Vous utilisez un navigateur obsolète !

L'affichage de la page peut être incorrect.

Dans le collimateur

Под прицелом

  • Ajouter aux favoris
    Ajouter aux favoris

Spam avec viseur optique

Lu par: 8385 Commentaires: 2 Cote de popularité: 3

vendredi 9 avril 2021

Nos experts ont analysé une attaque ciblée, a priori perpétrée depuis la Chine, et menée contre des entreprises russes aux infrastructures critiques. Peut-être avez-vous lu cet article. Si non, nous vous recommandons de le faire et de revenir à celui-ci. Maintenant, nous aimerions attirer votre attention sur plusieurs points importants.

Il n’est pas intéressant pour les criminels (ni pour un employé), d’attaquer chaque employé d’une entreprise individuellement. Ses services de sécurité remarqueraient (nous l’espérons) un envoi massif de spam ou le scan complet des ordinateurs de l’entreprise. Par exemple, notre solution Dr.Web Enterprise Security Suite possède une fonctionnalité de prévention des épidémies, l’administrateur est immédiatement alerté lorsque plusieurs événements malveillants identiques ont cours sur le réseau. Ceci devrait lui faire penser à une vulnérabilité. Mais comment le maillon faible est-il découvert ?

L’investigation a révélé que juste avant l’attaque, les cybercriminels ont mené une action de reconnaissance en envoyant des emails contenant des images. Ceci a été fait pour collecter des informations pour identifier un destinataire « sûr », c’est-à-dire, pour eux, un destinataire qui ouvrira sans aucun doute un spam plus tard. Pour identifier cette personne, les criminels, lorsqu’ils ont envoyé des emails à différents destinataires, ont utilisé différents paramètres de demandes, ou bien des noms d’image uniques dans les demandes de chargement de l’image. Si les cybercriminels savaient qui recevait l’email, ils pouvaient préparer le suivant, basé sur la fonction de la personne ciblée. Si non, c’était tout de même bien. Toute personne ouvrant ce type de messages est une personne vulnérable.

Puis les cybercriminels sont passés au second stade de leur attaque en sachant déjà qui ouvrirait leur email. L’envoi massif de mail pouvait aussi ne pas être effectué.

Et voici maintenant le point le plus important. Si chaque employé utilisait un logiciel de sécurité, la protection aurait bloqué le message malveillant avant sa réception par le destinataire, d’après ses fonctionnalités malveillantes. Mais aujourd’hui, de nombreux collaborateurs travaillent à distance et ne protègent pas leur appareils avec les produits antivirus de l’entreprise, ou bien ils n’utilisent pas d’antivirus du tout. Si l’ordinateur d’un collaborateur n’est pas protégé par l’antivirus utilisé dans l’entreprise, le responsable technique de la sécurité pourra ne pas voir l’attaque car il n’aura pas été alerté.

Les criminels peuvent-ils savoir quels collaborateurs de l’entreprise travaillent à distance ?

Lorsque le fichier joint est demandé, une requête HTTP est envoyée au serveur sur lequel le fichier est physiquement présent. Lorsqu’il s’agit d’une requête entrante, les deux hôtes partagent des informations l’un sur l’autre, y compris leurs adresses IP respectives. Le client mail, après avoir demandé un fichier ccs ou une image jointe à l’email, transmet instantanément l’adresse IP du destinataire de l’email.

Source

Ainsi, l’adresse IP a été indiquée, et maintenant, il est facile d’utiliser la base de données gratuite http://www.maxmind.com/en/home pour géolocaliser l’adresse. La probabilité de réussite est de 95%-98%. Pour les adresses IP russes, vous pouvez également consulter cette base :
http://ipgeobase.ru/

Source

La requête HTTP contiendra également l’en-tête de l’agent utilisateur, qui fournit une description rapide du navigateur et du système d’exploitation.

Source

Il est possible que la localisation exacte ne soit pas trouvée, mais la région, oui. Et si elle est différente de votre adresse corporate, c’est qu’il est fort probable que vous travailliez à distance.

#anti-spam #corporate_security #vulnerability #email #spam #VCI #fraudulent_email #location_tracking

Le projet Lumières sur la sécurité recommande

  1. Désactivez le chargement des images dans votre client email.
  2. N’ouvrez pas les messages provenant d’expéditeurs inconnus.
  3. Utilisez l’antivirus de l’entreprise.

[Twitter]

Nous apprécions vos commentaires

Pour laisser un commentaire, vous devez accéder au site via votre compte sur le site de Doctor Web. Si vous n'avez pas de compte, vous pouvez le créer.

Commentaires des utilisateurs