Recently, we had a customer who was targeted by a phishing campaign. Even after telling them NOT to click on links or open attachments, the staff still did, then calling IT a few days later after their PC’s had been fully ransacked to report it. By then, it is too late. Sometimes one has to wonder how these people infiltrate your organization. Part of this particular case was due to the owner and his son buying new luxury vehicles and everything else in the company got slashed, including the IT budget. His response to IT was, he did everything by pen and paper 30 years ago, he can go back to that at any moment. In IT, you need policies and procedures from the top down. Slashed budget meant they could not afford new laptops if they broke down. They bought old laptops from Cash Crusaders that already contained Windows and Office (legality be damned), and wanting to save money on IT, they put those laptops to work without sanitizing them. At the moment we have them blaming IT for the “hacking” (!!!). “Why can’t IT make the hacking stop?” It is too late; IT can now only block the domain squatting, etc, on a retroactive basis. Once blocked, the adversaries just create another domain name and spoof the client’s mail again. They already have all your emails, all your contacts and are using your emails to get your contacts to click on malicious links.
Récemment, un client a été ciblé par une campagne de hameçonnage. Même après qu’on lui a dit de NE PAS cliquer sur des liens ou ouvrir des pièces jointes, le personnel continuait à le faire, puis appelait le service informatique (IT) quelques jours plus tard, après le saccage complet de leurs ordis, pour le signaler. Et alors, il était trop tard. Parfois, on se demande comment ces gens-là ont réussi à infiltrer votre organisation. Dans ce cas précis, une partie du problème était due au fait que le propriétaire et son fils avaient acheté de nouvelles voitures de luxe et tout le reste de la société a dû se restreindre, y compris l'IT. La réponse du propriétaire au département d’informatique a été que, il y a trente ans, il faisait tout avec du papier et un stylo et qu’il pouvait s’y remettre à tout moment. Dans l’IT, il vous faut des politiques et des procédures qui sont décidées au plus haut niveau. Le budget restreint signifiait qu’ils ne pouvaient pas acheter de nouveaux portables en cas de panne. À la place, ils ont acheté de vieux ordinateurs portables de chez Cash Crusaders, qui contenaient déjà Windows et Office (peu importe la légalité), et, en voulant économiser de l’argent sur le dos de l'IT, ils ont commencé à utiliser ces portables sans les désinfecter.
Actuellement, ils accusent l’IT du « piratage » (!!!) « Pourquoi le département informatique ne peut-il pas faire arrêter le piratage ? » C’est trop tard. Maintenant, IT ne peut que bloquer le squat du domaine, etc., rétroactivement. Une fois bloqués, les adversaires peuvent tout simplement créer un autre nom de domaine et usurper à nouveau les mails du client. Ils possèdent déjà tous vos courriels et tous vos contacts, et se servent de vos mails pour inciter vos contacts à cliquer sur des liens malveillants.
Safety starts with YOU. Let’s look at the fishing campaign. The sales people were the culprits who clicked on links and opened attachments, even after they were told not to. My first question was, why did you click on the link. Salesperson1 – but it was from my customer! Salesperson2 – it was an accident! I just did a preliminary investigation. Me to salesperson1 – but I thought you said it was a customer of yours, this is not even in the country? Salesperson1 – but I thought it was! Me to salesperson2 – How do you ‘accidentally’ click on a zipped file, unzip it, click the link and bypass the Firefox warning? Salesperson2 – yes it was by accident. * Shakes head * Just a little bit more prodding and I came to the answer. Their sales targets were raised and they were desperate to make their targets so they could afford their lifestyles. Desperate to keep up with the Joneses, they click everything for a sale. Sales first, everything else last.
La sécurité commence par VOUS.
Regardons la campagne de hameçonnage. Les coupables étaient les vendeurs qui cliquaient sur des liens et ouvraient des pièces jointes, même après qu’on leur a dit de ne pas le faire. Ma première question était : « pourquoi avez-vous cliqué sur le lien ? » Vendeur1 : « mais cela venait de mon client ! » Vendeur2 : « c’était un accident ! Et j’ai fait une enquête préliminaire. » Moi à Vendeur1 : « mais je pensais que vous aviez dit que c’était un de vos clients et cela ne vient même pas de là. » Vendeur1 : « j’avais cru que si ! » Moi à Vendeur2 : « comment cliquer sur un fichier zippé, l’extraire, cliquer sur le lien et passer outre l’avertissement de Firefox, tout ça « par accident » ? » Vendeur2 : « oui, c’était un accident. » Il hoche la tête…
Après un tout petit peu plus d’encouragement, j’ai eu la réponse. Leurs objectifs de vente avaient été augmentés et ils voulaient à tout prix atteindre ces objectifs pour pouvoir entretenir leur style de vie. Voulant à tout prix faire aussi bien que leurs voisins, ils cliquent sur tout pour vendre. Les ventes d’abord, tout le reste en dernier.
Now I examined the email. The subject line contains “from trusted sender”. They have never received emails that had that in the subject line. That should immediately raise a red flag. The body of these messages all have urgency stipulated: Your account will be deactivated in 24 hrs. Fill this form in to avoid being arrested. Respond immediately! Account on hold, payment overdue! Account confirmation, URGENT! Unusual activities detected on your account. Sign-in attempt blocked, respond immediately. I have hacked your email and …blah (spoofed your email address). Now that everyone has the company’s emails, the criminals are taking messages verbatim, adding a line stating: the password to the attachment is:43yu3i3 or whatever, and adding another malicious attachment to see what they can gain. If you are unsure if you would have clicked on any of these, take the Google phishing quiz: https://phishingquiz.withgoogle.com/ (Gizmodo had an article on it last year).
