Pages

mercredi 16 octobre 2019

Rançonlogiciels, hameçonnage et attaques par ordinateurs zombie : 3 menaces sur le podium de la cybersécurité cette année (iOCTA2019)



L’office européen de police a publié la 5e édition de son rapport annuel sur l’état de la cybercriminalité et force est de constater que les menaces s’accroissent et se complexifient.

Sont recensées :  les rançonlogiciels, le hameçonnage (phishing), les attaques informatiques dites DDoS, la fraude sur le net aux cartes de crédit, les attaques informatiques contre les distributeurs automatiques de billets (DAB), la pédopornographie, la fraude dite "au président", les trafics illicites sur le Darknet, la propagande terroriste en ligne et la pénétration de l'écosystème des cryptomonnaies par les criminels.



Le cyber-rançonnage, une préoccupation de premier plan

Les raçonlogiciels demeurent la principale menace de l'IOCTA cette année. Même si une baisse du volume global des attaques est observée, le volume globale des attaques demeurent élevé malgré tout.
De surcroît, elles sont plus ciblées et plus rentables. En outre, elles causent davantage de dommages économiques.

Suite à l'augmentation de la diffusion des raçonlogiciels destructeurs, telles que German wiper de 2019, les attaques de sabotage suscitent une inquiétude croissante au sein du secteur public et du secteur privé.
D’après le rapport, tant que les rançongiciels fourniront un revenu lucratif et à faible risque pour les cybercriminels - et tant qu’ils continueront de causer des dommages et des pertes financières importants -, ils demeureront la principale menace en matière de cybercriminalité.

Sur la 2e et 3e place du podium : le phishing (&
intrusion dans un bureau à distance) ainsi que les attaques par déni de service

Sur la deuxième menace se trouve l'hameçonnage à égalité avec la vulnérabilité des protocoles de bureau à distance (vulnerable remote desktop protocols (RDPs) .
L'hameçonnage demeure un outil important dans l'arsenal des cybercriminels, qu'il s'agisse de la cybercriminalité ou de la fraude par paiement autre qu'en espèces.
Quant à la la vulnérabilité des protocoles de bureau à distance (vulnerable remote desktop protocols (RDPs), le rapport les décrit comme les principaux vecteurs d'infection par les logiciels malveillants. Concrètement, des vulnérabilités de protocoles de bureau à distance peuvent compromettre les services de bureau à distance (Remote Desktop Services), en favorisant la propagation des logiciels malveillants tels que les rançonlogiciels.

Toujours par ordre d’importance, la troisième menace correspond aux attaques par déni de service distribué (DDoS). Pour mémoire, il s’agit d’une attaque informatique ayant pour but de rendre indisponible un service en empêchant les utilisateurs légitimes d'un service de l'utiliser.

Si le fait de refuser à une entité des secteurs public ou privé l'accès à ses propres données constitue la principale menace dans le rapport de cette année, le fait de refuser à d'autres l'accès aux données ou aux services de cette entité (attaques DDoS) est en effet une grave menace mise en évidence par les enquêteurs européens sur la cybercriminalité.
De toutes les motivations à l'origine de telles attaques, la volonté d'extorsion était, dans leur très grande majorité, celle la plus répandue.

La fraude sur le net aux cartes de crédit, un succès qui ne se dément pas

Dans le domaine de la fraude par carte de paiement, la fraude par carte non présente (CNP) constitue le phénomène le plus répandu, identifié les services de détection et de répression ainsi que par les rapports du secteur privé dans le domaine de la fraude par paiement.

Les criminels parviennent principalement à commettre des fraudes CNP par le biais de données recueillies à partir d'atteintes à la sécurité des données et de l'ingénierie sociale.
La fraude CNP continue d'être la principale priorité de la fraude sur les paiements et de faciliter d'autres formes d'activités illégales.

