Shake 〰️ 06 août 2022

Salut les Shakerz 👋 Vous êtes en vacances ? L’été ☀️, les cybercriminels ne prennent pas de vacances et l’actu cyber non plus !

Alors que s’est-il passé cette semaine ?

📉 De faux sites d’investissement écument l’Europe à la recherche de nouvelles victimes, 🔑 Des milliers de portefeuilles Solana siphonnés dans un hack massif, 📱 17 applications Android à désinstaller d’urgence…

En bonus : Comment concilier transformation digitale et cybersécurité, le Cyber Resilience Index 2022 du Forum Économique Mondial, des saveurs du web à la carte et, vous l’attendez tous, votre question de la semaine ! A la plage, à la campagne ou à la maison, bonne lecture et bon week-end !

La reco du barman

11 000 faux sites d’investissement découverts en Europe

Bonne pêche. Les analystes de la société de cybersécurité Group-IB ont découvert un gigantesque réseau de plus de 11 000 noms de domaine faisant la promotion de faux investissements auprès d’Européens. Plus de 5000 sites sont toujours actifs et visent principalement le Royaume-Uni, la Belgique, l'Allemagne, les Pays-Bas, le Portugal, la Pologne, la Norvège, la Suède et la République tchèque.

Au départ : du marketing agressif

Pour atteindre le plus d’utilisateurs possible, les pirates mènent des campagnes publicitaires sur les réseaux sociaux et détournent des comptes Facebook et Youtube compromis. Les victimes qui mordent à l’hameçon et cliquent sur les publicités sont redirigées vers des pages présentant de fausses preuves d'enrichissement et de faux témoignages de célébrités. Ces pages recueillent les coordonnées des victimes qui souhaiteraient en savoir plus. Un « conseiller clientèle » d’un centre d’appel complice prend alors contact avec la victime. Il/elle lui fait miroiter des opportunités d’investissement très attractives contre la création d’un compte et un dépôt minimum de 250 euros sur une plateforme. Les informations financières recueillies lors de cette inscription sont conservées et utilisées pour de nouvelles campagnes et revendues sur le dark web.

Pour garder la victime…

Suite à l’inscription de la victime, les pirates mettent à sa disposition un tableau de bord lui permettant de suivre ses gains quotidiens, bien évidemment fictifs. Le but étant de prolonger l’illusion d’un investissement légitime et d’inciter la victime à déposer davantage d’argent. L’arnaque se révèle lorsque la victime tente de retirer ses fonds de la plateforme. 

Attention, près de la moitié de ces sites demeurent actifs.

Quels sont les signaux d’alarme qui doivent vous mettre la puce à l’oreille ?

• Quand on vous promet des profits, des retours sur investissement ou des rendements sûrs. Car tout type d’investissement comporte des risques.

• Quand on vous propose un conseiller de clientèle dédié. Les véritables plateformes d’investissement ne proposent pas de conseiller de clientèle personnel pour les « petits » investisseurs.

• Quand les avis d’utilisateurs comportent des similarités (car pour le moment, les fraudeurs publient souvent des variantes du même texte).

Ce qu’il faut faire à tout prix

• S’assurer que la plateforme d’investissement provient d’un intermédiaire établi et respectant les dispositions légales locales. Pour cela, vérifier directement auprès des autorités. Pour la France, voici les conseils de l’Autorité des marchés financiers (AMF) et le registre des agents financiers (Regafi).

• Informer vos proches, car ces arnaques peuvent toucher tout le monde, indépendamment de l’expérience et des revenus. Ça peut commencer par le transfert d’email. Ce Shake reste gratuit.

Cocktail explosif

Les 10 marques pour vous « pécho »

Prenons un peu de recul.

Car cette liste (voici la liste complète) n’est pas universelle : Crédit Agricole, Orange, La Banque Postale sont d’abord implantés en France. Cette liste pourrait donc varier selon la base de clientèle de son auteur, l’entreprise Vade.

Parmi les tactiques de lutte qui s’offrent à elles, comme chaque entreprise, ces groupes peuvent réduire “by design” le risque d’usurpation de leurs marques avec SPF, DKIM, DMARC et BIMI. L’ampleur de ces sociétés leur permet aussi de souscrire à des services pour détecter les adresses web frauduleuses puis effectuer un « takedown » (demande de désactivation) auprès de chaque hébergeur concerné.

