Le smishing et le vishing sont des types d’attaques de phishing qui tentent d’attirer les victimes par SMS et appels vocaux. Les deux s’appuient sur les mêmes appels émotionnels que ceux utilisés dans les escroqueries de phishing traditionnelles et sont conçus pour vous pousser à agir de manière urgente. La différence est la méthode de livraison.

«Les cyberespions peuvent appliquer des techniques de manipulation à de nombreuses formes de communication car les principes sous-jacents restent constants», explique Stu Sjouwerman, responsable de la sensibilisation à la sécurité, chef de la direction de KnowBe4. Attirez les victimes avec des appâts puis attrapez-les avec des hameçons.

Qu’est-ce que smishing?

Définition du smishing: le smishing (smishing par phishing) est un type d’attaque de phishing par SMS (service de messagerie instantanée) sur un téléphone cellulaire.

Tout comme les escroqueries par phishing par courrier électronique, les messages de smishing incluent généralement une menace ou une incitation à cliquer sur un lien ou à appeler un numéro et à transmettre des informations sensibles. Parfois, ils peuvent vous suggérer d’installer un logiciel de sécurité, qui s’avère être un malware.

Exemple de smishing: un SMS typique peut dire quelque chose comme: «Votre compte ABC Bank a été suspendu. Pour déverrouiller votre compte, appuyez ici: https://…….. ”et le lien fourni téléchargera un programme malveillant sur votre téléphone. Les arnaqueurs savent également s’adapter au support qu’ils utilisent, vous pouvez donc recevoir un message texte indiquant: «Est-ce vraiment une photo de vous? https://……… ”et si vous appuyez sur ce lien pour le savoir, vous êtes à nouveau en train de télécharger des logiciels malveillants.

Qu’est ce que vishing?

Définition du vishing: Le phishing (phishing) est un type d’attaque de phishing par téléphone qui cible souvent les utilisateurs de services de voix sur IP (VoIP) tels que Skype.

Il est facile pour les escrocs de simuler l’identité de l’appelant afin qu’ils puissent sembler appeler à partir d’un indicatif local ou même d’une organisation que vous connaissez. Si vous ne répondez pas, ils laisseront un message vocal vous invitant à rappeler. Parfois, ce type d’escroquerie emploie un service de réponse téléphonique ou même un centre d’appel qui n’est pas au courant du crime commis.

Encore une fois, l’objectif est d’obtenir les détails de la carte de crédit, les dates de naissance, les ouvertures de session sur les comptes ou parfois simplement de récupérer les numéros de téléphone de vos contacts. Si vous répondez et rappelez, il se peut qu’un message automatisé vous invite à transmettre les données et beaucoup de personnes ne le contestent pas, car elles acceptent les systèmes téléphoniques automatisés dans le quotidien.

Comment prévenir le smishing et le vishing

Nous sommes un peu plus vigilants avec le courrier électronique, car nous sommes habitués à recevoir du spam et des escroqueries sont monnaie courante, mais les SMS et les appels peuvent toujours sembler plus légitimes à beaucoup de gens. Au fur et à mesure que nous faisons de plus en plus nos achats, nos opérations bancaires et nos autres activités en ligne via notre téléphone, les opportunités pour les fraudeurs se multiplient. Pour éviter de devenir une victime, vous devez vous arrêter et réfléchir.

«Le bon sens est une pratique exemplaire et devrait constituer la première ligne de défense d’un individu contre la fraude en ligne ou par téléphone», déclare Sjouwerman.

Bien que le conseil sur la façon d’éviter de devenir victime d’escroqueries par hameçonnage ait été conçu dans l’optique d’escroqueries par courrier électronique, il s’applique également à ces nouvelles formes d’hameçonnage. Au fond, ne faire confiance à personne est un bon point de départ. Ne jamais appuyer ou cliquer sur des liens dans des messages, rechercher des numéros et des adresses de sites Web et les saisir vous-même. Ne donnez aucune information à un appelant sauf si vous êtes certain qu’il est légitime – vous pouvez toujours le rappeler.

Mieux vaut prévenir que guérir, alors privilégiez toujours la prudence. Aucune organisation ne vous reprochera d’avoir raccroché puis de les appeler directement (après avoir consulté le numéro vous-même) pour vous assurer qu’elles sont bien ce qu’elles prétendent être.

