Archives de catégorie : Email

Quand les hackers vous mettent à contribution…

Nous vous mettons en garde régulièrement contre les Ransomewares et autres virus propagés par email, les pirates informatiques mettant au point chaque jour de nouvelles méthodes d’attaques.

Leur dernière idée en date est pour le moins osée :

Le ransomeware Popcorn Time, à l’instar de ses camarades, infecte votre ordinateur, chiffre vos fichers et vous demande ensuite de payer une rançon (environ 750 dollars) pour récupérer le code qui vous permettra d’accéder à nouveau à vos données, du moins c’est ce que l’on vous promet…

Vous ne souhaitez pas payer ? Donnez-leur un petit coup de main !

En effet, PopcornTime vous propose le plus simplement du monde de « partager » ce virus avec vos contacts afin d’économiser la rançon.

Il vous suffit de recommander un lien infecté à l’un de vos « amis »:
si deux de vos contacts sont infectés, vous pourrez récupérer vos données…

Un lien transmis par une personne de confiance, quoi de mieux pour contourner les doutes des plus suspicieux ?

Restez d’autant plus vigilants.

Sans basculer dans la paranoia, restez d’autant plus vigilants, assurez-vous de ne pas cliquer aveuglément sur tout lien transmis par une « connaissance » et restez toujours prudents quant au traitement de vos emails.

 

 

 

Attaques de virus via email : évolution importante des virus Locky /cryptolockers, rappel de nos conseils de prudence.

Comme nous l’avons déjà évoqué dans de précédents bulletins, de très nombreuses et très importantes vagues d’attaques d’envois de virus par email sévissent actuellement sur le net.

Le désormais célèbre virus Locky (et ses variantes) a subi une modification importante :
le type de fichier contenu dans les archives zip a changé de nature :
il s’agissait uniquement de fichiers en format JS, mais l’on trouve également des fichiers au format .WSF.

L’une des particularités de ce type de virus est qu’il peut prendre l’apparence de n’importe quel type de fichier.
Par exemple il peut utiliser les icônes d’autres programmes, comme Microsoft Word, Adobe PDF, etc.

Le destinataire ne réalise donc pas sur le moment qu’il ouvre un script d’installation de virus.

Les ingénieurs d’Icodia travaillent sans relâche pour identifier et stopper ces virus au fur et à mesure que les hackers font évoluer les formes d’envoi ; cependant, nous souhaitions attirer votre attention sur cette problématique, et vous inviter à être vigilants :

Nos conseils pour éviter tout risque :

– Activez l’affichage des extensions de fichier sous Windows :

Afin de pouvoir vous assurer qu’un fichier Word que vous vous apprêtez à ouvrir en est bien un, il est utile d’afficher l’extension de vos fichiers.

1. Ouvrez votre explorateur de fichiers. Par défaut, vous constaterez que l’extension du fichier n’est pas affichée.
1

2. Allez dans Outils > Options des dossiers.
2

3. La fenêtre d’options des dossiers s’ouvre, ouvrez l’onglet Affichage et décochez l’option « Masquez les extensions des fichiers dont le type est connu.
Validez en cliquant sur « Appliquer »
3

4. Les extensions de vos fichiers s’affichent désormais, il vous est plus facile de vous assurer rapidement qu’un fichier porte l’extension adaptée à son format.
4

N’oubliez pas que l’extension .exe represente un fichier exécutable, soyez prudents.

Il faut également être prudent avec les extensions type .js, .wsf, .bat, .cmd, etc.
D’une manière générale, tout fichier ayant un logo qui ne correspond pas à son extension est un risque (exemple fichier .exe avec un logo PDF)

 

– Ne faites pas systématiquement confiance à votre antivirus :

Les infections par email fonctionnent dans des contitions de « race » (course, en anglais) :
c’est à dire que les hackers font en sorte d’envoyer un maximum d’emails infectés en un minimum de temps, avant que les antivirus puissent mettre leurs moteurs à jour.
Nouvelle forme du virus, nouvelle vague d’attaque extrêmement massive, dès que le virus est repertorié dans les bases virales, une nouvelle version du virus est propagée par le botnet.

– N’ouvrez pas de pièces jointes provenant d’une source inconnue :

Les virus peuvent être cachés dans des fichiers joints de différentes natures :
documents MS Word, MS Excel, fichiers Zip contenant des scripts de type .js, etc.

