Le spear phishing est devenu encore plus dangereux.

Le spear phishing est un courrier électronique contenant des hyperliens vers de faux sites Web.

Les Russes ont utilisé cette méthode pour pirater les courriels du Comité national démocrate (DNC) et mettre en branle leur campagne d’influence de 2016. Comme expliqué dans cet article « Les attaques cybernétiques ciblées, le spear-phishing »

Après deux ans d’audiences, de mises en accusation et d’enquêtes au Congrès, le harponnage continue non seulement à être l’attaque la plus utilisée par les pirates, mais les Russes tentent toujours de s’en servir contre nous.

C’est parce que la méthode est devenue encore plus virulente, grâce à la disponibilité de logiciels malveillants sophistiqués, certains ont piratés à des agences de renseignement des tas de renseignements personnels provenant de piratages antérieures et les développements en cours en matière d’apprentissage automatique qui permettent de se plonger dans ces données et de concevoir des attaques très efficaces.

La semaine dernière, Microsoft a bloqué six faux sites Web susceptibles d’être utilisés par la même unité de renseignement Russe responsable du piratage de la DNC en 2016 pour lancer des attaques de cibles américaines.

Mais l’Internet est vaste et il reste encore beaucoup de faiblesses fondamentales à exploiter.

Prenez les URL avec lesquelles nous identifions les sites Web. Grâce aux noms de domaine internationalisés (IDN) qui permettent aux sites Web d’être enregistrés dans des langues autres que l’anglais, de nombreux sites Web factices utilisés pour le phishing sont enregistrés à l’aide d’homoglyphes provenant de langues qui ressemblent à des caractères anglais. Par exemple, un faux domaine pour Amazon.com pourrait être enregistré en remplaçant l’anglais « a » ou « o » dans le mot « Amazon » par leurs équivalents cyrilliques.
De telles URL sont difficiles à discerner visuellement et même les programmes d’analyse des e-mails formés pour identifier des mots tels que «mot de passe» dans les e-mails de phishing, comme celui que les Russes ont utilisé pour pirater le courrier de John Podesta.

Et tandis que de nombreux navigateurs empêchent l’affichage d’URL avec des homoglyphes, certains, comme Firefox, attendent toujours des utilisateurs qu’ils modifient les paramètres de leur navigateur pour les protéger.

Pire encore, la prolifération des autorités de certification (CA), les organisations qui émettent des certificats numériques qui font apparaître l’icône de verrouillage et HTTPS apparaissent à côté du nom d’un site Web dans les navigateurs. Bien que les utilisateurs apprennent à faire confiance à ces symboles, on estime qu’un site Web d’hameçonnage sur quatre possède des certificats HTTPS. Cela est dû au fait que certaines CA ont été piratées, ce qui signifie qu’il existe de nombreux certificats malhonnêtes, tandis que d’autres ont distribué des certificats gratuits à quiconque. Par exemple, l’année dernière, une autorité de certification a délivré des certificats à 15 000 sites Web avec des noms contenant une combinaison du mot PayPal, presque tous destinés au phishing.

En outre, le problème des profils de réseaux sociaux bidons, que les Russes ont utilisés en 2016 pour le phishing, la pêche à la traîne et la diffusion de fausses informations, reste insoluble. La semaine dernière, les Forces de défense israéliennes (FDI) ont signalé une campagne de phishing sur les médias sociaux attribuée au Hamas, incitant ses troupes à télécharger des logiciels malveillants utilisant de faux profils de médias sociaux sur Facebook, Instagram et Whatsapp.

La semaine dernière également, Facebook, suivi de Twitter, a bloqué les profils liés aux agents iraniens et russes utilisés pour diffuser de fausses informations.

Ces attaques révèlent toutefois une faiblesse critique des campagnes d’influence : de par leur conception, elles utilisent des profils qui se chevauchent sur plusieurs plates-formes. Le problème est que les sociétés de médias sociaux contrôlent leurs propres réseaux, conservant les informations qu’ils découvrent sur ces activités dans leurs propres « jardins clos » au lieu de les diffuser plus largement.

Une meilleure stratégie consisterait à héberger des données sur des profils et des pages suspects dans un référentiel unifié à code source ouvert qui accepte les contributions d’autres organisations de médias, d’organisations de sécurité et même d’utilisateurs qui trouvent le problème. Une telle approche aiderait à détecter et à suivre les campagnes d’influence des médias sociaux coordonnées – ce qui serait extrêmement utile pour les organismes d’application de la loi et même les médias, grands ou petits, dont beaucoup sont ciblés par les mêmes profils.

Une plate-forme pour cela pourrait être le cadre de transparence des certificats, où les certificats numériques sont ouvertement consignés et vérifiés. Il a déjà été adopté par de nombreux navigateurs et systèmes d’exploitation populaires. Pour l’instant, ce cadre n’audit que les certificats numériques, mais il pourrait être étendu pour englober les pages d’audit de noms de domaine et de réseaux sociaux.

Enfin, nous devons améliorer la formation des utilisateurs. La plupart des utilisateurs en savent peu sur les homoglyphes et encore moins sur la manière de modifier les paramètres de leur navigateur pour les protéger. En outre, de nombreux utilisateurs, après avoir été formés à plusieurs reprises pour rechercher des icônes HTTPS sur des sites Web, en sont venus à leur faire confiance.

Beaucoup de gens confondent même ces symboles avec le fait qu’un site Web est légitime. Étant donné que même un site crypté peut être frauduleux, il faut apprendre aux utilisateurs à faire preuve de prudence et à évaluer les facteurs liés au site Web, de l’orthographe du nom de domaine à la qualité des informations sur le site .

De telles initiatives doivent être complétées par une conception de navigateur Internet meilleure et plus uniforme, afin que les utilisateurs n’aient pas à modifier les paramètres pour éviter le phishing.

Atteindre tout cela exige du leadership, mais la Maison-Blanche, qui serait normalement la mieux placée pour résoudre ces problèmes, a récemment repoussé son czar de la cybersécurité et éliminé ce rôle. Et lorsque, selon le Government Accountability Office, les agences fédérales n’ont pas encore traité plus d’un tiers de ses 3 000 recommandations en matière de cybersécurité, le président parle plutôt de créer une force spatiale.

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage