Ces principales menaces démontrent la complexité de la lutte contre la cybercriminalité et soulignent que les criminels n’innovent dans leur comportement criminel que lorsque les modes opératoires existants sont devenus vains ou que des opportunités plus rentables se présentent.

Essentiellement, les nouvelles menaces ne proviennent pas seulement des nouvelles technologies, mais aussi de vulnérabilités connues des technologies existantes, qui restent non corrigées pendant de longues périodes.

Les services répressifs doivent donc non seulement se concentrer sur l’impact potentiel des futurs progrès technologiques en matière de cybercriminalité, tels que l’intelligence artificielle, mais aussi aborder la cybercriminalité dans un sens global, y compris la prévention, la sensibilisation et le renforcement de la cyberéducation et de la résilience.

La sixième évaluation annuelle de la menace liée à la criminalité organisée sur Internet (IOCTA) d’Europol offre un point de vue unique en matière d’application de la loi sur les menaces émergentes et les développements clés dans le domaine de la cybercriminalité au cours de l’année écoulée.

Phénomènes transversaux de la cybercriminalité

• Les données sont au centre des scènes de crime. Les cybercriminels ciblent les données pour leurs crimes. La sécurité des données et la sensibilisation des consommateurs sont donc primordiales pour les organisations. La sécurité des données a de nouveau pris une place centrale après la mise en œuvre du règlement général sur la protection des données (RGPD).

• La cybercriminalité est en train de mûrir et de devenir plus audacieuse, se concentrant davantage sur des cibles plus vastes et plus rentables.

Principales tendances 2019 de l’IOCTA

Les ransomwares demeurent la principale menace de cybercriminalité en 2019. Même si les forces de l’ordre ont constaté une baisse du volume global des attaques de ransomwares, celles qui sont commises sont plus ciblées, plus rentables et entraînent des dommages économiques plus importants.

Tant que les ransomwares fournissent un revenu relativement facile aux cybercriminels et continuent de causer des dommages et des pertes financières considérables, il est probable que cela reste la principale menace en matière de cybercriminalité.

Attaques DDoS: si l’utilisation de ransomware pour refuser à une organisation l’accès à ses propres données peut constituer la principale menace de l’IOCTA de cette année, le fait de refuser à d’autres utilisateurs l’accès à ses données ou services est une autre menace importante.

Le déni de service distribué (DDoS) était l’une des menaces les plus importantes signalées à Europol. De nombreuses banques signalent que les attaques par DDoS demeurent un problème important, entraînant une interruption des services bancaires en ligne, créant ainsi un impact plus public que des dommages financiers directs.

Surcharge de données dans le matériel de lutte contre l’exploitation sexuelle des enfants: la quantité de matériel détecté en ligne par les forces de l’ordre et le secteur privé continue d’augmenter. Cette augmentation alourdit considérablement les ressources en matière d’application de la loi.

Un développement qui pourrait être préoccupant pour l’exploitation sexuelle d’enfants en ligne est l’amélioration continue de deepfakes. La technologie Deepfake est une technique basée sur l’IA qui place des images ou des vidéos sur une autre vidéo.

Les contenus explicites auto-générés sont de plus en plus courants, poussés par un nombre croissant de mineurs ayant accès à des smartphones de haute qualité. Le manque de sensibilisation aux risques du côté des mineurs aggrave le problème.

Villes intelligentes: les attaques de ransomware les plus visibles en 2019 étaient celles contre les gouvernements locaux, en particulier aux États-Unis. On verra si cette tendance deviendra également une menace pour les États membres de l’UE ou ailleurs, mais les expériences aux États-Unis sont un avertissement.

Les forces de l’ordre réagissent de plus en plus aux attaques d’infrastructures critiques. Les forces de l’ordre semblent avoir été impliquées dans un éventail beaucoup plus large d’enquêtes sur des attaques d’infrastructures critiques, notamment dans les secteurs de l’énergie, des transports, de l’approvisionnement en eau et de la santé.

Il est peu probable que des criminels motivés financièrement attaquent ces infrastructures, car de telles attaques attirent l’attention de multiples autorités et posent donc un risque disproportionné.

Le réseau Darknet devient de plus en plus fragmenté: il y a de plus en plus de magasins à fournisseur unique et de marchés plus fragmentés et fragmentés sur Tor, y compris ceux proposant des langues spécifiques. Certains groupes du crime organisé fragmentent également leurs activités sur un éventail de monikers et de marchés en ligne, posant ainsi de nouveaux défis pour les forces de l’ordre.

Les marchés des chaînes de blocs: en plus de contourner les forces de l’ordre, les développeurs criminels sont également motivés par la nécessité d’accroître la confiance de leurs clients dans Tor, à la fois en termes d’anonymat mais aussi en réduisant les risques d’escroquerie à la sortie.

