Après la fuite massive de Tumblr, il est temps de parler de phishing
Oh cher. Pas encore. 68 millions de comptes Tumblr ont été éclaboussés sur la toile sombre et sont vendus au prix dérisoire de 0,452 bitcoins. Au moment de la rédaction de cet article, cela représente environ 240 $..
À première vue, vous pouvez établir un parallèle entre cette fuite de données et la fuite de LinkedIn survenue il y a deux semaines. Ce que vous devez savoir sur les fuites de comptes LinkedIn gigantesques Ce que vous devez savoir sur les fuites de comptes gigantesques sur LinkedIn Un pirate informatique se vend 117 millions de personnes piratées Identifiants LinkedIn sur le Dark Web pour environ 2 200 USD en Bitcoin. Kevin Shabazi, PDG et fondateur de LogMeOnce, nous aide à comprendre exactement ce qui est à risque. Lire la suite . Premièrement, les deux jeux de données sont vraiment anciens. la violation de LinkedIn date de 2012 et celle de Tumblr de 2013. Les deux jeux de données sont énorme, et ils ont tous deux été répertoriés sur le Web sombre par la même personne - Tranquillité d'esprit.
Mais c'est là que se terminent les similitudes, car si LinkedIn ne sécurisait pas correctement ses mots de passe, ceux de Tumblr étaient protégés par un cryptage (relativement) fort SHA-1. Cela signifie qu’un attaquant a peu de chance de pénétrer dans son compte Tumblr ou de recycler les combinaisons de connexion sur d’autres services, tels que Facebook, PayPal ou Twitter..
Il y a un inconvénient cependant. Un attaquant qui achète le dump dispose désormais d'une liste de 68 millions de comptes de messagerie vérifiés actifs. Cela signifie que tout utilisateur pris au piège est exposé à un risque accru d'hameçonnage et d'attaques par courrier électronique..
Alors, à quoi ressemble le phishing en 2016 et quelles mesures pouvez-vous prendre pour vous protéger?
L'hameçonnage n'est pas un passeport
Si vous n'aviez pas eu connaissance du rapport de la carte mère de Vice, vous pourriez penser que le phishing est un vestige poussiéreux des années 1990 et du début des années 2000, rappelant la toute petite enfance d'Internet et que personne ne savait vraiment comment cela fonctionnait. Nul ne craque plus pour les emails de phishing.
Les statistiques voudraient être en désaccord. Premièrement, les courriels de phishing sont toujours envoyés en nombres incroyablement importants. Selon SecureList, détenue par Kaspersky, les e-mails de phishing et de spam représentaient 54,2% de tous les e-mails envoyés au troisième trimestre de 2015. Il s’agissait d’une légère baisse par rapport au trimestre précédent, mais il s’agit toujours d’une quantité remarquable de messages..
T3 2015, le pourcentage de #spam dans le trafic de courrier électronique représentait 54,2% #KLreport #infosec https://t.co/nKGjX6CH3N photo.twitter.com/Sxs0wM7my7
- Kaspersky Lab (@kaspersky) 12 novembre 2015
Les États-Unis sont la principale source de courrier électronique de phishing, suivis de près par le Vietnam, la Chine et la Russie. Fait intéressant, le pays qui compte le plus grand nombre d'utilisateurs touchés par le phishing est le Brésil, suivi du Japon, de la Chine et du Vietnam. Ni les États-Unis - ni aucun autre pays développé, occidental, d'ailleurs - ne figurent dans le top 10.
Mais alors que le nombre total d’e-mails malveillants et de spam a légèrement diminué, le nombre d’e-mails de phishing a considérablement augmenté. Selon Symantec, la proportion de courriels d'hameçonnage a augmenté en janvier 2015, passant d'un sur 1 517 courriers à un sur 1 004.
