[ad_1]

Chaque fois qu’il y a une autre violation de données, nous sommes invités à changer notre mot de passe à l’entité violée. Mais la réalité est que dans la plupart des cas, au moment où l’organisation victime divulgue publiquement un incident, l’information a déjà été récoltée plusieurs fois par des cybercriminels à la recherche de profit. Voici un aperçu de ce qui se passe généralement dans les semaines ou les mois avant qu’une organisation informe ses utilisateurs d’une base de données piratée.

Notre dépendance continue aux mots de passe pour l’authentification a contribué à un déversement de données toxiques ou à un piratage après l’autre. On pourrait même dire que les mots de passe sont les combustibles fossiles qui alimentent la plupart des modernisations informatiques : ils sont omniprésents parce qu’ils sont bon marché et faciles à utiliser, mais cela signifie également qu’ils s’accompagnent d’importants compromis, tels que la pollution d’Internet avec des données militarisées lorsqu’ils ‘ re fuite ou volé en masse.

Lorsque la base de données d’utilisateurs d’un site Web est compromise, ces informations apparaissent invariablement sur les forums de pirates. Là, les habitants disposant de plates-formes informatiques conçues principalement pour extraire des devises virtuelles peuvent se mettre au travail en utilisant ces systèmes pour déchiffrer les mots de passe.

Le succès de ce craquage de mot de passe dépend en grande partie de la longueur de son mot de passe et du type d’algorithme de hachage de mot de passe que le site Web victime utilise pour masquer les mots de passe des utilisateurs. Mais une plate-forme de crypto-minage décente peut rapidement déchiffrer la majorité des hachages de mots de passe générés avec MD5 (l’un des algorithmes de hachage de mot de passe les plus faibles et les plus couramment utilisés).

« Vous remettez cela à une personne qui avait l’habitude d’exploiter Ethereum ou Bitcoin, et si elle a un dictionnaire assez grand [of pre-computed hashes] alors vous pouvez essentiellement casser 60 à 70% des mots de passe hachés en un jour ou deux », a déclaré Fabien Wosardirecteur de la technologie dans une entreprise de sécurité Emsisoft.

À partir de là, la liste des adresses e-mail et des mots de passe piratés correspondants sera exécutée via divers outils automatisés qui peuvent vérifier combien de paires d’adresses e-mail et de mots de passe dans un ensemble de données divulguées fonctionnent également sur d’autres sites Web populaires (et le ciel aide ceux qui ont re -utilisé leur mot de passe e-mail ailleurs).

Ce filtrage des bases de données pour les fruits à portée de main et la réutilisation des mots de passe donne le plus souvent un taux de réussite inférieur à 1% – et généralement bien inférieur à 1%.

Mais même un taux de réussite inférieur à 1 % peut être rentable pour les fraudeurs, en particulier lorsqu’ils testent des bases de données de mots de passe avec des millions d’utilisateurs. À partir de là, les informations d’identification sont finalement utilisées pour la fraude et revendues en masse à des services en ligne légalement obscurs qui indexent et revendent l’accès aux données piratées.

Tout comme WeLeakInfo et d’autres exploités avant d’être fermés par les forces de l’ordre, ces services vendent l’accès à quiconque souhaite rechercher parmi des milliards d’informations d’identification volées par adresse e-mail, nom d’utilisateur, mot de passe, adresse Internet et une variété d’autres champs de base de données typiques.

PHISHING CIBLÉ

Donc, espérons-le, à ce stade, il devrait être clair pourquoi la réutilisation des mots de passe est généralement une mauvaise idée. Mais la menace la plus insidieuse des bases de données piratées ne provient pas de la réutilisation des mots de passe, mais de l’activité de phishing ciblée dans les premiers jours d’une violation, lorsque relativement peu de vauriens ont mis la main sur une nouvelle base de données piratée.

Plus tôt ce mois-ci, les clients du détaillant de maillots de football maillotsdefootballclassiques.co.uk commencé à recevoir des e-mails avec une offre de « cash back ». Les messages s’adressaient aux clients par leur nom et faisaient référence aux numéros de commande antérieurs et aux montants des paiements liés à chaque compte. Les e-mails encourageaient les destinataires à cliquer sur un lien pour accepter l’offre de remboursement, et le lien était dirigé vers un domaine similaire qui demandait des informations bancaires.

Le message de phishing ciblé qui a été envoyé aux clients de classicfootballshirts.co.uk ce mois-ci.

