Bulletin sur le coronavirus : avec l’arrivée des premiers chèques d’aide pour la relance économique, les cybercriminels veulent en avoir une part

avril 2020 par Check Point

La pandémie de coronavirus (Covid-19) ayant entraîné la fermeture d’une grande partie de l’économie mondiale, les gouvernements réagissent par des plans de relance massifs visant à soutenir les entreprises et les particuliers. Aux États-Unis, le gouvernement fédéral a mis en place un programme de 2 000 milliards de dollars d’aide économique pour redonner un coup de fouet à l’économie et éviter un crack.

Bien sûr, là où il y a de l’argent, il y aura aussi des activités criminelles. Les pirates et les cybercriminels veulent profiter de la ruée sur ces aides pour se remplir les poches aux dépens des autres. Pour ce faire, ils font évoluer les techniques d’escroquerie et de phishing qu’ils utilisent avec succès depuis le début de la pandémie en janvier. Google a récemment signalé plus de 18 millions d’emails malveillants et de phishing liés aux escroqueries sur le coronavirus, en une semaine seulement, du 6 au 13 avril. Cela s’ajoute aux 240 millions de messages de spam quotidiens liés au coronavirus.

Nos chercheurs ont constaté que depuis janvier, différents domaines liés aux mesures de relance de l’économie ou d’assistance en raison du coronavirus ont été enregistrés dans le monde entier. Au total, 4 305 domaines relatifs aux nouveaux plans de relance/d’assistance ont été enregistrés :

• En mars 2020, un total de 2 081 nouveaux domaines ont été enregistrés (38 malveillants, 583 suspects)

• Au cours de la première semaine d’avril, 473 domaines ont été enregistrés (18 malveillants, 73 suspects)

• Nous avons également constaté une augmentation importante durant la semaine commençant le 16 mars, au cours de laquelle le gouvernement américain a proposé le plan de relance pour les contribuables. Le nombre de nouveaux domaines enregistrés cette semaine était 3,5 fois plus élevé que la moyenne des semaines précédentes.

Ces sites web frauduleux exploitent l’actualité et les craintes liées au coronavirus pour essayer de tromper les gens, et les inciter à utiliser les sites web ou à cliquer sur les liens. Les utilisateurs qui se rendent sur ces domaines malveillants au lieu des sites web officiels du gouvernement risquent de voir leurs informations personnelles volées et exposées, ou de perdre de l’argent.

Exemples d’un email adressé à une victime spécifique et ciblant une entreprise américaine (le nom de la victime et son adresse email ont été noircis) : Outre l’exemple détaillé ci-dessous, des emails contenant des pièces jointes malveillantes ont été envoyés avec des sujets liés au plan de relance tels que « RE : Aide de l’ONU pour COVID-19 » (qui diffuse le logiciel malveillant AgentTesla) et « Paiement COVID-19 » qui diffuse le cheval de Troie Zeus Sphinx.

Cyberattaques liées au coronavirus

Quatre-vingt-quatorze pour cent des attaques liées au coronavirus au cours des deux dernières semaines étaient des attaques de phishing, tandis que 3 % étaient des attaques mobiles (soit via un logiciel malveillant dédié sur les téléphones mobiles, soit via une activité malveillante menée à partir d’un appareil mobile).

Nous définissons comme étant des attaques liées aux coronavirus celles qui impliquent

• des sites web ayant pour domaine « corona » ou « covid »

• des fichiers contenant « Corona »dans leur nom

• des fichiers qui ont été diffusés avec des emails ayant pour sujets le coronavirus

Nous avons également constaté une augmentation considérable du nombre d’attaques, qui atteint une moyenne de 14 000 par jour, soit six fois le nombre moyen d’attaques quotidiennes des deux semaines précédentes. Et au cours de la dernière semaine à partir du 7 avril, le nombre moyen d’attaques quotidiennes a fortement augmenté pour atteindre 20 000.

Le graphique représente toutes les attaques liées au coronavirus qui ont été détectées par les différentes technologies Check Point de prévention des menaces sur les réseaux, les postes de travail et les appareils mobiles.

Domaines malveillants liés au coronavirus

Comme nous l’avons déjà signalé, depuis la mi-février, nous avons constaté une augmentation du nombre de domaines enregistrés sur le thème du coronavirus. Au cours des deux dernières semaines (depuis notre dernier bulletin du 2 avril), près de 17 000 nouveaux domaines liés aux coronavirus ont été enregistrés (16 989 pour être exact). 2 % de ces domaines ont été jugés malveillants, et 21 % suspects. Au total, 68 000 domaines liés au coronavirus ont été enregistrés depuis le début de l’épidémie en janvier 2020.

Pour se protéger des attaques de phishing

Le phishing est le point de départ de la majorité des cyberattaques. Pour s’en protéger, gardez ces règles essentielles à l’esprit :

1. Méfiez-vous des noms de domaine sosies, des fautes d’orthographe dans les emails et les sites web, et des expéditeurs d’emails inconnus.

2. Prenez garde aux fichiers reçus par email d’expéditeurs inconnus, surtout s’ils vous incitent à faire une certaine action que vous ne feriez pas habituellement.

3. Vérifiez que vous faites vos achats auprès d’une source authentique. NE cliquez PAS directement sur des liens de promotion dans des emails. Recherchez plutôt le détaillant souhaité sur Google, puis cliquez sur le lien figurant sur la page des résultats de Google.

4. Attention aux offres « spéciales ». « Un remède exclusif contre le coronavirus pour 150 euros » n’est généralement pas une opportunité d’achat fiable ou digne de confiance. À l’heure actuelle, il n’existe pas de remède contre le coronavirus et même s’il en existait un, il ne vous serait certainement pas proposé par email.

5. Veillez à ne pas réutiliser les mêmes mots de passe entre différentes applications et différents comptes.

Les entreprises devraient combattre les attaques zero-day avec une cyberarchitecture complète de bout en bout, capable de bloquer les sites de phishing et fournir des alertes en temps réel sur la réutilisation des mots de passe. Check Point Infinity est efficace car elle combine deux ingrédients essentiels : une convergence totale sur toutes les surfaces d’attaque et tous les vecteurs d’attaque, et une prévention avancée capable de lutter contre les attaques de phishing et de prise de contrôle de compte les plus sophistiquées.