L'anti-spam devient plus intelligent, mais le sont également les emails de phishing
Dans les années 1990 et 2000, les logiciels anti-spam étaient peu sophistiqués et peu adaptés aux besoins. En outre, de nombreux programmes n’ont guère cherché de mots clés - comme «viagra» - et ont jeté tous les courriers électroniques les contenant. Les spammeurs et les phishers les ont contournés en mal orthographiant intentionnellement les mots qui figuraient dans la liste de mots clés. Ainsi, «viagra» est devenu «v1agra», qui est ensuite devenu «v1agr4», puis «v1a8r4». Vous avez eu l'idée.
Certains sont devenus encore plus créatifs et ont commencé à cacher les mots parmi des images et des tableaux colorés.
Le résultat final était que les utilisateurs étaient littéralement inondé avec spam et attaques de phishing. Mais cela a changé vers la fin des années 2000, lorsque l'anti-spam est enfin devenu intelligent. Grâce aux ordinateurs plus rapides, les services de messagerie en ligne - tels que Gmail et Outlook - pouvaient effectuer des calculs complexes en temps réel, ce qui déterminait si un courrier électronique serait envoyé dans la boîte de réception de l'utilisateur ou dans le dossier de courrier indésirable..
Plutôt que de rechercher uniquement des mots clés, les filtres anti-spam ont commencé à examiner des éléments tels que l'origine du message électronique et le comportement des autres utilisateurs face à des courriers électroniques de nature similaire..
Les spammeurs n'ont pas abandonné. En fait, selon Securelist, ils deviennent encore plus intelligents, et il devient de plus en plus difficile de détecter un courrier électronique de phishing Comment détecter un courrier électronique de phishing Comment détecter un courrier électronique de phishing Il est difficile de capturer un courrier électronique de phishing! Les fraudeurs se font passer pour PayPal ou Amazon, essayant de voler votre mot de passe et les informations de votre carte de crédit, leur tromperie est presque parfaite. Nous vous montrons comment détecter la fraude. Lire la suite .
Dans son rapport, Securelist a notamment souligné que les spammeurs adoptaient souvent une approche saisonnière du spam et du phishing. Au cours de l'été, il a été noté que le nombre d'e-mails de phishing portant sur un thème de voyage avait augmenté..
“En juillet, les fraudeurs ont tenté de tromper les utilisateurs en envoyant de fausses notifications au nom des hôtels. Le message remerciait les destinataires de rester à leur hôtel et leur demandait de voir la facture ci-jointe. L'archive jointe contenait en fait Trojan-Downloader.Win32.Upatre.dhwi, qui à son tour téléchargeait et exécutait Trojan-Banker.Win32.Dyre (en version 98. ***. **. 39 / cv17.rar) en cliquant sur les liens. écrit dans le corps du téléchargeur.”
Une tactique utilisée pour contourner les programmes anti-spam consiste à tout mettre dans un fichier PDF que l'utilisateur ouvrirait ensuite. Ceci est efficace car il est extrêmement difficile de "lire" par programme un fichier PDF.
phishing PDF
hXXp: //dgreenwell.chytrak.cz/Label.html pic.twitter.com/eJl2RmImcJ- JaromirHorejsi (@JaromirHorejsi) 18 janvier 2016
Lorsque les filtres anti-spam ont atteint ce résultat, les spammeurs ont commencé à utiliser des objets mediabox dans des fichiers PDF joints, des éléments de documents PDF ouverts par un clic de souris. Ils peuvent être utilisés pour rediriger l'utilisateur vers des sites de phishing.
Un trampoline de phishing - incorporation de redirections dans des documents PDF http://t.co/E7lPSiB4q5 pic.twitter.com/BU97TpD1TK
- Mohtashim Nomani (@ mohtashim712) 18 septembre 2015
Ce jeu de chat et souris ne montre aucun signe de fin, avec un gagnant clair. En fait, la guerre pourrait s'intensifier.
