Posts

Comment les escroqueries de phishing utilisent Office 365 pour cibler les compagnies d'assurance

Le courrier électronique est souvent le premier choix d'un cybercriminel au moment de son lancement, car il est si facile à exploiter. Contrairement aux attaques par force brute qui sont lourdes de conséquences sur la puissance de traitement, ou aux méthodes plus sophistiquées qui requièrent un haut niveau de compétence, l'usurpation de domaine peut être aussi facile que d'écrire un courriel en se faisant passer pour quelqu'un d'autre. Dans de nombreux cas, ce "quelqu'un d'autre" est une importante plate-forme de services logiciels sur laquelle les gens comptent pour faire leur travail.

C'est ce qui s'est passé entre le 15 et le 30 avril 2020, lorsque nos analystes de la sécurité à PowerDMARC ont découvert une nouvelle vague d'e-mails de phishing ciblant les principales compagnies d'assurance du Moyen-Orient. Cette attaque n'est qu'une parmi d'autres dans la récente augmentation des cas de phishing et de spoofing lors de la crise Covid-19. Dès février 2020, une autre grande arnaque de phishing est allée jusqu'à se faire passer pour l'Organisation mondiale de la santé, en envoyant des courriels à des milliers de personnes pour leur demander de faire des dons pour lutter contre le coronavirus.

Dans cette récente série d'incidents, les utilisateurs du service Office 365 de Microsoft ont reçu ce qui semblait être des courriels de mise à jour de routine concernant le statut de leurs comptes d'utilisateur. Ces courriels provenaient des domaines de leur propre organisation et demandaient aux utilisateurs de réinitialiser leur mot de passe ou de cliquer sur des liens pour consulter les notifications en attente.

Nous avons dressé une liste de certains des titres de courriels dont nous avons observé l'utilisation :

  • Activité de connexion inhabituelle sur un compte Microsoft
  • Vous avez (3) messages en attente de livraison sur votre portail e-Mail [email protected]* !
  • [email protected] Vous avez des messages UNSYNC en attente de Microsoft Office
  • Notification sommaire de réactivation pour [email protected]

*les détails du compte ont été modifiés pour respecter la vie privée des utilisateurs

Vous pouvez également voir un exemple d'en-tête de courrier utilisé dans un courriel usurpé envoyé à une compagnie d'assurance :

Reçu : de [...malicious_ip] (helo= domaine_malveillant)

id 1jK7RC-000uju-6x

pour [email protected] ; Thu, 02 Apr 2020 23:31:46 +0200

DKIM-Signature : v=1 ; a=rsa-sha256 ; q=dns/txt ; c=relaxed/relaxed ;

Reçu : de [xxxx] (port=58502 helo=xxxxx)

par domaine_malveillant avec l'esmtpsa (TLSv1.2:ECDHE-RSA-AES2 56-GCM-SHA384:256)

De : "Microsoft account team" 

Pour : [email protected]

Sujet : Notification de Microsoft Office pour [email protected] le 4/1/2020 23:46

Date : 2 avr 2020 22:31:45 +0100

Message-ID: <[email protected]>

Version MIME : 1.0

Type de contenu : text/html ;

charset="utf-8″

Transfert de contenu - encodage : entre guillemets

X-AntiAbuse : Cet en-tête a été ajouté pour suivre les abus, veuillez l'inclure avec tout rapport d'abus

X-AntiAbuse : Nom d'hôte principal - domaine_malveillant

X-AntiAbuse : Domaine d'origine - domaine.com

X-AntiAbuse : UID/GID de l'auteur/appelant - [47 12] / [47 12]

X-AntiAbuse : Adresse de l'expéditeur Domaine - domain.com

X-Get-Message-Sender-Via : domaine_malveillant: authenticated_id : [email protected]_malveillant

X-Authenticated-Sender : malicious_domain : [email protected]_domain

X-Source : 

X-Source-Args : 

X-Source-Dir : 

Reçu-SPF : échec ( le domaine du domaine .com ne désigne pas adresse_ip_malveillante comme expéditeur autorisé) client-ip= adresse_ip_malveillante ; enveloppe à partir de=[email protected]; helo=domaine_malveillant;

X-SPF-Résultat : le domaine de domain.com ne désigne pas adresse_ip_malveillante en tant qu'expéditeur autorisé

X-Sender-Warning : La recherche inverse du DNS a échoué pour adresse_ip_malveillante (échec)

X-DKIM-Statut : aucun / / domaine.com / / /

X-DKIM-Statut : passer / / domaine_malveillant / domaine_malveillant / / par défaut

 

Notre centre des opérations de sécurité a tracé les liens des courriels vers les URL de phishing qui visaient les utilisateurs de Microsoft Office 365. Les URL ont été redirigées vers des sites compromis situés à différents endroits dans le monde.

En regardant simplement les titres de ces courriels, il serait impossible de dire qu'ils ont été envoyés par quelqu'un qui usurpe le domaine de votre organisation. Nous sommes habitués à recevoir un flux constant de courriels relatifs à notre travail ou à nos comptes qui nous incitent à nous connecter à divers services en ligne, comme Office 365. L'usurpation de domaine en profite pour rendre les faux courriels malveillants impossibles à distinguer des vrais. Il n'y a pratiquement aucun moyen de savoir, sans une analyse approfondie du courrier électronique, s'il provient d'une source fiable. Et avec les dizaines de courriels qui arrivent chaque jour, personne n'a le temps de les examiner tous avec attention. La seule solution serait d'utiliser un mécanisme d'authentification qui vérifierait tous les courriels envoyés depuis votre domaine, et ne bloquerait que ceux qui ont été envoyés par quelqu'un qui l'a envoyé sans autorisation.

Ce mécanisme d'authentification est appelé DMARC. Et en tant que l'un des principaux fournisseurs de solutions de sécurité du courrier électronique dans le monde, nous, à PowerDMARC, nous nous sommes donné pour mission de vous faire comprendre l'importance de protéger le domaine de votre organisation. Pas seulement pour vous, mais pour tous ceux qui vous font confiance et dépendent de vous pour leur envoyer des courriels sûrs et fiables dans leur boîte de réception, à chaque fois.

Vous pouvez lire les risques de l'usurpation d'identité ici : https://powerdmarc.com/stop-email-spoofing/

Découvrez comment protéger votre domaine contre l'usurpation d'identité et renforcer votre marque ici : https://powerdmarc.com/what-is-dmarc/

/par

PowerDMARC s'associe à CyberSecOn et lance de nouvelles opérations en Australie et en Nouvelle-Zélande

PowerDMARC, le fournisseur de sécurité du courrier électronique basé dans le Delaware, s'est associé à l'une des principales entreprises australiennes de sécurité de l'information. Le partenariat de PowerDMARC avec CyberSecOn devrait permettre de sensibiliser le grand public à la sécurité du courrier électronique et d'augmenter le taux de conformité au DMARC en Australie et en Nouvelle-Zélande.

"C'est une énorme opportunité," a déclaré Faisal Al Farsi, co-fondateur de PowerDMARC, "pas seulement pour CyberSecOn et nous, mais pour le DMARC dans son ensemble. Nous voulons vraiment voir de plus en plus d'entreprises prendre position contre le phishing par e-mail, et la DMARC est le moyen d'y parvenir. CyberSecOn est aussi enthousiaste que nous à ce sujet, et nous sommes impatients de voir ce que l'avenir nous réserve".

CyberSecOn, dont le siège est à Melbourne, en Australie, fournit des solutions de sécurité à de grands noms du secteur des entreprises et du gouvernement. En tant que membres actifs de la Global Cyber Alliance, les deux sociétés ont repoussé les limites de la cybersécurité dans leur mission mutuelle de protection des données des entreprises et des utilisateurs contre les abus. Ce partenariat est le dernier en date de leurs efforts pour combler le fossé géographique afin que les entreprises du monde entier puissent partager et collaborer plus librement.

"Nous aimerions voir cela comme une nouvelle page dans le livre de la cybersécurité", a déclaré Shankar Arjunan, directeur de CyberSecOn. "C'est une chance pour nous d'écrire quelque chose dont nous pouvons tous être fiers collectivement. Nous sommes incroyablement enthousiastes à l'idée qu'ils se joignent à nous, et nous espérons que ce partenariat sera aussi efficace pour eux que pour nous".

/par

Types d'attaques par hameçonnage par courriel

Le phishing par courrier électronique a évolué au fil des ans, passant de l'envoi de courriers électroniques de blagues par des joueurs à une activité très lucrative pour les pirates informatiques du monde entier.

En fait, du début au milieu des années 90, AOL a connu certaines des premières grandes attaques de phishing par courrier électronique. Des générateurs de cartes de crédit aléatoires ont été utilisés pour voler les informations d'identification des utilisateurs, ce qui a permis aux pirates informatiques d'accéder plus largement à la base de données d'AOL dans toute l'entreprise.

Ces attaques ont été stoppées alors qu'AOL mettait à niveau ses systèmes de sécurité pour éviter de nouveaux dommages. Cela a ensuite conduit les pirates à développer des attaques plus sophistiquées en utilisant des tactiques d'usurpation d'identité qui sont encore largement utilisées aujourd'hui.

Si nous faisons un bond en avant jusqu'à aujourd'hui, les attaques par usurpation d'identité qui ont récemment touché la Maison Blanche et l'OMS prouvent que toute entité est, à un moment ou à un autre, vulnérable aux attaques par courrier électronique.

Selon le rapport d'enquête sur les violations de données 2019 de Verizon, environ 32 % des violations de données subies en 2019 comprenaient respectivement du phishing par courriel et de l'ingénierie sociale.

Dans cette optique, nous allons examiner les différents types d'attaques par hameçonnage et les raisons pour lesquelles elles constituent une menace énorme pour votre entreprise aujourd'hui.

Commençons.

1. Usurpation d'adresse électronique

Les attaques par usurpation d'adresse électronique consistent pour un pirate à falsifier l'en-tête d'un courriel et l'adresse de l'expéditeur pour faire croire que le courriel provient d'une personne de confiance. Le but d'une telle attaque est d'amener le destinataire à ouvrir le courrier et éventuellement à cliquer sur un lien ou à entamer un dialogue avec l'attaquant.

Ces attaques s'appuient fortement sur des techniques d'ingénierie sociale par opposition aux méthodes de piratage traditionnelles.

Cela peut sembler une approche peu sophistiquée ou "low-tech" d'une cyber-attaque. En réalité, cependant, elle est extrêmement efficace pour attirer les gens par des courriels convaincants envoyés à des employés peu méfiants. L'ingénierie sociale tire parti non pas des failles de l'infrastructure de sécurité d'un système, mais de l'inévitabilité de l'erreur humaine.

Jetez un coup d'œil :

En septembre 2019, Toyota a perdu 37 millions de dollars à cause d'une arnaque par courriel.

Les pirates ont réussi à usurper une adresse électronique et à convaincre un employé ayant une autorité financière de modifier les informations du compte pour un transfert électronique de fonds.

Il en résulte une perte massive pour l'entreprise.

2. Compromis sur les courriels d'affaires (BEC)

Selon le rapport 2019 sur la criminalité sur Internet du FBI, les escroqueries par BEC ont entraîné plus de 1,7 million de dollars et ont représenté plus de la moitié des pertes liées à la cybercriminalité subies en 2019.

On parle de BEC lorsqu'un attaquant accède à un compte de courrier électronique professionnel et est utilisé pour se faire passer pour le propriétaire de ce compte dans le but de causer des dommages à une entreprise et à ses employés.

En effet, le BEC est une forme très lucrative d'attaque par courrier électronique, il produit des rendements élevés pour les attaquants et c'est pourquoi il reste une cyber-menace populaire.

