Connect with us
vieux téléphone vieux téléphone

Failles / vulnérabilités

Télétravailleurs, attention au vishing !

Published

on

Aux Etats-Unis, le FBI et la Cybersecurity and Infrastructure Security Agency (CISA) ont publié jeudi une alerte commune pour mettre en garde contre la menace croissante d’attaques de phishing vocal ou “vishing” visant les entreprises.


️ Pour m'offrir un café en échange du travail de veille réalisé gratuitement

Enr réumé, le phishing vocal est une forme de fraude téléphonique criminelle, utilisant l’ingénierie sociale sur le système téléphonique pour accéder à des informations personnelles et financières privées dans le but d’obtenir une récompense financière.

Les campagnes de vishing en cours sont considérées comme inquiétantes en raison de la pandémie actuelle de COVID-19 qui a provoqué la hausse du nombre d’employés travaillant à domicile et l’augmentation de l’utilisation du VPN d’entreprise et l’élimination de la vérification en personne.

Selon ce message d’alerte, la bande de pirate utilisant cette technique compile également des dossiers sur les employés de certaines entreprises en utilisant les profils publics sur les plateformes de médias sociaux, les outils de recrutement et de marketing, les services de vérification des antécédents (screening) accessibles au public et la recherche sur des sources ouvertes.

Les acteurs ont d’abord commencé à utiliser des numéros de Voix sur IP (VoIP) non attribués pour appeler des employés ciblés sur leurs téléphones portables personnels, puis ont commencé à intégrer des numéros usurpés d’autres bureaux et employés de l’entreprise victime. Les acteurs ont utilisé des techniques d’ingénierie sociale et, dans certains cas, se sont fait passer pour des membres du service d’assistance informatique de l’entreprise victime, en utilisant leur connaissance des informations personnelles identifiables de l’employé – notamment son nom, sa fonction, sa durée de travail dans l’entreprise et son adresse personnelle – pour gagner la confiance de l’employé ciblé.

FBI + CISA

Et voici une série d’articles en relation avec cette alerte à la prudence;

FBI, CISA Echo Warnings on ‘Vishing’ Threat

The Federal Bureau of Investigation (FBI) and the Cybersecurity and Infrastructure Security Agency (CISA) on Thursday issued a joint alert to warn about the growing threat from voice phishing or “vishing” attacks targeting companies. The advisory came less than 24 hours after KrebsOnSecurity published an in-depth look at a crime group offering a service that…

Hackers are targeting teleworkers with vishing campaign,CISA/FBI warn

The Federal Bureau of Investigation ( FBI) and the Cybersecurity and Infrastructure Security Agency ( CISA) have issued a joint security advisory to warn teleworkers of an ongoing vishing campaign targeting organizations from multiple US industry industries.

Warn your staff about phone spear phishing attacks, as reports rise

Andy Greenberg at Wired has published an interesting article, describing how there have been a spate of “phone spear phishing” attacks since celebrity accounts on Twitters were very publicly compromised last month. You will remember that Twitter confirmed that members of staff were rung up by scammers, who then socially engineered their victims into handing over credentials which gave the hackers access to Twitter’s internal tools.

et le message d’alerte du FBI + CISA:

1 Comment

1 Comment

  1. Pingback: Veille Cyber N298 – 31 août 2020 |

Leave a Reply

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Failles / vulnérabilités

Voici pourquoi il ne faut pas saisir ses mots de passe pendant une vidéoconférence

Les chercheurs en sécurité ne cessent de découvrir de nouvelles façons, souvent surprenantes, de pirater vos mots de passe

Published

on

Les chercheurs en sécurité ne cessent de découvrir de nouvelles façons, souvent surprenantes, de pirater vos mots de passe.


️ Pour m'offrir un café en échange du travail de veille réalisé gratuitement

Ainsi, la dernière méthode trouvée consiste à obtenir vos mots de passe en observant les mouvements du haut de votre bras pendant une vidéo-conférence.

Dans un article récemment publié, intitulé “Zoom on the Keystrokes : Exploiting Video Calls for Keystroke Inference Attacks“, des chercheurs de l’Université du Texas et de l’Université de l’Oklahoma ont expliqué comment ils ont réussi à capturer avec une précision remarquable de 75% (jusqu’à plus de 90% dans certains cas) ce que les gens tapent pendant les appels vidéo.

Les hackers n’ont qu’à regarder vos épaules bouger durant un Zoom pour deviner vos mots de passe

Une récente étude en cybersécurité a révélé une faille de sécurité sur Zoom. Les hackers peuvent deviner les mots de passe rien qu’en scrutant les mouvements l’épaule de l’utilisateur qui écrit le code pour entrer dans la réunion. Concrètement, les experts ont utilisé un logiciel de chiffrement de vidéo.

Hackers Can Grab Passwords By Watching Your Shoulders Move On Zoom

Hacking threats often come from unexpected directions; this latest attack method is a case in point. Security researchers are forever coming up with new and often surprising ways by which your data and systems can be hacked.

Zoom Snooping: How Body Language Can Spill Your Password

Researchers figure out how to read what people are typing during a Zoom call using shoulder movements. You’ve heard of Zoom Bombing, but have you heard of Zoom Snooping? Researchers contend they can extract keystroke data from participants in a video call simply by tracking shoulder movements.

