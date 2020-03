Nous sommes, comme vous le savez sans doute, au beau milieu d’une crise sanitaire mondiale. Alors que les gouvernements et les organisations de santé du monde entier s’efforcent d’endiguer la propagation du virus et d’atténuer l’anxiété et la panique au sein de la société, il y a ceux qui transforment malicieusement cette crise en opportunité.

Nos équipes de recherche en sécurité ont identifié un certain nombre de cas où de mauvais acteurs exploitent les inquiétudes du public, entachent le bon travail des personnes et des institutions qui tentent d’aider, et profitent de notre main-d’œuvre de plus en plus éloignée pour le profit. Nous traversons une période troublante, la route est longue devant nous et il est important que nous soyons tous attentifs aux menaces supplémentaires qui pèsent sur les queues de la crise actuelle et prenions les précautions appropriées.

Ce qui suit sont des exemples d’exploits récents dont nous avons constaté que les entreprises et le public doivent être conscients.

Phishing sur la peur

Avec tant de peur d’avoir imprégné la société, les cybercriminels l’utilisent pour inciter les gens à cliquer sur des liens malveillants et à fournir des informations personnelles ou des informations d’identification d’entreprise. Les courriels de phishing récents promettent aux destinataires une variété de fausses informations liées à COVID-19, des numéros d’infection à jour dans leur localité, des images choquantes que les gouvernements sont censés nous cacher, et même un lien vers un remède. Les utilisateurs paniqués et curieux qui cliquent sur ces liens trouveront souvent que des logiciels malveillants infectent leurs appareils.

Les attaquants iront également jusqu’à exploiter le sentiment d’urgence des gens et à rendre les e-mails sensibles au temps. C’est une astuce psychologique similaire à la façon dont les détaillants en ligne peuvent utiliser les ventes flash pour nous inciter à effectuer un achat sur place, bien que ce qu’un utilisateur obtient soit bien pire qu’un petit remords pour un acheteur. Un e-mail promettant des tests gratuits de coronavirus pour les 10 000 premiers répondants attirera l’attention d’un utilisateur, en particulier ceux qui ne connaissent pas les signes avant-coureurs d’un e-mail malveillant.

Ransomware dans les vêtements de mouton

Les attaquants utilisent également les craintes des coronavirus pour attirer les gens vers de fausses applications malveillantes. Plus récemment, nous avons trouvé une application qui se présentait comme un moyen de suivre la propagation mondiale du virus, alors qu’en fait elle avait une charge utile de rançongiciel. Pour embrouiller et séduire les utilisateurs, ceux-ci s’appuieront parfois sur le véritable travail de professionnels. Par exemple, l’Université Johns Hopkins a récemment créé un tableau de bord interactif des infections à coronavirus et des décès, qui a maintenant été copié sur des sites Web à l’aide de téléchargements en voiture et d’applications malveillantes dans le Google Play Store pour les appareils Android.

Les chercheurs en sécurité ont identifié une nouvelle campagne où les attaquants copient la carte Johns Hopkins dans une application Android. Lorsque l’utilisateur installe l’application, il crypte les données du téléphone, transmet les données de localisation GPS de l’utilisateur et affiche un message à l’utilisateur qu’il ne peut récupérer ses fichiers que s’il paie 100 $ en bitcoin.

Cela devient déjà une activité lucrative sur le marché noir. Les pirates sur les forums clandestins auraient vendu des kits d’exploitation de 600 £ qui incluent du code Java qui clone la carte des épidémies de virus et permet aux attaquants d’injecter des logiciels malveillants, des spams, des publicités malveillantes ou des rançongiciels. Il est inquiétant de constater que le fichier .jar serait capable de passer à travers des filtres de messagerie Web populaires et pourrait également exploiter avec succès un système avec une version entièrement corrigée de Java.

Travailler à domicile

Les rassemblements publics étant actuellement interdits, les politiques de travail à distance et les plans de continuité des activités permettent aux travailleurs de continuer à exercer leurs fonctions à domicile. Alors que les politiques de travail flexibles font partie intégrante du lieu de travail moderne depuis un certain temps, l’introduction soudaine de solutions d’accès à distance à grande échelle introduit du travail et de la complexité supplémentaires pour un personnel informatique et de sécurité déjà surchargé. Au fur et à mesure que les utilisateurs à distance augmentent, et avec un nombre limité de personnel technique pour les soutenir, cela expose une surface d’attaque beaucoup plus grande que les criminels peuvent exploiter.

Étant donné que l’ampleur du besoin de prise en charge des travailleurs à distance est apparue si rapidement, il est possible que, dans la précipitation pour obtenir plus de dispositifs d’accès à distance en ligne le plus rapidement possible, les organisations aient pu contourner les examens de sécurité traditionnels et les procédures de gestion des modifications. Cela aura été fait pour des raisons bienveillantes, prévenant très probablement toute perturbation majeure et assurant la continuité des activités, mais cela crée des vulnérabilités au sein du système d’accès à distance.

Par exemple, les solutions d’accès à distance traditionnelles telles que les VPN ou les pare-feu nécessitent un accès entrant pour écouter les connexions entrantes. Si les organisations n’ont pas conservé leurs appliances correctement corrigées et mises à jour en raison de la précipitation, cela pourrait conduire à un accès non authentifié aux réseaux d’entreprise.

Avec autant d’employés travaillant à distance, les attaquants de l’ingénierie sociale pourraient appeler de manière plus convaincante le service d’assistance pour réinitialiser les informations d’identification des utilisateurs, car cela serait dû à un hoquet commun associé à l’intégration d’un nombre important d’utilisateurs d’accès à distance. Une fois qu’un attaquant a accès aux informations d’identification VPN, l’ensemble du réseau d’entreprise est exposé, sauf si une segmentation réseau importante s’est produite. Les changements de réseau pendant une crise sont difficiles et peuvent ne pas être considérés comme une priorité absolue, de sorte que de nombreuses organisations qui ne sont pas habituées à soutenir un grand nombre de travailleurs à distance ont peut-être été laissées vulnérables.

Enfin, la nature même de la psychologie humaine peut mettre les réseaux plus à risque. Les employés travaillant à distance ne sont plus protégés par la pile de sécurité traditionnellement hébergée dans un centre de données d’entreprise. Les entreprises comptent sur les VPN pour envoyer leur trafic vers un centre de données pour inspection, puis sur Internet. Cependant, les utilisateurs finaux sont susceptibles d’emprunter le chemin de la moindre résistance pour aider à faire leur travail plus efficacement, et renoncer à utiliser un VPN pour une expérience de navigation plus rapide, ou utiliser le VPN uniquement lorsqu’ils ont besoin d’accéder au réseau d’entreprise.

Soyez attentif aux cybermenaces

Tant que le coronavirus continue de perturber nos vies, tant personnelles que professionnelles, attendez-vous à ce que les cybercriminels exploitent la situation en incitant les victimes à cliquer sur des liens malveillants et à installer des logiciels malveillants. Avec tout ce qui se passe déjà dans le monde, c’est une vérité décourageante, mais en suivant une procédure organisationnelle de travail à distance, en étant plus méfiant que jamais sur ce que vous cliquez et téléchargez, et en faisant confiance que la communauté de la cybersécurité travaille sans relâche pour arrêter ces menaces dans leur vous pouvez limiter la vôtre et celle de votre employeur.