Une ville du Colorado a perdu plus d'un million de dollars à cause d'une escroquerie BEC.

L'agresseur a rempli un formulaire sur le site web local où il demandait à une entreprise de construction locale de recevoir des paiements électroniques au lieu de recevoir les chèques habituels pour les travaux qu'il effectuait actuellement dans la ville.

Un employé a accepté le formulaire et a mis à jour les informations de paiement et a ainsi envoyé plus d'un million de dollars aux agresseurs.

3. Compromis du vendeur sur le courrier électronique (VEC)

En septembre 2019, Nikkei Inc. la plus grande organisation médiatique du Japon, a perdu 29 millions de dollars.

Un employé basé dans le bureau américain de Nikkei a transféré l'argent sur instruction des escrocs qui se sont fait passer pour un cadre de direction.

Une attaque VEC est un type d'escroquerie par courrier électronique qui compromet les employés d'une société de vente. Comme notre exemple ci-dessus. Et, bien sûr, a entraîné d'énormes pertes financières pour l'entreprise.

Qu'est-ce que le hameçonnage par courriel ?

Le hameçonnage par courriel est une forme d'ingénierie sociale dans laquelle les fraudeurs envoient des courriels pour inciter les gens à donner des informations confidentielles. Ces courriels semblent souvent provenir d'une organisation ou d'un individu en qui vous avez confiance, comme votre banque, une agence gouvernementale ou même quelqu'un de votre propre entreprise.

Le hameçonnage par courrier électronique est de plus en plus courant, car les gens passent plus de temps en ligne et moins de temps à lire le courrier physique. Il est donc plus facile pour les fraudeurs d'atteindre et de contacter leurs victimes par courrier électronique.

Comment identifier le phishing ? 

Si vous n'êtes pas sûr de l'authenticité d'un courriel, vous pouvez le vérifier de plusieurs façons. Tout d'abord, regardez l'adresse de l'expéditeur. Si elle ne correspond pas à celle que vous avez l'habitude de voir sur les communications officielles de l'entreprise ou de l'agence gouvernementale en question, le message n'est probablement pas légitime.

Vous devez également vérifier que la ligne d'objet et le corps du message ne contiennent pas de fautes d'orthographe ou d'autres signes indiquant qu'il s'agit d'un faux. Par exemple, si quelqu'un vous envoie un message prétendant détenir des "informations" sur votre compte, mais que le mot "information" est mal orthographié, cela peut indiquer qu'il n'a pas écrit le message lui-même et qu'il ne sait pas de quoi il parle !

Comment prévenir le hameçonnage par courriel avec DMARC ?

Les entreprises du monde entier augmentent leurs budgets de cybersécurité pour limiter les exemples que nous avons énumérés ci-dessus. Selon IDC, les dépenses mondiales en solutions de sécurité devraient atteindre 133,7 milliards de dollars en 2022.

Mais la vérité est que l'adoption de solutions de sécurité du courrier électronique comme DMARC est lente.

La technologie DMARC est arrivée sur le marché en 2011 et est efficace pour prévenir les attaques BEC ciblées, qui, comme nous le savons, constituent une menace avérée pour les entreprises du monde entier.

Le DMARC travaille avec le SPF et le DKIM, ce qui vous permet de déterminer les actions à entreprendre contre les courriels non authentifiés afin de protéger l'intégrité de votre domaine.

LIRE : Qu'est-ce que le DMARC et pourquoi votre entreprise doit-elle s'y mettre aujourd'hui ?

Chacun des cas ci-dessus avait quelque chose en commun... La visibilité.

Cette technologie peut réduire l'impact que l'activité de phishing par courrier électronique peut avoir sur votre entreprise. Voici comment :

  • Une visibilité accrue. La technologie DMARC envoie des rapports qui vous donnent un aperçu détaillé de l'activité de messagerie de votre entreprise. PowerDMARC utilise un puissant moteur de renseignements sur les menaces qui permet de produire des alertes en temps réel sur les attaques d'usurpation. Ce moteur est associé à des rapports complets qui permettent à votre entreprise d'avoir un meilleur aperçu de l'historique d'un utilisateur.
  • Sécurité accrue du courrier électronique. Vous serez en mesure de suivre les courriels de votre entreprise pour détecter toute menace d'usurpation d'identité et de phishing. Nous pensons que la clé de la prévention est la capacité d'agir rapidement, c'est pourquoi PowerDMARC a mis en place des centres d'opérations de sécurité 24/7. Ils ont la capacité de retirer immédiatement les domaines qui abusent de vos emails, offrant à votre entreprise un niveau de sécurité accru.
    Le monde est en proie à la pandémie de COVID-19, mais cela n'a fait que donner aux pirates l'occasion de profiter des systèmes de sécurité vulnérables.

Les récentes attaques par usurpation d'identité contre la Maison Blanche et l'OMS soulignent vraiment la nécessité d'une plus grande utilisation de la technologie DMARC.

À la lumière de la pandémie de COVID-19 et de l'augmentation du phishing par e-mail, nous voulons vous offrir 3 mois GRATUITS de protection DMARC. Il vous suffit de cliquer sur le bouton ci-dessous pour commencer dès maintenant.

Réclamez votre offre

/par

PowerDMARC élargit son conseil consultatif exécutif et accueille un nouveau membre

Pour la première fois, PowerDMARC a recruté un nouvel expert stratégique qui soutiendra et guidera l'entreprise dans tous ses projets futurs en matière de sécurité des données et du courrier électronique, d'authentification, de mesures antispoofing et de conformité DMARC.Abbas PowerDMARC

PowerDMARC, l'un des noms qui connaissent la croissance la plus rapide dans le domaine de la sécurité de l'authentification du courrier électronique et de la conformité au DMARC, a annoncé que son tout nouveau membre rejoindra son conseil consultatif exécutif, un groupe d'experts dans les domaines de la cybersécurité et de la protection des données. Abbas Kudrati, conseiller principal en cybersécurité chez Microsoft APJ et professeur d'industrie à l'université de Deakin, apportera son soutien à la jeune start-up pour tout ce qui concerne la sécurité du courrier électronique et la conformité au DMARC.

"C'est incroyablement excitant d'avoir quelqu'un avec le niveau d'expertise et d'expérience de M. Kudrati dans notre conseil consultatif", a déclaré le co-fondateur de PowerDMARC, Faisal Al Farsi. "Nous recherchons les conseils des meilleurs esprits de l'industrie. C'est un honneur de l'avoir à bord."

Abbas Kudrati apporte avec lui plus de deux décennies d'expérience à des postes de supervision et de conseil dans plus de dix organisations différentes dans le monde, où il a été impliqué dans la sécurité des réseaux, les services de risques technologiques et la cybersécurité. Il a également été professeur à temps partiel et conseiller exécutif aux universités La Trobe et Deakin pendant plus de deux ans, et conseiller auprès du Conseil de la CE et de l'ANASE. Il est actuellement conseiller principal en matière de cybersécurité pour Microsoft APJ, basé à Melbourne, en Australie.

En cette période de ralentissement économique et de menaces croissantes pour la cybersécurité, Kudrati devrait aider PowerDMARC à s'implanter solidement dans l'industrie tout en s'étendant à de nouveaux domaines de la sécurité du courrier électronique. Il jouera un rôle important en conseillant l'entreprise sur ses plans d'avenir et sa feuille de route en matière de produits.

/par

Qu'est-ce que le DMARC et pourquoi en avez-vous besoin ?

Selon le rapport 2019 sur le coût des violations de données, publié par le Ponemon Institute et IBM Security, le coût moyen mondial d'une violation de données est de 3,92 millions de dollars !

Cette activité de cyberattaque est lucrative. 

En fait, le Business Email Compromise génère un retour sur investissement plus élevé que toute autre cyberattaque. Selon le rapport sur la criminalité sur Internet de 2019, il a fait état de pertes de plus de 1,7 milliard de dollars.

