Les histoires de cette semaine au sujet d’attaques ciblées utilisant 0 jours sur les appareils iPhone et iPad et une arnaque téléphonique sophistiquée ciblant un professionnel de la sécurité qui s’est terminée par un virement bancaire de 9800 $ soulignent ce que nous savons tous: les attaques malveillantes deviennent de plus en plus sophistiquées. Nous vous donnons quelques idées pour rester en sécurité.

Nous couvrons également une récente vulnérabilité de plug-in dans le plug-in MapPress Maps affectant plus de 80 000 sites WordPress, le rapport de Google indiquant qu’ils voient plus de 18 millions de malwares et e-mails de phishing quotidiens. Nous couvrons également le financement récent reçu par Frontity et examinons ce que cela pourrait signifier pour des sites WordPress plus rapides.

Voici des horodatages et des liens au cas où vous souhaiteriez sauter, et une transcription est ci-dessous.
0:34 Des vulnérabilités critiques corrigées Plugin MapPress Maps
2h00 iOS zero-days aurait être activement utilisé contre des cibles de haut niveau
3:41 Récit édifiant escroqueries téléphoniques sophistiquées et fraude bancaire
7:39 Google a vu plus de 18 millions de courriels malveillants et de phishing quotidiens liés à COVID-19 la semaine dernière
9:27 Presque 25 000 adresses e-mail et mots de passe prétendument du NIH, de l’OMS, de la Fondation Gates et d’autres vidé en ligne
11:38 Frontity lève 1 M € avec Automattic et K Fund

Retrouvez-nous sur votre application ou plateforme préférée, y compris iTunes, Podcasts Google, Spotify, Youtube, SoundCloud et Couvert.

Cliquez ici pour télécharger une version MP3 de ce podcast. Abonnez-vous à notre flux RSS.

Transcription de l’épisode 74

Bonjour mes amis WordPress, bienvenue dans Think Like a Hacker, épisode 74. Voici le podcast sur WordPress, la sécurité et l’innovation. Nous approchons de la fin avril. Comment tenez-vous? Nous allons bien ici, mais nous avons hâte de revenir à ce à quoi la nouvelle normalité devrait ressembler. Nous avons des nouvelles pour vous aujourd’hui, tant dans le monde de la sécurité que dans les nouvelles WordPress, alors commençons.

Le premier article a été publié le 23 avril sur le blog Wordfence. Cela était lié à des vulnérabilités critiques corrigées dans le plugin MapPress Maps. Cela a été découvert par l’un de nos chercheurs en sécurité, Ram Gall. Il a trouvé ces deux vulnérabilités dans ce plugin qui a affecté plus de 80 000 installations WordPress. Les deux étaient authentifiés, ce qui signifie qu’ils ne pouvaient être exploités que par quelqu’un qui avait un compte dans WordPress. Mais bien sûr, cela est problématique si votre site est configuré pour autoriser les abonnés, car même un utilisateur de niveau abonné est authentifié.

Nous avons donc contacté l’auteur de ce plugin et ils ont publié un patch le même jour. Nous aurons un lien dans les notes de l’émission afin que vous puissiez voir ce que ces vulnérabilités impliquent réellement. Ce que vous devez savoir maintenant, c’est que si vous utilisez MapPress Maps for WordPress sur l’un de vos sites, vous devez le mettre à jour immédiatement. Les clients sans Wordfence ne recevront pas ces règles avant mai. De toute évidence, les clients premium ont été protégés dès que nous avons découvert ces vulnérabilités. La version gratuite présente une vulnérabilité moins grave que la version pro. La version pro présente une vulnérabilité extrêmement critique. Évidemment, des liens dans les notes du spectacle si vous voulez regarder plus en profondeur.

Notre histoire suivante a été rapportée par Bleeping Computer le 22 avril ainsi que de nombreuses autres sources, dont The Verge. Ils rapportent qu’un nouveau jour zéro iOS a été découvert qui serait activement utilisé contre des cibles de haut niveau. Ces deux vulnérabilités zero-day affectant les appareils iPhone et iPad ont été découvertes par la startup de cybersécurité ZecOps après la découverte d’une série d’attaques à distance en cours ciblant les utilisateurs iOS depuis janvier 2018.

Maintenant, cette faille existe depuis 10 ans et n’avait pas été révélée auparavant à Apple. Évidemment, cela rend extrêmement précieux pour une variété de mauvais acteurs et ZecOps dit qu’ils croient avec une grande confiance que ces vulnérabilités sont largement exploitées à l’état sauvage dans des attaques ciblées par des opérateurs de menaces avancés. Maintenant, ZecOps dit qu’ils ont des preuves de l’utilisation de ces exploits, mais ils disent qu’ils ne sont pas à l’aise de partager cela, ce qui conduit certains chercheurs en sécurité à remettre en question la validité de l’affirmation selon laquelle ils sont largement utilisés dans la nature.

Cela comprend Jann Horn, chercheur pour le projet de cybersécurité Project Zero de Google. Qu’est-ce que cela signifie pour toi? Si vous utilisez l’application de messagerie native dans iOS, ne cliquez pas sur les liens dans l’e-mail de votre téléphone. Vous souhaiterez peut-être passer à Gmail ou Outlook ou à une autre application de messagerie pour votre appareil iOS jusqu’à ce que nous soyons sûrs que ces vulnérabilités zero-day soient corrigées.

