Tél: A Linas: 06.67.44.90.09  A Morsang sur Orge: 06.13.40.54.86

 

Plusieurs millions de mails aux couleurs d’Amazon France viennent de finir dans les boites mails d’utilisateur de la cyberboutique. Prudence à cet achat que vous n’avez pas effectué.

Les cyberattaques de type phishing, il en pleut des dizaines par jour. J’ai souhaité revenir sur celle du moment, elle est aux couleurs de la cyberboutique Amazon France. D’abord, les mails exploités proviennent d’une des bases de données que je vous indiquais avoir repéré dans un espace de stockage pirate, il y a quelques semaines. Dans cette BDD, deux mails honey pots (pot de miel, contenu ayant pour mission de piéger quelqu’un) ZATAZ ! Ensuite, intéressante attaque par le contenu du courriel usurpateur.

https://twitter.com/Damien_Bancal/status/903991901300326401

La missive se fait passer pour Amazon France sous l’adresse mail « Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.« . Elle explique que vous avez acheté un produit dans la nuit : « Nous vous remercions de votre commande. Nous vous tiendrons informés par e-mail lorsque les articles de votre commande auront été expédiés. » autant dire que les lecteurs de zataz ont été nombreux à m’indiquer avoir reçu la lettre électronique et n’avoir rien acheté.

Sur les 12 lecteurs, 8 avaient cliqué sur le lien proposé dans le courriel. 4 ont rentré login et mot de passe. 1 a rentré un faux identifiant. « J’avoue que jusqu’au bout j’y ai cru, souligne un témoin. Le courrier est très bien fait« .

Effectivement, le pirate n’a pas orchestré une attaque sans réflexion. Le message, efficace. Le mail de la victime apparaît dans ce dernier. Le lien usurpateur, https://www.amazon.fr.cmd7521963.info affiche un fier HTTPS. S voulant dire que la connexion est sécurisée. Le « S » a rassuré les 8 lecteurs qui ont cliqué sur le lien. Plus rassurant encore pour les lecteurs. La page usurpatrice affiche leur mail dans l’espace « identifier-vous« .

Bref, un piège qui pourrait maltraiter plus d’un internaute.

Pour contrer ce genre de chose, passez votre souris sur le lien proposé dans le mail. Ne cliquez pas sur ce lien, regardez juste l’information qui va s’afficher, en bas à gauche de votre outil web. Si ce n’est pas la même url, poubelle.

Ensuite, en cas de doute, préférez taper l’adresse de la cyberboutique dans votre navigateur.

Si votre adresse mail apparaît dans ce genre d’attaque, dites vous qu’elle est définitivement perdue. Elle sera exploitée par les pirates. Autant en changer !

Pour finir, n’oubliez pas qu’Amazon propose la double authentification. Dans le cas d’une interception malveillante de votre mot de passe, sans le second code proposé par la double authentification, le pirate ne pourra pas accéder à votre compte client.

Source: www.zataz.com
Posted On 02 Sep 2017

Tag: , , , ,

 

 

Panique à bord pour les utilisateurs du réseau social Instagram ! La fuite de données orchestrée par le groupe « DoxAGram Team » s’avère beaucoup plus sévère que prévue, et représente 6 millions de comptes.

Alors que certains pensaient que seuls quelques comptes de célébrités étaient touchés en fin de semaine dernière, il s’avère que le piratage est massif : plus de 6 millions de comptes utilisateurs sont en fuite sur le DarkNet, et les données de certaines célébrités sont à vendre à l’unité à 10 dollars pièce (en Bitcoin) ou en pack avec des tarifs promotionnels. On retrouve les informations personnelles (y compris le numéro de téléphone mobile comme le rapport le communiqué officiel) de stars telles que Selena Gomez, les noms de Justin Bieber, de Taylor Swift, Neymar ou encore Kirsten Dunst.

