l’attaque KYE serait irréalisable », indiquent-ils. Ce qu’ils ont réussi à faire en exploitant la possibilité de modification du transit des flux dont dispose un switch OpenFlow. Et les chercheurs de rappeler que les risques décrit dans leur travail ne touchent que les réseaux SDN, les structures « traditionnelles » étant par défaut épargnées. Ce qui ne les empêche pas d’avoir leurs propres soucis de sécurité.

Article original de Christophe Lagane

Réagissez à cet article

Comment se prémunir de la cybercriminalité, ce risque sur Internet pour les particuliers et les professionnels ?

QUELS SONT LES DIFFÉRENTS TYPES D’ATTAQUES ?

Attaque par hameçonnage (phishing)

L’hameçonnage, phishing ou filoutage est une technique malveillante très courante sur Internet. L’objectif : opérer une usurpation d’identité afin d’obtenir des renseignements personnels et des identifiants bancaires pour en faire un usage criminel.

1. Le cybercriminel se « déguise » en un tiers de confiance (banques, administrations, fournisseurs d’accès à Internet…) et diffuse un mail frauduleux, ou contenant une pièce jointe piégée, à une large liste de contacts. Le mail invite les destinataires à mettre à jour leurs informations personnelles (et souvent bancaires) sur un site internet falsifié vers lequel ils sont redirigés.
2. La liste comprend un nombre si important de contacts et augmente les chances que l’un des destinataires se sente concerné par le message diffusé.
3. En un clic, il est redirigé vers le site falsifié qui va recueillir l’ensemble des informations qu’il renseigne.
4. Ces informations sont alors mises à disposition du cybercriminel qui n’a plus qu’à faire usage des identifiants, mots de passe ou données bancaires récupérées.

Voir la vidéo de la Hackacademy sur le phishing (CIGREF – partenariat ANSSI) 

Pour s’en prémunir :

• N’ayez pas une confiance aveugle dans le nom de l’expéditeur de l’email. Au moindre doute, n’hésitez pas à contacter l’expéditeur par un autre biais.
• Méfiez-vous des pièces jointes, elles pourraient être contaminées. Au moindre doute, n’hésitez pas à contacter l’expéditeur pour en connaître la teneur.
• Ne répondez jamais à une demande d’informations confidentielles par mail.
• Passez votre souris au-dessus des liens, faites attention aux caractères accentués dans le texte ainsi qu’à la qualité du français ou de la langue pratiquée par votre interlocuteur (ex : orthographe).

Pour aller plus loin, n’hésitez pas à consulter la page sur les conseils aux usagers qui reprend les bonnes pratiques à mettre en place pour sécuriser ses équipements et ses données.

Attaque par «Rançongiciel» (ransomware)

Les rançongiciels sont des programmes informatiques malveillants de plus en plus répandus (ex : Locky, TeslaCrypt, Cryptolocker, etc.). L’objectif : chiffrer des données puis demander à leur propriétaire d’envoyer de l’argent en échange de la clé qui permettra de les déchiffrer.

1. Le cybercriminel  diffuse un mail qui contient des pièces jointes et / ou des liens piégés. Le corps du message contient un message correctement rédigé, parfois en français, qui  demande de payer rapidement une facture par exemple.
2. En un clic, le logiciel est téléchargé sur l’ordinateur et commence à chiffrer les données personnelles : les documents bureautiques (.doc, .xls, .odf…etc), les photos, la musique, les vidéos…etc.
3. Les fichiers devenus inaccessibles, un message s’affiche pour réclamer le versement d’une rançon, payable en bitcoin ou via une carte prépayée, en échange de la clé de déchiffrement. Attention, rien n’indique que le déchiffreur en question soit efficace !

Pour s’en prémunir :

• N’ayez pas une confiance aveugle dans le nom de l’expéditeur de l’email. Au moindre doute, n’hésitez pas à contacter l’expéditeur par un autre biais.
• Méfiez-vous des pièces jointes et des liens dans les messages dont la provenance est douteuse. Au moindre doute, n’hésitez pas à contacter l’expéditeur pour en connaître la teneur.
• Effectuez des sauvegardes régulièrement sur des périphériques externes.
• Mettez à jour régulièrement tous vos principaux logiciels en privilégiant leur mise à jour automatique.

Pour aller plus loin, n’hésitez pas à consulter la page sur les conseils aux usagers qui reprend les bonnes pratiques à mettre en place pour sécuriser ses équipements et ses données.

