Avez-vous l’intention de vous rendre au Brésil pour les Jeux olympiques ? Ou allez-vous les regarder en ligne ? Ce billet est consacré aux menaces qui vont planer sur les visiteurs qui ont l’intention de se rendre au Brésil pour assister aux Jeux et sur les personnes qui vont les regarder en ligne.
Les chercheurs de la société Proofpoint ont découvert des risques importants de sécurité dans les comptes de réseaux sociaux et applications mobiles autour des Jeux Olympiques. Il y aurait actuellement plus de 4 500 applications à risque associées aux Jeux Olympiques sur Android et iOS, dont certaines clairement malicieuses qui vont jusqu’à prendre le contrôle du mobile de la victime.
Une recherche plus approfondie sur des comptes de réseaux sociaux qui traitent des Jeux Olympiques révèle une part importante de comptes d’imposteurs et de comptes amenant à des activités illégales :
- 15% des comptes de réseaux sociaux sur les Jeux Olympiques sont frauduleux et nombre d’entre eux proposent des activités illégales avec, entre autres, le streaming ou la vente illégale de tickets
- 82% des comptes étaient ceux d’imposteurs, avec l’utilisation trompeuse des éléments olympiques ou de sponsors pour attirer des followers et interagir avec eux
- 6% utilisent la popularité des Jeux pour dérober l’identité des followers dans des attaques de phishing
- 4% vendent de faux tickets ou de manière illégale
- 3% des pages sur les Jeux sont utilisées pour diffuser des messages anti JO ou anti Brésil
D’un autre côté, la société de sécurité russe Kaspersky alerte elle aussi sur les risques inhérents liés aux JO 2016 via une analyse complète de la situation.
La première partie sera consacrée aux attaques de phishing, y compris une menée contre les organisateurs des Jeux. Dans la deuxième partie, nous nous attarderons sur la sécurité du Wi-Fi et sur les résultats d’une expérience de wardriving menée dans les rues de Rio lors d’une visite des mêmes lieux qui seront fréquentés par les touristes et les athlètes. Enfin, dans la troisième et dernière partie, nous évoquerons la sécurité physique au niveau de l’utilisation des bornes de charge USB dans les aéroports, la problématique du clonage des cartes de crédit et le skimming au niveau des distributeurs automatiques de billets (DAB), soit les phénomènes qui auront un impact direct sur les visiteurs au cours des Jeux olympiques de Rio qui auront lieu cet été.
Il est évident que la thématique des Jeux olympiques est très attrayante pour les individus malintentionnés. Les cybercriminels exploitent toujours les événements sportifs populaires en tant qu’appât pour leurs attaques, comme ce fut le cas à l’occasion du Mondial en 2014, un événement que nous avions surveillé de près en raison du nombre impressionnant d’attaques enregistrées à l’époque, principalement au Brésil. La situation a été légèrement différente en ce qui concerne les prochains Jeux olympiques. Par rapport à la Couple du monde de football, le nombre d’attaques est resté assez faible. Plusieurs raisons peuvent expliquer cela, notamment le fait que le Comité international olympique a mis en place un Centre d’opérations de sécurité très actif qui traite les incidents relatifs à la sécurité et qui signale les campagnes de phishing et de malware. Par conséquent, le nombre d’attaques « dans la nature » contre les utilisateurs est faible pour l’instant.
Toutefois, les individus malintentionnés ne connaissent pas de limite lorsqu’il s’agit de créer de nouvelles attaques. Nous avons réussi à identifier et à bloque plusieurs d’entre elles comme l’enregistrement de noms de domaines malveillants, de faux tirages au sort annoncés sur les réseaux sociaux et bien entendu, des sites de ventes de faux billets qui utilisent toutes les astuces possibles pour tromper les utilisateurs.
La hausse des mauvais domaines
La majorité des attaques débute par l’enregistrement d’un domaine qui affiche clairement ses intentions malveillantes. Depuis le début de l’année, nous avons observé la création de nouveaux domaines contenant le nom de la ville où se tiendront les Jeux. En fait, nous avons découvert que les individus malintentionnés enregistrent en permanence de nouvelles créations au début de chaque attaque. Notre liste noire contient plus de 230 de ces mauvais noms de domaine.
Plusieurs de ces domaines avaient été enregistrés à l’aide d’un compte de messagerie électronique gratuit ou utilisaient des domaines en guise de protection pour masquer l’identité véritable du propriétaire. Certains de ces domaines sont en hibernation et attendent le bon moment pour lancer une attaque (principalement ceux qui proposent une diffusion gratuite en ligne). D’autres servaient à héberger de faux sites de vente de billets, des pages de phishing ou des malwares. Un autre point intéressant est que bon nombre de ces domaines utilisent déjà les nouveaux domaines de premier niveau génériques approuvés par l’ICANN (par exemple les .tech).
Le phénomène du phishing
L’utilisateur final n’est pas la seule cible du phishing. Le Brésil mène le classement des pays les plus attaqués par ce type d’escroquerie et les employés de l’organisation des jeux ont également été ciblés en raison de la valeur potentielle de leurs identifiants. Au mois de février, nous avons identifié une campagne ciblée très intéressante via notre système de surveillance des domaines. Elle visait le CIO et impliquait un domaine malveillant qui simulait l’Intranet de l’organisation. L’objectif des attaquants était le vol des identifiants d’employés du CIO qui travaillaient au Brésil.
Les attaques les plus communes sont les attaques de phishing contre l’utilisateur final. Le vol d’identifiant est une attaque très simple que même un criminel sans connaissances techniques peut réaliser. Les objectifs de ces attaques de phishing varient, tout comme leur forme et leurs astuces. Celui-ci était très populaire au Brésil et visait à cloner la carte de crédit en utilisant le nom d’une société brésilienne et en promettant d’offrir une nouvelle voiture et des billets pour les Jeux.
Faux billets, faux cadeaux, mais pertes bien réelles
A l’instar de ce qui s’était produit pendant la dernière Coupe du monde, la majorité des messages électroniques malveillants envoyés par les individus malintentionnés brésiliens utilisait comme appât des billets gratuits pour assister aux Jeux olympiques de Rio. Certains de ces messages pointaient également vers de faux sites Internet. Ceci est un bon exemple d’une campagne très bien organisée qui promet des ventes directes de billets sans passer par les tirages au sort organisés pour les personnes vivant au Brésil.
D’autres faux sites proposaient également des billets à un prix très modeste afin d’attirer les personnes qui avaient attendu la dernière minute pour acheter leur billet. A première vue, ce site qui vise les internautes brésiliens semble de bonne qualité, mais un examen plus approfondi indique que le contenu en portugais est mal écrit.
L’objectif ici était de vendre de faux billets : la victime payait, mais ne recevait rien. La méthode de paiement utilisée par l’escroc étaient les boletos, un mode de paiement très répandu au Brésil parmi les personnes qui n’ont pas de cartes de crédit.
Ici, l’astuce utilisée pour attirer l’attention était les prix très bas. Un billet pour la cérémonie d’ouverture coûtait 500 USD tandis que les billets pour assister à un match de l’équipe de foot national du Brésil coûtait seulement 50 USD. Bien entendu, tout était faux…
Les individus malintentionnés ont également exploité les réseaux sociaux pour propager leurs attaques. Facebook n’a pas été la seule plateforme utilisée dans ces cas, comme cette page frauduleuse annonçant une fausse loterie de billets. La page est toujours en ligne à ce jour.
Si vous voulez assister aux Jeux, sachez qu’il est trop tard pour acheter des billets via les canaux officiels. Nous déconseillons l’achat via les magasins non officiels car la probabilité de se retrouver avec de faux billets est élevée. Pour éviter les mauvaises surprises, la meilleure option sera alors de regarder les retransmissions des jeux à la télévision ou en ligne, mais dans ce cas, il faudra faire attention aux sites Internet de diffusion malveillants qui vont certainement faire leur apparition lorsque les individus malintentionnés fourniront leurs derniers efforts pour tenter d’infecter votre ordinateur et de voler vos données.