Soyez prudent, les virus sont nommés de sorte à provoquer la confusion chez le destinataire :
facture.doc, facture.zip, facture.pdf.js, devis.js, cv.rtf, ou tout autre nom qui pourrait vous inciter à ouvrir le document joint.

– Limitez le plus possible l’utilisation de l’alias collecteur sur vos services email :

La mise en place d’un alias collecteur vous permet de recevoir les messages envoyés sur des adresses email liées à votre nom de domaine mais qui n’existent pas.

Cet alias routera donc tous les destinataires aléatoires vers une boîte. Le botnet cible des listes d’utilisateurs existants, mais aussi beaucoup d’utilisateurs aléatoires (a1ecc5d@mondomaine.com, john@mondomaine.com, etc.).

Avec un alias collecteur, toutes ces tentatives peuvent arriver sur votre adresse email (c’est également valable pour les spams), et vous multipliez les risques de fausse manipulation.

– Utilisez des outils fiables et à jour :

Travaillez sur des outils fiables (Firefox par exemple pour le navigateur web) et surtout mettez à jour vos logiciels et vos systèmes d’exploitation.

Il existe des applications gratuites, comme par exemple Secunia Personal Inspector, qui vous informent de l’existance de mises à jour sur les logiciels que vous utilisez. Ce logiciel est disponible en français.
Vous pouvez le télécharger gratuitement à l’adresse :
http://learn.flexerasoftware.com/SVM-EVAL-Personal-Software-Inspector

– Créez des utilisateurs avec des droits limités sur votre ordinateur et
utilisez l’UAC (sous Windows) :

Si vous utilisez le compte administrateur de votre ordinateur, toute application est susceptible de s’exécuter, quelle qu’elle soit.

Utilisez un compte utilisateur avec des droits restreints. Cela permet de vous protéger.

Ne désactivez pas le panneau de l’UAC (User Account Control) :
L’UAC est un utilitaire (à partir de Windows 7), qui vous prévient si une application souhaite s’installer ou s’exécuter, vous demandant de confirmer d’éventuelles modifications sur votre ordinateur.
Vous êtes ainsi averti, et pouvez stopper, le cas échéant l’exécution d’un programme qui n’aurait pas lieu d’intervenir sur votre machine.

L’équipe Icodia a pris des mesures afin de vous protéger de ce risque

Nos techniciens ont créé un filtrage spécifique sur ces emails frauduleux, afin de les stopper au niveau de notre filtrage antivirus. Ces emails sont donc arrêtés et supprimés dès reception par nos serveurs.

Dans tous les cas, restez vigilants

Les techniques de piratage, les tentatives de détournement de vos informations et les « cyber-arnaques » évoluent extrêmement rapidement, les emails frauduleux circulant sur internet représententplus de 80% du traffic email.
Nous mettons tout en œuvre pour être très réactifs, mais il faut rester prudent.

Attaques de virus via email, quelques conseils pour vous protéger

Ces dernières semaines, les hébergeurs font face à de très nombreuses et très importantes vagues d’attaques d’envois de virus (ransomware) via des botnets (réseaux d’ordinateurs infectés détournés pour une utilisation malveillante).

Ces virus sont des virus dits « polymorphes », qui, lorsqu’ils se répliquent, modifient leur structure, ce qui rend inefficace la recherche par signature des logiciels antivirus.

Des millions d’emails infectés sont envoyés sur les adresses email des utilisateurs (Icodia n’est pas visé en particulier, cela concerne l’ensemble du web).

Ces emails encapsulent une pièce jointe au format ZIP, qui contient un ou plusieurs fichiers de type .js, qui sont des scripts d’installation de virus.

Les ingénieurs d’Icodia travaillent sans relâche pour identifier et stopper ces virus au fur et à mesure que les hackers font évoluer les formes d’envoi, cependant, nous souhaitions attirer votre attention sur cette problématique, et vous inviter à être vigilants :

Pour éviter tout risque :

Ne faites pas systématiquement confiance à votre antivirus :

Les infections par email fonctionnent dans des contitions de « race » (course, en anglais) :
c’est à dire que les hackers font en sorte d’envoyer un maximum d’emails infectés en un minimum de temps, avant que les antivirus puissent mettre leurs moteurs à jour.
Nouvelle forme du virus, nouvelle vague d’attaque extrêmement massive, dès que le virus est repertorié dans les bases virales, une nouvelle version du virus est propagée par le botnet.