VOUS ÊTES VICTIME D’UN RANSOMWARE OU DE FISHING ?

Suite à une escroquerie ou une cyberattaque, déposez plainte  auprès d’un service de Police nationale ou de Gendarmerie nationale ou bien adressez un courrier au Procureur de la République auprès du Tribunal de Grande Instance compétent.

Munissez-vous de tous les renseignements suivants :

• Références du (ou des) transfert(s) d’argent effectué(s)
• Références de la (ou des) personne(s) contactée(s): adresse de messagerie ou adresse postale, pseudos utilisés, numéros de téléphone, fax, copie des courriels ou courriers échangés…
• Numéro complet de votre carte bancaire ayant servi au paiement, référence de votre banque et de votre compte, et copie du relevé de compte bancaire où apparaît le débit frauduleux
• Tout autre renseignement pouvant aider à l’identification de l’escroc

Vous pouvez également signaler les faits dont vous avez été victime via la plateforme de signalement « Pharos » ou le numéro dédié : 0811 02 02 17

Des services spécialisés se chargent ensuite de l’enquête :

• Police nationale : l’Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication (OCLCTIC) qui dépend de la Sous-direction de lutte contre la cybercriminalité (SDLC) : 01 47 44 97 55
•  Gendarmerie nationale : le centre de lutte contre les criminalités numériques (C3N) du Service Central du Renseignement Criminel (SCRC) :cyber@gendarmerie.interieur.gouv.fr
• Préfecture de police : la Préfecture de police de Paris, de la Direction centrale du renseignement intérieur (DCRI) et ses équipes de la Brigade d’enquêtes sur les fraudes aux technologies de l’information (BEFTI) compétente uniquement pour Paris et petite couronne (75, 92, 93 et 94) : 01 40 79 67 50

Article original de gouvernement.fr

Réagissez à cet article

Alerte : Twitter pour Android infecté par un Cheval de Troie

Les chercheurs ESET ont découvert une porte dérobée sous Android qui contient un Cheval de Troie et qui est contrôlée par des tweets. Détecté par ESET comme étant Android/Twitoor, il s’agit de la première application malveillante utilisant Twitter au lieu d’une commande et d’un contrôle traditionnel de serveur (C&C).

Après son lancement, le Cheval de Troie cache sa présence sur le système et vérifie le compte Twitter défini par intervalle régulier pour les commandes. Sur la base des commandes reçues, il peut soit télécharger des applications malveillantes, soit basculer le serveur C&C d’un compte Twitter à un autre.

« L’utilisation de Twitter pour contrôler un botnet est une étape innovante pour une plateforme Android », explique Lukáš Štefanko, malware researcher chez ESET et qui a découvert cette application malicieuse.

Selon Lukáš Štefanko, les canaux de communication basés sur des réseaux sociaux sont difficiles à découvrir et impossible à bloquer entièrement – alors qu’il est extrêmement facile pour les escrocs de rediriger les communications vers un autre compte de façon simultanée.

Twitter a d’abord été utilisé pour contrôler les botnets de Windows en 2009. « En ce qui concerne l’espace Android, ce moyen de dissimulation est resté inexploité jusqu’à présent. Cependant, nous pouvons nous attendre à l’avenir à ce que les cybercriminels essayent de faire usage des statuts de Facebook ou de déployer leurs attaques sur LinkedIn et autres réseaux sociaux » , prévoit Lukáš Štefanko.

Android/Twitoor est actif depuis juillet 2016.Il ne peut pas être trouvé sur l’un des app store officiels d’Android (selon Lukáš Štefanko ) mais il est probable qu’il se propage par SMS ou via des URL malveillantes. Il prend l’apparence d’une application mobile pour adulte ou d’une application MMS mais sans fonctionnalité. Plusieurs versions de services bancaires mobiles infectés par un malware ont été téléchargées. Cependant, les opérateurs de botnet peuvent commencer à distribuer d’autres logiciels malveillants à tout moment, y compris des ransomwares selon Lukáš Štefanko.

Twitoor est le parfait exemple de l’innovation des cybercriminels pour leur business. Les utilisateurs d’Internet devraient continuer à protéger leurs activités avec de bonnes solutions de sécurité valables pour les ordinateurs et les appareils mobiles », conclut Lukáš Štefanko.

Source : ESET

Pour protéger vos équipements, nous recommandons l’application suivante :

Réagissez à cet article