Découvrez le TOP 5 des arnaques informatiques

les plus récurrentes au premier trimestre 2016 selon la PLCC

Selon les chiffres communiqués par la PLCC, au cours de l’année 2015, le préjudice financier causé par la cybercriminalité a atteint 3 980 833 802 FCFA, contre 5 280 000 FCFA en 2015. Ce sont 1 409 plaintes qui ont été enregistrées. Elles ont abouti à l’arrestation de 205 individus, dont 159 ont été déférés au parquet. Afin d’informer davantage les populations, la PLCC a sorti les 5 types arnaques qui ont été les plus récurrentes au cours du premier trimestre 2016.

1- La Sextorsion (Enregistrement illégal de communication privée, chantage à la vidéo)

Ce type d’arnaque a occasionné un préjudice de 119 millions de Franc CFA. Cette technique consiste pour un cybercriminel à se procurer une vidéo intime de sa victime et d’exercer sur elle un harcèlement dont la condition de dénouement est le paiement d’une somme d’argent. Pour y arriver, le cybercriminel s’arrange à établir une relation amicale voire amoureuse avec sa future victime, de manière à gagner son entière confiance. Par la suite, il lui demandera de lui fournir ladite vidéo (en lui demandant d’activer sa caméra au cours d’un échange par exemple), qui deviendra finalement le moyen de pression du cybercriminel.

2 – L’accès frauduleux à un système informatique

Ce type d’arnaque est généralement orienté vers les entreprises. Au premier trimestre 2016, il a causé un préjudice financier de 42.271.426 F CFA. Elle consiste pour le cybercriminel, à forcer l’accès d’un système informatique pour éventuellement voler des donner, ou causer des dégâts pour porter préjudice.

3 – L’usurpation d’identité (Utilisation frauduleuse d’élément d’identification de personne physique ou morale)

L’usurpation d’identité consiste pour un individu à se faire passer pour une autre. Avec des moyens détournés, le cybercriminel réussi à soutirer des informations sensibles qu’il utilise plus tard pour effectuer des paiements, effectuer des paiements etc. Il peut même aller plus loin en engageant la personne de sa victime, par une signature d’accord par exemple, sans son consentement préalable. Ce sont 37.851.973 Franc CFA de dommages qui ont été causés par ce type d’arnaque sur la même période.

Lire aussi : INTERNET : La sécurité des usagers, dernier soucis des fournisseurs d’accès en Côte d’Ivoire ?

4 – L’arnaque au faux sentiment

Ce type d’arnaque est en net recul, après avoir fait de nombreuses victimes à travers le monde. De plus en plus, les internautes sont plus prudents quoique des victimes continuent de se faire duper. 28.754.746 F CFA, c’est le préjudice causé par ce type d’arnaque au premier trimestre 2016.

5 – La fraude sur le porte-monnaie électronique

Avec l’expansion des services de porte-monnaie électronique via le mobile, ce type d’arnaque a pris de l’ampleur.
Bien ficelée, cette technique pousse la victime donner le contrôle absolu à un cybercriminel sur son compte, sans même le réaliser. Par un simple appel ou SMS, le cybercriminel invite son sa victime à saisir un code USSD, pour bénéficier d’un prétendu bonus. Une fois que la procédure est engagée, la carte SIM de la victime est désactivée, son compte transférée sur une nouvelle carte SIM. Le cybercriminel a alors le contrôle absolu.

Article original de Stéphane Agnini

CREDIT : DR

Réagissez à cet article

Des complices de cyberescrocs arrêtés en Côte d’Ivoire

Comme l’explique la Plateforme de lutte contre la cybercriminalité (PLCC), ces deux individus ont été arrêtés le 20 juin 2016 par ses agents. Ils sont suspectés d’avoir effectué des transferts frauduleux au profit de quelques cyberescrocs, qui recourent bien souvent à des employés de maisons de transfert d’argent pour encaisser leur butin.

Pour chaque transfert effectué, Kouadio Konan Daniel a avoué avoir perçu une commission de 10%. Mais pouvaient-ils vraiment nier les faits? Après analyse des éléments en leur possession, le Laboratoire de criminalistique numérique (LCN) de la Direction de l’informatique et des traces technologiques (DITT) a pu extraire de nombreux codes de transfert d’argent envoyés par téléphone portable.