Black Dog, dont le lancement est prévu pour août 2019, en est un exemple. Il prétend être le «tout premier marché de la cryptographie véritablement décentralisé» et dépend de la blockchain Ethereum pour faciliter les transactions.

Compromis pour le courrier électronique professionnel: les données reviennent à la discussion du compromis concernant le courrier électronique commercial, qui est une priorité cruciale signalée à la fois par les États membres et le secteur privé. Bien que ce crime ne soit pas nouveau, il évolue.

Cette escroquerie exploite la manière dont les entreprises mènent leurs activités, en tirant parti de structures d’entreprise distinctes et des lacunes internes dans les processus de vérification des paiements.

Protocole d’intervention d’urgence des services répressifs de l’UE: la réponse coordonnée aux cyberattaques à grande échelle reste un défi majeur pour une coopération internationale efficace dans l’écosystème de la cybersécurité.

L’élaboration du protocole d’intervention d’urgence des services répressifs de l’Union européenne a considérablement amélioré la préparation aux cyber-actes en abandonnant les mesures de réaction incongrues et réactives, incohérentes, et en agissant comme des catalyseurs essentiels des capacités d’intervention rapide prenant en charge la cyber-résilience.

Catherine De Bolle, directrice exécutive d’Europol, a déclaré: «L’IOCTA de cette année montre que, même si nous devons anticiper sur les défis que les nouvelles technologies, la législation et l’innovation criminelle peuvent apporter, nous ne devons pas oublier de regarder derrière nous. Les «nouvelles» menaces continuent de naître des vulnérabilités des processus et des technologies établis.“

«En outre, la longévité des cybermenaces est évidente, de nombreux modes opératoires établis de longue date et établis persistent, malgré tous nos efforts. Certaines menaces d’hier restent pertinentes aujourd’hui et continueront de nous interpeller demain.“

«En outre, l’impact mondial de la cybersécurité sur la scène mondiale a porté la menace de la cybercriminalité à un autre niveau. À Europol, nous pensons que des outils essentiels doivent être développés pour tenir les cybercriminels à distance. C’est d’autant plus important que d’autres secteurs criminels sont de plus en plus cyber-facilités. »

Le commissaire européen chargé de la migration, des affaires intérieures et de la citoyenneté, Dimitris Avramopoulos, a déclaré: «Les cybercriminels sont de plus en plus audacieux et nous devons le faire dans notre réponse européenne commune. Je suis heureux de constater que les efforts de l’Europe pour lutter contre les cyber-attaques à grande échelle transfrontalières donnent des résultats.“

«Mais je suis bouleversé par le fait que le matériel pédopornographique continue de prospérer en ligne. Nous devons tous intensifier nos efforts à tous les niveaux, car la cybersécurité n’est pas seulement la tâche des forces de l’ordre nationales. C’est une responsabilité pour nous tous envers nos citoyens. “

L’article Cybercriminalité arrive à maturité et se concentre sur des cibles rentables est apparu en premier sur TTCgroupe.

Le smishing et le vishing sont des types d’attaques de phishing qui tentent d’attirer les victimes par SMS et appels vocaux. Les deux s’appuient sur les mêmes appels émotionnels que ceux utilisés dans les escroqueries de phishing traditionnelles et sont conçus pour vous pousser à agir de manière urgente. La différence est la méthode de livraison.

«Les cyberespions peuvent appliquer des techniques de manipulation à de nombreuses formes de communication car les principes sous-jacents restent constants», explique Stu Sjouwerman, responsable de la sensibilisation à la sécurité, chef de la direction de KnowBe4. Attirez les victimes avec des appâts puis attrapez-les avec des hameçons.

Qu’est-ce que smishing?

Définition du smishing: le smishing (smishing par phishing) est un type d’attaque de phishing par SMS (service de messagerie instantanée) sur un téléphone cellulaire.

Tout comme les escroqueries par phishing par courrier électronique, les messages de smishing incluent généralement une menace ou une incitation à cliquer sur un lien ou à appeler un numéro et à transmettre des informations sensibles. Parfois, ils peuvent vous suggérer d’installer un logiciel de sécurité, qui s’avère être un malware.

Exemple de smishing: un SMS typique peut dire quelque chose comme: «Votre compte ABC Bank a été suspendu. Pour déverrouiller votre compte, appuyez ici: https://…….. ”et le lien fourni téléchargera un programme malveillant sur votre téléphone. Les arnaqueurs savent également s’adapter au support qu’ils utilisent, vous pouvez donc recevoir un message texte indiquant: «Est-ce vraiment une photo de vous? https://……… ”et si vous appuyez sur ce lien pour le savoir, vous êtes à nouveau en train de télécharger des logiciels malveillants.

Qu’est ce que vishing?

Définition du vishing: Le phishing (phishing) est un type d’attaque de phishing par téléphone qui cible souvent les utilisateurs de services de voix sur IP (VoIP) tels que Skype.