Les services légitimes personnalisent leurs e-mails, mais les attaquants aussi
Afin de protéger leurs utilisateurs contre les courriels de phishing, les services en ligne - en particulier les services bancaires en ligne - ont commencé à personnaliser leurs courriels avec un petit «jeton» propre à l'utilisateur. L'une des banques que j'utilise comprend les trois derniers chiffres de mon numéro de compte sur toute correspondance électronique. Un autre met les trois premiers caractères de mon code postal en haut de tous les courriels.
C'est quelque chose que vous devriez toujours chercher.
Fait intéressant, les attaquants ont également commencé à personnaliser leurs courriels pour être plus efficaces. Une chose que j'ai remarquée, c'est que certains emails de phishing ont commencé à prendre la première partie d'une adresse e-mail (tout avant le '@'), et à la mettre dans la salutation. Mon email de travail est '[email protected]', donc ces emails commenceront par 'Dear mhughes'.
Messagerie texte - La prochaine frontière du phishing
Les services en ligne que nous utilisons sont de plus en plus liés à nos appareils mobiles. Certains services vous demandent votre numéro de téléphone afin de configurer une authentification à deux facteurs. Qu'est-ce qu'une authentification à deux facteurs, et pourquoi utiliser l'authentification à deux facteurs et pourquoi l'utiliser? L'authentification à deux facteurs (2FA) est une méthode de sécurité qui nécessite deux manières différentes de prouver votre identité. Il est couramment utilisé dans la vie quotidienne. Par exemple, payer avec une carte de crédit ne nécessite pas seulement… En savoir plus. D'autres le demandent pour partager des informations avec vous.
Les sites ne protègent pas les numéros de téléphone mobile de la même manière que les mots de passe. La raison en est que lorsque vous hachez et salez un mot de passe Chaque site Web sécurisé le fait avec votre mot de passe Chaque site Web sécurisé le fait avec votre mot de passe Vous êtes-vous déjà demandé comment les sites Web protègent votre mot de passe des atteintes à la confidentialité des données? Lire la suite, il devient impossible de lire. Pour que les sites puissent envoyer des messages ou appeler un numéro, ils doivent le garder non protégé..
Ce fait, associé à des services de messagerie texte extrêmement économiques (tout à fait légitimes) tels que Twilio, Nexmo et Plivo (dont les utilisateurs sont moins méfiants), signifie que les attaquants s'appuient de plus en plus sur les SMS comme vecteur d'attaque..
Ce type d'attaque a un nom: smishing, tandis que le phishing vocal s'appelle vishing. Nouvelles techniques de phishing à connaître: Vishing and Smishing Nouvelles techniques de phishing à surveiller: Vishing and Smishing Le vishing et le smishing sont de nouvelles variantes de phishing dangereuses. Que devriez-vous rechercher? Comment saurez-vous une tentative de vishing ou smishing quand elle arrivera? Et êtes-vous susceptible d'être une cible? Lire la suite .
Se méfier
Si vous ne savez pas si vous êtes dans le dump de Tumblr, vous pouvez le savoir en vous rendant à l'ouvrage de Troy Hunt..
Si c'est le cas, il est judicieux de réinitialiser vos mots de passe et de configurer une authentification à deux facteurs pour tous vos comptes. Mais plus important, vous devriez mettre votre soupçon-mètre à onze. Je ne doute pas que les utilisateurs concernés verront une augmentation des spams et des emails de phishing dans les prochaines semaines. Ils vont sembler convaincants. Pour rester en sécurité, les utilisateurs de Tumblr doivent commencer à traiter tous les e-mails entrants avec une bonne dose de scepticisme..
Avez-vous été pris dans la fuite? Avez-vous des emails suspects? Laissez-moi savoir dans les commentaires ci-dessous.
Crédits photos: Bitmap de table HTML (Niels Heidenreich)
Explorer plus sur: Hacking, Phishing, Tumblr.