Article original de Anselme Akéko – CIO-Mag Abidjan

Réagissez à cet article

Satana, un ransomware pire que Petya

Une nouvelle génération de ransomware est en train d’émerger. Satana, nom du nouveau malware, combine chiffrement des fichiers et écriture de code sur le secteur d’amorçage du disque, le MBR. Deux techniques inspirées de Petya et Mischa, note Malewarebytes qui constate la croissance du nouvel agent satanique ces dernières semaines.

« Satana fonctionne en deux modes, note la société de sécurité sur son blog. Le premier se comporte comme Petya, un fichier exécutable (sous Windows, NDLR) [et] écrit au début du disque infecté un module de bas niveau, un bootloader avec un noyau personnalisé. Le deuxième mode se comporte comme un ransomware typique et chiffre les fichiers un par un (tout comme Mischa). » Mais à la différence que les deux modes ne sont pas exploités alternativement mais bien appliqués ensemble, l’un après l’autre, pour s’attaquer à leurs victimes.

Payer ne garantit rien chez Satana

Malwarebytes ne le précise pas mais le mode de propagation de Satana reste probablement classique. A savoir par e-mail (et éventuellement d’un expéditeur en recherche de travail avec des liens vers les fichiers infectieux comme dans le cas de la première version de Petya). Une fois le MBR remplacé, le malware s’attaque au chiffrement des fichiers du disque (et des éventuels volumes reliés à l’ordinateur) et attend patiemment que le système soit redémarré. Quand c’est le cas, un message s’affiche sur l’écran expliquant la démarche à suivre pour récupérer l’accès à son PC, à savoir le paiement d’une rançon de 0,5 bitcoin (plus de 300 euros au cours du jour).

Si l’utilisateur parvient néanmoins à remplacer le MBR par un fichier d’amorçage sain (une manipulation manuelle qui est loin d’être à la portée de tout le monde), il se heurtera aux fichiers chiffrés sur le disque. Lesquels ont été renommés avec, en en-tête du nom, un e-mail aléatoirement choisi parmi ceux de l’équipe des développeurs de Satana, selon l’expert en sécurité (Gricakova@techmail.com, dans l’exemple présenté). Et les méthodes de chiffrement semblent suffisamment avancées pour rendre les fichiers piégés définitivement irrécupérables. D’autant que Malewarebytes pointe un bug pour le moins problématique pour la victime. De par le mécanisme de chiffrement/déchiffrement des fichiers, en cas de déconnexion au serveur de commandes et contrôle (C&C), la clé de décryptage (qui est la même que pour le cryptage) est perdue. Brisant tout espoir de la victime à pouvoir récupérer ses données (sauf à avoir fait préalablement des sauvegardes). « Même les victimes qui paient peuvent ne pas récupérer leurs fichiers si elles (ou le C&C) sont hors ligne lorsque le chiffrement arrive », prévient la société de sécurité.

Du code en cours de perfectionnement

Ce n’est pas la seule bizarrerie que remarque le chercheur Hasherezade, auteur du billet. Il constate également que, le ransomware affiche toute la procédure de son déploiement, y compris la progression du chiffrement des fichiers. « Habituellement les auteurs de logiciels malveillants ne veulent pas laisser le code de débogage dans leur produit final », écrit le chercheur. Lequel conclut que Satana est probablement encore en cours de développement et contient des failles. « Le code d’attaque de bas niveau semble inachevée – mais les auteurs montrent un intérêt dans le développement du produit dans ce sens et nous pouvons nous attendre que la prochaine version sera améliorée. » Une nouvelle génération de rançongiciel est bien en marche.

Article original de Christophe Lagane

Réagissez à cet article

Des cybercriminels s’attaquent à la ministre Raymonde Goudou

Nous ne savons pas si des individus ont piraté le compte Facebook de la ministre ivoirienne de la santé ou s’il s’agit d’une usurpation d’identité. Quoiqu’il en soit, des individus utilisent l’identité de la ministre Raymonde Goudou Coffie pour faire de l’aumône auprès des utilisateurs des réseaux sociaux.

