Dans les coulisses des campagnes de phishing modernes de 2019

/0 Commentaires/dans /par

L’actualité du monde de la cybersécurité est dominée par des gros titres sur les logiciels malveillants, les ransomwares, les atteintes aux données, les vulnérabilités d’applications, les menaces IdO, ou encore les attaques par réseaux de zombies. Mais le phishing est une menace sérieuse depuis le début des années 2000 et est généralement considéré comme le vecteur d’attaque le plus courant pour les cybercriminels.

Aujourd’hui, le phishing n’est plus une question de volume. Ces menaces véhiculées par e-mail sont désormais affinées pour réussir à piéger une cible de grande valeur afin de l’inciter à réaliser une action particulière : cliquer sur un lien malveillant, ouvrir un fichier contenant des logiciels malveillants, fournir un mot de passe, ou autoriser des transactions financières.

Dans la course actuelle au cyberarmement, les acteurs des menaces essaient constamment de contourner les systèmes de sécurité. Dans le contexte de l’e-mail comme vecteur de menace, le phishing a évolué en différents types d’attaques : spear-phishing, usurpation d’identités ou encore attaque par piratage de la messagerie en entreprise (BEC). Ces messages sont hautement ciblés et font l’objet d’importants efforts d’ingénierie sociale pour sélectionner et étudier soigneusement la victime.

Le volume global du phishing est en baisse, mais les attaques sont nettement plus ciblées

Dans le Rapport 2019 sur les cybermenaces de SonicWall, nos spécialistes en menaces des Capture Labs ont enregistré 26 millions d’attaques par phishing dans le monde, soit une baisse de 4,1 % par rapport à 2017. Au cours de cette période, le client moyen de SonicWall a été confronté à 5 488 attaques par phishing.

Volume mondial des attaques par phishing en 2018

Alors que les entreprises s’efforcent de bloquer les attaques par e-mail et de s’assurer que les employés peuvent repérer et supprimer les e-mails suspects, les pirates informatiques changent de tactiques. De nouvelles données suggèrent qu’ils réduisent le volume global des attaques et lancent des attaques par phishing hautement ciblées (p. ex. des attaques lors du Black Friday et du Cyber Monday).

Découvrez les cinq tactiques courantes que les pirates informatiques utilisent pour dérober des identifiants, déployer des logiciels malveillants, infiltrer des réseaux, et nuire aux marques.

  1. URL malveillantes et sites Web faux ou usurpés
    Suite aux améliorations des solutions de messagerie électronique sécurisées qui atténuent le phishing, les cybercriminels ont maintenant recours à des méthodes innovantes pour exécuter des attaques ciblées, comme l’utilisation d’URL comme arme dans les e-mails pour fournir des charges utiles malveillantes, ou la création de sites Web de phishing avec de fausses pages de connexion pour recueillir les identifiants de connexion des utilisateurs. Fin 2017, il a été rapporté que 1,5 million de sites de phishing sont créés chaque mois. Et la détection des sites de phishing est devenue plus difficile parce que les pirates informatiques masquent les URL de phishing avec de multiples redirections et des URL raccourcies.
     
    De plus, environ la moitié de ces sites de phishing utilisent des certificats HTTPS et SSL, ce qui permet aux cybercriminels de tromper plus facilement leurs victimes.
     
    Source: « PhishPoint: New SharePoint Phishing Attack Affects an Estimated 10% of Office 365 Users, » Avanan, août 2018.
     
    Selon le rapport de renseignements de sécurité de Microsoft, « les pirates informatiques utilisent de plus en plus de sites et services populaires de partage de documents et de collaboration pour distribuer des charges utiles malveillantes et de faux formulaires de connexion qui sont utilisés pour dérober des identifiants utilisateur. »
  2. Phishing ciblant les utilisateurs des applications Office 365

     
    Les services SaaS et de messagerie Web sont de plus en plus ciblés par les campagnes de phishing. Selon le groupe de travail anti-phishing (APWG), le phishing ciblant les services SaaS et de messagerie Web a doublé au cours du quatrième trimestre 2018. Office 365 étant la plate-forme de messagerie cloud la plus populaire dans les organisations de toutes tailles et de tous les secteurs verticaux, il n’est pas surprenant que Microsoft soit la marque faisant le plus l’objet d’usurpations.
     
    « À mesure que la part de marché SEG (passerelles sécurisées de messagerie électronique) de Microsoft augmente, les pirates futés cibleront spécifiquement les défenses de Microsoft », signale Gartner.
     