Il est facile pour les escrocs de simuler l’identité de l’appelant afin qu’ils puissent sembler appeler à partir d’un indicatif local ou même d’une organisation que vous connaissez. Si vous ne répondez pas, ils laisseront un message vocal vous invitant à rappeler. Parfois, ce type d’escroquerie emploie un service de réponse téléphonique ou même un centre d’appel qui n’est pas au courant du crime commis.

Encore une fois, l’objectif est d’obtenir les détails de la carte de crédit, les dates de naissance, les ouvertures de session sur les comptes ou parfois simplement de récupérer les numéros de téléphone de vos contacts. Si vous répondez et rappelez, il se peut qu’un message automatisé vous invite à transmettre les données et beaucoup de personnes ne le contestent pas, car elles acceptent les systèmes téléphoniques automatisés dans le quotidien.

Comment prévenir le smishing et le vishing

Nous sommes un peu plus vigilants avec le courrier électronique, car nous sommes habitués à recevoir du spam et des escroqueries sont monnaie courante, mais les SMS et les appels peuvent toujours sembler plus légitimes à beaucoup de gens. Au fur et à mesure que nous faisons de plus en plus nos achats, nos opérations bancaires et nos autres activités en ligne via notre téléphone, les opportunités pour les fraudeurs se multiplient. Pour éviter de devenir une victime, vous devez vous arrêter et réfléchir.

«Le bon sens est une pratique exemplaire et devrait constituer la première ligne de défense d’un individu contre la fraude en ligne ou par téléphone», déclare Sjouwerman.

Bien que le conseil sur la façon d’éviter de devenir victime d’escroqueries par hameçonnage ait été conçu dans l’optique d’escroqueries par courrier électronique, il s’applique également à ces nouvelles formes d’hameçonnage. Au fond, ne faire confiance à personne est un bon point de départ. Ne jamais appuyer ou cliquer sur des liens dans des messages, rechercher des numéros et des adresses de sites Web et les saisir vous-même. Ne donnez aucune information à un appelant sauf si vous êtes certain qu’il est légitime – vous pouvez toujours le rappeler.

Mieux vaut prévenir que guérir, alors privilégiez toujours la prudence. Aucune organisation ne vous reprochera d’avoir raccroché puis de les appeler directement (après avoir consulté le numéro vous-même) pour vous assurer qu’elles sont bien ce qu’elles prétendent être.

Mettez à jour votre formation de sensibilisation

Bien que rester sur ses gardes soit un conseil solide pour les individus dans la vie quotidienne, la réalité est que les personnes sur le lieu de travail sont souvent négligentes. Ils peuvent être distraits, sous pression et avoir envie de travailler, et les escroqueries peuvent être extrêmement intelligentes. Que se passe-t-il si le SMS semble provenir du PDG, ou si l’appel semble provenir d’un responsable des ressources humaines? Vous pouvez renforcer vos employés et renforcer vos défenses avec une formation adéquate et des politiques claires.

Chaque entreprise devrait avoir une sorte de programme de formation obligatoire et régulier de sensibilisation à la sécurité. Cela peut inclure les meilleures pratiques pour la sécurité générale, mais également définir des règles, telles que les personnes à contacter en cas de doute, ou des règles sur la manière dont certaines communications sensibles seront traitées, facilitant la détection des tentatives de tromperie.

Si vous subissez une forme quelconque d’attaque par hameçonnage, apportez des modifications pour que cela ne se reproduise plus jamais. Cela devrait également informer votre formation en matière de sécurité.

La majorité des attaques de smishing et de vishing ne sont pas signalées, ce qui fait le jeu des cybercriminels. Même si vous êtes assez intelligent pour ignorer les derniers SMS ou appels suspects, Marge en comptabilité ou Dave en ressources humaines en seront peut-être victimes. Si vous avez mis en place un système permettant aux personnes de signaler ces tentatives d’attaques, et même éventuellement une petite récompense, vous avez alors la possibilité de prévenir les autres.

Alors que le phishing continue d’évoluer et de trouver de nouveaux vecteurs d’attaque, nous devons être vigilants et constamment mettre à jour nos stratégies pour le combattre.

L’article Smishing et vishing: comment fonctionnent ces cyberattaques et comment les prévenir est apparu en premier sur TTCgroupe.

Bien que les avantages et les inconvénients de cette ère numérique soient nombreux, il comporte également plusieurs inconvénients. L’une des menaces les plus importantes et les plus destructrices qu’il pose est que nos informations privées sont en danger comme jamais auparavant. La dernière décennie a été marquée par des centaines de vols d’identité, de pertes d’argent et de violations de données. Les cyberattaques dans la nature sont très répandues et touchent tous les individus, entreprises et organismes gouvernementaux. Nous nous dirigeons vers une époque où les cybercriminels peuvent atteindre leurs cibles dans le monde entier et à tout moment, le besoin de cybersécurité n’a jamais été aussi critique qu’aujourd’hui.