A titre illustratif, nous vous publions la conversation que ces prémusés arnaqueurs ( brouteurs dans le jargon ivoirien) ont eu avec l’une de leurs victimes. 

K.O.

Article original de imatin

Réagissez à cet article

Risques d’infection dans le médical des Objets Connectés

Un des problèmes de la montée en puissance de l’Internet des objets ? La sécurité.

Spécialistes, constructeurs, éditeurs répètent à longueur de conférences qu’il faut absolument que l’IoT soit « secure by design ». Entendez par là que les capteurs, le protocole de communication, la plateforme de traitement de l’information, l’architecture soient sécurisés dès leur conception.

Oui mais voilà, c’est sans compter sur le fameux héritage technique. Le monde de la santé rentre typiquement dans ce cadre et tout particulièrement les outils médicaux connectés. On pense ici aux IRM, scanners, radios, ou pompes à insuline. Ces équipements sont de plus en plus ciblés par les cyberattaquants, car ils sont moins bien protégés que des PC ou des serveurs.

Conséquence de cette faible sécurité, les vieux virus se rappellent aux bons souvenirs des administrateurs et des RSSI. Un rapport de la société de sécurité TrapX Labs, disséquant une attaque baptisée MEDJACK.2, montre que les attaques utilisent des malwares comme networm32.kido.ib ou le ver Conficker en complément de menaces plus sophistiquées. Moshe Ben Simon, co-fondateur de TrapX, résume bien ce paradoxe : « un loup intelligent déguisé avec des vieux habits de mouton ».

Mise en place de backdoors

Premier constat, les équipements médicaux connectés à Internet fonctionnent avec des versions de Windows non corrigées allant de XP (qui n’est plus supporté par Microsoft) aux versions 7 et 8. Des cibles de choix pour les anciens virus. « Ces vieux virus sont utilisés avec des malwares (en l’occurrence MEDJACK.2) plus élaborés pour installer des backdoors dans l’établissement de santé et ensuite mener une campagne par exfiltration de données, voire se transformer en #ransomware », souligne le rapport.

Les échantillons de Conficker que les experts de la société de sécurité ont analysé, montrent que le ver a été modifié pour avoir une meilleure capacité à se déplacer dans un réseau. Pire, son évolution fait qu’il est devenu indétectable pour les équipements médicaux. Dans son enquête auprès de 3 hôpitaux, TrapX relève qu’aucune alerte n’a été remontée par les établissements sur la présence de Conficker.  A son apogée en 2009, Conficker avait infecté entre 9 et 15 millions d’ordinateurs. Il avait, comme capacité, de casser les mots de passe, d’enrôler les PC dans des botnets, etc. La version actuelle est diffusée par phishing envoyé aux personnels de l’hôpital.

Les données patients : la ruée vers l’or

L’objectif de ces attaques : obtenir les dossiers patients. Des informations très demandées sur le Dark Web et affichant une forte valeur marchande au marché noir. « Les cybercriminels peuvent voler l’identité d’un patient pour se faire rembourser par les assurances des traitements coûteux et, en plus, revendre ces traitements au marché noir ». TrapX estime qu’un dossier médical se monnaye entre 10 et 20 dollars sur le marché, contre 5 dollars pour une information financière. En début de semaine, on apprenait le vol de 9,3 millions de données de santé de citoyens américains. Le calcul est vite fait…

Article original de Jacques Cheminat

Réagissez à cet article

La sécurité des Opérateurs d’Importance Vitale continue à se renforcer

Trois arrêtés sectoriels sur 18. L’entrée en vigueur, au 1er juillet, des premières mesures encadrant la sécurité des OIV (Opérateurs d’importance vitale), 249 organisations dont le bon fonctionnement est jugé essentiel au fonctionnement de la Nation, illustre bien la difficulté à poser un cadre réglementaire sur la cybersécurité des grandes entreprises. Découlant de l’article 22 de la Loi de programmation militaire (LPM), votée fin 2013, cet ensemble de règles, qui comprend notamment la notification des incidents de sécurité à l’Anssi (Agence nationale de sécurité des systèmes d’information), avait fait l’objet d’un décret en mars 2015. Restait à adapter ce décret à la réalité des différents secteurs d’activité. Ce qui, de toute évidence, a pris plus de temps que prévu. Rappelons qu’à l’origine, l’Anssi espérait voir les premiers arrêtés sectoriels sortir à l’automne 2015…

