Alerte : Des routeurs domestiques attaqués par malvertising via DNSChanger

Depuis la fin du mois d’octobre, les chercheurs en sécurité de Proofpoint indiquent avoir constaté l’utilisation d’une version améliorée du kit d’exploits DNSChanger dans le cadre de campagnes de publicités malveillantes (du malvertising).

Pour ce retour, DNSChanger – qui avait infecté des millions d’ordinateurs en 2012 – cible des routeurs domestiques et fonctionne la plupart du temps via le navigateur Google Chrome sur Windows et les appareils Android. Toutefois, il s’agit bel et bien d’exploiter des vulnérabilités affectant des routeurs.

Du code JavaScript malveillant permet de révéler une adresse IP locale par le biais d’une requête WebRTC (Web Real-Time Communication) vers un serveur STUN (Session Traversal Utilities for NAT) de Mozilla. WebRTC est un protocole pour la communication en temps réel sur le Web, et STUN est un protocole permettant de découvrir l’adresse IP et le port d’un client ainsi que déterminer des restrictions au niveau du routeur.

Si l’adresse IP est jugée digne d’intérêt, une fausse publicité est affichée. Elle prend la forme d’une image au format PNG. Un code exploit est caché dans les métadonnées et pour rediriger la victime vers une page hôte de DNSChanger.

Proofpoint explique que DNSChanger va une nouvelle fois vérifier l’adresse IP locale de la victime grâce à des requêtes STUN. Puis, le navigateur Google Chrome chargera plusieurs fonctions et une clé de chiffrement AES cachée par stéganographie dans une petite image. La clé sert à dissimuler du trafic et décrypter une liste d’empreintes numériques afin de déterminer si un modèle de routeur est vulnérable.

L’attaque menée dépend du modèle de routeur. Elle est utilisée pour modifier les entrées DNS (Domain Name System ; correspondance entre un nom de domaine et une adresse IP) dans le routeur et tenter de rendre accessibles les ports d’administration depuis des adresses externes. Le chercheur Kafeine de Proofpoint évoque alors une exposition du routeur à d’autres attaques et cite l’exemple des botnets Mirai.

À noter que s’il n’y a pas d’exploits connus, une attaque tentera tout de même sa chance en essayant de tirer parti d’identifiants qui sont ceux par défaut (pas modifiés par l’utilisateur), et toujours pour modifier les paramètres DNS. Soulignons bien que le navigateur n’est ici pas mis en cause…[lire la suite]

Notre métier : Vous aider à vous protéger des pirates informatiques (attaques, arnaques, cryptovirus…) et vous assister dans vos démarches de mise en conformité avec la réglementation relative à la protection des données à caractère personnel.

Par des actions de formation, de sensibilisation ou d’audits dans toute la France et à l’étranger, nous répondons aux préoccupations des décideurs et des utilisateurs en matière de cybersécurité et de mise en conformité avec le règlement Européen relatif à la Protection des Données à caractère personnel (RGPD) en vous assistant dans la mise en place d’un Correspondant Informatique et Libertés (CIL) ou d’un Data Protection Officer (DPO) dans votre établissement.. (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84)

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

Réagissez à cet article

Victime de Ransomware ? Payer ou ne pas payer ?

« On ne paie pas, ce n’est pas une solution raisonnable » jugeait en début d’année le patron de l’agence de sécurité de l’Etat (Anssi). Pour Guillaume Poupard, verser des rançons aux auteurs de ransomware n’est pas la solution.

Pourquoi ? Car, entre autres, « cela contribue uniquement à soutenir financièrement les développeurs du malware » justifie Catalin Cosoi, responsable de la stratégie sécurité de BitDefender. Mais voilà, faute de sauvegarde et compte tenu de l’importance des données, des entreprises se résignent à payer.

Ransomware : des attaques à large spectre

C’est ce qu’observe IBM Security dans une étude. D’après Big Blue, les entreprises sont de plus en plus victimes de ransomware. Mais d’abord par opportunisme. Ces attaques sont désormais bien moins ciblées et affectent des victimes plus que des cibles.

L’attaque fin novembre contre le système de transport de San Francisco en est une illustration. Les pirates expliquaient ainsi automatiser l’infection par un ransomware après détection de vulnérabilités. La municipalité avait cependant refusé de payer la rançon de 100 bitcoins (alors plus de 70.000 dollars).