    Ceci n’est pas inconcevable car toute personne munie d’une carte de crédit peut avoir un abonnement Office 365, ce qui rend les fonctionnalités de sécurité de cette personne tout à fait accessibles aux cybercriminels. Cela permet en théorie aux groupes criminels de concevoir des campagnes de phishing qui peuvent échapper aux défenses d’origine de Microsoft. En fait, dans un autre rapport, les chercheurs ont découvert que 25 % des e-mails de phishing contournent la sécurité d’Office 365.

  3. Identifiants de connexion compromis
    En janvier 2019, le chercheur en sécurité Troy Hunt a découvert « Collection 1 », une mine de 773 millions d’adresses e-mail et 21 millions de mots de passe à vendre sur un forum de pirates informatiques. Ces combinaisons d’identifiants utilisateur et de mots de passe compromis sont utilisées pour lancer des attaques depuis l’intérieur. Une attaque courante consiste en un piratage de compte impliquant des acteurs de menace qui compromettent les identifiants professionnels des employés soit en lançant une campagne de phishing sur les identifiants de connexion contre une organisation soit en achetant des données de connexion récupérées après des fuites de données sur le Darkweb. L’acteur de la menace peut alors utiliser les identifiants volés pour obtenir un accès ou des privilèges supplémentaires. Les atteintes aux identifiants de connexion peuvent ne pas être découvertes pendant des mois, voire des années.
  4. Usurpation d’identité, arnaque au président, et attaque par piratage de la messagerie en entreprise (BEC)
    Selon le FBI, les attaques par piratage de la messagerie en entreprise (BEC) sont une escroquerie visant les entreprises qui travaillent avec des fournisseurs étrangers et/ou les entreprises effectuant régulièrement des paiements par virement électronique. Ces arnaques sophistiquées sont perpétrées par des fraudeurs compromettant des comptes de messagerie par le biais d’ingénierie sociale ou de techniques d’intrusion sur ordinateur pour effectuer des transferts de fonds non autorisés. Les attaques de ce type sont difficiles à stopper car elles ne contiennent pas de liens ou de pièces jointes malveillants, mais consistent en un message à la victime qui semble provenir d’un expéditeur de confiance demandant un transfert de fonds.
     
    Le FBI Internet Complaint Center (IC3) a signalé l’été dernier qu’entre octobre 2013 et mai 2018, les pertes totales au niveau mondial pour les arnaques de type BEC connues ont atteint 12,5 milliards de dollars.
  5. Fichiers PDF et documents Office malveillants en pièces jointes
    Les pièces jointes aux e-mails sont un mécanisme d’envoi populaire pour les charges utiles malveillantes, comme les ransomwares et les programmes malveillants inédits. Les spécialistes en menaces des Capture Labs de SonicWall ont récemment mis en lumière une augmentation importante de fichiers PDF malveillants ou frauduleux. Ces campagnes frauduleuses profitent de la confiance que les destinataires accordent aux fichiers PDF qu’ils considèrent comme étant « sûrs » et qui sont fréquemment utilisés dans les opérations commerciales. Je recommande la lecture de « New PDF Fraud Campaign Spotlights Shifting Cybercriminal Phishing Tactics », écrit par Dmitriy Ayrapetov, directeur exécutif de la gestion de produits, pour en savoir plus sur ces types de campagnes de phishing et sur la manière de les arrêter.

Vulnérabilité Dragonblood : votre Wi-Fi est-il sécurisé ?

/0 Commentaires/dans /par

Game of Thrones est dans l’air du temps ! Et tout ce qui a trait aux dragons me rappelle GoT. La vulnérabilité Dragonblood a récemment mis en évidence la faible sécurité du protocole WPA3. Il y a tout juste un an, KRACK exposait les faiblesses du protocole WPA2. En réponse, un successeur plus fort de WPA2 avait été annoncé par la Wi-Fi Alliance : WPA3.

Mais était-il vraiment aussi fort qu’annoncé ? Il semblerait que non.

Le WPA3 intégrait le protocole de poignée de main appelé « authentification simultanée des égaux » (pour Simultaneous Authentication of Equals, ou SAE), ce qui représentait une amélioration de taille par rapport au WPA2 car il prévenait les attaques par dictionnaire. Ces mesures de sécurité par poignée de main SAE sont communément appelées Dragonfly. Cette poignée de main est sensible aux attaques par partitionnement de mots de passe, qui ressemblent à des attaques par dictionnaire et exploitent des fuites par canal auxiliaire pour récupérer les mots de passe du réseau.

Selon les chercheurs Vanhoef et Ronen, à l’origine du rapport sur cette vulnérabilité, le WPA3 est affecté par de graves défauts de conception qui auraient pu être évités par des retours d’experts de l’industrie sur le Wi-Fi sécurisé. Parmi ces défauts figure le fait que le WPA3 n’a pas introduit de nouveaux protocoles, mais seulement des instructions sur les protocoles existants qui devraient être pris en charge.

Profil du protocole WPA3

Le WPA3 a apporté des améliorations par rapport au WPA2 en utilisant les méthodes de sécurité les plus récentes, en interdisant les protocoles existants obsolètes et en mettant en œuvre l’utilisation de la fonctionnalité PMF (Protected Management Frames). Il a été conçu en pensant à deux types de réseaux : la protection des réseaux domestiques avec WPA3-Personal et celle des réseaux d’entreprise avec WPA3-Enterprise.

WPA3-Personal offre une protection accrue des mots de passe du réseau tandis que WPA3-Enterprise offre des protocoles de sécurité plus élevés pour les réseaux d’entreprise. Dans les réseaux WPA3-Personal, la poignée de main SAE remplace la clé pré-partagée (Pre-Shared Key, PSK) dans les réseaux WPA2-Personal. Le WPA3 bénéficie de la sélection naturelle des mots de passe, d’une facilité d’utilisation et de la confidentialité persistante.

Qu’est-ce que la poignée de main Dragonfly ?

WPA3-Personal demande la prise en charge des poignées de main SAE, qui est un échange de clés d’authentification de mot de passe symétrique où deux terminaux (PA et PA, ou PA et client) stockent les mots de passe en clair. L’entrée de la poignée de main SAE est un secret pré-partagé et la sortie est une clé PMK (Pairwise Master Key) à entropie élevée. Après cette exécution, une poignée de main en quatre étapes a lieu pour générer une clé PTK (Pairwise Transient Key).

Les 6 façons dont Dragonblood affecte votre réseau sans fil

  1. Attaque par déni de service (DoS). Le mécanisme anti-engorgement du WPA3 censé prévenir les attaques DoS n’est pas efficace. Cela a pour effet de passer outre les points d’accès et de provoquer une perturbation de vos réseaux.
  2. Attaque par repli (downgrade attack). Le mode de transition du WPA3 est sensible aux attaques par dictionnaire. Dans ce mode, un point d’accès compatible WPA3 peut accepter des connexions depuis des appareils clients WPA2 et WPA3. Si un attaquant utilise une attaque de type l’homme du milieu pour modifier les balises d’un point d’accès compatible WPA3 afin de tromper le client en lui faisant croire qu’il s’agit d’un point d’accès WPA2, pendant la poignée de main en quatre étapes WPA2, le client détecte l’anomalie et annule la transmission. Cependant, un nombre suffisant de trames est envoyé pendant la poignée de main pour que l’assaillant puisse mettre en place une attaque par dictionnaire. En outre, les chercheurs ont également découvert des « attaques par repli (downgrade attack) spécifiques à la mise en œuvre lorsqu’un client se connecte automatiquement de manière inappropriée à un réseau WPA3 préalablement utilisé ».
  3. Attaque de la négociation des groupes du protocole SAE. Les appareils clients peuvent hiérarchiser les groupes dans une poignée de main SAE conformément aux spécifications 802.11. Avec SAE, lorsqu’un client se connecte à un point d’accès, il inclut le groupe souhaité dans la trame « commit » et ce processus se poursuit. « Malheureusement, il n’existe aucun mécanisme qui détecte si quelqu’un a interféré dans ce processus. Il est donc insignifiant de forcer le client à utiliser un groupe différent : créez simplement une trame « commit » qui indique que le PA ne prend pas en charge le groupe actuellement sélectionné. » Cela entraîne une attaque par repli. Cette méthode peut également être utilisée pour effectuer des attaques par mise à niveau (upgrade attack).
  4. Attaques temporelles par canal auxiliaire. La poignée de main SAE est sensible aux attaques synchronisées qui divulguent des informations sur les mots de passe, lesquelles pourraient être ensuite utilisées dans le cadre d’attaques par partitionnement de mot de passe entraînant la récupération du mot de passe de la victime.
  5. Attaques par canal auxiliaire caché. Le SAE est également exposé à des vulnérabilités dans la mise en œuvre de ses algorithmes, qui pourraient être exploitées dans des attaques par partitionnement de mots de passe entraînant la récupération du mot de passe de la victime.
  6. EAP-PWD. Cela affecte le protocole d’authentification extensible (EAP) pris en charge par les normes WPA2 et WPA. Les chercheurs ont également « découvert de graves bugs dans la plupart des produits qui mettent en œuvre l’EAP-pwd. Ceux-ci permettent à un adversaire de se faire passer pour n’importe quel utilisateur, et d’accéder ainsi au réseau Wi-Fi, sans connaître le mot de passe de l’utilisateur. »

Comment se protéger contre Dragonblood

La vulnérabilité Dragonblood peut être corrigée par des correctifs logiciels. Tandis que la Wi-Fi Alliance communique des directives aux fournisseurs, assurez-vous que votre réseau est toujours protégé par des correctifs issus des dernières mises à jour de sécurité des fabricants d’appareils sans fil. En outre, utilisez des mots de passe forts sur vos réseaux.