Mais Guillaume Poupard, le directeur général de l’Anssi, assume tant le choix de la France d’en passer par la loi (plutôt que par un simple référentiel de bonnes pratiques) que le décalage de calendrier, révélateur de la difficulté à traduire sur le terrain l’article 22 de la LPM. Lors d’une conférence de presse organisée à l’occasion de la sortie des premiers arrêtés, dédiés aux secteurs de l’eau, de l’alimentation et de la santé, il explique : « Je préfère avoir dès le départ annoncé un calendrier ambitieux et avoir aujourd’hui un dispositif en place. Avec l’Allemagne, la France fait partie des pays pionniers de ce type de démarche. Et si nous avons pu prendre quelques mois de retard sur le calendrier initial, nous restons très en avance sur nos alliés. » D’autres arrêtés sectoriels devraient sortir en octobre 2016 et janvier 2017. Une fois ces textes publiés, les OIV ont, pour les règles les plus complexes, jusqu’à 18 mois ou 2 ans pour les mettre en œuvre. « On a déjà vérifié que ces règles étaient efficaces et soutenables financièrement », assure Guillaume Poupard.

« Oui, cela coûte de l’argent »

La définition de ces règles, au sein de 12 groupes de travail sectoriels, n’a pourtant pas été simple. Tout simplement parce qu’elles se traduisent par des investissements contraints pour les entreprises concernées sur les systèmes d’information considérés d’importance vitale. Certaines se verront dans l’obligation de revoir leurs architectures réseau par exemple. « On va imposer des règles, des contrôles, des notifications d’incidents, la capacité pour l’Anssi à imposer sa réponse aux incidents en cas de crise. C’est assez violent. Mais, il faut garder à l’esprit que ces règles ont été élaborés au sein de groupes de travail associant les OIV », tranche Guillaume Poupard. Selon ce dernier, la sécurité devrait peser entre 5 et 10 % du budget de la DSI de tout OIV. « Nos mesures ne s’inscrivent pas dans l’épaisseur du trait budgétaire. Mais ce n’est pas grand-chose comparé au prix à payer lorsqu’on est victime d’une attaque informatique », tranche-t-il. Et d’assurer qu’aucun groupe de travail ne connaît une situation de blocage empêchant d’avancer sur la rédaction des arrêtés.

Si le dispositif se met donc en place au forceps, tout n’est pas encore parfaitement défini. Illustration avec les incidents de sécurité que les OIV doivent notifier à l’Anssi. Cette dernière ne peut matériellement pas consolider l’ensemble des incidents des 249 OIV français. Dès lors quels événements devront être communiqués et lesquels devront rester cantonnés entre les murs de l’organisation visée ? « C’est un sujet complexe car les premiers indices d’une attaque sont souvent de la taille d’une tête d’épingle, reconnaît Guillaume Poupard. C’était par exemple le cas pour l’affaire TV5 Monde. » Selon le directeur général de l’Anssi, des expérimentations sont en cours pour placer le curseur au bon endroit.

De l’efficacité de ce dispositif dépendra la réalisation d’un des objectifs de l’Anssi, la capacité à organiser la défense collective. L’Agence se voit en effet comme un tiers anonymisateur permettant d’assurer le partage d’informations sur les menaces à l’intérieur d’un secteur ou à l’échelle de l’ensemble des OIV. Une mise en commun que rechignent à effectuer les entreprises – même si des secteurs comme la banque se sont organisés en ce sens – pour des raisons concurrentielles.

L’Anssi veut les codes sources

En parallèle, pour compléter ce dispositif, l’Anssi s’est lancée dans un travail de qualification des prestataires et fournisseurs à même d’implémenter les règles édictées dans les arrêtés. Un processus plus lourd qu’une simple certification. Aujourd’hui, une vingtaine de prestataires d’audit ont ainsi été qualifiés. L’agence doit également publier des listes de prestataires de détection d’incidents, de réactions aux incidents ainsi que des sondes de détection. Si Guillaume Poupard écarte toute volonté de protectionnisme économique déguisé, il reconnaît que cette démarche de qualification – qui va jusqu’à l’évaluation des experts eux-mêmes ou l’audit du code source pour les logiciels – introduit un biais, favorisant les entreprises hexagonales. « L’accès au code source est par exemple accepté par certains industriels américains, mais refusé par d’autres », reconnaît-il.

Si, malgré les réticences de certains OIV, la France a décidé de presser le pas, c’est que les signaux d’alerte se multiplient. « Nous craignons notamment la diffusion des savoirs aux groupes terroristes, via le mercenariat. Nous avons des informations des services de renseignement nous indiquant que ces groupes ont la volonté de recruter des compétences cyber », assure Louis Gautier, le secrétaire général de la défense et de la sécurité nationale. Un pirate informatique kosovar, arrêté en Malaisie en octobre 2015, a ainsi reconnu avoir vendu ses services à Daesh. Connu sous le pseudonyme Th3Dir3ctorY, il vient de plaider coupable devant la justice américaine et risque 20 ans de prison.

De son côté, Guillaume Poupard s’inquiète du comportement de certains assaillants qui semblent mener des missions d’exploration sur les réseaux des entreprises françaises. « Comme s’ils voulaient préparer l’avenir. Que cherchent-ils à faire exactement ? Nous ne le savons pas, mais ces opérations de préparation sont particulièrement inquiétantes », dit le directeur général de l’Anssi, qui précise que les alliés de la France observent le même phénomène.

Article original de Reynald Fleychaux

Réagissez à cet article

Cybersécurité : êtes-vous bien protégé?

« Ces dommages peuvent nuire à la réputation d’un cabinet, l’exposer à des pertes financières et perturber gravement ses activités », prévient l’Association canadienne des courtiers de fonds mutuels (ACFM) dans un bulletin sur la cybersécurité publié la semaine dernière.

Selon des sondages réalisés aux États-Unis en 2011 et 2014 par le Financial Industry Regulatory Authority (FINRA), le secteur des valeurs mobilières est exposé à trois menaces de cybersécurité principales :

1. Les pirates informatiques qui infiltrent les systèmes d’une entreprise;
2. Les initiés qui compromettent les données d’un cabinet ou de ses clients;
3. Les risques opérationnels.

QUE FAIRE?

Pour se prémunir contre ces menaces, l’ACFM suggère à ses membres de se doter d’un cadre de cybersécurité, adapté à la taille de leur cabinet, en cinq étapes :

1. Identifier les biens qui doivent être protégés, de même que les menaces et les risques à leur égard;
2. Protéger ces biens à l’aide des mesures appropriées;
3. Détecter les intrusions et les infractions à la sécurité;
4. Intervenir s’il se produit un évènement de cybersécurité potentiel;
5. Évaluer l’incident et améliorer les mesures de sécurité à la lueur des évènements.

Pour mener à bien ce plan, l’ACFM propose de nombreuses pistes d’action que les cabinets peuvent suivre selon l’envergure de leurs activités.

Parmi elles, assurer la sécurité physique des lieux, notamment contre les menaces humaines, mais aussi environnementales, s’avère un incontournable, tout comme la mise en place de mesures de protection des systèmes (pare-feu récents, chiffrement des réseaux sans fil, processus de sauvegarde et de récupération, protocoles de mots de passe, etc.).

L’Association suggère également de se doter d’une procédure d’enquête sur le personnel, les sous-traitants et les fournisseurs, ainsi que d’instaurer une politique de cybersécurité et une formation continue obligatoire à ce sujet. Former une équipe d’intervention en cas d’incident peut aussi s’avérer une bonne idée.

Il importe de tester régulièrement la vulnérabilité des systèmes pour en détecter les failles et mieux les corriger. En cas d’incident, il est essentiel de le divulguer, rappelle l’ACFM, notamment au commissaire à la protection de la vie privée dans certains cas.

Finalement, il existe des assurances spécifiquement pour les menaces de cybersécurité.