Une cyberattaque typique est une tentative d’adversaires ou de cybercriminels tentant d’accéder, de modifier ou d’endommager le système informatique ou le réseau d’une cible de manière non autorisée. Une exploitation systématique, intentionnelle et calculée de la technologie a pour effet d’affecter les réseaux et les systèmes informatiques de manière à perturber les organisations et les opérations qui en dépendent.

L’intelligence artificielle et l’apprentissage automatique sont-ils un fléau pour la cybersécurité?

Avec les potentiels véritablement significatifs de l’intelligence artificielle, la probabilité que les assaillants la protègent et l’utilisent pour renforcer et développer leurs attaques constitue une menace considérable. L’une des principales préoccupations est que les pirates informatiques peuvent utiliser l’IA pour automatiser des cyberattaques à grande échelle. Maintenant, nos adversaires comptent sur les ressources humaines pour concevoir et coordonner leurs attaques. Le paysage de la cybercriminalité et de la cybersécurité va changer – pas pour le meilleur – s’ils apprennent à utiliser l’IA et à apprendre par la machine à faire le sale boulot.

Un autre problème important est que, tout comme nous pouvons déployer l’intelligence artificielle et l’apprentissage automatique pour compléter la pénurie de ressources humaines et réduire les coûts liés à la cybersécurité, nos adversaires peuvent également l’utiliser de la même manière. Les fonds et les ressources nécessaires au lancement et à la coordination de telles attaques vont être considérablement réduits – une menace accrue pour la cybersécurité avec un investissement relativement faible pour le cyber-attaquant.

Les progrès ultérieurs en matière d’intelligence artificielle peuvent également donner naissance à de nouveaux types de cybermenaces. L’intelligence artificielle peut également pirater la vulnérabilité d’un système beaucoup plus rapidement et mieux que l’humain. L’intelligence artificielle peut être utilisée pour dissimuler des attaques si efficacement qu’il est possible que l’on ne sache jamais que leur réseau ou leur périphérique a été affecté.

Ainsi, les trois principales conséquences de l’intelligence artificielle sur le paysage des menaces sont l’augmentation des menaces et des attaques d’aujourd’hui, le développement de nouvelles menaces et la variation de la nature des menaces existantes.

Comment l’intelligence artificielle est-elle un avantage pour la cybersécurité?

Bien que l’avenir semble sombre, des progrès technologiques ont également eu des répercussions importantes sur la cybersécurité. Les outils et les techniques mis au point et soutenus par l’Intelligence Artificielle et l’Apprentissage Automatique en constituent un des principaux atouts dans le domaine de la cybersécurité.

L’intelligence artificielle n’est plus seulement un mot à la mode et est largement utilisée dans les industries de toutes sortes. Le service à la clientèle, l’éducation, l’automatisation, etc. ne sont que quelques-uns des nombreux secteurs dans lesquels AI a été l’instigateur d’un progrès décisif. Il joue également un rôle important dans la lutte en cours contre la cybercriminalité.

Vous trouverez ci-dessous certaines des manières dont l’intelligence artificielle et l’apprentissage automatique font la différence en donnant le coup de fouet nécessaire à la cybersécurité.

Apprentissage automatique dans la détection de cybermenaces

Les organisations doivent être capables de détecter une cyberattaque à l’avance pour pouvoir déjouer ce que les adversaires tentent de réaliser. L’apprentissage automatique est une partie de l’intelligence artificielle qui s’est révélée extrêmement utile pour détecter les cybermenaces sur la base de l’analyse de données et de l’identification d’une menace avant qu’elle n’exploite une vulnérabilité de vos systèmes d’information.

Machine Learning permet aux ordinateurs d’utiliser et d’adapter des algorithmes en fonction des données reçues, de les exploiter et de comprendre les améliorations nécessaires. Dans un contexte de cybersécurité, cela signifie que l’apprentissage automatique permet à l’ordinateur de prévoir les menaces et d’observer toutes les anomalies avec beaucoup plus de précision que tout être humain.

La technologie traditionnelle repose trop sur les données passées et ne peut pas improviser de la même manière que l’intelligence artificielle. La technologie conventionnelle ne peut pas suivre les nouveaux mécanismes et astuces des pirates informatiques de la même manière que l’IA. De plus, le volume de cybermenaces que les gens doivent gérer quotidiennement est trop lourd pour les humains et est mieux géré par l’IA.

IA, protection par mot de passe et authentification

Les mots de passe ont toujours été un contrôle très fragile en matière de sécurité. Et ils constituent souvent la seule barrière entre les cybercriminels et nos comptes. Soyons réalistes, la plupart d’entre nous sommes assez paresseux avec nos mots de passe – utilisant souvent le même compte pour plusieurs comptes, utilisant le même mot de passe depuis des lustres, en tenant compte de manière nette en tant que brouillon dans notre appareil, etc. L’authentification biométrique a été testée comme alternative aux mots de passe, mais elle n’est pas très pratique, et les pirates informatiques peuvent facilement la contourner également. Par exemple, un système de reconnaissance faciale peut être irritant lorsqu’il ne vous reconnaît pas à cause d’une nouvelle coiffure ou du port d’un chapeau. Les attaquants peuvent également passer à travers en utilisant vos images de Facebook ou IG.

