Passer au contenu principal

Attention aux acteurs malveillants

Par : Hitachi Security Systems

Les acteurs malveillants ne tardent jamais à tenter de profiter d’événements très médiatisés, en particulier ceux qui inquiètent. Le Centre canadien de cybersécurité a constaté une augmentation des signalements d’acteurs malveillants utilisant le Coronavirus (COVID-19) dans des campagnes de phishing et des escroqueries de logiciels malveillants. L’Agence Canadienne de cybersécurité et de sécurité des infrastructures met en garde les individus contre les escroqueries liées à COVID-19.

Que se passe-t-il?

Les cybercriminels envoient des courriels avec des pièces jointes malveillantes ou des liens vers des sites Web frauduleux pour inciter les utilisateurs à révéler des informations sensibles ou à faire des dons à des organisations caritatives ou des causes frauduleuses. Ci-dessous, un exemple de courriel qui a été intercepté.

Un autre cas détecté: L’outil interactif signalant les cas de COVID-19 de l’université Johns Hopkins est aussi utilisé dans des sites Web malveillants (et peut-être des courriers indésirables) afin de propager des logiciels malveillants volant les mots de passe.

HISYS-SEC recommande fortement que vous adoptiez les mesures suivantes:

Mesures techniques à considérer:

  • Bloquez toute source /destination IP /domaines sur vos pares-feux qui ne sont pas en cours d’utilisation ou connus comme malveillants pour les attaques COVID-19
  • Bloquez les extensions de fichiers tels que: mp3, mp4, AVI, pdf, etc. sur vos plateformes de messagerie et autorisez seulement les extensions docx, XLS et ppt*
  • Bloquez tout accès aux données de traitement des applications Web (couche 7) si l’URL de référence ne provient pas d’un domaine autorisé
  • Développez une politique de sécurité qui inclut, sans s’y limiter, l’expiration et la complexité des mots de passe
  • Déployez un filtre anti-spam qui détecte les virus, les expéditeurs non-identifiés, etc.
  • Convertissez les courriels HTML en courriels textes ou désactivez les courriels HTML
  • Exigez le cryptage pour les employés qui font du télétravail
  • Utilisez un serveur proxy bien connu pour bloquer et surveiller la saisie des données d’utilisateurs sur les pages Web
  • Étiquetez les courriels provenant de l’extérieur de l’organisation
  • Implémentez l’authentification unique (SSO) pour vous assurer que les employés n’ont pas à saisir leurs informations d’identification plusieurs fois
  • Surveillez toutes les requêtes DNS liées aux mauvaises adresses IP connues et recherchez l’activité des balises
  • Configurez vos solutions de détection des menaces sur les Endpoints (EDR) et antivirus pour digérer les données de vos indicateurs de compromis (IOC) provenant d’informations sur les menaces
  • Augmentez le seuil de votre solution de protection DDoS à des seuils plus élevés que d’habitude pour les domaines d’accès externes, les adresses IP et les sites Web
  • Identifiez, priorisez et protégez les données confidentielles de vos clients ou employés et assurez-vous que des protections adéquates sont en place pour minimiser l’impact sur l’exfiltration des données
  • Effectuez une gestion régulière des correctifs
  • Assurez-vous que vos solutions de protection des terminaux, vos systèmes de détection et de prévention des intrusions sont à jour et opérationnels
  • Mener des sessions de formation avec des scénarios de phishing simulés
  • Examinez votre plan de réponse aux incidents pour vous assurer que les plans de continuité des activités et de reprise après sinistre sont à jour et efficaces
  • Préparez une formation de sensibilisation pour que les employés soient plus conscients des menaces dans leurs activités quotidiennes

Mesures à prendre par les employés:

  • Assurez-vous que l’adresse, la pièce jointe ou le contenu du courriel est pertinente
  • Assurez-vous que vous connaissez l’expéditeur d’un courriel et qu’il a un nom de domaine valide, surtout lorsque vous ne vous attendez pas à une pièce jointe
  • Recherchez les fautes de frappe dans le courriel ainsi que dans le courriel de l’expéditeur
  • Utilisez un logiciel anti-virus ou anti-malware sur les ordinateurs
  • Soyez extrêmement prudent si la tonalité de courriel est urgente
  • Vérifiez à nouveau l’URL avant d’ouvrir une page Web et utilisez les URL de confiance
  • N’entrez aucune information d’identification dans les pages Web qui ne sont pas liées à votre organisation
  • Informez notre équipe de réponse aux incidents (liste de contacts HISYS-SEC dans la grille d’escalade et courriel à envoyer au support HISYS-SEC pour aider à l’enquête) si vous voyez une activité inhabituelle

Source : Hitachi Security Systems