Article original de conseiller.ca

Réagissez à cet article

Incroyable technique pour analyser les agissements des cybercriminels 

L’équipe de Mourad Debbabi surveille notamment les « botnets » (contraction de robot et de network), des réseaux de machines infectées appelées « zombies » qui exécutent les directives des cybercriminels. Les gens installent des maliciels comme Zeus en cliquant sur une pièce jointe ou sur un lien compromis par un code nuisible. L’ordinateur contaminé envoie ensuite des courriels indésirables pour attirer d’autres victimes qui feront partie du botnet. Cet ensemble de machines infectées communique avec un ou des serveurs de commande et contrôle qui gèrent diverses attaques.

Pour déjouer ces botnets et d’autres menaces, le professeur Debbabi et ses collaborateurs des paliers universitaire, gouvernemental et industriel canadiens ont développé une plateforme de cyber-renseignements. Il s’agit d’un réseau d’ordinateurs peu sécurisés qui « attirent » les cyberattaques, permettant aux chercheurs d’analyser en temps quasi réel une multitude de données (pourriels, virus, etc.) nécessaires pour contrecarrer les escrocs du Web. Cette cyberinformation sert à protéger le parc informatique et les renseignements privés des entreprises et des organisations : mise en quarantaine des ordinateurs infectés, pare-feu renforcé, logiciels de détection… Tel est pris qui croyait prendre !

Réagissez à cet article

Nouvelle forme d’#attaque informatique, les crypto-vers

Le spécialiste de la sécurité Kaspersky lance donc une mise en garde. Le ‘crypto-ver’ est « une forme mixte dangereuse de maliciel (malware) et de rançongiciel qui se répand d’elle-même ». Elle peut se propager d’ordinateur à ordinateur, sans spam (pourriel) ou autre infection. Le malware se duplique simplement dans les appareils interconnectés.

Le premier ver, baptisé SamSam, s’est manifesté en avril. Et au cours des dernières semaines, des experts en sécurité ont découvert le ver ZCryptor. Ce dernier se présente sous la forme d’une simple mise à jour d’un programme largement utilisé tel Flash. Une fois en place, le ver commence à se propager, puis il crypte des dizaines d’extensions. Les victimes voient ensuite apparaître leur écran habituel, qui les informe que leurs fichiers ont été pris en otage et qu’ils doivent verser une rançon pour pouvoir y accéder de nouveau.

Les spécialistes des la sécurité n’ont pas encore trouvé une parade contre ZCryptor. Voilà pourquoi Kaspersky prodigue le conseil suivant: soyez sur vos gardes, veillez à disposer d’une bonne protection et effectuez régulièrement des sauvegardes (backups).

Réagissez à cet article

Facebook vous suit à la trace pour vous suggérer des amis

La fonction « Vous connaissez peut-être » de Facebook est souvent surprenante par sa précision, suggérant généralement des contacts pertinents. Si le site n’a jamais révélé vraiment les méthodes utilisées pour faire mouche aussi souvent, un de ses secrets vient en revanche d’être découvert : la géolocalisation permettrait de déterminer les personnes que vous fréquentez et qui disposent d’un compte. Concrètement, si deux personnes disposant d’un compte Facebook se trouvent au même endroit et ont activé la géolocalisation, le site proposera alors de les mettre en relation sur le réseau social.
« La localisation elle-même ne suffit pas à déterminer que deux personnes peuvent être amies », indique un porte-parole de Facebook au journal anglais The Telegraph. Et c’est justement un des arguments avancés par les détracteurs de cette fonction, qui y voient une atteinte à la vie privée. Le site n’étant pas capable de déterminer si deux personnes se trouvant au même endroit sont amies, ou même si elles se connaissent réellement, l’usage d’une telle fonction peut sembler abusif sur certains aspects, et poser quelques problèmes concernant l’anonymat que certains voudraient conserver en public. Facebook a cependant indiqué que cette fonction n’était aujourd’hui plus active sur son application mobile, et que celle-ci avait simplement fait l’objet d’un test limité. Les plus inquiets peuvent néanmoins désactiver la géolocalisation pour l’application.

Article original de Nicolas AGUILA

Réagissez à cet article