Les développeurs utilisent l’IA pour améliorer l’authentification biométrique et se débarrasser de ses imperfections pour en faire un système fiable. La technologie de reconnaissance faciale d’Apple, utilisée sur ses appareils iPhone X, en est un exemple. Cette technologie, appelée “Identité faciale”, fonctionne en traitant les caractéristiques faciales de l’utilisateur au moyen de capteurs infrarouges et de moteurs neuronaux intégrés. Le logiciel d’intelligence artificielle crée un modèle sophistiqué du visage de l’utilisateur en identifiant les corrélations et les schémas clés. Apple affirme qu’avec cette technologie, il n’y a qu’une chance sur un million de tromper l’IA et d’ouvrir votre appareil avec un autre visage. L’architecture logicielle AI peut également fonctionner dans différentes conditions d’éclairage et compenser les changements tels que changer de coiffure, faire pousser les poils du visage, porter un chapeau, etc.

AI-ML dans la détection de phishing et le contrôle de la prévention

Le phishing est l’une des méthodes de cyberattaque les plus couramment utilisées, dans laquelle les pirates informatiques tentent de livrer leur charge utile en utilisant une attaque de phishing. Les courriels de phishing sont extrêmement répandus; un e-mail sur 99 est une attaque de phishing. Heureusement, AI-ML peut jouer un rôle important dans la prévention et la dissuasion des attaques de phishing.

AI-ML peut détecter et suivre plus de 10.000 sources de phishing actives et réagir et remédier au problème beaucoup plus rapidement que l’être humain. AI-ML analyse également les menaces de phishing du monde entier, et sa compréhension des campagnes de phishing ne fait l’objet d’aucune restriction en ce qui concerne les campagnes de phishing dans une zone géographique spécifique. L’intelligence artificielle a permis de différencier rapidement un faux site Web d’un site légitime.

Utilisation de AI-ML dans la gestion de la vulnérabilité

Rien que cette année, plus de 2.000 vulnérabilités uniques ont été signalées. La gestion de tous ces éléments avec des ressources humaines ou la technologie traditionnelle est extrêmement difficile. L’intelligence artificielle peut toutefois y remédier avec beaucoup plus de facilité.

Les systèmes basés sur AI-ML n’attendent pas qu’une vulnérabilité soit exploitée par des menaces en ligne. Au lieu de cela, ces systèmes basés sur l’IA recherchent de manière proactive les vulnérabilités potentielles dans les systèmes d’information organisationnels en combinant efficacement plusieurs facteurs, tels que les discussions des pirates sur le Web sombre, la réputation du pirate informatique, les modèles utilisés, etc. Ces systèmes peuvent analyser ces facteurs et utiliser les informations pour déterminer quand et comment la menace pourrait atteindre les cibles vulnérables.

Sécurité réseau et intelligence artificielle

La création d’une politique de sécurité et la détermination de la topographie du réseau d’une entreprise sont deux éléments importants de la sécurité réseau. En règle générale, ces deux activités prennent beaucoup de temps. Désormais, nous pouvons utiliser l’intelligence artificielle pour accélérer ces processus, ce qu’elle fait en observant et en apprenant les modèles de trafic réseau, ainsi qu’en suggérant des règles de sécurité. Cela permet non seulement de gagner du temps, mais également de consacrer beaucoup d’efforts et de ressources, que nous pouvons appliquer aux domaines de développement et de progrès technologiques.

Analyse comportementale avec IA

Une autre amélioration prometteuse de la sécurité par l’IA provient de sa capacité d’analyse comportementale. Cela signifie que les algorithmes ML peuvent apprendre et créer une régularité de votre comportement en analysant la manière dont vous utilisez habituellement votre appareil et les plateformes en ligne. Les détails peuvent inclure tout, de vos temps de connexion habituels et adresses IP à vos modèles de frappe et de défilement.

Si, à tout moment, les algorithmes d’intelligence artificielle remarquent des activités inhabituelles ou tout comportement ne correspondant pas à vos modèles standard, ils peuvent le signaler comme étant effectué par un utilisateur suspect ou même le bloquer. Les activités qui cochent les algorithmes d’intelligence artificielle peuvent aller de gros achats en ligne expédiés à des adresses autres que la vôtre, d’un pic soudain de téléchargement de document à partir de vos dossiers archivés ou d’un changement soudain de votre vitesse de frappe.

Alors, l’IA est-elle une solution à tous mes problèmes de cybersécurité?