Alors, j’ai examiné le mail. La case objet contient « d’un émetteur de confiance ». Ils n’avaient jamais reçu de mails avec un tel objet auparavant. Cela aurait dû inquiéter tout de suite les destinataires. Dans le corps des messages, l’accent est sur l’urgence : votre compte sera désactivé dans les 24 heures. Remplissez ce formulaire pour éviter votre arrestation. Répondez immédiatement ! Compte en attente, retard de paiement ! Confirmation de compte, URGENT ! Activité inhabituelle détectée sur votre compte. Tentative de connexion bloquée, répondre immédiatement. J’ai piraté votre mail et… blah (j’ai usurpé votre adresse mail).
Maintenant que tout le monde a l'adresse mail de la société, les criminels prennent les messages mot à mot et ajoutent une ligne disant : le mot de passe de la pièce jointe est : 43yu3i3 ou n'importe quoi, avec une autre pièce jointe malicieuse pour voir ce qu'ils peuvent obtenir.
Si vous ne savez pas si vous auriez cliqué sur des messages comme cela, passez le test de hameçonnage sur Google : https://phishingquiz.withgoogle.com/ (Il y avait un article dessus dans Gizmodo l'année dernière).
The guys are getting smarter, the link points to a file transfer server where he/she/it leaves the payload: https://t.mycloud.ch/c/9xQivLs5rCr3C2XXXX (last characters removed so you don’t click it accidentally). Quick ‘n dirty rules to email safety: 1. If you can, block whole countries in your blacklists, eg: “*@*.cn or *@*.tk“ 2. Never click a link. Copy and paste it into a notepad and look at it. 3. If you don’t know the person or never dealt with them, file that email into a folder where you can examine it at your leisure. 4: Ignore any urgency indicators. If it is urgent, they will call you. 5. If your email client allows it, turn on headers.
Ces gens deviennent de plus en plus intelligents ; le lien pointe vers un serveur de transfert de fichiers où il ou elle laisse la charge utile : https://t.mycloud.ch/c/9xQivLs5rCr3C2XXXX (les derniers caractères ont été enlevés pour que vous ne cliquiez pas sur le lien accidentellement).
Voici des règles rapides et terre-à-terre pour des messageries sécurisées :
1. Si c'est possible, bloquez des pays entiers dans vos listes noires, par exemple « *@*.cn » ou « *@*.tk »
2. Ne jamais cliquer sur un lien. Copiez et collez-le sur un bloc-notes et examinez-le.
3. Si vous ne connaissez pas la personne ou n'avez jamais traité avec elle, mettez ce mail-là dans un dossier où vous pouvez l'examiner à loisir.
4. Ignorez toute indication d'urgence. Si c'est vraiment urgent, ils vous appelleront.
5. Si votre client mail le permet, activez les en-têtes.
6. If you use windows, turn ON file extensions. Pay attention to the time email arrives, your friends / work colleagues do not send email at midnight. 7. Do not open compressed / zipped attachments, unless you KNOW what it is. 8. Have a work email and a personal email and a junk email. Keep these separate. 9. Do not reply to junk email (that goes for phishing emails too). 10. Make sure your password is long enough. 6. Si vous utilisez Windows, rendez l'extension des fichiers visible. Faites attention à l'heure à laquelle le mail a été envoyé, car vos copains/collègues n'envoient pas de courriels à minuit. 7. N'ouvrez pas des pièces jointes compressées/zippées, à moins de SAVOIR de quoi il s'agit. 8. Ayez un compte mail pour le boulot, un compte mail personnnel et un compte mail pour les mails indésirables. Gardez les comptes séparés. 9. Ne répondez pas à des mails indésirables (ni aux mails de hameçonnage). 10. Assurez-vous d'avoir un mot de passe qui soit assez long. Here is a chart for password cracking on a modern machine. What you need to remember is, that these values can be halved and halved again if computer clusters are used. It is from 2016, so I would assume 21 characters should be the minimum password length, not 18.
So my old password “(NEVER.share.your-p@ssw0rdz!!)” would now need something like a date added to it. Memorable passwords do not have to be difficult.
Now please go take that Google quiz mentioned above and if you do not get 8/8, you need to be more careful.
Disagree with us? Let us know on misc@fulcirclemagazine.org**
Voici un tableau concernant le cassage de mots de passe sur une machine moderne. Ce dont il faut vous souvenir, c'est que ces valeurs peuvent se diviser par deux et encore par deux si des groupes d'ordinateurs sont utilisés. Le tableau date de 2016 et je supposerais donc que la longueur minimale d'un mot de passe devrait être 21, et pas 18, caractères.
Ainsi, mon vieux mot de passe « (NEVER.share.your-p@ssw0rdz!!) » nécessiterait l'ajout de quelque chose comme une date. Des mots de passe mémorables ne doivent pas forcément être difficiles.
Maintenant, veuillez aller passer le test de Google mentionné ci-dessus et si vous n'avez pas 8/8, vous devrez être plus prudent.
Vous n'êtes pas d'accord ? Dites-le-nous sur misc@fullcirclemagazine.org