Les cybercriminels semblent avoir réussi à exploiter la faille de sécurité de manière automatisée afin d’extraire des données de plusieurs millions d’utilisateurs. Malins, il ont aussi ouvert le service dédié Doxagram sur le DarkWeb afin de commercialiser les données volées… La faille en question se trouvait dans une API Instagram depuis 2016, utilisée dans une ancienne version de l’application mobile, et plus précisément, au sein de la fonction de réinitialisation du mot de passe. La vulnérabilité a été signalée par Kaspersky à Instagram, qui l’a corrigé dans le courant de la semaine dernière. Attention tout de même, car à ce jour, rien ne prouve que ce soit cette vulnérabilité qui a été exploitée par les pirates pour dérober ces données sensibles : elle ne semblait pas être l’idéale pour extraire à grande échelle…

Notons que les données en fuites concernent les adresses e-mail et les numéros de téléphones entre autre, mais pas de mots de passe. Les pirates ont envoyé un échantillon de 10 000 comptes à Ars Technica et le chercheur et expert en sécurité Troy hunt a pu les authentifier.

 

On retrouve donc une véritable industrialisation du processus de commercialisation des données personnelles volées, que l’on appelle couramment « Doxing as a service« .

En parallèle, Instagram explique être en train d’enquêter sur cette brèche de données et invite ses utilisateurs à la prudence afin d’éviter que des cybercriminels n’exploitent les données récupérées pour prendre le contrôle du compte de la cible. La société précise que les mots de passe des utilisateurs n’ont pas été dérobés, mais les informations personnelles telles que les numéros de téléphone peuvent être utilisées pour réinitialiser les mots de passe sur certains services, ou pour des tentatives de phishing plus élaborées. Une chose est sûre, c’est que l’on a affaire ici à un très gros leak, qu’il ne faut pas ignorer.

Notons que les pirates se seraient vantés de détenir l’intégralité des données des 200 millions d’utilisateurs du réseau social. Facebook, de son côté, a déclaré que cette information était mensongère. Affaire à suivre !

 

Source: UnderNews.fr

Microsoft a corrigé, en mars, les failles utilisées par la NSA, et révélées par Shadow Brokers en avril !

Intéressant, c’est le moins que l’on puisse dire. Les hackers de la NSA, les Shadow Brokers ont diffusé avant le week-end de Pâques, des outils de piratage qui auraient été utilisés par les pirates de la National Security Agency. Des codes, des logiciels, des failles portant les doux noms de ODDJOB, ZIPPYBEER, ESTEEMAUDIT… Des logiciels utilisés par le service de renseignement de l’Oncle Sam qui servaient, soit à infiltrer un ordinateur sous Windows, soit carrément espionner l’utilisateur des systèmes d’exploitation de Microsoft. L’ensemble des Windows étaient touchés par ces vulnérabilités made in NSA.

Par on ne sait quel miracle, les failles ont été corrigées par Microsoft, en mars. Soit 1 mois avant l’annonce des hackers de la NSA. Les Shadow Brokers ont-ils alertés Microsoft ? J’en doute ! La NSA alors ? Toujours est-il que vendredi soir, Microsoft diffusait sur son blog un message réconfortant. Les outils de la NSA n’étaient donc pas des 0days ? Microsoft n’explique pas, comme il est habituel, d’où provient l’aide qui lui a permis de patcher.

En attendant, la NSA doit se mordre les doigts d’avoir perdu autant de possibilités d’infiltrer n’importe quel Windows dans le monde… ou pas !

Pendant ce temps, on apprend dans les pages de DataSecurityBreach.fr que la société Oracle a corrigé 299 failles, dont Struts. Vulnérabilité utilisée par la NSA et révélée par Shadow Brokers.

C’est probablement l’incident qui a mis les ransomware sous les feux de la rampe médiatique, plus d’un an avant l’épidémie de WannaCry. En fevrier 2016, le Hollywood Presbyterian Medical Center de Los Angeles en Californie a été visé par le ransomware Locky. L’attaque a chiffré les systèmes de tout le réseau, empêchant les employés d’accéder aux ordinateurs et aux données.
 