Bien que l’idée de laisser entièrement la prise de contrôle de l’intelligence artificielle soit très tentante, nous devons nous rappeler que l’intelligence artificielle comprend beaucoup de choses et est donc très polyvalente. Bien que l’intelligence artificielle fasse des merveilles pour la cybersécurité, elle fait également son chemin dans le recours aux pirates informatiques à des fins malveillantes. Entre de mauvaises mains, il peut causer des dommages exponentiels et devenir une menace encore plus grande pour la cybersécurité.

À mesure que la technologie évolue, les adversaires améliorent également leurs méthodes, outils et techniques d’attaque pour exploiter des individus et des organisations. Il n’y a aucun doute que l’Intelligence Artificielle est incroyablement utile, mais c’est en quelque sorte une épée à double tranchant. AI-ML peut être utilisé pour détecter et prévenir les attaques avant qu’elles ne se produisent. Au fur et à mesure que AI progressera, nous serons témoins de la capacité de cette technologie à être à la fois une aubaine et un fléau pour la cybersécurité et pour la société en général.

L’article Comment l’intelligence artificielle modifie le paysage de la cybersécurité et prévient les cyberattaques est apparu en premier sur TTCgroupe.

Le groupe cybercriminel GozNym doit son nom au produit qu’il a distribué à ses clients criminels, une combinaison du dangereux cheval de Troie bancaire Gozi et du programme malveillant Nymaim. De fin 2015 à décembre 2016, le groupe a vendu ce logiciel malveillant via des forums criminels souterrains. Il était populaire car il ne nécessitait pas beaucoup de compétences techniques pour pouvoir être utilisé, et ils étaient capables de voler environ 100 millions de dollars américains sur des comptes bancaires à travers les États-Unis et l’Europe.

GozNym en action

GozNym a spécifiquement ciblé les combinaisons nom d’utilisateur / mot de passe des institutions financières. Les procureurs fédéraux ont estimé qu’il avait été fourni à au moins 200 clients criminels et avait infecté plus de 41.000 victimes. Les entreprises et les employés de banque étaient les cibles principales.

GozNym est en réalité un simple keylogger qui recherche spécifiquement les informations de connexion à la banque.

Les logiciels malveillants sont généralement envoyés aux cibles à l’aide d’un courrier électronique de phishing, le keylogger se cachant discrètement en arrière-plan et envoyant les informations de connexion à la cible distante. Les actes d’accusation indiquent que le groupe semble avoir joué un rôle supplémentaire en aidant leurs clients à blanchir de l’argent volé sur des comptes bancaires.

Le groupe sur la cybercriminalité était composé de membres de plusieurs pays d’Europe orientale. Les chefs de groupe Alexander Konovolov et Marat Kazandjian feront l’objet de poursuites en Géorgie, tandis que le «spécialiste de la prise de contrôle de compte» Krasimir Nikolov a été extradé de Bulgarie vers les États-Unis. L’administrateur ukrainien des services d’hébergement, Gennady Kapkanov, fait l’objet d’un procès en Ukraine pour le tir d’un fusil d’assaut Kalachnikov par la porte de son appartement sur des agents de la force publique.

Cinq ressortissants russes associés au groupe sont toujours en fuite, bien qu’ils ne semblent pas avoir joué de rôle déterminant pour leur permettre de relancer le projet. En outre, le réseau Avalanche utilisé pour héberger GozNym et de nombreuses autres formes de programmes malveillants a été démantelé à la fin de 2016.

La plupart des attaques de GozNym ont visé des petites entreprises. Les procureurs n’ont pas divulgué les noms commerciaux au public, mais ont mentionné un casino à Gulfport, MS (presque certainement le Island View Casino Resort), plusieurs cabinets d’avocats et divers entrepreneurs de construction du pays.

Groupes de cybercriminalité proposant «Le crime en tant que service»

Bien que le groupe de cybercriminalité GozNym soit novateur dans sa taille et son envergure, il ne s’agit pas du premier exemple de pirates informatiques proposant des packages «crime in a box» dans des lieux souterrains. Ces services sont très souvent centrés sur la Russie et proposés via des forums «dark web» en russe. Le gouvernement russe a toujours été prêt à ignorer la cybercriminalité tant que celle-ci est commise par des citoyens qui la maintiennent en dehors des frontières nationales et des alliés proches du pays.

Les cybercriminels font ce genre de travail depuis au moins la fin des années 2000. Leurs clients reçoivent généralement un ensemble d’e-mails d’hameçonnage à envoyer à leurs victimes ciblées; des liens dans les e-mails les dirigent vers des sites de programmes malveillants via des services d’hébergement «à toute épreuve» qui facilitent volontiers la cybercriminalité. La plupart de ces services d’hébergement se trouvent en Russie et en Chine ou aux alentours. Les criminels utilisent ensuite un réseau de «mules monétaires» internationales pour blanchir rapidement l’argent en petits morceaux qui ne risquent pas de déclencher des drapeaux rouges et qui sont difficiles à localiser.