« Il est rapidement devenu clair que les données des clients relatives aux commandes historiques avaient été compromises pour mener cette attaque », a déclaré Classicfootballshirts dans une déclaration à propos de l’incident.

Allison Nixondirecteur de la recherche auprès d’une société de cyber-intelligence basée à New York Unité221Ba rappelé ce qui s’est passé dans les semaines précédant le 22 décembre 2020, lorsque la société de portefeuille de crypto-monnaie registre a reconnu que quelqu’un avait publié les noms, adresses postales et numéros de téléphone de 272 000 clients.

Nixon a déclaré qu’elle et ses collègues avaient remarqué au cours des mois précédents une énorme augmentation des attaques par échange de carte SIM, un stratagème dans lequel les fraudeurs trompent ou soudoient les employés des entreprises de téléphonie sans fil pour qu’ils redirigent les SMS et les appels téléphoniques de la cible vers un appareil qu’ils contrôlent. À partir de là, les attaquants peuvent réinitialiser le mot de passe de tout compte en ligne qui autorise les réinitialisations de mot de passe par SMS.

« Une semaine ou deux avant cela, nous assistions à de nombreuses activités d’échange de cartes SIM », a déclaré Nixon. « Nous savions que les informations provenaient d’une base de données, mais nous ne pouvions pas déterminer quel service ils avaient tous en commun. Après la fuite publique de la base de données Ledger, nous avons commencé à examiner le [SIM swapping] victimes et j’ai trouvé que 100% d’entre elles étaient présentes dans la base de données Ledger.

Dans une déclaration sur la violation, Ledger a déclaré que les données avaient probablement été volées en juin 2020, ce qui signifie que les pirates avaient environ six mois pour lancer des attaques ciblées en utilisant des informations extrêmement détaillées sur les clients.

« Si vous deviez regarder [on cybercrime forums] à l’histoire passée des personnes postant sur cette base de données Ledger, vous verriez que les gens la vendaient en privé pendant des mois avant cela », a déclaré Nixon. « Il semble que cette base de données se diffuse lentement de plus en plus, jusqu’à ce que quelqu’un décide de supprimer une grande partie de sa valeur en publiant le tout publiquement. »

Voici quelques conseils pour éviter d’être la proie d’incessantes violations de données et de schémas de phishing de plus en plus sophistiqués :

Évitez de cliquer sur les liens et les pièces jointes dans les e-mails, même dans les messages qui semblent être envoyés par quelqu’un dont vous avez déjà entendu parler. Et comme le démontrent les exemples de phishing ci-dessus, de nombreuses escroqueries par phishing d’aujourd’hui utilisent des éléments de bases de données piratées pour rendre leurs leurres plus convaincants.

L’urgence devrait être un drapeau rouge géant. La plupart des escroqueries par hameçonnage invoquent un élément temporel qui avertit des conséquences négatives si vous ne répondez pas ou n’agissez pas rapidement. Respirez profondément. Si vous ne savez pas si le message est légitime, visitez le site ou le service en question manuellement (idéalement, en utilisant un signet du navigateur afin d’éviter d’éventuels sites de typosquatting).

Ne réutilisez pas les mots de passe. Si vous êtes le genre de personne qui aime utiliser le même mot de passe sur plusieurs sites, vous devez absolument utiliser un gestionnaire de mots de passe. En effet, les gestionnaires de mots de passe gèrent la tâche fastidieuse de créer et de mémoriser des mots de passe uniques et complexes en votre nom ; tout ce que vous avez à faire est de vous souvenir d’un mot de passe principal ou d’une phrase secrète unique et fort. Essentiellement, vous pouvez effectivement utiliser le même mot de passe sur tous les sites Web. Certains des gestionnaires de mots de passe les plus populaires incluent Dashlane, Keepass, Dernier passage et Roboforme.

–Le phishing par téléphone utilise également des bases de données piratées : Un grand nombre d’escroqueries sont perpétrées par téléphone, en tirant parti des informations personnelles et financières glanées lors de violations de données passées pour les rendre plus crédibles. Si vous pensez que vous ne tomberez jamais amoureux de quelqu’un qui essaie de vous arnaquer au téléphone, découvrez cette histoire sur la façon dont un professionnel féru de technologie s’est fait prendre pour des milliers de dollars par un fraudeur se faisant passer pour sa coopérative de crédit. N’oubliez pas, en cas de doute : raccrochez, recherchez et rappelez.

.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *