Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Guide Websense des arnaques de Noël

décembre 2008 par Websense

Au cours des dernières années, les achats de Noël en ligne se sont de plus en plus répandus, un nombre toujours croissant de personnes recherchant des idées de cadeau sur Internet avant d’effectuer leurs achats en magasin.

Les statistiques de Google nous indiquent que :

· 66 % des acheteurs déclarent être plus enclins à effectuer des achats en ligne pour les cadeaux de Noël cette année.

· 77 % prévoient de réaliser au moins la moitié de leurs achats de Noël en ligne.

· 86 % vont rechercher des idées de cadeau sur Internet avant d’effectuer leurs achats en magasin.

La dernière statistique, notamment, présente un intérêt pour les cybercriminels car elle révèle le nombre potentiel des occasions d’attaque pour eux.

De nombreux consommateurs utilisent la connexion Internet de leurs bureaux pour préparer Noël ; Websense a publié un guide présentant les cinq principales arnaques qui concernent les entreprises et les consommateurs en cette période de fête.

Les 5 principales méthodes d’attaque des pirates pour Noël

1. Le téléchargement caché (drive-by)

De quoi s’agit-il ?

Il s’agit de l’un des types d’attaque les plus dangereux, qui permet aux cybercriminels d’infecter discrètement les machines des victimes à leur insu. L’infection se produit sans aucune action de la personne.

L’attaque se déroule ainsi :

Il suffit de naviguer sur un site ayant trait à Noël, préalablement infecté, pour permettre l’exécution de code exploitant les vulnérabilités d’un logiciel installé sur l’ordinateur. Le logiciel vulnérable peut être le navigateur lui-même, le système d’exploitation ou un plugin tiers. Ce type d’attaque ne se contente pas d’exécuter des programmes. Des applications malveillantes peuvent s’installer de manière simultanée et masquée. Par exemple, lorsqu’un économiseur d’écran du Père Noël, en apparence innocent, est installé sur la machine.

L’avis des experts :

Nous constatons désormais que le nombre de sites légitimes, ayant une bonne réputation, hébergeant du code malveillant dépasse celui des sites conçus intentionnellement à cet effet. Les sites pornographiques ou de jeux ne sont plus les seuls à receler du code malveillant, de nouveaux sites de voyage ou de vente en contiennent aussi. La réputation fondée sur la surveillance ne constitue plus une méthode de protection efficace.

Prévention d’une attaque :

Votre machine s’avère particulièrement vulnérable si vous n’avez pas installé les derniers correctifs des éditeurs de logiciels. De nombreux correctifs comportent des solutions pour protéger contre certains programmes malveillants. Si les éditeurs ne proposent pas de correctifs, il faut faire preuve de prudence et envisager la mise en œuvre des palliatifs de l’éditeur jusqu’à ce qu’il soit possible d’appliquer un correctif.

2. Le camouflage par déguisement

De quoi s’agit-il ?

E-mails leurres contenant des liens vers une URL.

L’attaque se déroule ainsi :

La personne reçoit un e-mail contenant une image en général liée à un thème. Par exemple, en période de Noël, vous pouvez recevoir un message présentant un Père Noël jovial, mais sous cette façade risque de se dissimuler une mauvaise intention. Ces images intègrent des URL malveillantes pointant vers du code malicieux ou des exploits qui, si l’on clique dessus, provoquent des dommages importants.

L’avis des experts :

Bien que cette forme d’attaque voie sa popularité décliner de manière régulière, la technique évolue en permanence pour faire grimper le taux de réussite. Nous prévoyons une sophistication grandissante de ces attaques en termes d’images et de leurres utilisés.

Prévention d’une attaque :

Méfiez-vous des offres alléchantes : si elles semblent trop belles pour être vraies, c’est probablement le cas. Si vous recevez une carte de vœux électronique d’un prétendu ami, collègue ou proche, attention ! Son identité peut être usurpée. Ne succombez pas à la curiosité, vérifiez deux fois auprès de l’expéditeur qu’il vous l’a bien envoyée.