Coordonner les mesures de répression internationales nécessaires pour démanteler des groupes de cybercriminalité tels que GozNym n’est pas un mince exploit, ce qui explique en partie pourquoi cette affaire est si remarquable. Le réseau de cybercriminalité de GozNym n’est plus dans l’image, mais la menace est loin d’être éliminée, surtout si vous êtes propriétaire d’une petite entreprise.

Protéger les petites entreprises de la fraude bancaire

Ce n’est pas un hasard si la plupart des cibles de GozNym étaient des entreprises relativement petites et axées sur la région. Les cybercriminels s’attendent à ce que les petites entreprises aient des défenses moins robustes, ce qui est particulièrement attrayant pour les acteurs criminels non techniques qui achètent des programmes de piratage préfabriqués comme celui-ci.

Tout commence généralement par un lien de phishing. Les criminels doivent charger des logiciels malveillants sur vos systèmes pour créer une ouverture permettant de saisir les informations de connexion. La sensibilisation à l’échelle de l’entreprise est essentielle. les criminels sont habiles à envoyer des courriels qui semblent provenir d’une source légitime, comme une compagnie de transport ou un fournisseur.

La première et la plus fondamentale défense contre les courriels de phishing consiste à mettre à jour régulièrement les systèmes d’exploitation et les logiciels (afin de garantir qu’ils disposent des derniers correctifs contre les vulnérabilités) et à utiliser un filtre anti-spam de qualité et un outil anti-malware. Quel que soit votre niveau de formation ou le nombre de mémos envoyés, les incidents surviendront chez les employés, mais cette première ligne de défense peut vous protéger quand ils le font.

En ce qui concerne la protection spécifique contre la fraude bancaire, l’authentification à deux facteurs (2FA) contribuera dans une très large mesure à empêcher les services de «piratage électronique» comme GozNym de voler de l’argent. Vous avez le choix entre 2FA, mais pour des informations aussi critiques que les informations bancaires, il est préférable d’utiliser une application d’authentification, voire une clé matérielle, plutôt que le message texte standard.

Des services avancés de protection contre le phishing sont disponibles et utilisent des techniques d’apprentissage automatique pour reconnaître automatiquement les éléments des courriers électroniques inhabituels ou déplacés. Ces services avancés sont particulièrement utiles lorsque l’attaquant se présente en partenaire de confiance de la société. Ils construisent des profils sur chaque organisation et individu avec lesquels vous communiquez régulièrement, et sont en mesure de détecter et de signaler signaler les comportements inhabituels et non caractéristiques.

Les préférences en matière de balance des attaques sont progressivement passées des grandes entreprises aux petites et moyennes entreprises (PME) au cours de la dernière décennie. Les PME ne disposent peut-être pas du même budget que les grandes entreprises pour la cybersécurité, mais elles courent un risque pour un coup paralysant ou même fatale, à leurs activités si les attaquants accèdent à leurs comptes bancaires. Outre les protections fondamentales décrites ci-dessus, une assurance complémentaire contre le phishing peut être un investissement judicieux pour les entreprises qui ne savent pas si leur police couvre pleinement les pertes indirectes résultant d’une fraude dans le transfert de fonds.

L’article GozNym Cyber Crime Group, responsable du vol de plus de 100 millions de dollars, mis à l’arrêt est apparu en premier sur TTCgroupe.

Il ne faut pas s’étonner que l’IdO se soit étendu aux réseaux gouvernementaux, en particulier à ceux gérés par le ministère de la Défense (MdD). Au MdD, tout, des moteurs aux capteurs de champ de bataille, en passant par les lecteurs d’accès de porte, peut être fourni avec une connexion réseau nécessaire à l’exécution de la tâche qui lui est attribuée. Outre cet équipement de base, le MdD propose également une multitude de périphériques grand public fonctionnant sur ses réseaux, des imprimantes aux moniteurs vidéo, aux caméras en passant par les réfrigérateurs. Ces appareils communiquent continuellement les uns avec les autres, ainsi qu’avec les quartiers généraux plus élevés jusqu’au Pentagone. Le résultat que certains observateurs appellent «l’Internet of Battlefield Things» (IOBT). Il existe un consensus général parmi les experts sur le fait que les forces armées qui ont créé l’IOBT en premier auront un avantage décisif sur ses concurrents.

Si l’évolution d’Internet vers l’IdO et l’IOBT est généralement positive, son arrivée pose un défi majeur en matière de cybersécurité. En termes simples, plus il y a d’appareils sur un réseau, plus les chances qu’un adversaire soit capable de pénétrer sont grandes. Les nouvelles sur la manière dont les adversaires cherchent à pénétrer les infrastructures critiques des États-Unis, y compris le réseau électrique, les réseaux gouvernementaux et les systèmes électoraux, ne manquent pas. Dans de nombreux cas, les pirates informatiques recherchent des solutions simples pour accéder aux réseaux via des appareils connectés. En 2016, il a été découvert que les dispositifs cardiaques implantables utilisés par l’Hôpital St. Jude étaient vulnérables au piratage. Les moniteurs pour bébé se sont révélés extrêmement vulnérables au piratage.