Mettez à jour votre formation de sensibilisation

Bien que rester sur ses gardes soit un conseil solide pour les individus dans la vie quotidienne, la réalité est que les personnes sur le lieu de travail sont souvent négligentes. Ils peuvent être distraits, sous pression et avoir envie de travailler, et les escroqueries peuvent être extrêmement intelligentes. Que se passe-t-il si le SMS semble provenir du PDG, ou si l’appel semble provenir d’un responsable des ressources humaines? Vous pouvez renforcer vos employés et renforcer vos défenses avec une formation adéquate et des politiques claires.

Chaque entreprise devrait avoir une sorte de programme de formation obligatoire et régulier de sensibilisation à la sécurité. Cela peut inclure les meilleures pratiques pour la sécurité générale, mais également définir des règles, telles que les personnes à contacter en cas de doute, ou des règles sur la manière dont certaines communications sensibles seront traitées, facilitant la détection des tentatives de tromperie.

Si vous subissez une forme quelconque d’attaque par hameçonnage, apportez des modifications pour que cela ne se reproduise plus jamais. Cela devrait également informer votre formation en matière de sécurité.

La majorité des attaques de smishing et de vishing ne sont pas signalées, ce qui fait le jeu des cybercriminels. Même si vous êtes assez intelligent pour ignorer les derniers SMS ou appels suspects, Marge en comptabilité ou Dave en ressources humaines en seront peut-être victimes. Si vous avez mis en place un système permettant aux personnes de signaler ces tentatives d’attaques, et même éventuellement une petite récompense, vous avez alors la possibilité de prévenir les autres.

Alors que le phishing continue d’évoluer et de trouver de nouveaux vecteurs d’attaque, nous devons être vigilants et constamment mettre à jour nos stratégies pour le combattre.

L’article Smishing et vishing: comment fonctionnent ces cyberattaques et comment les prévenir est apparu en premier sur TTCgroupe.

Le groupe cybercriminel GozNym doit son nom au produit qu’il a distribué à ses clients criminels, une combinaison du dangereux cheval de Troie bancaire Gozi et du programme malveillant Nymaim. De fin 2015 à décembre 2016, le groupe a vendu ce logiciel malveillant via des forums criminels souterrains. Il était populaire car il ne nécessitait pas beaucoup de compétences techniques pour pouvoir être utilisé, et ils étaient capables de voler environ 100 millions de dollars américains sur des comptes bancaires à travers les États-Unis et l’Europe.

GozNym en action

GozNym a spécifiquement ciblé les combinaisons nom d’utilisateur / mot de passe des institutions financières. Les procureurs fédéraux ont estimé qu’il avait été fourni à au moins 200 clients criminels et avait infecté plus de 41.000 victimes. Les entreprises et les employés de banque étaient les cibles principales.

GozNym est en réalité un simple keylogger qui recherche spécifiquement les informations de connexion à la banque.

Les logiciels malveillants sont généralement envoyés aux cibles à l’aide d’un courrier électronique de phishing, le keylogger se cachant discrètement en arrière-plan et envoyant les informations de connexion à la cible distante. Les actes d’accusation indiquent que le groupe semble avoir joué un rôle supplémentaire en aidant leurs clients à blanchir de l’argent volé sur des comptes bancaires.

Le groupe sur la cybercriminalité était composé de membres de plusieurs pays d’Europe orientale. Les chefs de groupe Alexander Konovolov et Marat Kazandjian feront l’objet de poursuites en Géorgie, tandis que le «spécialiste de la prise de contrôle de compte» Krasimir Nikolov a été extradé de Bulgarie vers les États-Unis. L’administrateur ukrainien des services d’hébergement, Gennady Kapkanov, fait l’objet d’un procès en Ukraine pour le tir d’un fusil d’assaut Kalachnikov par la porte de son appartement sur des agents de la force publique.

Cinq ressortissants russes associés au groupe sont toujours en fuite, bien qu’ils ne semblent pas avoir joué de rôle déterminant pour leur permettre de relancer le projet. En outre, le réseau Avalanche utilisé pour héberger GozNym et de nombreuses autres formes de programmes malveillants a été démantelé à la fin de 2016.

La plupart des attaques de GozNym ont visé des petites entreprises. Les procureurs n’ont pas divulgué les noms commerciaux au public, mais ont mentionné un casino à Gulfport, MS (presque certainement le Island View Casino Resort), plusieurs cabinets d’avocats et divers entrepreneurs de construction du pays.

