Le mois de septembre a été marqué par de nombreux événements dignes d'intérêt dans le domaine de la sécurité Internet. Rejoignez-nous alors que nous nous attaquons aux progrès de la cybersécurité et au risque de révélations survenues le mois dernier.
Un cybercriminel condamné à 12 ans de prison pour avoir dirigé un programme de déverrouillage illégal de téléphone pendant 7 ans
Par le 16 septembre communiqué de presse du ministère de la Justice, le citoyen pakistanais Muhammad Fahd a été condamné à 12 ans de prison pour avoir orchestré le déverrouillage illégal de millions de téléphones qui ont siphonné de l'argent à AT&T en l'espace de 7 ans. La cyberfraude élaborée a fait perdre à AT&T plus de 200 millions de dollars.
À partir de 2012, les employés d'un centre d'appels AT&T basé à Washington ont été soudoyés par Fahd pour utiliser les informations d'identification de leur entreprise et déverrouiller les «empreintes digitales» du téléphone, également connues sous le nom d'identité internationale d'équipement mobile (IMEI). Finalement, il a soudoyé les complices pour qu'ils téléchargent des logiciels malveillants dans les systèmes informatiques de l'entreprise, lui permettant de déverrouiller des téléphones à distance depuis le Pakistan.
La fraude a exploité les plans de subventions et de versements offerts par AT&T aux clients, qui visaient à réduire le prix des téléphones mobiles coûteux. Les clients pouvaient acheter les téléphones à un prix inférieur, mais ceux-ci étaient liés aux réseaux d'AT&T. Avec les téléphones déverrouillés par Fahd et ses cohortes, AT&T a été délogé en tant que seul transporteur et le titulaire du compte a été libéré de ses obligations de paiement.
Les employés d'AT&T soudoyés ont reçu l'ordre de Fahd de créer des comptes bancaires pour de fausses entreprises, de recevoir des dépôts sur ces comptes et de créer de faux documents de facturation. Il s'est ensuite associé à des détaillants en ligne pour vendre ses services illégaux de déverrouillage de téléphone.
En 2013, AT&T a commencé à utiliser un nouveau système qui constituait un obstacle au schéma de déverrouillage de Fahd. Pour contrer cela, il a eu recours à un ingénieur logiciel qui a conçu le logiciel malveillant capable de contourner les barrières d'AT&T. Les employés complices ont fourni à Fahd des informations sur le nouveau système et ont installé le logiciel malveillant sur les ordinateurs de leur entreprise qui contenait les informations d'accès des autres employés.
Le stratagème a entraîné le déverrouillage illégal de près de 2 millions de téléphones et le non-paiement des paiements à AT&T. Ce n'est qu'en 2018 que Fahd a été arrêté.
Les plats à emporter de SSL.com: Les humains sont sujets aux séductions face à d'énormes récompenses monétaires. Le moyen de lutter contre cela est pour une entreprise d'investir dans une infrastructure de cybersécurité solide qui peut réduire les erreurs humaines et qui a mis en place des systèmes qui peuvent empêcher leurs employés de garde d'être soudoyés par un cybercriminel.
Microsoft expose l'opération d'hameçonnage en tant que service (PhaaS)
L'équipe de cybersécurité de Microsoft, la 365 Defender Threat Intelligence Team, a découvert une nouvelle façon d'exécuter le phishing par les cybercriminels.
Appelé BulletProofLink ou Anthrax, ce modèle semble être un développement de kits de phishing – des albums de faux modèles de pages Web qui copient les pages de connexion des sites Web cibles.
Microsoft déclare qu'il existe des fournisseurs de services d'hameçonnage qui proposent un forfait - de la création du modèle d'hameçonnage, de l'hébergement et de la conduite réelle de l'hameçonnage. Ceux qui souscrivent à cet accord n'ont pas à infiltrer activement les systèmes informatiques. Au lieu de cela, ils reçoivent facilement les identifiants de connexion volés qui leur sont envoyés par les fournisseurs PhAAS.
Dans la sécurité de Microsoft article, ils décrivent comment l'infrastructure de phishing BulletProofLink comporte des menaces tout aussi alarmantes que le Ransomware as a Service (Raas) :
« Le modèle de travail PhaaS tel que nous l'avons décrit jusqu'à présent rappelle le modèle de ransomware-as-a-service (RaaS), qui implique une double extorsion. La méthode d'extorsion utilisée dans les ransomwares implique généralement que les attaquants exfiltrent et publient des données publiquement, en plus de les chiffrer sur des appareils compromis, pour faire pression sur les organisations pour qu'elles paient la rançon. Cela permet aux attaquants de bénéficier de plusieurs moyens d'assurer le paiement, tandis que les données publiées peuvent ensuite être utilisées comme arme lors d'attaques futures par d'autres opérateurs. Dans un scénario RaaS, l'opérateur de ransomware n'a aucune obligation de supprimer les données volées même si la rançon est déjà payée.
Nous avons observé ce même workflow dans l'économie des identifiants volés dans le phishing-as-a-service. Avec les kits de phishing, il est trivial pour les opérateurs d'inclure un emplacement secondaire pour l'envoi des informations d'identification et d'espérer que l'acheteur du kit de phishing ne modifie pas le code pour le supprimer. C'est vrai pour le kit de phishing BulletProofLink, et dans les cas où les attaquants utilisant le service recevaient des informations d'identification et des journaux au bout d'une semaine au lieu de mener des campagnes eux-mêmes, l'opérateur PhaaS a gardé le contrôle de toutes les informations d'identification qu'ils revendent.