3. La danse trompeuse (ne regardez pas par là, mais regardez-moi)

De quoi s’agit-il ?

E-mails leurres contenant une distraction pour la personne (économiseur d’écran, image ou animation).

L’attaque se déroule ainsi :

Un fichier .gif animé ou similaire est souvent employé pour attirer l’attention. Par exemple, un e-mail montrant une chute de flocons de neige accroche l’œil alors qu’un cheval de Troie dissimulé est en cours d’installation. La victime ne voit que l’image et ignore ce qui se produit en arrière-plan.

L’avis des experts :

Pour des conseils, reportez-vous à la récente alerte des laboratoires de sécurité Websense.

Prévention d’une attaque :

N’ouvrez pas les pièces jointes des e-mails provenant de personnes non fiables. Prenez garde aux vidéos d’apparence humoristique hébergées sur des sites Web. Elles peuvent avoir des effets inattendus.

4. La fausse bonne affaire

De quoi s’agit-il ?

Pour inciter des personnes à télécharger ou installer une application ou à visiter un site Web malveillant, des techniques d’ingénierie sociale de plus en plus sophistiquées sont adoptées par des pirates pour accroître leur chance de succès, et finalement les taux d’infection. L’ingénierie sociale désigne l’art d’abuser une personne pour qu’elle effectue une action.

L’attaque se déroule ainsi :

L’apparition des logiciels antivirus indésirables est un exemple de technique d’ingénierie sociale que les laboratoires de sécurité de Websense constatent souvent. En naviguant sur le Web, vous pouvez être redirigé. Par exemple, une fenêtre pop-up expliquant que votre ordinateur risque d’être infecté et vous demandant si vous voulez effectuer une analyse antivirale gratuite, ses résultats prétendant la présence d’un virus sur votre machine. Le but visé est de vous encourager à télécharger le faux logiciel antivirus. En cas d’activation, un cheval de Troie est téléchargé pour permettre aux pirates de contrôler votre machine.

Prévention d’une attaque :

Faites très attention lorsque vous téléchargez un logiciel ou visitez un site Web. La réflexion est la meilleure protection dont vous disposez contre cette attaque. Si vous réalisez être éventuellement tombé dans une arnaque, contactez les autorités compétentes.

5. Leurrer l’antivirus et le désactiver

De quoi s’agit-il ?

Il s’agit d’un nouveau vecteur d’attaque Internet qui peut permettre aux pirates de dépasser la protection antivirale. La technique, appelée fragmentation de script, consiste à scinder le code malveillant en petits blocs afin de berner les moteurs d’analyse et risque de rendre inopérants les logiciels antivirus des ordinateurs et des passerelles.

L’attaque se déroule ainsi :

Les pirates créent un code bénin et l’intègrent à une page Web. Ce code, une petite routine JavaScript utilisant XHR ou XDR, ne contient en fait rien de malveillant. Lorsqu’une personne visite la page Web, la routine JavaScript demande lentement du code additionnel d’autres serveurs Web par petites tranches. Le moteur antivirus de la passerelle ne détecte alors que quelques octets en apparence inoffensifs. Une fois reçus, les octets sont stockés jusqu’au transfert de tout le code, ce qui crée un élément de script et déclenche l’exploit.

Ce processus peut être comparé à l’envoi d’une bombe en pièces détachées. Ce n’est qu’une fois toutes les pièces reçues et assemblées que le danger prend entièrement forme. Lorsqu’on le réalise, le pirate se trouve déjà dans la place et peut alors aller désactiver l’antivirus et prendre le contrôle de la machine.

L’avis des experts :

L’ensemble du processus, du transfert de données via le réseau au déclenchement du code JavaScript dans le DOM (modèle objet de document), peut échapper à la détection car aucun contenu malveillant ne touche au système de fichiers. Il s’effectue complètement en mémoire, le contenu étant transféré en fragments si petits que le moteur antiviral analysant les données ne dispose pas d’éléments suffisants (contexte ou informations) pour identifier une signature. Lorsque le pirate peut effectivement déclencher cet exploit, il contrôle la machine et se trouve donc en mesure de désactiver ensuite l’antivirus ou tout mécanisme de protection.