Les adversaires de cette nation tentent agressivement de pénétrer les réseaux, les systèmes et même les armes individuelles du MdD. Un nombre croissant d’informations critiques et classifiées sont générées par la masse de périphériques présents sur le réseau. Récemment, l’armée a découvert que les mouvements des troupes pouvaient être compromis en accédant aux appareils de suivi de la condition physique que portaient de nombreux membres du personnel. Au fur et à mesure que de nouveaux appareils sont ajoutés à l’IOBT, avec ou sans autorisation, le risque de pénétration et la compromission d’informations confidentielles critiques augmentent.

La croissance exponentielle d’IOT et d’IOBT crée de nouvelles vulnérabilités aux cyberattaques à un rythme alarmant. Les appareils IOT / IOBT compromis sont de plus en plus le moyen “facile” pour les attaquants de s’implanter sur le réseau d’une entreprise. Aujourd’hui, un périphérique est généralement ajouté à la liste blanche sur le réseau, ce qui signifie qu’il est identifié comme étant «approuvé». Cet appareil approuvé peut ensuite être utilisé pour exécuter des commandes à l’intérieur de votre pare-feu, ce qui peut aider les pirates informatiques à effectuer des reconnaissances et, éventuellement, à accéder à d’autres parties plus importantes d’un réseau. En outre, de nombreux périphériques non autorisés ou non enregistrés sont ajoutés à un réseau, augmentant ainsi les chances de pénétration. Les adversaires peuvent attaquer des périphériques vulnérables non seulement pour accéder à des informations sensibles, mais également pour compromettre physiquement des parties de votre système dont vous dépendez, par exemple, en temps de guerre. Au fur et à mesure que l’IOT / IOBT se développe, le problème de la vulnérabilité des périphériques augmente également.

Que fait le MdD face à cette vulnérabilité croissante?

Il y a sept ans, le ministère de la Défense (MdD) avait créé Comply to Connect (C2C) afin de sécuriser sa gamme croissante de points de terminaison réseau. C2C est un système formel pour 1) identifier et valider les nouveaux appareils connectés à un réseau; 2) évaluer leur conformité aux politiques de sécurité du MdD; 3) effectuer une surveillance continue de ces dispositifs, et; 4) résoudre automatiquement les problèmes liés aux appareils, réduisant ainsi le besoin de maintenir cyber hygiène sur les administrateurs de cybersécurité.

L’approche C2C combine les technologies de cybersécurité existantes et les technologies plus récentes pour faire face à la nature changeante de l’architecture réseau du ministère de la Défense (MdD). Le principe de base de C2C est de comprendre quels périphériques et quelles personnes se connectent aux réseaux MdD et quelle est leur sécurité. Avec cette connaissance, les commandants peuvent prendre des décisions de risque informées concernant ces connexions et les contrôler automatiquement en fonction de règles de sécurité. C2C fournit également au MdD un moyen de surveiller en permanence l’état des réseaux et des périphériques, qu’ils soient en réseau ou non, avec un degré de fidélité élevé. Les informations fournies par C2C alimenteront une console centralisée qui fournira à ces dirigeants une connaissance complète de la situation des principaux domaines de risque, ce qui, à son tour, éclairera la définition des politiques et l’allocation des ressources.

Sans C2C, le ministère de la Défense ne sait pas combien d’imprimantes, de contrôleurs industriels ou de réfrigérateurs il a sur ses réseaux. Il ne saura pas où ses outils de gestion des correctifs Windows ont cessé de fonctionner. On ne saura pas si les équipements fabriqués par Kaspersky et Huawei ont été retirés des systèmes, comme demandé par le Congrès. Il n’est pas possible de canaliser l’information réseau vers le leadership pour la prise de décision. En l’absence de ces capacités fondamentales, le MdD ne sera pas en mesure d’assumer les responsabilités fondamentales liées à la sécurisation de ses réseaux.

Le Congrès américain a ordonné à deux reprises au ministère de la Défense de mettre en œuvre la fonctionnalité C2C à deux reprises ces dernières années. Alors que le US Marine Corps et la US Navy, ainsi que quelques autres composants du MdD, ont avancé dans la mise en œuvre de ce programme, la plupart de ceux-ci ne l’ont pas encore fait. Le Congrès ne doit pas hésiter à demander au MdD s’il envisage de mettre pleinement en œuvre le C2C pour sécuriser ses systèmes et ses réseaux contre des ministère de la Défense de plus en plus sophistiqués.

L’article Les USA sont-ils prêts pour la nouvelle ère de cyberguerre? est apparu en premier sur TTCgroupe.