Cybersécurité

Vous avez reçu un message en provenance d’un pays d’Asie qui vous informe qu’une société tierce cherche à y déposer un nom de domaine incluant votre marque assortie d’une extension locale ? C’est une arnaque !

Un scam « professionnel » de p lus en plus répandu

Sous couvert de bienveillance, ce genre d’e-mails vise un seul objectif, faire peur aux professionnels pour leur vendre des noms de domaine à un prix surévalué, si possible pour de nombreuses années.

N’allez pas croire qu’il s’agit d’une pratique isolée et « artisanale », ce procédé repose généralement sur des envois industrialisés et répétés.

Redoublez de vigilance car, comme un certain Matt Lowe a pu le constater en donnant suite à une alerte de ce type, les « scammeurs » sont plein de ressources : ils vont parfois jusqu’à endosser plusieurs identités pour donner du crédit à leur mensonge.

Que faire si vous êtes ciblés par ce genre de scam ?

La première étape consiste à reconnaître les messages appartenant à cette catégorie ! Pour vous y aider, voici un exemple d’e-mail de sollicitation :

Sujet : [Your company name] CN domain and keyword
Corps du mail :
(Please forward this to your CEO, because this is urgent. Thanks)
We are the domain registration and solution center in China. On April 22, 2019, we received an application from X Ltd requested « [your company name] » as their internet keyword and China (CN) domain names (company.cn, company.com.cn, company.net.cn, company.org.cn). But after checking it, we find this name conflict with your company name or trademark. In order to deal with this matter better, it’s necessary to send email to you and confirm whether this company is your distributor in China?
Best Regards
****************************************
Contact name | Service & Operations Manager
CN Registry (Head Office) | 6012, Xingdi Building, No. 1698 Yishan Road, Shanghai 201103, ChinaTel: +86-02164193517 | Fax: +86-02164198327 | Mob: +86-13816428671

Ensuite, posez-vous la question suivante : ces noms de domaine ont-t-ils un intérêt pour votre entreprise ? Dans ce cas, achetez-les en prenant soin de passer par un bureau d’enregistrement différent de celui qui vous a prétendument contacté.
Si ce n’est pas le cas, la corbeille de votre boîte mail semble tout indiquée !

C’est la dernière arnaque à la mode : un hacker prétend vous avoir piraté et exige un virement de 500 euros en Bitcoin. Le mail est plutôt crédible, car il est envoyé depuis votre propre adresse email. Mais ne vous fiez pas aux apparences. Ce hacker n’a pas accès à votre boîte mail, il utilise simplement une technique informatique permettant d’usurper votre identité. Explications.

Un email menaçant envoyé depuis sa propre adresse email

Cette arnaque par email aurait commencé lors de l’été 2018. Les victimes reçoivent un email écrit par un hacker qui prétend avoir piraté leur ordinateur.

« Je comprends que ce soit difficile à croire, mais ceci est ma preuve (j’ai envoyé cet email depuis votre compte) ».

C’est troublant : vous jetez un œil à l’expéditeur, et vous découvrez votre propre adresse email, voire votre prénom, votre nom et votre photo (en fonction de votre messagerie). Ces premiers éléments crédibilisent le piratage. Le hacker poursuit en tentant de vous embrouiller : il explique qu’il a exploité une faille de sécurité puis emploie des mots techniques que 99% des internautes ne comprendront pas. Il indique qu’il est inutile de changer votre mot de passe, qu’il a parcouru votre historique web, qu’il a accès à votre webcam, qu’il détient des photos et des vidéos de vous… et menace de tout envoyer à vos contacts si vous ne lui transférez pas quelques centaines d’euros en Bitcoin.

Ne le faites surtout pas : c’est un piège. Le hacker n’a pas réellement accès à vos données personnelles, il a simplement usurpé votre adresse email.