La vulnérabilité Dragonblood affecte-t-elle les points d’accès sans fil de SonicWave ?

Non. Cette vulnérabilité n’affecte pas les points d’accès sans fil de SonicWall. Les points d’accès SonicWave offrent une sécurité sans fil supérieure et une troisième radio dédiée à l’analyse de sécurité. Les services de sécurité avancés, tels que la technologie sandbox Capture Advanced Threat Protection (ATP) et le service de filtrage de contenu (CFS), peuvent être mis en œuvre par les PA, même lorsqu’ils ne sont pas connectés aux pare-feu. Cela vous donne la flexibilité nécessaire pour gérer la technologie sans fil depuis le cloud ou via les pare-feu, sans compromettre la sécurité.

Les ports non standard sont la cible de cyberattaques

/0 Commentaires/dans /par

Si vous aimez regarder des films de super-héros, vous avez sûrement déjà entendu les personnages parler à un moment donné de la protection de leur identité par l’anonymat. À l’exception d’Iron Man, la dissimulation de leur véritable identité fournit aux super-héros une forme de protection. À cet égard, la sécurité réseau est similaire.

L’expression « la sécurité par l’obscurité » reçoit autant de louanges que de critiques. Si vous conduisez votre véhicule dans des petites rues plutôt que sur l’autoroute pour éviter des accidents potentiels, êtes-vous davantage protégé(e) ? Pouvez-vous vous rendre à votre destination aussi efficacement ? C’est possible, mais cela ne signifie pas pour autant que vous échapperez à tout jamais aux accidents.

La différence entre les ports standard et non standard

Les ports des pare-feu sont attribués par l’Internet Assigned Numbers Authority (IANA) à des fins particulières ou pour livrer des services spécifiques.

Alors que l’on compte plus de 40 000 ports enregistrés, seule une poignée est couramment utilisée. Il s’agit des ports « standard ». Par exemple, HTTP (pages Internet) utilise le port 80, HTTPS (sites Internet qui utilisent un chiffrement) utilise le port 443 et SMTP (messagerie électronique) utilise le port 25.

Les pare-feu configurés pour écouter sur ces ports sont disponibles pour recevoir du trafic. Les cybercriminels le savent également, aussi la plupart de leurs attaques ciblent les ports couramment utilisés. Bien sûr, les entreprises renforcent généralement ces ports contre les menaces.

En réponse au déferlement d’attaques ciblant les ports standard, certaines entreprises se sont tournées vers l’utilisation de ports « non standard » pour leurs services. Un port non standard est un port qui est utilisé pour un but autre que son attribution par défaut. L’utilisation du port 8080 au lieu du port 80 pour le trafic Web en est un exemple.

Il s’agit de la stratégie de la « sécurité par l’obscurité ». Même si cela peut perturber un temps les cybercriminels, ce n’est pas une solution de sécurité à long terme. Cela peut également compliquer la connexion au serveur Web pour les utilisateurs car leur navigateur est pré-configuré pour utiliser le port 80.

Attaques sur des ports non standard

D’après les données du rapport 2019 sur les cybermenaces de SonicWall, le nombre d’attaques dirigées vers des ports non standard a augmenté. En 2017, SonicWall a découvert que plus de 17,7 % des attaques par programmes malveillants étaient passées par des ports non standard.

En comparaison, ce nombre était de 19,2 % en 2018, soit une augmentation de 8,7 %. Rien qu’en décembre 2018, on dénombrait un nombre encore plus élevé culminant à 23 %.

Comment protéger des ports non standard ?

La meilleure défense contre les cyberattaques ciblant les services sur les ports standard et non standard est d’avoir une stratégie de sécurité multicouche.

L’utilisation de la « sécurité par l’obscurité » constitue une seule couche. Le fait de s’y fier excessivement, cependant, ne fournit pas le niveau de sécurité dont vous avez besoin. Cela peut contribuer à la protection contre l’analyse des ports, mais n’empêchera pas les cyberattaques qui sont plus ciblées.

Vous souhaiterez sûrement prendre des mesures supplémentaires, comme modifier fréquemment vos mots de passe, utiliser l’authentification multifacteur et appliquer des correctifs et des mises à jour. Et vous souhaiterez peut-être utiliser un pare-feu qui peut analyser des artefacts spécifiques plutôt que l’ensemble du trafic (c.-à-d. approche basée sur les proxys).