Groupes de cybercriminalité proposant «Le crime en tant que service»

Bien que le groupe de cybercriminalité GozNym soit novateur dans sa taille et son envergure, il ne s’agit pas du premier exemple de pirates informatiques proposant des packages «crime in a box» dans des lieux souterrains. Ces services sont très souvent centrés sur la Russie et proposés via des forums «dark web» en russe. Le gouvernement russe a toujours été prêt à ignorer la cybercriminalité tant que celle-ci est commise par des citoyens qui la maintiennent en dehors des frontières nationales et des alliés proches du pays.

Les cybercriminels font ce genre de travail depuis au moins la fin des années 2000. Leurs clients reçoivent généralement un ensemble d’e-mails d’hameçonnage à envoyer à leurs victimes ciblées; des liens dans les e-mails les dirigent vers des sites de programmes malveillants via des services d’hébergement «à toute épreuve» qui facilitent volontiers la cybercriminalité. La plupart de ces services d’hébergement se trouvent en Russie et en Chine ou aux alentours. Les criminels utilisent ensuite un réseau de «mules monétaires» internationales pour blanchir rapidement l’argent en petits morceaux qui ne risquent pas de déclencher des drapeaux rouges et qui sont difficiles à localiser.

Coordonner les mesures de répression internationales nécessaires pour démanteler des groupes de cybercriminalité tels que GozNym n’est pas un mince exploit, ce qui explique en partie pourquoi cette affaire est si remarquable. Le réseau de cybercriminalité de GozNym n’est plus dans l’image, mais la menace est loin d’être éliminée, surtout si vous êtes propriétaire d’une petite entreprise.

Protéger les petites entreprises de la fraude bancaire

Ce n’est pas un hasard si la plupart des cibles de GozNym étaient des entreprises relativement petites et axées sur la région. Les cybercriminels s’attendent à ce que les petites entreprises aient des défenses moins robustes, ce qui est particulièrement attrayant pour les acteurs criminels non techniques qui achètent des programmes de piratage préfabriqués comme celui-ci.

Tout commence généralement par un lien de phishing. Les criminels doivent charger des logiciels malveillants sur vos systèmes pour créer une ouverture permettant de saisir les informations de connexion. La sensibilisation à l’échelle de l’entreprise est essentielle. les criminels sont habiles à envoyer des courriels qui semblent provenir d’une source légitime, comme une compagnie de transport ou un fournisseur.

La première et la plus fondamentale défense contre les courriels de phishing consiste à mettre à jour régulièrement les systèmes d’exploitation et les logiciels (afin de garantir qu’ils disposent des derniers correctifs contre les vulnérabilités) et à utiliser un filtre anti-spam de qualité et un outil anti-malware. Quel que soit votre niveau de formation ou le nombre de mémos envoyés, les incidents surviendront chez les employés, mais cette première ligne de défense peut vous protéger quand ils le font.

En ce qui concerne la protection spécifique contre la fraude bancaire, l’authentification à deux facteurs (2FA) contribuera dans une très large mesure à empêcher les services de «piratage électronique» comme GozNym de voler de l’argent. Vous avez le choix entre 2FA, mais pour des informations aussi critiques que les informations bancaires, il est préférable d’utiliser une application d’authentification, voire une clé matérielle, plutôt que le message texte standard.

Des services avancés de protection contre le phishing sont disponibles et utilisent des techniques d’apprentissage automatique pour reconnaître automatiquement les éléments des courriers électroniques inhabituels ou déplacés. Ces services avancés sont particulièrement utiles lorsque l’attaquant se présente en partenaire de confiance de la société. Ils construisent des profils sur chaque organisation et individu avec lesquels vous communiquez régulièrement, et sont en mesure de détecter et de signaler signaler les comportements inhabituels et non caractéristiques.

Les préférences en matière de balance des attaques sont progressivement passées des grandes entreprises aux petites et moyennes entreprises (PME) au cours de la dernière décennie. Les PME ne disposent peut-être pas du même budget que les grandes entreprises pour la cybersécurité, mais elles courent un risque pour un coup paralysant ou même fatale, à leurs activités si les attaquants accèdent à leurs comptes bancaires. Outre les protections fondamentales décrites ci-dessus, une assurance complémentaire contre le phishing peut être un investissement judicieux pour les entreprises qui ne savent pas si leur police couvre pleinement les pertes indirectes résultant d’une fraude dans le transfert de fonds.

L’article GozNym Cyber Crime Group, responsable du vol de plus de 100 millions de dollars, mis à l’arrêt est apparu en premier sur TTCgroupe.