Que retenir ? Cette liste est un rappel utile et peut être utilisé en sensibilisation. Mais pourrait donner l’illusion que le phishing est uniquement une problématique d’usurpation de marque connue. Ce qui est loin d’être le cas, notamment pour le “spear phishing” ultra ciblé ou le “Business email compromise” (BEC) dont l’une des formes est la “fraude au président”.

L’Édito du taulier

Faut-il mener la “transformation digitale” de la cybersécurité ?

Par Sylvan Ravinet

En octobre 2016 (déjà), Microsoft identifiait 4 piliers pour une transformation digitale : 1/ engager les clients, 2/ habiliter les employés, 3/ minimiser les opérations et 4/ transformer les produits. Si ces 4 piliers ne sont pas directement appliqués à la cybersécurité, l’entreprise se met des bâtons dans les roues. Pourquoi ?

1/ Les rançonneurs numériques contactent les parties prenantes des entreprises. C’est à dire les clients et partenaires des entreprises qu’ils attaquent, afin de les faire chanter. C’est la notion de “Triple extorsion”. Pour éviter cela, il faut engager dès le temps de paix, les clients et partenaires, bien avant que les cybercriminels ne s’en chargent. Et considérer (comme le font déjà les attaquants), que les clients et partenaires font pleinement partie prenante du terrain cyber de l’entreprise.

2/ L’humain peut faire la différence face aux cyberattaques. C’est vrai ! À condition qu’on lui en donne les moyens. Les e-learning cyber obligatoires, la cybersurveillance, et les tests de phishing ne sont pas suffisants voir même inefficaces d’après les études scientifiques. Pourtant, c’est cette approche de “sensibilisation” reste recommandée par de nombreux experts. Elle est celle que l’on constate le plus souvent.

L’engagement de l’humain doit passer par la mise à disposition de solutions lui permettant de devenir acteur de la cyber. Notamment par le triage, la détection et la réaction d’urgence.

3/ Il est vital de simplifier l’architecture cybersécurité. Alors que la plupart des entreprises ne parviennent pas à déployer pour tous leurs collaborateurs les outils cyber pourtant achetés. Il convient de ne pas complexifier davantage l’architecture cybersécurité en ajoutant un nième ”produit magique” qui irait “tout régler”.

Au contraire, il s’agit de participer à la transformation des processus métier avec un regard cybersécurité. Injecter une dose de cybersécurité dans les compétences de tous les collaborateurs, moduler cette dose selon le poste de chaque collaborateur.

4/ Au-delà, il est devenu indispensable de s’assurer que la cybersécurité est bien intégrée au cœur même des produits de l’entreprise. Ce que recommande McKinsey, le cabinet de conseil en stratégie :

La “cybersécurité” de votre entreprise a-t-elle fait sa “transformation digitale” ?

Sylvan Ravinet, expert en cybersécurité et taulier.

Vos shots

🔑 Crypto : plus de 10 000 portefeuilles Solana siphonnés

La cryptomonnaie Solana, très populaire et réputée pour la rapidité de ses transactions a été victime d’une attaque massive ce mercredi 3 août. Plus de 10 000 portefeuilles numériques auraient été siphonnés pour un montant estimé entre 5 et 10 millions de dollars. D’après les premières informations, la gestion des clés privées des utilisateurs de l’application mobile de portefeuille Slope serait en cause. Ces clés auraient été stockées sur un serveur très simple à pirater. Affaire à suivre !

📱 17 apps Android malveillantes à désinstaller immédiatement

Ces 17 applications Android contiennent des logiciels malveillants visant à siphonner vos données bancaires et mots de passe. Bien que ces app ne soient aujourd’hui plus disponibles sur le Play Store, elles peuvent continuer à vous nuire si celles-ci sont toujours installées sur votre smartphone. Faites-vite !

👀 Propriétaires d’interphones connectés Nest et Ring : attention à vos données !