Les mesures et protocoles de cybersécurité sont plus que jamais indispensables à la continuité des activités.

Selon le rapport d'enquête Verizon 2019 sur les violations de données, 94 % des logiciels malveillants ont été transmis par courrier électronique.

Saisissez l'authentification, le rapport et la conformité des messages par domaine (DMARC). 

Oui, c'est une sacrée bouchée. Mais le moment est venu de protéger votre courrier électronique professionnel.

Qu'est-ce que le DMARC ? Le DMARC est une technologie relativement nouvelle. Il s'agit d'une politique de validation technique qui vise à protéger les expéditeurs et les récepteurs de courrier électronique contre tous les spams.

dmarc illustration| DMARC,DKIM,SPF

La DMARC est une solution qui s'appuie à la fois sur le Sender Policy Framework (SPF) et sur les solutions Domain Key Identified Mail (DKIM). Cette technologie permet à votre organisation de publier une politique de sécurité spécifique autour de vos processus d'authentification du courrier électronique, puis d'indiquer à votre serveur de messagerie comment les appliquer.

 

La DMARC a trois cadres politiques principaux : 

  • Surveiller la politique - p=none. Cette politique signifie qu'aucune mesure ne sera prise en cas d'échec des contrôles du DMARC.
  • Politique de quarantaine - p=quarantaine. Cette politique signifie que tous les courriels qui échouent à votre contrôle DMARC doivent être traités comme suspects, ce qui pourrait faire que certains courriels atterrissent dans votre dossier de courrier indésirable.
  • Politique de rejet - p=rejet. Cette politique est configurée pour rejeter tous les e-mails qui ne passent pas vos contrôles DMARC.

La manière dont ces politiques sont mises en place dépend entièrement de votre organisation et de la manière dont vous souhaitez traiter les courriers électroniques non authentifiés.

Selon le rapport de 2019 sur l'adoption de la DMARC, seuls 20,3 % des domaines publient un certain niveau de politique de la DMARC, dont seulement 6,1 % ont une politique de rejet en place.

Pourquoi la DMARC est-elle importante pour votre entreprise ?

A ce stade, vous vous demandez si vous avez vraiment besoin du DMARC si vous avez déjà le SPF et le DKIM.

En bref, la réponse est oui.

Mais il y a plus...

En 2019, il y avait plus de 3,9 milliards de comptes de courrier électronique, et si l'on considère que 94 % des attaques de logiciels malveillants se sont produites par courrier électronique, il est absolument logique, d'un point de vue commercial, de faire de son mieux pour protéger son courrier électronique.

Bien que l'adoption de la DMARC par les entreprises ait été lente, il est essentiel de noter que des géants du numérique tels que Facebook et PayPal ont adopté la technologie DMARC.

  • Rapports. Les rapports proposés par DMARC permettent à votre organisation d'avoir une meilleure vue d'ensemble de vos canaux de courrier électronique. Ils aideront votre organisation à surveiller les courriers électroniques envoyés et reçus par votre organisation. Les rapports DMARC vous donneront un aperçu de la manière dont votre domaine est utilisé et peuvent jouer un rôle dans le développement de communications par courrier électronique plus solides.
  • Un contrôle renforcé. Le DMARC vous permet de contrôler totalement les courriels envoyés depuis votre domaine. Si un abus de courrier électronique se produit, vous le verrez immédiatement dans le rapport, ce qui vous permettra de corriger tout problème d'authentification.

Points clés à retenir

Nous vivons à une époque où les cyberattaques sont la réalité de toutes les entreprises.

En ne sécurisant pas efficacement votre courrier électronique, vous exposez votre entreprise à toutes sortes de vulnérabilités.

Ne laissez pas le vôtre être le suivant.

 

 

Découvrez comment PowerDMARC peut vous aider à sécuriser votre courrier électronique professionnel dès aujourd'hui.

Il vous suffit de cliquer sur le bouton ci-dessous pour parler à un expert en sécurité du courrier électronique dès aujourd'hui

 

Planifier une démonstration

/par