N’ouvrez pas de pièces jointes provenant d’une source inconnue :

Les virus peuvent être cachés dans des fichiers joints de différentes natures :
documents word, excel, fichiers zip contenant des scripts de type .js, etc.

Soyez prudent, les virus sont nommés de sorte à provoquer la confusion chez le destinataire :
facture.doc, facture.zip, facture.pdf.js, devis.js, cv.rtf, ou tout autre nom qui pourrait vous inciter à ouvrir le document joint

Limitez le plus possible l’utilisation de l’alias collecteur sur vos services email :

La mise en place d’un alias collecteur vous permet de recevoir les messages envoyés sur des adresses email liées à votre nom de domaine mais qui n’existent pas.

Cet alias routera donc tous les destinataires aléatoires vers une boîte. Le botnet cible des listes d’utilisateurs existants, mais aussi beaucoup d’utilisateurs aléatoires (a1ecc5d@mondomaine.com, john@mondomaine.com, etc.).

Avec un alias collecteur, toutes ces tentatives peuvent arriver sur votre adresse email (c’est également valable pour les spams), et vous multipliez les risques de fausse manipulation.

Utilisez des outils fiables et à jour :

Travaillez sur des outils fiables (Firefox par exemple pour le navigateur web) et surtout mettez à jour vos logiciels et vos systèmes d’exploitation.

Il existe des applications gratuites, comme par exemple Secunia Personal Inspector, qui vous informent de l’existance de mises à jour sur les logiciels que vous utilisez. Ce logiciel est disponible en français.
Vous pouvez le télécharger gratuitement à l’adresse :
http://learn.flexerasoftware.com/SVM-EVAL-Personal-Software-Inspector

Créez des utilisateurs avec des droits limités sur votre ordinateur et
utilisez l’UAC (sous Windows) :

Si vous utilisez le compte administrateur de votre ordinateur, toute application est susceptible de s’exécuter, quelle qu’elle soit.

Utilisez un compte utilisateur avec des droits restreints. Cela permet de vous protéger.

Ne désactivez pas le panneau de l’UAC (User Account Control) :
L’UAC est un utilitaire (à partir de Windows 7), qui vous prévient si une application souhaite s’installer ou s’exécuter, vous demandant de confirmer d’éventuelles modifications sur votre ordinateur.
Vous êtes ainsi averti, et pouvez stopper, le cas échéant l’exécution d’un programme qui n’aurait pas lieu d’intervenir sur votre machine.

Sécurisation SSL pour votre messagerie

Nous avons appliqué sur notre plateforme de messagerie mutualisée des évolutions concernant la norme de cryptage SSL concernant pop3ssl / imapssl.

La norme SSL V3 non sécurisée étant obsolète et potentiellement faillible, elle n’est plus supportée par notre plateforme. Vous devrez donc utiliser les normes TLS v1.x.

L’ensemble des clients de messagerie récents supportent de façon transparente ce passage vers une plus grande sécurité.

Si vous utilisez un logiciel de messagerie trop ancien qui ne supporte pas TLS, nous vous conseillons de télécharger un logiciel de messagerie plus récent, comme Thunderbird, que vous pourrez installer aussi bien sous Windows que sous MacOS, et que vous pourrez mettre à jour de façon régulière.

 

Changement d’adresse IP pop.icodia.com, pop.votredomaine.com

Comme prévu il y a deux mois, l’accès sur le cluster POP3 général, « pop.icodia.com » et tous les « pop.votredomaine.com » et « mail.votredomaine.com » vient de changer d’adresse IP (46.31.192.21 passe à 46.31.192.35).

Jusqu’à lundi matin, le POP3 peut être connecté depuis ces deux IP. La propagation DNS max doit être de 24h, mais par sécurité, nous avons choisi de laisser la propagation se faire jusqu’à lundi.

Lundi donc, nous couperons l’accès POP3 de l’ancienne IP.

Cette modification de la plateforme est transparente pour vous, à moins que vous ayez forcé la résolution de ces hôtes ou renseigné directement l’adresse IP dans votre client de messagerie.

Si toutefois vous rencontriez des soucis, redémarrez votre accès à internet, ou vérifiez si les règles de votre firewall ne forcent pas les règles TTL des synchronisations DNS.

 

ATTENTION : D’une manière générale, n’utilisez jamais une adresse IP pour configurer vos serveurs de messagerie. Même si l’opération de changement d’adresse IP reste quelquechose de très rare, elle est toujours possible, et dans ce cas, une configuration par adresse IP posera des problèmes de connexion