La cybersécurité aujourd’hui, nov. 16 juillet 2022 – Mauvaise nouvelle pour les développeurs d’applications et premiers conseils de sécurité pour les acheteurs du Black Friday

Mauvaise nouvelle pour les développeurs d’applications et premiers conseils de sécurité pour les acheteurs du Black Friday.

Bienvenue dans la cybersécurité aujourd’hui. Nous sommes le mercredi 16 novembre 2022. Je suis Howard Solomon, journaliste collaborateur sur la cybersécurité pour ITWorldCanada.com.

Il y a de mauvaises nouvelles pour les développeurs d’applications qui pensent qu’ils sont des codeurs prudents : Quatre-vingt-quinze pour cent des 2 700 sites Web et applications récemment testés par les chercheurs présentaient une sorte de vulnérabilité. Au moins 20% d’entre eux étaient des vulnérabilités à haut risque, selon Synopsys, qui a mené la recherche. 4,5 % supplémentaires étaient des vulnérabilités critiques. Une erreur courante était le script intersite. Un rapport conclut que les développeurs devraient exécuter une grande variété de tests sur leurs sites Web et applications avant de les mettre en production, y compris des tests de pénétration.

La semaine dernière, je vous ai dit À propos d’un acteur malveillant cachant des logiciels malveillants dans des images d’un paquet laissé sur le référentiel de langage open source PyPi Python. Cette semaine, des chercheurs de Checkmarx ont déclaré avoir identifié les attaquants. On leur a donné le nom de Wasp. Le groupe est toujours actif et publie davantage de packages compromis. Le logiciel malveillant vole tous les comptes Discord, les mots de passe, les portefeuilles cryptographiques, les numéros de carte de crédit et tout autre fichier intéressant d’une victime sur l’ordinateur de la victime. Cette attaque montre l’impuissance de partager des informations sur les menaces dans la communauté open source, déclare Checkmarx.

J’ai mentionné plusieurs fois que vous ne pouvez pas prendre de raccourcis lors de la création d’un mot de passe. Les acteurs de la menace connaissent toutes les astuces. Pour rappel, Specops Software of Sweden a examiné les principaux mots de passe que les attaquants ont essayé d’utiliser le mois dernier pour tenter de se connecter aux systèmes protégés par l’entreprise. Les variantes du mot « mot de passe » étaient courantes, notamment le remplacement de la lettre « a » par le symbole « arobase » utilisé dans les adresses e-mail, le signe dollar pour la lettre « s » et un zéro pour la lettre « o ». Oui, les escrocs les ont découverts il y a longtemps. Les experts disent que les mots de passe sûrs – et faciles à retenir – sont des phrases secrètes composées de trois ou quatre mots aléatoires totalisant plus de 14 caractères. Et pour garder une trace de toutes vos phrases secrètes, utilisez un gestionnaire de mots de passe.

Les acteurs de la menace sont capables de créer convaincre de faux messages audio aux employés prétendant appartenir à la haute direction. Ils peuvent le faire en utilisant l’intelligence artificielle sur des enregistrements de discours publics ou de présentations d’entreprise que les dirigeants publient sur des sites de médias sociaux comme YouTube. Mais il peut y avoir des indices que quelque chose ne va pas. Par exemple, l’appelant vous demande de manière inattendue de transférer de l’argent ou des données de l’entreprise. Autre conseil : la demande est un message laissé lorsque vous n’êtes pas au bureau, comme tôt le matin. Cependant, certains audios deepfakes sont assez bons pour être utilisés par téléphone dans les conversations avec les victimes. Si vous soupçonnez qu’un appelant est un deepfake audio, Neil Sahota, un expert IBM et conseiller principal des Nations Unies sur l’IA, a ce conseil : lancez une phrase ou un mot aléatoire et inattendu qui ne rentre pas dans la conversation. Un programme d’intelligence artificielle ne saura pas comment réagir. Une autre tactique consiste à raccrocher et à essayer de joindre la personne que vous pensez être en ligne en utilisant un numéro de téléphone que vous avez déjà utilisé, pour vérifier qu’elle appelait.

Un défaut récemment corrigé dans le service d’analyse de Zendesk appelé Zendesk Explore aurait pu permettre à un pirate d’accéder à de nombreuses données sensibles. Les chercheurs de Varonis, qui ont découvert la vulnérabilité d’injection SQL, ont déclaré qu’un attaquant aurait pu voir et copier des conversations, des adresses e-mail, des tickets d’assistance et plus encore à partir de comptes Zendesk. Pour exploiter la vulnérabilité, un attaquant aurait dû s’inscrire en tant que nouvel utilisateur du service de billetterie d’une organisation utilisant Zendesk Explore. Varonis dit qu’il n’y a aucune preuve que des comptes clients d’exploration aient été exploités. Zendesk, une opération de logiciel en tant que service, a rapidement corrigé le problème au début du mois de septembre.

Les détaillants en ligne circulent déjà avis pour les ventes du Black Friday. Officiellement, ils commencent le vendredi 25 novembre, suivis des ventes du Cyber ​​​​Monday à partir du 28 novembre. Cependant, certains vendeurs peuvent sauter le pas. Avant que vous ne soyez heureux, les experts de ZeroFox avertissent que c’est aussi une période d’escroqueries à la vente en ligne. Beaucoup impliqueront des prix trop beaux pour être vrais sur les ordinateurs, les smartphones, les écouteurs et d’autres produits. Beaucoup utiliseront des sites Web similaires de fabricants ou de détaillants de marque. Donc, avant que les soldes en ligne ne commencent vraiment, rappelez-vous ceci : évitez de cliquer sur les liens envoyés via les réseaux sociaux ou les offres par e-mail. Au lieu de cela, rendez-vous directement sur les sites pour vérifier les offres, en particulier les promotions de coupons. Passez la souris sur les liens avant de cliquer : Si le produit est censé être vendu par Joe’s Retailing, pourquoi le lien renvoie-t-il à www.oxnard123.co ? Et méfiez-vous des méthodes de paiement uniques, comme le fait de ne pouvoir payer que via PayPal. Selon la police, le paiement par carte de crédit en ligne est le moyen le plus sûr.

Suivez Cyber ​​​​Security Today sur Apple Podcasts, Google Podcasts ou ajoutez-nous à votre Flash Briefing sur votre haut-parleur intelligent.

Leave a Comment

Your email address will not be published. Required fields are marked *