Le directeur principal de la cybersécurité Hikvision identifie les attaques d’hameçonnage et 3 des tactiques avancées sont expliquées

mai 21, 2020

Hikvision HikWire blog article Chuck Davis cybersecurity Three Advanced Phishing Tactics

Dans des blogues récents, le directeur principal de la cybersécurité de Hikvision, Chuck Davis, a discuté de l’hameçonnage et des logiciels malveillants liés au coronavirus, ainsi que des conseils pour les éviter. Dans ce blogue, M. Davis de Hikvision présente un aperçu des attaques d’hameçonnage, ce qu’elles sont, comment les identifier et éviter d’en être victime.

L’hameçonnage prend de nombreuses formes qui évoluent quotidiennement. Il est vrai que certaines attaques d’hameçonnage sont si efficaces qu'elles peuvent même duper les experts chevronnés en cybersécurité. Au contraire, les attaques d’hameçonnage courantes sont faciles à détecter. Et, plus vous comprenez les tactiques d’hameçonnage, mieux vous savez reconnaître quand vous devez vous méfier et redoubler de prudence. Continuez à lire pour en savoir plus.

Qu’est-ce que l’hameçonnage ?

L’hameçonnage est l'ami fiable et de longue date du pirate informatique. Depuis au moins 1995, l’hameçonnage est utilisé pour inciter les gens à fournir leurs informations de carte de crédit, des identifiants se connecter à leur compte et des mots de passe, en plus d’accéder à votre ordinateur, à des systèmes et/ou réseaux protégés.

L’équipe du United States Computer Emergency Readiness (US-CERT) définit l’hameçonnage comme suit :

L’hameçonnage est la tentative d'un individu ou d'un groupe de solliciter des informations personnelles auprès d'utilisateurs sans méfiance en utilisant des techniques d'ingénierie sociale. Les courriels d’hameçonnage sont généralement conçus pour apparaître comme s'ils avaient été envoyés par une organisation légitime ou une personne connue du destinataire. Ils tentent souvent d'inciter les utilisateurs à cliquer sur un lien qui mènera l'utilisateur vers un site Internet frauduleux qui semble légitime. L'utilisateur peut alors être invité à fournir des informations personnelles telles que les noms d'utilisateur et les mots de passe du compte qui peuvent exposer davantage la victime à de futurs compromis. De plus, ces sites Internet frauduleux peuvent contenir du code malveillant. (http://www.us-cert.gov/nav/report_phishing.html)

L’histoire de l’hameçonnage

La pratique de l’hameçonnage, ‘‘qui a commencé vers l'année 1995, est un type d'escroquerie qui n'était connu de tous que dix ans plus tard’’, selon phishing.org. La pratique est devenue l'une des principales méthodes d'attaque et progresse rapidement.

Comprendre l'histoire de l’hameçonnage peut vous aider à ne pas devenir la proie de ce type d'escroquerie. Pour en savoir plus sur l'histoire de l’hameçonnage, lisez cet article sur phishing.org.

Les bases de l’hameçonnage

Les attaques d’hameçonnage se présentent sous toutes les formes et tailles. La plupart des courriels d’hameçonnage de base ont des caractéristiques faciles à repérer, si vous les recherchez. L'exemple suivant date de 2012. Même s'il est ancien, je pense que ce courriel tromperait encore de nombreux destinataires.

Vous pouvez voir dans l'image suivante que le courriel semble provenir de ‘‘Customer Central’’ et a été envoyé à partir d'une adresse courriel utilisant le nom de domaine ‘‘comcast.com’’.

Gmail ne nous fait aucune faveur en masquant l'adresse courriel du destinataire au complet. Vous pouvez voir dans l'image ci-dessous qu'il semble être envoyé à "pllpt". Ceci est grisé et en petit texte, il est donc facile de l'oublier, mais le fait que la véritable adresse courriel du destinataire ne se trouve pas dans le champ "À:" est notre premier indice qu'il peut s'agir d'une attaque par hameçonnage.