L’étude est disponible ici:

et donc une nouvelle 16ème méthode à intégrer dans cette liste des méthodes pour craquer un mot de passe:

15 Password Cracking Techniques Used By Hackers in 2020

Check out the 15 different types of Password Cracking Techniques Used By Hackers. You should always be well aware of these types of attacks. Putting up a good and long password is advised by cybersecurity, however, cybersecurity doesn’t teach us how to identify the hacking attempts.

et encore ici un article qui détaille de manière intéressante ces méthodes

How Hackers Get Passwords Using These 7 Methods | SentinelOne | SentinelOne

One way or another, passwords are always in the news. They’re either being stolen in data breaches, or mocked for being too simple; derided as pointless, or lamented for being technologically backward. No matter what opinion any of us have on passwords, though, one thing is indisputable: we’re going to be using them today, tomorrow and for the foreseeable future.

Continue Reading

Failles / vulnérabilités

7 conseils pour sécuriser vos vidéo-conférences

A l’heure où le télétravail se généralise à nouveau sous la contrainte de ce satané Covid, voici un recueil de bonnes pratiques pour sécuriser vos vidéo-conférences

Published

on

A l’heure où le télétravail se généralise à nouveau sous la contrainte de ce satané Covid, voici un recueil de bonnes pratiques pour sécuriser vos vidéo-conférences.


️ Pour m'offrir un café en échange du travail de veille réalisé gratuitement

Ces références pourront également vous être utiles pour rédiger votre directive de sécurité en matière de vidéo-conférence 😉

Pour être concret, voici 7 principes pertinents à mettre en œuvre:

  1. Créez un ID de réunion et un mot de passe de réunion
  2. Verrouillez la réunion
  3. Ne partagez pas largement les liens de vidéoconférence
  4. Installez une salle d’attente
  5. Limitez le partage d’écran
  6. Essayez l’audio sans vidéo
  7. Sécurisez les captures en direct

et pour plus de détail sur ces 7 conseils :

Follow These 7 Video Conferencing Security Best Practices – Rev

Now that many of us are staying home to curb the spread of COVID-19, we are spending much more of our lives online. Utilizing conferencing software like Zoom, Google Meet or Cisco Webex is now part of our daily routines as we work, socialize, and learn from the safety of our homes.

Voici encore des documents et des liens qui pourraient vous être utiles:

Best Practices for Video Conferencing Security

The surge in video conferencing use during these challenging times shows us the power of community and being connected digitally. Video conferencing lets us share what’s important to us in realtime and to solve problems together without having to be physically present in one location.

No Title

No Description

et une page intéressante ici avec les configurations proposées pour les services en ligne les plus populaires:

Top 10 Audio/Video Conferencing Security | Cloud Security Alliance

With the recent shift of much of the global workforce to home office work environments, it’s a good time to revisit Audio/Video conferencing security best practices.

et encore d’autres informations utiles ci-après:

5 Steps for Secure Video Conferencing | Highfive

In the movie Snowden, Joseph Gordon-Levitt, the actor who plays the title character, Edward Snowden (the infamous NSA contractor) is shown covering the camera of his laptop with a Band-Aid, visibly demonstrating his understanding of cyber criminals and his fear of being hacked.

How to Secure Video Conferencing Apps

In our 2020 security predictions, we pointed out that the modern workforce now has access to options beyond the traditional office setting, and true enough, the ongoing coronavirus (COVID-19) pandemic has caused a shift in the way a lot of people work.

Continue Reading

Failles / vulnérabilités

Les vols de voitures sans clé s’accélèrent

Les voleurs se sont adaptés pour profiter des failles avec une relative facilité

Published

on

voiture porte

Ces dernières années, les vols de voitures ont augmenté de manière exponentielle et une grande partie de ces demandes d’indemnisation citent les systèmes d’entrée sans clé. Les voleurs se sont donc adaptés pour profiter des failles avec une relative facilité. Pour rappel, moins de 60 secondes suffisent à des voleurs pour s’envoler avec votre voiture.


️ Pour m'offrir un café en échange du travail de veille réalisé gratuitement

Pour information, le système est simple : les systèmes d’entrée sans clé reposent sur des communications par signal radio entre votre porte-clés et un capteur situé dans votre voiture.

Les criminels utilisent habituellement des “attaques relais” pour capter des signaux radio locaux à ondes courtes, qu’ils peuvent amplifier, et utiliser pour faire croire à la voiture que vous utilisez réellement votre porte-clés pour la déverrouiller.

Pour en savoir plus:

Keyless entry car theft is accelerating and drivers could be in danger – CyberTalk.org

Over the past few years, car theft has increased exponentially. Car theft insurance claims have risen by , and a large portion of those claims cite keyless entry systems as the mechanism enabling the theft. Thieves who are cyber savvy can exploit keyless entry systems with relative ease.

Keyless Car Crime: How To Thwart The Thieves

Over the past five years the number of stolen vehicles has almost doubled, according to Home Office figures, and it seems that keyless car technology could be significantly to blame.

Continue Reading

Newsletter

Sur le canal de Twitter

La newsletter