Sécurité Wi-Fi
Lors de nos déplacements, nous avons tendance à nous connecter plus souvent à Internet pour rester en contact, publier des tweets, publier des mises à jour d’état et partager des images. Toutefois, les plans de données internationaux coûtent en général très cher et c’est la raison pour laquelle les voyageurs recherchent souvent des points d’accès Wi-Fi. Les cybercriminels sont au courant de cette habitude et chaque année, ils mettent en place de faux points d’accès ou compromettent des réseaux Wi-Fi légitime pour intercepter et manipuler la navigation des victimes. Ils axent leurs attaques sur les mots de passe, les données de carte de crédit et toutes autres informations personnelles des victimes. Les criminels recherchent en général des réseaux Wi-Fi mal configurés et qui ne sont pas protégés par un mot de passe.
Afin d’avoir une idée du problème au Brésil, nous avons roulé à proximité des trois zones principales où se dérouleront les Jeux et nous avons surveillé passivement les réseaux disponibles que les visiteurs utiliseront probablement pendant leur séjour : le bâtiment du Comité olympique brésilien, le parc olympique et les stades (Maracanã, Maracanãzinho et Engenhão).
Suite à une opération de reconnaissance rapide réalisée sur une période de deux jours et à l’aide d’une carte sur laquelle les points d’accès étaient indiqués par une étoile, nous avons pu comptabiliser 4 500 points d’accès uniques dans les zones citées. La majorité de ces réseaux respectent la norme 802.11n : cela signifie que la majorité du matériel utilisé pour mettre ces points d’accès Wi-Fi en place est neuve et est particulièrement bien adaptée au streaming multimédia, avec des vitesses pouvant atteindre 6 000 Mbits/s. Ce matériel fonctionne non seulement sur 2,4 et 2,5 Ghz, mais également sur 5 Ghz.
Toutefois, s’agissant de la sécurité, 18 % des réseaux Wi-Fi accessibles dans la zone ne sont pas sécurisés et leur configuration est ouverte. Cela signifie que toutes les données qui transitent par ces réseaux ne sont pas protégées par une clé d’accès de chiffrement.
7 % de l’ensemble des réseaux sont protégés via la norme WPA. Cet algorithme est en réalité obsolète de nos jours et peut être déchiffré en fournissant un effort minime. Ce point est particulièrement préoccupant car les utilisateurs qui se connectent à leurs réseaux « de confiance » peuvent penser qu’ils se connectent à un réseau sécurisé alors que celui-ci pourrait avoir été compromis par un attaquant en vue de lancer différentes attaques pour manipuler le trafic réseau avec les données de l’utilisateur.
Donc, environ un quart des réseaux Wi-Fi dans les zones qui seront fréquentées par les personnes qui assisteront aux Jeux olympiques n’est pas sécurisé ou a été configuré à l’aide de protocoles de chiffrement faibles. Cela signifie que les attaquants peuvent les déchiffrer avant de mettre en place le contexte technique pour aspirer les données de navigation de la victime et voler les données sensibles.
Est-il possible d’utiliser un réseau Wi-Fi ouvert et de bénéficier d’une connexion Internet sécurisée ? La réponse est oui, mais uniquement en cas d’utilisation d’une connexion VPN.
