Vous avez reçu une technologie comme une clé USB par la poste? Aussi tentant soit-il, ne l'utilisez pas: il pourrait s'agir d'un logiciel malveillant ou d'une arnaque.
Tout le monde aime les choses gratuites, en particulier la technologie utile qui va faire une différence dans votre vie, ou les cartes-cadeaux que vous pouvez dépenser pour d'autres gadgets que vous voulez. Mais la technologie n'est peut-être pas toujours ce qu'elle semble être et pourrait faire partie d'un plan astucieux pour introduire des logiciels malveillants sur votre réseau.
Qui envoie des gadgets gratuits et pourquoi?
Il existe plusieurs raisons pour lesquelles les entreprises et les particuliers envoient du matériel gratuit non sollicité. Si vous êtes un rédacteur technique, par exemple, il n'est pas rare que les vendeurs essaient d'obtenir de la publicité gratuite pour leur dernier appareil. Ceux-ci seraient généralement envoyés à la maison de l'examinateur par arrangement préalable.
Il serait très inhabituel et suspect qu'un nouveau matériel arrive à une adresse domestique sans accord préalable.
Une autre possibilité est que l'article provienne de vendeurs Amazon qui ont créé un compte en utilisant vos coordonnées et ont frauduleusement acheté le gadget en votre nom. Ceci est connu comme une arnaque au brossage, et permet aux fournisseurs de rédiger des avis vérifiés utiles pour des produits de qualité douteuse. Il s'agit d'une technique de marketing assez inoffensive, et en plus de semer la confusion et peut-être la méfiance chez le destinataire, le seul danger réel est que les vrais clients soient amenés à acheter des produits de mauvaise qualité marchandises.
La troisième possibilité est que vous avez été délibérément ciblé et que votre nouveau gadget brillant est un voleur de données infesté de logiciels malveillants.
N'utilisez aucun appareil électronique que vous n'avez pas acheté pour vous-même
Bien qu'il puisse sembler exagéré que des criminels vous envoient des appareils électroniques sympas afin d'exfiltrer des données, cela arrive.
Que vous soyez ciblé ou non dépendra de votre accès aux informations recherchées par les criminels. Si vous êtes associé au gouvernement, à l'armée, à la police ou à d'autres institutions publiques, vous avez probablement accès à des systèmes restreints. Les criminels veulent cet accès pour voler des données ou mener des attaques de rançongiciels.
En juin 2023, le Division des enquêtes criminelles de l'armée américaine a publié un dépliant d'avertissement, signalant que des membres du service militaire avaient reçu des montres intelligentes non sollicitées.
Les montres n'étaient pas particulièrement chères, mais avaient un certain nombre de caractéristiques haut de gamme qui en feraient un accessoire attrayant pour les soldats soucieux de leur santé et de leur forme physique. Ceux-ci comprenaient la surveillance de la fréquence cardiaque et de la pression artérielle, un boîtier étanche, un compteur de pas et des bracelets colorés de tailles pour hommes et femmes.
Selon Army CID, les montres contenaient également des logiciels malveillants qui « accèdent à la fois à la voix et aux caméras, permettant aux acteurs d'accéder aux conversations et aux comptes liés aux montres intelligentes ».
Le dépliant a en outre averti que les montres étaient équipées d'une technologie de pointe qui se connectait automatiquement au Wi-Fi et "commençait à se connecter au cellulaire téléphones sans invite, accédant à une myriade de données utilisateur." Cette capacité fait allusion à un niveau de sophistication bien au-dessus de celui disponible pour le commun les criminels. Alors que détourner une connexion Bluetooth vers un téléphone est une technique bien établie, il est étonnant que ces petits appareils apparemment bon marché aient été équipés d'un matériel qui pourrait également forcer brutalement ou pénétrer d'une autre manière dans un réseau sans fil militaire.
Les soldats recevant ces montres intelligentes ont été avertis de ne pas les allumer, et à la place, "Signaler au contre-espionnage ou au responsable de la sécurité".
Depuis au moins 2015, le groupe de menaces persistantes avancées Fin7 d'Europe de l'Est cible les travailleurs des secteurs américain de la vente au détail, de la restauration, des jeux et de l'hôtellerie, selon le Département américain de la justice, usurpant l'identité d'organisations légitimes telles que le ministère de la Santé, les Services sociaux, Amazon et Best Buy.
En utilisant l'USPS, Fin7 envoie de véritables cartes-cadeaux de 50 $ aux victimes potentielles avec une clé USB censée contenir des suggestions de produits à acheter.
Ces clés USB n'étaient pas ce qu'elles semblaient: elles contenaient des logiciels malveillants conçus pour voler des données sur les réseaux d'entreprise et déployer des rançongiciels. Selon HackLire, les versions ultérieures contenaient également un microcontrôleur Arduino, programmé pour agir comme un clavier.
Même des appareils apparemment légitimes peuvent contenir des logiciels malveillants
Alors que les appareils non sollicités devraient certainement déclencher des sonnettes d'alarme s'ils atterrissent dans votre boîte aux lettres, les criminels peuvent parfois accéder aux appareils USB plus tôt dans la chaîne d'approvisionnement. Il existe de nombreux récits de ce qui s'est passé à plusieurs reprises.
En 2018, Hackread signalé que les supports amovibles USB livrés avec le Schneider Electric Conext Combox et Conext Battery Les produits Monitor peuvent contenir des logiciels malveillants ajoutés "lors de la fabrication chez un fournisseur tiers facilité".
En 2006, MacDonalds Japan a offert 10 000 lecteurs MP3 en prix. Tel que rapporté par Le registre, les appareils contenaient 10 pistes MP3, ainsi qu'un cheval de Troie espion QQpass. Lorsque les utilisateurs connectaient les lecteurs MP3 à leur ordinateur personnel pour gérer et transférer leur collection de musique, des mots de passe et d'autres informations sensibles ont été transmis à des criminels.
Prenez des précautions contre les logiciels malveillants sur les appareils
Malheureusement, il est impossible de faire confiance à 100% à tout ce que vous possédez. Les périphériques USB peuvent être contaminés par des logiciels malveillants à n'importe quelle étape de la fabrication et de la distribution processus, alors que le personnel de l'armée a été exposé à des logiciels malveillants de smartwatch si avancés, on a presque l'impression la magie.
La meilleure chose que vous puissiez faire pour assurer votre sécurité est de vous assurer que vous disposez d'un personnel compétent et à jour. antivirus sur votre PC, jetez les technologies non sollicitées à la poubelle et n'utilisez que des périphériques USB neufs et scellés.