Skimming et jackpotting : une recrudescence des attaques informatiques contre les distributeurs

Les attaques informatiques contre les distributeurs automatiques de billets (DAB) sont plus que jamais en vogue.
La technique dite de "l'écrémage" (skimming), technique qui consiste copier frauduleusement les données sur la piste magnétique des cartes insérées dans les DAB, s’adapte et les criminels se mettent à jour continuellement par rapport aux nouvelles mesures de sécurité.
Comme le décrit un État membre, le phénomène de la fraude par carte de crédit continue d'évoluer. En particulier,  les outils d'écrémage de plus en plus sophistiqués et sont souvent déployés par des groupes criminels des pays d'Europe centrale ou des Balkans, opérant de véritables raids en ciblant l'ensemble du continent.

L'industrie confirme également la menace persistante de ce phénomène d'écrémage. Une organisation, le European Payment Council (EPC), se fait l'écho des rapports des services répressifs lorsqu'elle affirme que l'écrémage demeure l'une des fraudes les plus courantes.

Quant aux attaques dite de "Jackpotting", le rapport note qu’elles sont à la fois de plus en plus accessibles et sont toujours plus réussies. ll s’agit d’une pratique consistant à recueillir toute la réserve de billets contenue dans un distributeur.

De nos jours, le jackpotting  est le type le plus répandu d'attaque logique contre les DAB.
Les criminels opèrent cette technique de jackpotting de deux façons différentes. Soit le criminel utilise un logiciel malveillant qui envoie des commandes au distributeur, soit il utilise son propre dispositif connecté directement au distributeur pour le vider de son argent.
Ces attaques ne peuvent être exécutées que contre certains anciens distributeurs automatiques de billets qui, en raison de normes de sécurité moins strictes, sont davantage vulnérables à ce type d'attaques.

La fraude au président, un classique de l’ingénierie sociale

L'IOCTA révèle que pour toute cybercriminalité, les données demeurent l'élément clé : les criminels ciblent ces données, ce qui rend d'autant plus importante leur sécurité et la sensibilisation des acteurs à ce sujet.

L'une des priorités cruciales signalées tant par les États membres que par le secteur privé est la fraude dite "au président" (Business Email Compromise (BEC)), qui est une manœuvre destinée à tromper un collaborateur d'une entreprise pour l'amener à opérer en urgence un virement important pour répondre à un prétendu ordre du dirigeant.
Bien que ce type de fraude ne soit pas nouveau, il évolue. Cette escroquerie exploite la façon dont les entreprises exercent leur activité, en tirant parti des structures existantes et des lacunes internes dans les processus de vérification des paiements.
Ces attaques varient selon le degré des outils techniques utilisés. Certaines attaques peuvent utiliser avec succès l'ingénierie sociale, tandis que d'autres déploient des mesures techniques telles que les logiciels malveillants et l'intrusion réseau.

A ce propos, au fur et à mesure que les entreprises externalisent des domaines de leurs activités, comme le transfert d'un grand nombre d'infrastructures vers des services cloud tiers, il est possible d’observer en parallèle, une croissance des attaques dans la chaîne logistique ainsi qu’une complexité croissante de l'évolution de ces attaques.
Il en résulte une interdépendance claire entre les organisations et la nécessité de disposer d'un niveau plus élevé de cybersécurité dans l'ensemble du spectre afin de réduire au minimum les attaques de cybercriminalité réussies.

La pédopornographie facilitée par l’abondance de matériel présent sur le net

La quantité de matériel d'exploitation sexuelle d'enfants détectée en ligne par les forces de l'ordre et le secteur privé ne cesse d'augmenter. Cette augmentation exerce une pression considérable sur les ressources des organismes répressifs.

Eu égard à ce volume croissant, il s’agit d’un exemple où ces services doivent innover pour trouver des moyens de digérer les volumes croissants de données. L'évolution des menaces existantes est souvent le résultat d’un effet d'échelle.
Le matériel explicite autogénéré (SGEM) est de plus en plus courant, sous l'impulsion d'un nombre croissant de mineurs ayant accès à des smartphones de haute qualité. En plus de cet accès croissant, le manque de sensibilisation aux risques encourus par ces mineurs aggrave le problème.
Europol, à travers l'organisation de la première Journée européenne de la jeunesse (European Youth Day), s’est donné d'ailleurs pour objectif spécifique de les sensibiliser davantage aux risques encourus en ligne.