Quel que soi le type de réseau Wi-Fi que vous utilisez pendant vos déplacements, nous vous conseillons vivement d’utiliser une connexion VPN de telle sorte que les données de votre terminal arrivent sur Internet via un canal de données chiffré. Ainsi, même si vous êtes connecté à un réseau Wi-Fi compromis, l’attaquant ne pourra pas accéder à vos données. Ceci étant dit, la qualité du service VPN varie en fonction du prestataire de service. Certains d’entre eux sont vulnérables aux attaques de fuites DNS. Cela signifie que même si vos données sensibles immédiates sont envoyées via le VPN, vos requêtes DNS quant à elles sont envoyées en clair aux serveurs DNS définis par le matériel du point d’accès. Dans ce cas, l’attaquant peut au moins obtenir des informations sur les serveurs sur lesquels vous naviguez et, s’il a accès au point d’accès du réseau Wi-Fi compromis, il faut définir des serveurs DNS malveillants. En gros, cela signifie que la prochaine fois que vous saisirez le nom de votre banque dans le navigateur, l’adresse IP qui sera consultée sera celle d’une ressource malveillante. Bref, même les utilisateurs expérimentés peuvent devenir une proie facile pour les attaquants. Du point de vue de l’attaquant, il n’y a pratiquement aucune limite au niveau des possibilités quand il a pris les commandes de vos serveurs DNS.
Autrement dit, avant d’utiliser une connexion VPN, il faut s’assurer qu’elle n’est pas concernée par le problème de fuite DNS. Si votre prestataire de services VPN ne possède pas ses propres serveurs, envisagez d’utiliser les services d’un autre prestataire VPN ou adoptez un service DNSCrypt afin que que vos requêtes DNS adresses aux serveurs DNS sécurisés soient externes et chiffrées. N’oubliez pas que ce qui débute comme un petit problème de sécurité pourrait avoir de grosses implications pour la sécurité.
Mémorisez la formule simple suivante : pour tout serveur auquel vous vous connectez, utilisez une connexion VPN dotée de ses propres serveurs DNS. Ne faites confiance à aucun paramètre local dans la mesure où vous ne pouvez pas savoir avec certitude si le point d’accès Wi-Fi auquel vous vous connectez est compromis ou non.
Sécurité physique
La sécurité physique est un autre aspect dont il faut tenir compte en déplacement : tout ce qui est utile n’est pas nécessairement dépourvu de vices. Souvent, les criminels adoptent des tactiques pour organiser des attaques malveillantes dans des situations où vous pourriez penser qu’il n’y a pas de risque. Examinons quelques situations communes où cela pourrait se produire.
Borne de chargement USB
Comme nous l’avons déjà dit, l’utilisation d’un téléphone mobile en voyage est cruciale et maintenir la charge de la batterie tout au long de la journée peut être un défi. Afin de venir en aide aux touristes, la majorité des villes a investi dans des bornes de chargement que l’on retrouve dans les centres commerciaux, les aéroports et les taxis. La majorité d’entre elles est dotée de connecteurs pour la majorité des modèles de téléphones ainsi que d’un connecteur USB qui peut être utilisé avec votre propre câble.
Certains modèles, principalement dans les centres commerciaux et les aéroports, sont également dotés d’une prise alimentation traditionnelle que vous pouvez utiliser avec votre propre chargeur.
En cas de connexion via USB, l’attaquant peut exécuter des commandes en vue d’obtenir des informations sur l’appareil, dont le modèle, l’IMEI, le numéro de téléphone et l’état de la batterie. Ces informations permettent d’organiser une attaque contre le modèle de téléphone en question, puis d’infecter l’appareil et de récolter les informations personnelles.
Cela ne veut pas dire que nous ne pouvons pas rechercher nos appareils lorsque nous sommes en déplacement, mais il convient de suivre les règles élémentaires suivantes pour vous protéger contre ce genre d’attaque :
- Utilisez toujours votre propre chargeur et évitez d’acheter un chargeur d’origine inconnue.
- Utilisez la prise au lieu du connecteur USB lorsque vous utilisez une borne de charge inconnue.
- N’utilisez pas les câbles de charge des bornes de charge publiques.
Skimmers dans les DAB
L’attaque par skimmer dans les DAB, baptisée « Chupa-Cabra » au Brésil et dans d’autres pays d’Amérique latine, est toujours très populaire auprès des criminels au Brésil. De temps en temps, un nouveau gang fait parler de lui dans la presse après avoir organisé des attaques quelque part dans le pays, principalement dans des lieux fréquentés par les touristes, comme l’aéroport international de Rio. En 2014, un gang y avait installé 14 skimmers pour DAB.
Il existe différents types de skimmers pour DAB au Brésil. Le plus fréquent est un lecteur pour la carte et une caméra qui enregistre la saisie du code PIN.
Pour vous protéger contre ce type de skimmer, il faut masquer le clavier au moment de saisir le PIN. Ainsi, la caméra ne pourra rien enregistrer d’utile. Malheureusement, cette méthode n’est pas utile dans tous les cas. En effet, il existe des attaques par skimmer dans le cadre desquelles les criminels remplacent l’ensemble du DAB, y compris le clavier et l’écran. Dans ce cas, le code PIN saisi sera enregistré dans le faux DAB.
Pour éviter ce genre d’attaque, il est important d’être attentif à tout comportement étrange pendant l’utilisation du DAB.
- Vérifiez si la lampe verte du lecteur de carte est allumée. En général, les criminels remplacent le lecteur par un lecteur dépourvu de lampe ou sur lequel la lampe ne s’allume pas.
- Avant de réaliser la transaction, recherchez d’éventuels éléments suspects sur le DAB comme des pièces manquantes ou mal attachées.
- Cachez le clavier au moment de saisir votre code PIN.
Clonage de carte de crédit
Malheureusement, le Brésil est connu pour le clonage de cartes de crédit et les touristes dont la carte n’a pas été clonée pendant leur séjour dans le pays sont rares. L’usage des cartes de crédit et de débit est très répandu au Brésil et les paiements par carte sont acceptés presque partout, y compris par les marchands ambulants. En fait, la majorité d’entre eux préfère les paiements par carte de crédit pour éviter de devoir rendre la monnaie.
Les banques brésiliennes sont devenues une référence à travers le monde en matière de lute contre le clonage des cartes de crédit. Elles ont également été les premières à adopter les cartes à puce afin de protéger leurs clients contre ce type d’attaque en rendant le clonage plus complexe. Toutefois, ce n’était qu’une question de temps avant que les criminels brésiliens ne trouvent une solution pour pouvoir cloner les cartes à puce également et ce via l’exploitation de défaillances dans la mise en œuvre des transactions EMV.
Nous avons vu des criminels brésiliens qui échangeaient des informations sur la manière d’exécuter une attaque contre une carte à puce afin d’en extraire les informations et de les transférer sur une autre carte à l’aide d’outils. Il est très difficile de se protéger contre ce type d’attaque car en général, le terminal de point de vente est modifié afin d’enregistrer les informations qui seront récupérées ultérieurement par les criminels. Parfois, ils n’ont pas besoin d’un accès physique dans la mesure où les informations volées sont récoltées via Bluetooth.
Une solution efficace adoptée par la banque est l’envoi d’un SMS pour chaque transaction réalisée à l’aide de la carte. Même si cela n’empêche pas le clonage d’une carte, cette méthode a le mérite de prévenir le client de toute transaction frauduleuse dès qu’elle est exécutée et il peut alors contacter sa banque pour bloquer la carte.
Pour éviter le clonage de votre carte, il existe quelques conseils simples que vous pouvez suivre :
- Ne donnez jamais votre carte au vendeur. Si pour une raison quelconque le terminal de paiement ne peut pas venir à vous, rendez-vous au terminal de paiement.
- Si le terminal a un air suspect, changez de mode de paiement. Il est conseillé d’avoir toujours un peu d’argent liquide sur vous pour faire face à ce genre de situation.
- Avant de saisir votre code PIN, assurez-vous que vous êtes sur le bon écran de paiement et que votre code ne va pas être affiché à l’écran.
Il ne nous reste plus qu’à souhaiter un bon vol et un excellent séjour à tous ceux qui feront le déplacement pour les Jeux olympiques de Rio. Quant à nos lecteurs, nous espérons qu’ils pourront suivre les Jeux en ligne sans danger. Et quant aux athlètes, que le meilleur gagne !
Crédits : Kaspersky Labs via Securlist