Prévention d’une attaque :

L’attaque, qui concerne tous les principaux navigateurs, ne repose pas sur une de leurs vulnérabilités, mais exploite simplement leur mode de fonctionnement. Désactiver les scripts JavaScript permet d’empêcher l’attaque, mais il ne s’agit pas d’une solution réaliste pour la plupart des internautes car elle priverait des fonctionnalités de la quasi-totalité des sites Web les plus fréquentés qui exigent l’utilisation de JavaScript.

La réponse réside dans des solutions qui analysent le contenu actif, car il est important de ne pas se limiter au contenu statique stocké sur disque pour pouvoir détecter des modifications au sein du navigateur. Les éditeurs de logiciels de sécurité doivent comprendre que nous vivons désormais dans un monde Web 2.0, où le contenu actif et dynamique est monnaie courante.

Cinq conseils de base pour éviter les arnaques en cette période

Se méfier des offres alléchantes

L’un des principaux attraits des achats en ligne est qu’ils se présentent souvent comme une bonne affaire à réaliser. Les produits sont en général vendus à des prix bien inférieurs à ceux pratiqués en magasin. Mais, ces offres tentantes risquent malheureusement de donner raison au vieil adage, « trop beau pour être vrai ».

Les cybercriminels peuvent utiliser ces ‘arnaques’ pour recueillir des données de cartes de crédit à des fins mercantiles. La période de Noël étant déjà une période gourmande en pouvoir d’achat, le vol de telles données marquerait un mauvais début pour la nouvelle année.

Attention aux cartes de vœux électroniques

Un inconvénient d’Internet est qu’il s’avère souvent difficile de connaître exactement l’identité de son interlocuteur. Des e-mails censés provenir de contacts ne sont parfois que des arnaques de phishing très bien conçues. Ces emails peuvent également contenir des liens vers des sites Web infectés malveillants risquant de provoquer d’autres problèmes.

En cas de doute sur l’origine du message, il est recommandé de le supprimer immédiatement. D’autres indices peuvent aider à déterminer l’authenticité du message, notamment l’adresse d’origine, l’objet et les noms des autres destinataires.

Pièces jointes attractives

De nombreuses personnes aiment recevoir des blagues, vidéos ou photos dans des e-mails pendant la période des fêtes. Au moment de Noël, beaucoup envoient des cartes électroniques à leurs amis et collègues. Hélas, elles ne sont pas toutes authentiques et peuvent parfois présenter du contenu malveillant caché.

Comme pour le point précédent, si vous n’attendiez pas le message ou doutez de son origine, mieux vaut ne pas ouvrir les pièces jointes.

Vidéos de Noël

Nous aimons tous visiter des sites Web de vidéos populaires pour découvrir la dernière blague ou le dernier clip. Ces sites au contenu créé par les utilisateurs font l’objet, de par leur nature même, d’une mise à jour constante qui rend difficile la protection classique pour la sécurité des visiteurs. L’installation d’un logiciel d’analyse en temps réel permet d’atténuer ce risque, mais il faut toujours traiter avec une saine défiance tout contenu vidéo.

Maintenir son système à jour et appliquer les correctifs

Les arnaques les plus simples sont nombreuses à exploiter des vulnérabilités déjà identifiées dans le logiciel, le navigateur ou le plugin tiers de l’utilisateur. Si celui-ci ne télécharge pas les correctifs et les mises à jour, il s’expose lui-même à des attaques de cybercriminels cherchant à prendre contrôle de sa machine ou à voler des données.

Il est impératif de toujours télécharger les derniers correctifs et mises à jour disponibles pour se protéger contre ces types d’attaques.


Voir les articles précédents

    

Voir les articles suivants