Selon IBM, la rentabilité du ransomware encourage à la multiplication des attaques. Près de 40% des emails de spam contiendraient désormais un tel programme malveillant. Cela se traduit mécaniquement par une hausse du nombre de victimes.

Et les entreprises victimes auraient donc majoritairement tendance, à près de 70%, à payer la rançon pour récupérer leurs données, chiffrées par les cybercriminels et donc inexploitables. Le préjudice financier dépasserait les 10.000 dollars pour 50% de ces sociétés.

Payer ou renoncer à ses données critiques

Les 20% restants auraient versé plus de 40.000 dollars, estime IBM. Au total, Big Bue évalue à 1 milliard de dollars, le montant ainsi extorqué aux entreprises grâce à un ransomware…[lire la suite]

Notre métier : Vous aider à vous protéger des pirates informatiques (attaques, arnaques, cryptovirus…) et vous assister dans vos démarches de mise en conformité avec la réglementation relative à la protection des données à caractère personnel.

Par des actions de formation, de sensibilisation ou d’audits dans toute la France et à l’étranger, nous répondons aux préoccupations des décideurs et des utilisateurs en matière de cybersécurité et de mise en conformité avec le règlement Européen relatif à la Protection des Données à caractère personnel (RGPD) en vous assistant dans la mise en place d’un Correspondant Informatique et Libertés (CIL) ou d’un Data Protection Officer (DPO) dans votre établissement.. (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84)

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

Réagissez à cet article

Piratage de Yahoo : les données sont à vendre depuis août 2016

Descendez avec nous, à la nuit tombée, dans les cyber-catacombes

Piratage de Yahoo!: pouvez-vous porter plainte si vous êtes concerné?

Boeing 787, l’avion qu’il faut rebooter régulièrement… pour éviter le crash

L’équipe Security Response de Symantec apporte des preuves essentielles au démantèlement d’un réseau international de cybercriminels

Cookie falsifié : une faille de sécurité trop souvent negligée ?

Six secondes suffisent pour pirater une carte bancaire

Votre carte bleue n’est en sécurité nulle part. Sans connaître aucun détail de celle-ci, des pirates peuvent facilement pirater un compte en banque. Il leur suffit simplement d’un ordinateur, d’un accès à Internet et de six secondes, révèlent les chercheurs de l’université de Newcastle, au Royaume-Uni, dans une étude publiée dans le journal académique IEEE Security & Privacy(IEEE signifiant Institute of Electrical and Electronics Engineer).

Dans la pratique, les chercheurs ont utilisé une attaque par force brute pour contourner les mesures de sécurité visant à protéger le système de paiement en ligne des fraude. Connectée sur différents sites, l’équipe de chercheurs a généré de façon répétée et continue des variations des différentes informations sécurisés de cartes de paiement (numéro de carte, date d’expiration et cryptogramme visuel) jusqu’à obtenir un résultat favorable. D’après l’étude, c’est vraisemblablement une attaque du genre qui était au cœur de l’attaque informatique contre la filiale bancaire du géant britannique de la distribution Tesco, dont 20.000 clients ont été victimes.

Deux petites faiblesses qui en font une grosse

Si l’attaque parvient à réussir, c’est parce que le système ne détecte en effet pas les échecs répétés sur une même carte si cela se produit sur différents sites, d’autre part, tous les sites ne demandent pas les mêmes informations au même moment, ce qui permet de deviner un champ à la fois.

« Ce type d’attaque exploite deux faiblesses qui ne sont pas trop graves d’elles-même mais lorsque utilisées simultanément présentent un sérieux risque pour l’ensemble du système de paiement », explique dans le communiqué Mohammed Ali, étudiant en doctorat à l’école d’informatique de l’université de Newcastle et auteur principal de l’étude.

Simplement en partant des six premiers numéros de la carte de paiement, qui servent à indiquer la banque et le type de carte et sont donc identiques pour chaque fournisseur unique, « un pirate peut obtenir les trois informations essentielles pour réaliser un achat en ligne en tout juste six secondes ». Le délai peut être extrêmement réduit dans les cas où le pirate dispose des numéros de cartes, ce qui risque d’arriver de plus en plus souvent au vue de la récente vague d’intrusions informatiques survenues dans les plus grandes entreprises. Il leur suffit dans ce cas de deviner la date d’expiration – moins de 60 essais puisque la plupart des cartes de crédit sont valides cinq an au maximum -, puis le cryptogramme visuel composé de trois chiffres – ce qui prend dans le pire des cas 1.000 essais.