Hikvision HikWire blog article Chuck Davis cybersecurity May 21 Phishing

Le courriel indique que les informations de carte de crédit au dossier ont refusé le paiement et le courriel demande au destinataire de mettre à jour ses informations de carte de crédit en cliquant sur le lien.

Un examen rapide de ce lien peut sembler sûr. L'URL commence par http://account.comcast.com. Mais regardez le reste de l'URL: http://account.comcast.com.5he.biz/

N'oubliez pas que les deux dernières sections avant la barre oblique (/) indiquent le nom de domaine de la destination. Dans ce cas, le nom de domaine est 5he.biz et account.comcast.com sont tous des sous-domaines de 5he.biz.

Fait intéressant, l'auteur de ce courriel d’hameçonnage n'a pas essayé de masquer le lien réel, ce qui est facile à faire et pourrait être un peu plus efficace pour inciter quelqu'un à cliquer sur le lien.

Après avoir cliqué sur le lien, vous pouvez voir ci-dessous que l'URL a changé pour un autre nom de domaine. Cette fois, cela commence par ‘‘login.comcast.net’’ mais encore une fois, notez que la barre oblique de fin n'apparaît que beaucoup plus tard dans l'URL, ce qui signifie que le nom de domaine de cette page est en fait o7b.name.

Ce qui est très intéressant à noter ici est que le site arnaqueur ressemble exactement à la page d'authentification Comcast xfinity réelle. Ci-dessous, comparez les captures d'écran du site arnaqueur et la page réelle de Comcast xfinity. Ils sont presque identiques !

Le site arnaqueur :

Hikvision HikWire blog article Chuck Davis cybersecurity May 21 Phishing 2

Le site réel :

Hikvision HikWire blog article Chuck Davis cybersecurity May 21 Phishing 3

Trois tactiques avancées d’hameçonnage expliquées

Beaucoup d'entre vous ont déjà reçu un courriel d’hameçonnage et vous connaissez probablement quelques astuces pour identifier un hameçonnage de base. Dans cette section, vous pourrez découvrir de nouvelles tactiques que les pirates informatiques utilisent pour nous piéger.

Tactique n ° 1 : masquage de l’URL

Cette tactique est en fait assez de base mais c’est le fondement des tactiques plus avancées. L'un des principaux conseils pour trouver un courriel d’hameçonnage est de survoler les liens pour voir où ils vont avant de cliquer. C'est un excellent truc, mais il existe des astuces d’hameçonnage que les pirates informatiques utilisent pour masquer une URL. Voici quelques exemples de la facilité avec laquelle il est possible de masquer une URL. Si vous survolez le lien ci-dessous, vous remarquerez qu'il ne renvoie pas à yahoo.com, mais plutôt à, google.com.

https://www.yahoo.com/

Tactique n ° 2 : masquage de l’URL avancé

Passer la souris dessus est un bon moyen d'examiner une URL, mais elle n'est pas exacte à 100%. Il existe des moyens de ‘‘click-jack’’ sur une URL qui affichera un lien lorsque vous le survolerez, mais enverra l'utilisateur à un autre lien lorsque vous cliquez dessus.

Cette méthode d'exécution consiste à écrire du JavaScript qui affiche un domaine lorsque vous survolez le lien et vous envoie sur une autre page lorsque vous cliquez réellement dessus ! Passez la souris sur l'exemple suivant. Vous verrez que le lien pointe vers HTTPS: www.google.com. Maintenant, cliquez sur ce lien et voyez quelle page s'ouvre.

Here is a link to Google

Tactique n ° 3 : domaines Unicode

Une autre tactique consiste à utiliser des jeux de caractères qui ressemblent aux caractères anglais/latins, mais qui ne le sont pas. Dans cet exemple, apple.com a été enregistré à l'aide de caractères cyrilliques au lieu de caractères anglais/latins.

Lorsque vous cliquez sur le 2e lien dans Firefox ou certains autres navigateurs, l'URL affiche les caractères cyrilliques. La bonne nouvelle est que la plupart des navigateurs modernes affichent désormais l'URL Punycode.

Hikvision HikWire blog article Chuck Davis cybersecurity May 21 Phishing 4

Un chercheur en sécurité a enregistré le domaine ci-dessus. Vous pouvez lire son article de blogue ici pour en savoir plus sur ce type d'attaque.

Pour avoir davantage d’information sur la prévention des hameçonnages et autres piratages, consultez le blogue de cybersécurité de Hikvision.

IMPORTANT! Ce modèle nécessite un logiciel non standard. N'installez pas de logiciel standard (par exemple, v.4.1.xx) sur ce modèle. Cela endommagerait définitivement votre système. Vous devez utiliser le logiciel personnalisé v.4.1.25 à partir de la page du produit iDS-9632NXI-I8/16S

View the most updated version of this document here:

https://techsupportca.freshdesk.com/en/support/solutions/articles/17000113531-i-series-nvr-firmware-upgrade-instructions

 

The I-series NVR (such as the DS-7716NI-I4) is one of Hikvision's most popular and feature-rich recorders. As such, many firmware revisions have been introduced over the years to continually ensure the product is compatible with the newest technology available. Due to the many revisions, we recommend that the user closely follows the instructions below in order to reduce the amount of time spent as well as the chance of failure.

 

Database Optimization and Repair

As more affordable IP cameras are introduced over time with greater video resolution and data sizes, more efficient database management also becomes necessary. The introduction of firmware v4.0 brought about a new database architecture in order to be futureproof.

 

After upgrading to v4.X, the recorder database will need to be converted and optimized. If you are experiencing issues where playback is expected but not found, make sure "Database Repair" is performed as indicated in the procedures and scenarios below.

 

Preparing the Upgrade

Before proceeding with upgrade, it is recommended that NVR configuration file is exported from the NVR over the network or on to a local USB drive.

 

Upgrading from v3.4.92 build 170518 or Older

  1. All recorders must reach v3.4.92 before proceeding further. Upgrading from versions before v3.4.92 directly to any version of v4.X will likely cause the recorder to fail.
  2. If the recorder is already at v3.4.92, a full factory default is highly recommended before upgrading to any version of v4.X. There is a high chance of unit failure (requiring RMA) if the unit is not defaulted before upgrade.
  3. After reaching v3.4.92 and performing a full factory default, an upgrade directly to v4.50.00 is acceptable.
  4. After the upgrade is completed and the recorder is reprogrammed, it may be beneficial to perform a Database Repair. For details, refer to the section "Database Optimization and Repair" above.
  5. To verify repair progress, you may refer to the HDD status, or search the recorder log for repair started and stopped entries. Note that while the HDD is repairing, new recordings are still being made, but some existing recordings may not be searchable until repair is complete.
  6. If you continue to observe playback issues after database repair, ensure there are no power, network, or motion detection issues. Should the problem persist, contact technical support.

 

Upgrading from Any v4.X Build to v4.50.00.

  1. Any v4.X build can be upgraded directly to v4.50.00.
  2. Export configuration is highly recommended before performing the upgrade.
  3. If upgrading from any v4.X version that was not v4.22.005, a Database Repair is recommended. Refer to Step 4 and onwards in the previous section.

 

Downgrading

Downgrading is not recommended. Due to new features and parameters constantly being added, downgrading may cause the NVR to factory default itself or require a manual default to operate properly.

En téléchargeant et en utilisant des logiciels et autres matériels disponibles sur ce site, vous acceptez d'être lié par les Conditions Générales d'Utilisation de HIKVISION. Si vous n'acceptez pas ces conditions, vous ne pouvez télécharger aucun de ces documents. Si vous êtes d'accord sur votre entreprise, vous déclarez et garantissez que vous avez le pouvoir de lier votre entreprise aux Conditions Générales d'Utilisation . Vous déclarez et garantissez également que vous avez l'âge légal de la majorité dans la juridiction dans laquelle vous résidez (au moins 18 ans dans de nombreux pays).