Le hacker a simplement usurpé votre adresse email

Cette arnaque est basée sur de l’email spoofing, l’usurpation de votre adresse email. L’adresse d’expédition d’un email est une donnée peu sécurisée : une personne mal intentionnée qui s’y connait un peu en informatique peut facilement masquer sa véritable identité et choisir l’adresse email indiquée dans le champ Expéditeur. Cette donnée peut être falsifiée et c’est précisément ce qu’il s’est passé. Le hacker n’a pas vraiment envoyé ce mail depuis votre messagerie, il a simplement remplacé sa véritable identité par votre adresse email – et votre système de messagerie n’y a vu que du feu.

En effet, si ce type d’arnaque peut, à raison, faire peur aux utilisateurs, les systèmes peuvent repérer l’email spoofing – et bloquer l’email ou le placer dans les SPAMs. La plupart des messageries réussissent à les bloquer, mais certains emails passent à travers les mailles du filet : c’est ce qu’il s’est passé si vous avez reçu un email menaçant provenant de votre adresse email.

Le plus simple, pour un hacker mal intentionné, est d’utiliser l’email spoofing avec la même adresse email en expéditeur et en destinataire : la victime reçoit un email provenant de sa propre adresse, la menace semble crédible (encore une fois, vous n’avez rien à craindre). Mais cette technique peut également être utilisée pour des escroqueries plus complexes : des comptables peuvent ainsi recevoir un email les invitant à réaliser de prochains virements sur un autre compte bancaire, détenu par des escrocs. Ces derniers se font alors passer pour des personnes qui font autorité, tel que le Président de l’entreprise ou un fournisseur bien identifié.

Dans tous les cas : si vous avez reçu un email d’un prétendu hacker, envoyé avec votre adresse email, ne payez pas la rançon demandée, c’est une arnaque. Et en cas de doute sur l’identité de l’expéditeur, ou si des sommes d’argent sont en jeu, n’hésitez pas à contacter la personne directement, par téléphone par exemple, pour être sûr qu’elle est bien à l’origine de la demande.

La compagnie aérienne Air Canada reconnaît qu’une faille de sécurité a touché son application mobile entraînant la fuite d’informations d’environ 20 000 clients. Les données de leurs passeports ont pu être volées. Les personnes concernées ont été informées.

Une activité inhabituelle détectée

La compagnie est critiquée pour la faiblesse des mots de passe demandés aux clients. Elle indique avoir adopté des procédures améliorées dans ce cadre.  Les mots de passe doivent être de 10 caractères et contenir au moins un symbole. Air Canada déclare avoir détecté une activité de connexion inhabituelle entre le 22 et le 24 août. La compagnie a alors bloqué l’accès à ses 1,7 millions de comptes clients.

Tous les clients vont devoir définir un nouveau mot de passe afin d’accéder de nouveau à l’application mobile. Les données des cartes bancaires ne seraient pas en danger car elles sont chiffrées. En revanche, les informations telles que le nom, email, adresse postale et numéros de téléphone ont pu être volées. De plus, pour les clients qui avaient entré les informations de leur passeport, celles-ci ont pu être capturées.

Il s’agit du numéro de passeport, le pays d’origine, la date d’expiration,  la nationalité, le pays de résidence, et la date de naissance. A noter que les comptes sur l’application mobile et sur le site Aircanada.com sont distincts. Le compte client sur le site Web n’est pas affecté par la fuite de données sur l’application mobile.

Un cas trop souvent répandu dans les grandes entreprises

Cette facilité d’accès à des données privées n’étonne pas les experts. « Il n’est pas rare pour une grande entreprise d’avoir des milliers de documents sensibles non sécurisés et accessibles à tout le monde dans l’entreprise » pointe l’éditeur de sécurité Varonis.

« A titre d’exemple, nos ingénieurs ont découvert dans un hypermarché français que l’ensemble des numéros de carte de crédit clients étaient accessibles par tous les employés, ou dans un autre cas, le numéro de la carte de crédit personnelle du Directeur Général d’une entreprise de construction était également accessible à tous les salariés de l’entreprise, etc. » conclut-il.