Par ailleurs, la sollicitation en ligne d'enfants à des fins sexuelles reste une menace sérieuse, avec un modus operandi largement inchangé en termes de manipulation et de coercition sexuelle.
Bien que la coercition sexuelle et l'extorsion de mineurs se produit également pour des raisons financières dans la majorité des cas, l'objectif est surtout d’obtenir de nouveaux matériels pédopornographiques.

Le Darknet, foyer de la cybercriminalité et un lieu incontournable des cybertrafics

L'accès aux données permet aux criminels de commettre diverses formes de fraude. De telles données sont également disponibles sur le Darknet, qui est souvent un élément clé de nombreuses autres formes d'activités illégales.
Ce rapport ajoute que, au fur et à mesure que le Darknet évolue, il est devenu une menace en soi, et pas seulement en tant que moyen de vente de marchandises illicites comme les drogues, les armes à feu ou les données compromises.

Ce rapport précise qu’il devient une fois de plus évident de voir la manière dont le Darknet sous-tend toujours plus de nombreux secteurs de la criminalité. En effet, le Darknet demeure le principal outil en ligne pour le commerce d'une vaste gamme de produits et de services criminels.

Les récentes actions coordonnées de la police combinées à d'importantes attaques par déni de service distribué (DDoS) ont généré de la méfiance dans l'environnement du routeur Tor.
La facilité d'utilisation, la variété du marché existant et la fidélité des clients sur Tor rendent malgré tout une migration complète vers de nouvelles plateformes peu probable pour le moment.

Le rapport note sur Tor une augmentation :
  • des magasins à fournisseur unique,
  • des petits marchés fragmentés, en particulier ceux qui s'occupent de langues spécifiques.
Certains groupes issus du crime organisé fragmentent également leurs activités sur toute une série d'appellations et de marchés en ligne, ce qui pose de nouveaux défis aux services répressifs.
En outre, les applications de communication cryptées améliorent le commerce à fournisseur unique sur le Darkweb, aidant à diriger les utilisateurs vers les services souhaités et permettant des communications hermétiques.

Une propagande terroriste toujours active en ligne

Le large éventail de fournisseurs de services en ligne exploités par les groupes terroristes représente un défi de taille pour les forces de police.
Les groupes terroristes sont souvent les premiers à adopter les nouvelles technologies et à exploiter les nouvelles plateformes dans le cadre de leurs stratégies de communication en ligne.
Avec une planification et un soutien suffisant de la part de communautés en ligne de sympathisants, les messages et vidéos de propagande terroriste peuvent rapidement devenir virales, avant que ces opérateurs et les forces de l'ordre ne puissent réagir.

L'écosystème des cryptomonnaies dans le viseur des criminels

Alors que les cryptomonnaies continuent de faciliter la cybercriminalité, les pirates et les fraudeurs ciblent désormais systématiquement les entreprises de cryptage.
A ce sujet, diverses entités de l'écosystème des cyrptomonnaies sont devenues des cibles rentables pour des cybercriminels compétents.

La délinquance visant traditionnellement les monnaies étrangères se reporte vers les cryptomonnaies.
Le rapport note que des organisations criminelles se tournent désormais vers toute entité possédant de gros actifs en cryptomonnaies, en opérant des actions de piratage des échanges et de manipulation de la Blockchain.


traduction et synthèse du texte par Pierre Berthelet alias securiteinterieure.fr 



A lire aussi :

Aucun commentaire:

Enregistrer un commentaire

remarques et suggestions à formuler à securiteinterieure [à] securiteinterieure.fr

Remarque : Seul un membre de ce blog est autorisé à enregistrer un commentaire.