Attention aux acteurs malveillants
Par : Hitachi Security Systems
Les acteurs malveillants ne tardent jamais à tenter de profiter d’événements très médiatisés, en particulier ceux qui inquiètent. Le Centre canadien de cybersécurité a constaté une augmentation des signalements d’acteurs malveillants utilisant le Coronavirus (COVID-19) dans des campagnes de phishing et des escroqueries de logiciels malveillants. L’Agence Canadienne de cybersécurité et de sécurité des infrastructures met en garde les individus contre les escroqueries liées à COVID-19.
Que se passe-t-il?
Les cybercriminels envoient des courriels avec des pièces jointes malveillantes ou des liens vers des sites Web frauduleux pour inciter les utilisateurs à révéler des informations sensibles ou à faire des dons à des organisations caritatives ou des causes frauduleuses. Ci-dessous, un exemple de courriel qui a été intercepté.
Un autre cas détecté: L’outil interactif signalant les cas de COVID-19 de l’université Johns Hopkins est aussi utilisé dans des sites Web malveillants (et peut-être des courriers indésirables) afin de propager des logiciels malveillants volant les mots de passe.
HISYS-SEC recommande fortement que vous adoptiez les mesures suivantes:
Mesures techniques à considérer:
- Bloquez toute source /destination IP /domaines sur vos pares-feux qui ne sont pas en cours d’utilisation ou connus comme malveillants pour les attaques COVID-19
- Bloquez les extensions de fichiers tels que: mp3, mp4, AVI, pdf, etc. sur vos plateformes de messagerie et autorisez seulement les extensions docx, XLS et ppt*
- Bloquez tout accès aux données de traitement des applications Web (couche 7) si l’URL de référence ne provient pas d’un domaine autorisé
- Développez une politique de sécurité qui inclut, sans s’y limiter, l’expiration et la complexité des mots de passe
- Déployez un filtre anti-spam qui détecte les virus, les expéditeurs non-identifiés, etc.
- Convertissez les courriels HTML en courriels textes ou désactivez les courriels HTML
- Exigez le cryptage pour les employés qui font du télétravail
- Utilisez un serveur proxy bien connu pour bloquer et surveiller la saisie des données d’utilisateurs sur les pages Web
- Étiquetez les courriels provenant de l’extérieur de l’organisation
- Implémentez l’authentification unique (SSO) pour vous assurer que les employés n’ont pas à saisir leurs informations d’identification plusieurs fois
- Surveillez toutes les requêtes DNS liées aux mauvaises adresses IP connues et recherchez l’activité des balises
- Configurez vos solutions de détection des menaces sur les Endpoints (EDR) et antivirus pour digérer les données de vos indicateurs de compromis (IOC) provenant d’informations sur les menaces
- Augmentez le seuil de votre solution de protection DDoS à des seuils plus élevés que d’habitude pour les domaines d’accès externes, les adresses IP et les sites Web
- Identifiez, priorisez et protégez les données confidentielles de vos clients ou employés et assurez-vous que des protections adéquates sont en place pour minimiser l’impact sur l’exfiltration des données
- Effectuez une gestion régulière des correctifs
- Assurez-vous que vos solutions de protection des terminaux, vos systèmes de détection et de prévention des intrusions sont à jour et opérationnels
- Mener des sessions de formation avec des scénarios de phishing simulés
- Examinez votre plan de réponse aux incidents pour vous assurer que les plans de continuité des activités et de reprise après sinistre sont à jour et efficaces
- Préparez une formation de sensibilisation pour que les employés soient plus conscients des menaces dans leurs activités quotidiennes
Mesures à prendre par les employés:
- Assurez-vous que l’adresse, la pièce jointe ou le contenu du courriel est pertinente
- Assurez-vous que vous connaissez l’expéditeur d’un courriel et qu’il a un nom de domaine valide, surtout lorsque vous ne vous attendez pas à une pièce jointe
- Recherchez les fautes de frappe dans le courriel ainsi que dans le courriel de l’expéditeur
- Utilisez un logiciel anti-virus ou anti-malware sur les ordinateurs
- Soyez extrêmement prudent si la tonalité de courriel est urgente
- Vérifiez à nouveau l’URL avant d’ouvrir une page Web et utilisez les URL de confiance
- N’entrez aucune information d’identification dans les pages Web qui ne sont pas liées à votre organisation
- Informez notre équipe de réponse aux incidents (liste de contacts HISYS-SEC dans la grille d’escalade et courriel à envoyer au support HISYS-SEC pour aider à l’enquête) si vous voyez une activité inhabituelle
Source : Hitachi Security Systems