Microsoft déclare que le service BulletProofLink est responsable de l'attaque stupéfiante contre 300,000 XNUMX sous-domaines et propose actuellement des pages de phishing pour des sociétés bien connues, notamment American Express, Dropbox, AT&T, Alibaba et AOL.
À retenir de SSL.com: Augmenter les capacités et les connaissances des employés de l'entreprise en matière de cybersécurité aidera à lutter contre les attaques de phishing. Considérez un étude réalisé par l'Université de Stanford et Tessian qui a révélé que 88% des violations de données sont causées par des employés qui cliquent sur les e-mails des pirates en pensant qu'ils proviennent de sources légitimes.
Des pirates informatiques russes attaquent une grande coopérative agricole dans l'Iowa
Un Washington Post article rapporte le cas d'une coopérative agricole basée dans l'Iowa, NEW Cooperative, qui a été attaquée par un gang de ransomware russe se faisant appeler BlackMatter. Les cybercriminels ont exigé un paiement de 5.9 millions de dollars en échange de la non-divulgation des informations privées qu'ils prétendent avoir volées et de la restauration de l'accès de la coopérative à leurs systèmes informatiques qu'ils utilisent pour nourrir des millions de bovins, de poulets et de porcs.
NEW Cooperative appartient à ses membres et possède 60 propriétés en exploitation dans le centre, l'ouest et le nord de l'Iowa. Ils exploitent des silos de stockage de céréales, vendent des engrais, des aliments pour animaux et des semences. Ils assurent également la cartographie des sols et la gestion des champs.
Dans leur conversation avec les cyber-escrocs, NEW Cooperative a demandé pourquoi ils avaient été attaqués malgré la déclaration de BlackMatter selon laquelle ils ne cibleraient pas les installations d'infrastructure critiques. BlackMatter a répondu en disant qu'ils ne considéraient pas la coopérative comme faisant partie de cette catégorie.
NEW Cooperative a averti que l'attaque entraînerait des perturbations dans la chaîne d'approvisionnement des céréales, du porc et du poulet. Ils ont en outre déclaré que leur logiciel gère environ 40 % de la production céréalière du pays et que leurs programmes d'alimentation prennent en charge 11 millions d'animaux.
BlackMatter est fortement théorisé comme étant une version réincarnée du gang de ransomware DarkSide qui est devenu AWOL après l'énorme attaque qu'ils ont commise en mai dernier. Comme discuté dans notre article précédent, le gang DarkSide était responsable de l'attaque du pipeline colonial qui a affaibli les réserves de gaz dans les États du sud-est.
Parmi les données prétendument volées par BlackMatter figuraient des informations financières (factures, factures, relevés), les numéros de sécurité sociale des employés, des documents de recherche et développement et des documents juridiques.
À retenir de SSL.com: La récente attaque du Colonial Pipeline devrait servir d'avertissement aux grandes entreprises industrielles que même si elles paient la rançon, rien ne garantit que les cyber-escrocs rétabliront complètement leur accès. Les grandes entreprises industrielles et coopératives doivent immédiatement consulter les entreprises de cybersécurité afin d'évaluer leur niveau de risque et de renforcer leur sécurité en ligne.
Lancement complet du système de signature cloud eSigner de SSL.com
En ce qui concerne la mise à jour de notre propre entreprise, septembre 2021 est devenu le premier mois du lancement commercial de notre système de signature en nuage eSigner.
L'eSigner de SSL.com augmente l'infrastructure de cybersécurité des entreprises en leur permettant de placer des signatures numériques de confiance internationale sur des documents importants qu'ils communiquent en ligne en interne et en externe, notamment des documents juridiques, des documents protégés par des droits d'auteur, des enregistrements de facturation, des informations sur les employés et autres.
Les entreprises peuvent également protéger les logiciels et les applications informatiques qu'elles utilisent dans leur travail via eSigner. Si les pilotes d'installation de ces outils doivent être envoyés via Internet, les destinataires peuvent être sûrs qu'ils ne téléchargent pas de logiciels malveillants. C'est parce que l'utilisation par eSigner de PKI La technologie crypte en toute sécurité le fichier avec la clé privée de l'expéditeur et empêche son accès à moins que la partie destinataire ne dispose de la clé publique correspondante. Le fichier étant verrouillé de manière unique, le destinataire peut être sûr que le fichier provient réellement de la bonne entité.
Comme en témoigne l'adaptation de plus en plus répandue de la technologie cloud, le stockage et la sécurité de fichiers basés sur le cloud se sont avérés moins chers et offrent une meilleure protection contre le vol et la perte de données par rapport aux systèmes matériels.
e-signataire est entièrement compatible avec la norme de signature cloud du Cloud Signature Consortium, un groupe international d'organisations appartenant au gouvernement, au milieu universitaire et au secteur de la cybersécurité. Les signatures de documents eSigner sont également légales et exécutoires aux États-Unis Signatures électroniques dans le commerce mondial et national (ESIGN) agir et le lois de nombreux autres pays partout dans le monde.