Dans un récent rapport, le sénateur démocrate américain Ed Markey a dénoncé les réquisitions de plus en plus fréquentes (multipliées par 5 en 3 ans) par les forces de l’ordre des données issues des appareils Nest (Google) et Ring (Amazon). Les données sont collectées dans “des situations d’urgence”, sans le consentement des propriétaires et sans le moindre contrôle. L’absence flagrante de contrôle de ces demandes “ouvre la porte” à des abus et à une généralisation de la surveillance de masse par les autorités américaines. Justement, le sénateur Markey se bat aussi pour restaurer la neutralité de l’Internet, mise à mal par l’administration Trump.

🇨🇳 La Chine peut compter sur ses hacktivistes

Une fois n’est pas coutume. Les hacktivistes chinois démontrent leur patriotisme en attaquant divers sites web “inamicaux” à Taiwan et aux États-Unis en réponse à la visite à Taiwan, de la présidente de la Chambre des représentants des États-Unis, Nancy Pelosi. Bien que ces attaques soient aléatoires et non coordonnées, les hacktivistes, par leur nombre, peuvent “mobiliser une "puissance de feu" importante pour faire tomber de nombreux sites Web sans protection DDoS dédiée”.

Même vocabulaire : les présidents Macron et Poutine ne s’appellent plus car “la France est inamicale” selon Moscou.

🐦 3207 applications laissaient échapper des clés API de Twitter.

La plateforme de surveillance de la surface d'attaque CloudSEK a découvert que 3207 applications laissaient fuiter des clés API de Twitter. Le problème ? Ces clés permettent d’accéder à des comptes Twitter ou d’en prendre le contrôle. Parmi ces applications, 230 laissent même échapper les 4 identifiants d’authentification. Certaines sont pourtant des licornes (pour mémoire : valorisées à plus d’un milliard de dollars). La sécurité de vos données a-t-elle un prix ?

Dégustation

Finalement, toute entreprise sera un jour victime d’une cyberattaque. Quand cela arrivera, l’enjeu est de rebondir au plus vite. Face à cela, le World Economic Forum a collaboré avec le groupe de travail de Cyber Resilience Index en partenariat avec Accenture. Il a donc réalisé “The Cyber Resilience Index 2022” un cadre commun des meilleures pratiques pour une véritable cyber-résilience. Ce guide s’adresse aux dirigeants des secteurs public et privés. Que l’on soit (déjà) dirigeant ou non, c’est toujours intéressant à lire pour mieux comprendre ce qui va influencer les décisions.

Cul sec - La question

Quel est le pays est responsable du plus gros vol de cryptomonnaie de l’histoire ?

A. La Russie 🇷🇺B. La Corée du Nord 🇰🇵C. Les Etats-Unis 🇺🇸D. La Chine 🇨🇳

—> Réponse à la sortie du bar.

À la carte

⏪ Rewind - Le 6 août 1991, le chercheur Tim Berners-Lee du CERN rend public le World Wide Web qu'il a mis au point. Les graines de la révolution Internet.🍸 Évènement - La conférence FranSec sur la sécurité informatique fait son retour en physique à Paris le 13 et 14 septembre prochain. Un rendez-vous incontournable pour les experts cybersécurité - et les commerciaux et acheteurs.📝 Expert à suivre - Terry Zimmer. Auteur (2018), spécialiste du renseignement et de l’OSINT et responsable de pôle chez Rempart International (Luxembourg). Voici son linkedin.

📄 Rapport - Un nouveau rapport publié le 1er août par Agari, spécialisée dans la sécurité des e-mails, met en avant les tendances mondiales en matière de fraude par email et usurpation d’identité en 2021. Le rapport.

Cul sec - La réponse

Réponse B - La Corée du Nord

Le groupe de cybercriminels lié à la Corée du Nord, APT38, est responsable du vol de 620 millions de dollars en cryptomonnaie. Ce vol a été commis le 23 mars dernier contre le jeu vidéo Axie Infinity.

Merci d’être passé ! Rendez-vous samedi prochain pour le nouveau Shake de l’actu cyber et digitale ! 👋

Rejoignez les Shakerz, abonnez-vous gratuitement pour recevoir notre newsletter hebdomadaire et soutenir notre travail.