Cette année, la population, lassée par la crise, est à la recherche de bonnes affaires et devrait une nouvelle fois choisir d’éviter la foule en faisant ses achats en ligne. eBay prévoit que 85 % des consommateurs maintiendront ou augmenteront leurs achats en ligne ce Noël et des études indiquent que 93 % des clients prévoient d’acheter un cadeau en ligne.*

La dernière statistique, notamment, présente un intérêt pour les cybercriminels. Elle révèle en effet le nombre potentiel des occasions d’attaque pour eux. A l’attention des nombreux consommateurs utilisant les réseaux de leur entreprise pour accéder à Internet en préparation de Noël, Websense a publié un guide pour éviter les arnaques en cette période de fête.

*sources : Interactive Media in Retail Group and eBay.

Les conseils de Websense pour maîtriser les risques liés à la sécurité IT en cette période de Noël

1. L’arnaque de la « bonne affaire » en ligne

L’attaque se déroule ainsi : L’un des principaux attraits des achats en ligne est qu’ils se présentent souvent comme une bonne affaire à réaliser. En cherchant une bonne affaire, on peut être attiré par les prix bas et oublier de vérifier qui est le vendeur. Les cybercriminels en sont parfaitement conscients et créent de fausses boutiques en ligne pour collecter des informations bancaires, qu’ils utilisent ensuite pour leur propre profit. Les produits sont souvent offerts à des prix bien plus bas que dans les magasins, cependant aucun colis ne vous sera envoyé. Mais votre carte de crédit, elle, pourrait bien être débitée et vos informations bancaires vendues sur le marché noir.

Aussi alléchantes que peuvent paraître certaines offres, le vieil adage se révèle souvent juste : si cela semble trop beau pour être vrai... c’est probablement le cas.

Exemple de faux site web commerçant

L’astuce : La frontière entre le travail et les loisirs s’est estompée ; un employé heureux est une composante essentielle dans le succès de son entreprise. Beaucoup de personnes peuvent faire une bonne utilisation de leur temps de travail en réalisant leurs achats de Noël pendant leur pause déjeuner et en indiquant leur adresse professionnelle pour faciliter la livraison de leurs colis. Ne pas avoir à se presser pendant la pause déjeuner et le week-end permet aux collaborateurs d’être moins stressés et plus productifs.

Les entreprises peuvent ouvrir l’accès au Web pour leurs collaborateurs, cependant elles doivent traiter les menaces plus efficacement. La définition de politiques d’utilisation réalistes permet d’encourager le personnel à effectuer ses achats en ligne en toute sécurité pendant la pause déjeuner ou en dehors des heures de travail. Les solutions de sécurité qui classifient les nouveaux sites et le contenu dynamique en temps réel et détectent de manière proactive les risques sont conçues pour permettre une utilisation sûre et productive d’Internet.

2. Le camouflage par déguisement

L’attaque se déroule ainsi : Au moment de Noël, nous envoyons à nos amis et collègues des cartes électroniques ou des liens vers des vidéos amusantes. Malheureusement, sans le savoir, celles-ci peuvent parfois contenir des éléments malveillants. Et l’e-mail peut cacher une arnaque au phishing. Dissimulées entre les images joyeuses du Père Noël, des URL malveillantes peuvent contenir des liens vers des malwares ou du code. Cette technique évolue constamment visant à augmenter le taux de réussite. Elle permet de donner vie à de nouvelles attaques de plus en plus sophistiquées en termes d’imagerie et d’appâts utilisés.

Exemple de fausse carte électronique de Noël

L’astuce : Les menaces combinées (comme le spam intégrant des URL) sont en augmentation et en moyenne 85,6 % de tous les e-mails indésirables contiennent des liens vers des sites de spam et/ou des sites Web malveillants. Une solution de sécurité qui intègre la sécurité Web et la sécurité du courrier électronique devrait être en mesure d’identifier les liens dans un e-mail et de remonter jusqu’à des sites ou du contenu malveillants. Grâce à cette identification rigoureuse, les solutions devraient être en mesure d’agir en temps réel pour bloquer les e-mails et n’importe quelle autre tentative d’accéder aux sites Web, d’afficher du contenu ou de transférer des données vers cette destination.

3. Le téléchargement caché (drive-by)

L’attaque se déroule ainsi : C’est un des types d’attaque les plus dangereux, étant donné qu’aucune interaction de l’utilisateur n’est nécessaire pour que cette infection ait lieu. Il suffit de naviguer sur un site ayant trait à Noël, évidemment infecté, pour permettre l’exécution d’un code exploitant les vulnérabilités d’un logiciel installé sur l’ordinateur de l’utilisateur. Ainsi, à son insu, l’utilisateur télécharge des applications malveillantes alors qu’il regarde la démonstration des « finger skates » ou qu’il est en train de se divertir en participant aux jeux organisés sur les sites de Noël.

L’astuce : Les sites pornographiques ou de jeux ne sont plus les seuls à receler du code malveillant, de nouveaux sites de voyage ou de vente en contiennent aussi. En fait, 77 % des sites Web contenant du code malveillant sont des sites Web légitimes qui ont été compromis.

La réputation fondée sur la surveillance ne constitue plus une méthode de protection efficace. Une solution de sécurité devrait être en mesure de classer les sites Web, le contenu Web, les applications et les malwares au-delà de leur seule réputation, en prenant en compte l’utilisation et le contexte Internet pour une évaluation du risque en temps réel. C’est seulement avec ce niveau de catégorisation que les menaces peuvent être bloquées rigoureusement et en temps réel. Ainsi, si un site de confiance bien connu, avec une excellente réputation devait être compromis, la menace serait contenue.

4. Les cadeaux empoisonnés de l’antivirus

L’attaque se déroule ainsi : L’ingénierie sociale désigne l’art d’abuser une personne pour qu’elle effectue une action. Le faux antivirus est un exemple de technique d’ingénierie sociale que les laboratoires de sécurité de Websense constatent souvent. Lorsque l’on navigue sur le Web, il arrive de voir apparaître une fenêtre pop-up expliquant que l’ordinateur risque d’être infecté, et offrant une analyse antivirus gratuite. Ne vous faites pas berner, il n’y aura aucune analyse. En revanche, le programme prétendra avoir trouvé un virus sur votre machine. En réalité, vous n’êtes pas vraiment infecté mais le procédé vise à vous encourager à télécharger ou à payer pour un faux logiciel antivirus, qui n’est en fait rien d’autre qu’un logiciel malveillant. Ainsi, les hackers sont en possession de vos informations bancaires et sont en mesure de prendre le contrôle de votre ordinateur.

Capture d’écran d’un faux Anti-Virus

L’astuce : Préférez une solution de passerelle Web sécurisée intégrant des outils d’analyse avancés (règles, signatures, connaissance heuristique et comportements des applications) afin de détecter et bloquer le détournement de proxy, les sites de piratage, le contenu pour adulte, les botnets, les enregistreurs de frappe, les attaques de phishing, les logiciels espions et de nombreux autres types de contenus dangereux. Des tests indépendants confirment que la passerelle Web sécurisée de Websense surpasse les solutions concurrentes et répond aux critères des analystes spécialisés en termes de protection contre les programmes malveillants, et de prévention contre la perte de données et de détection des menaces Web 2.0 avec précision et efficacité.

5. Le puzzle de Noël

L’attaque se déroule ainsi : La technique, appelée fragmentation de script, consiste à scinder le code malveillant en petits blocs avec pour objectif de terrasser les moteurs d’analyse. Du code anodin est intégré dans une page Web. Lorsqu’une personne visite la page Web, la routine JavaScript demande lentement du code additionnel d’autres serveurs Web par petites tranches. Une fois reçus, les octets sont stockés jusqu’au transfert de tout le code, ce qui déclenche l’exploit.

Ce processus peut être comparé à l’envoi d’une bombe en pièces détachées. Ce n’est qu’une fois toutes les pièces ont été reçues et assemblées que le danger prend forme entièrement. Lorsqu’on le réalise, le pirate se trouve déjà dans la place et peut alors aller désactiver l’antivirus et prendre le contrôle de la machine.

L’astuce : L’ensemble du processus, du transfert de données via le réseau au déclenchement du code JavaScript, peut échapper à la détection car aucun contenu malveillant ne touche au système de fichiers. Il s’effectue complètement en mémoire, le contenu étant transféré en fragments si petits que le moteur antivirus ne dispose pas d’éléments contextuels suffisants pour identifier une signature. La réponse réside dans des solutions qui analysent le contenu actif, car il est important de ne pas se limiter au contenu statique stocké sur disque pour pouvoir détecter des modifications au sein du navigateur.

Les Laboratoires de sécurité de Websense utilisent le réseau Websense ThreatSeeker™ pour détecter, classifier et contrôler les menaces Internet globales et les anticiper. Chaque heure, le réseau Threatseeker scanne plus de 40 millions de sites Web et 10 millions d’emails pour détecter le contenu et le code malicieux. En utilisant plus de 50 millions de systèmes collectant les données en temps réel, le réseau Websense ThreatSeeker passe en revue plus d’un milliard de contenus quotidiennement, à la recherche de nouvelles menaces.