Mohammed Ali souligne toutefois que cette technique d’attaque par force brute ne marche qu’avec le réseau VISA, « le réseau centralisé de MasterCard a été capable de détecter l’attaque après moins de 10 essais – même lorsque les paiements étaient répartis sur différentes réseaux ». Autre point faible de la technique : la confirmation par SMS, que demandent bon nombre de sites d’e-commerce en France…[lire la suite]

Rapport 2015 de l’Observatoire de la sécurité des cartes de paiement

Original de l’article mis en page : Il suffit de six secondes pour pirater une carte bancaire

Notre métier : Vous aider à vous protéger des pirates informatiques (attaques, arnaques, cryptovirus…) et vous assister dans vos démarches de mise en conformité avec la réglementation relative à la protection des données à caractère personnel.

Par des actions de formation, de sensibilisation ou d’audits dans toute la France et à l’étranger, nous répondons aux préoccupations des décideurs et des utilisateurs en matière de cybersécurité et de mise en conformité avec le règlement Européen relatif à la Protection des Données à caractère personnel (RGPD) en vous assistant dans la mise en place d’un Correspondant Informatique et Libertés (CIL) ou d’un Data Protection Officer (DPO) dans votre établissement.. (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84)

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

Réagissez à cet article

La chasse aux pirates informatiques est bien lancée

A la télévision, il y a Les experts, capables de retrouver des criminels à l’autre bout du pays, via une connexion internet, ou de dévoiler une identité en « crackant » le mot de passe d’un site. Dans le réel, la gendarmerie française fait la même chose, et bien d’autres investigations encore.
La cybercriminalité est en effet un phénomène regardé avec beaucoup d‘attention. Et s’il est difficile de donner des chiffres précis pour le quantifier, une minorité d’affaires étant au final connue, son importance et son évolution sont réelles, indique avec le lieutenant-colonel Cyril Piat, numéro 2 du Centre de lutte contre les criminels numériques, le C3N (la police a un équivalent).

Le darkweb, c’est quoi ?

Beaucoup d’utilisateurs ne connaissent d’internet que sa face lumineuse d’échanges d’informations et de connexions humaines à travers le monde entier. Pourtant, existe aussi le darkweb, l’autre face, parfois très sombre d’internet. Celle qui se cache derrière des mots de passe, dans laquelle il faut déjà connaître l’adresse du site que l’on souhaite rejoindre pour pouvoir y accéder, et que l’on découvre à travers Tor, I2P ou Freenet, des navigateurs et réseaux très spécifiques qui pratiquent l’anonymat.

Que peut-on y trouver ?

Imaginés pour contourner la surveillance et la censure, ces derniers sont devenus un lieu parfait pour les criminels. Ils utilisent des nœuds de serveurs dans le monde entier et pratiquent le chiffrement des données en cascade et sont souvent intraçables. Que peut-on y trouver ? De nombreux services tels que la vente de drogues, d’armes, de faux papiers, ou le piratage informatique. Sur Alphabay Market, par exemple, 31 000 annonces pour fraudes sont proposées. On trouve aussi un service de mise en relation de personnes pour des bijoux ou des armes.

Des dizaines d’enquêteurs

« Cela peut représenter de 2 à 5 millions d’euros par mois. Et la cybercriminalité est en permanente évolution, tous les trois ou six mois, en fonction des évolutions technologiques. » Avec une difficulté supplémentaire : intervenir à l’échelle mondiale et devoir demander la coopération d’opérateurs pas toujours conciliants…[lire la suite]

Notre métier : Vous aider à vous protéger des pirates informatiques (attaques, arnaques, cryptovirus…) et vous assister dans vos démarches de mise en conformité avec la réglementation relative à la protection des données à caractère personnel.

Par des actions de formation, de sensibilisation ou d’audits dans toute la France et à l’étranger, nous répondons aux préoccupations des décideurs et des utilisateurs en matière de cybersécurité et de mise en conformité avec le règlement Européen relatif à la Protection des Données à caractère personnel (RGPD) en vous assistant dans la mise en place d’un Correspondant Informatique et Libertés (CIL) ou d’un Data Protection Officer (DPO) dans votre établissement.. (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84)

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

Réagissez à cet article