L’hôpital a fini par céder et a accepté de payer une rançon de 40 bitcoins, une somme équivalant à l’époque 17.000 dollars afin de récupérer la clef de déchiffrement.

« La manière la plus rapide de retrouver l’accès à nos données et aux fonctions administratives était de payer la rançon et d’obtenir la clef de déchiffrement. Afin de pouvoir revenir à un rythme d’opération normal, c’est donc ce que nous avons fait » a expliqué à l’époque Allen Stefanek, le président du Hollywood Presbyterian Medical Center.

Locky a poursuivi ses infections au cours de l’année 2016 à un rythme effréné, sans autre alternative pour les victimes que le paiement de la rançon. Cette souche de ransomware était si populaire qu’au mois de novembre 2016, elle était devenue l’un des malwares les plus communs.

Mais en décembre 2016, Locky a entièrement disparu. Certains chercheurs ont ainsi évoqué l’idée que les opérateurs étaient partis en vacances pour les fêtes. Il a fait son retour en janvier, mais dans des proportions moindres par rapport au volume de diffusion constaté précédemment.

« Locky est un ransomware incroyablement sophistiqué et puissant » résume Adam Kujawa, directeur Malware Intelligence chez MalwareBytes. « Au final, les cybercriminels veulent de l’argent et ils sont pour cela prêts à utiliser tous les outils à leur disposition. » Si Locky est un succès, les cybercriminels à l’origine de son projet restent probablement des opportunistes constamment à l’affût de nouveaux outils pour extorquer des rançons. Si cela implique de laisse Locky de côté pendant une période, alors qu’il en soit ainsi.

Mais pour l’instant, Locky reste une valeur sûre : si les victimes cessaient de payer des rançons, les cybercriminels auraient tôt fait de passer à de nouvelles méthodes. Mais plus de 18 mois après l’attaque du Hollywood Presbyterian Medical Center, Locky est toujours là et s’attaque à de nouveaux réseaux. Les ransomwares restent une méthode efficace, car de nouvelles machines continuent d’être infectées et de nouvelles entreprises acceptent de payer les rançons pour récupérer l’accès à leurs systèmes, notamment en l’absence d’outil de décryptage.

Pour résumer, Locky est de retour, car Locky est efficace. La prochaine fois qu’il semblera disparaître, ne criez donc pas victoire trop vite : il est plus que probable que ses créateurs aient simplement choisi de faire une pause pour le rendre encore plus efficace.

Cet article est une traduction de "Locky ransomware: Why this menace keeps coming back" initialement publié sur ZDNet.com

Les experts sécurité du G DATA Security Labs ont recensé 1 852 945 nouveaux types de programmes malveillants (malware) au cours du 1er trimestre 2017, soit un nouveau code toutes les 4,2 secondes. Un nouveau record est à prévoir pour l’année 2017 avec des projections qui tablent sur 7,41 millions de nouveaux types de codes malveillants sur l’année.

Dans le détail, la majorité des nouveaux types de logiciels malveillants (malware) détectés est à classer dans la catégorie des chevaux de Troie. Ceux-ci permettent la prise de contrôle des machines victimes à des fins malveillantes : vol d’informations personnelles, intégration dans des botnets ou encore utilisation dans des attaques distribuées de déni de service (DDoS).

La seconde position est occupée par les adwares avec une nette augmentation. Sur l’année 2016 la part des adwares était de 4,9 %, elle est de 13,9 % sur le premier trimestre de cette année.

Mis en avant par les dégâts qu’ils engendrent, les ransomwares ne représentent qu’une partie infime du total des nouveaux types de codes détectés sur le trimestre (moins de 0,1 % du total). Mais leur forte diffusion en fait un des principaux dangers. De plus, ils augmentent fortement. En 2016, leur nombre avait été multiplié par neuf entre la première et la seconde moitié de l’année. Sur le premier trimestre 2017, la quantité de nouveaux types de ransomware détectés atteint déjà celle comptabilisée lors des 6 derniers mois de l’année 2016. (source : site de zataz.com)

 

Déja 7 ans d'éxistence !