Notre prochaine histoire vient de Krebs on Security publiée le 23 avril et c’est un récit édifiant pour ceux d’entre nous en sécurité que personne n’est à l’abri d’être victime d’une arnaque. Il s’agit d’une histoire d’escroquerie téléphonique qui s’est transformée en un virement bancaire de 9 800 $. Il semble que cela ait commencé avec un skimmer de carte de crédit probablement à une pompe à essence où cette victime avait utilisé sa carte de débit pour acheter de l’essence.

Notre victime, qui a reçu le nom de Mitch comme pseudonyme, vivait en Californie et il était un vétéran de l’industrie technologique. Il avait travaillé dans la sécurité pendant plusieurs années dans un grand service cloud et connaissait les protocoles de sécurité, mais il a reçu un appel de ce qu’il pensait être son institution financière l’avertissant qu’une fraude avait été détectée sur son compte et que l’identifiant de l’appelant de cet appel entrant affichait le même numéro de téléphone qui était imprimé au dos de sa carte de débit. Cela semble légitime, non?

Juste pour être sûr qu’il s’est connecté à son compte bancaire alors qu’il avait cette personne en ligne et qu’il a vu deux transactions qu’il savait frauduleuses, ce qui a donné foi au fait qu’il parlait à son institution financière, ce qu’il n’était pas ” t. Maintenant, ces attaquants avaient obtenu son numéro de carte de débit et ils avaient obtenu son numéro d’identification personnelle et ils pouvaient retirer de l’argent de son compte aux distributeurs automatiques de billets et faire du shopping dans les magasins à grande surface. Ils voulaient évidemment plus que cela. Ils avaient donc besoin de son aide et ils devaient s’intensifier et devenir plus complexes dans l’attaque, ce qu’ils ont fait.

Et l’enquêteur sur la fraude a déclaré que les 9 800 $ virés avaient été envoyés sur un compte dans une banque en ligne uniquement. Et cette banque était aussi au nom de Mitch. Il n’a pas ouvert ce compte, mais cela a peut-être aidé les fraudeurs à contourner les drapeaux de fraude pour le virement bancaire non autorisé. Alors, quelle est notre leçon à retenir de cela? Si votre banque vous appelle, raccrochez et rappelez-les, engagez la conversation, surveillez votre compte bancaire avec ferveur. Surveillez régulièrement vos relevés de carte de crédit. Examinez constamment vos soldes et assurez-vous qu’aucune fraude ne se produit. Et si votre banque vous appelle, méfiez-vous de cet appel.

Maintenant, c’est un important récit édifiant. Vous écoutez un podcast de sécurité. Je parle dans un podcast de sécurité. Nous sommes des professionnels de la sécurité et nous comprenons ce que font les fraudeurs et nous pouvons rechercher des signes révélateurs de fraude lorsqu’elle se produit. Mitch aussi. Donc, cela montre simplement que se méfier extraordinairement des choses qui se passent et remettre en question tout est extrêmement important en matière de sécurité.

Cela nous rappelle également, et je le dis souvent sur le podcast, qu’en tant qu’individu soucieux de la sécurité, pensez à vos amis et à votre famille qui sont moins attachés à la sécurité et que pouvez-vous faire pour les aider à empêcher ces types d’attaques de apparaître dans leur vie? Comment augmentez-vous leur sensibilisation à la sécurité afin que lorsque votre maman ou votre père ou vos grands-parents reçoivent un appel d’une «banque» qu’ils savent pour raccrocher et appeler la banque eux-mêmes et garder un œil sur ce qui se passe avec leurs institutions financières . Quand les choses deviennent difficiles, les escrocs deviennent plus effrontés et plus sophistiqués, et je m’attends à ce que nous entendions plus d’histoires comme ce que Mitch a vécu. Alors protégez-vous, protégez vos amis.

Notre prochaine histoire souligne ces sentiments. Cela a été publié dans The Verge le 16 avril. La semaine dernière, Google a vu plus de 18 millions de courriers électroniques malveillants et de phishing liés à COVID-19. Avec ces temps intéressants, les escrocs et les pirates utilisent les peurs associées à COVID-19 afin d’être pertinents et d’essayer de créer un sentiment d’urgence pour inciter les utilisateurs à répondre à ces types d’escroqueries.

Maintenant, Google affirme que ses protections basées sur l’intelligence artificielle empêchent plus de 99,9% des spams, du phishing et des logiciels malveillants d’atteindre les utilisateurs. Ils disent également qu’il a collaboré avec l’Organisation mondiale de la santé à la mise en œuvre du rapport et de la conformité de l’authentification des messages basée sur le domaine DMARC ou pour rendre plus difficile pour les fraudeurs d’usurper l’identité du domaine de l’Organisation mondiale de la santé et empêcher les e-mails légitimes de l’OMS d’être pris dans les filtres anti-spam. .

Maintenant, même avec Google bloquant 99,9% des campagnes de logiciels malveillants et de phishing qui ciblent les boîtes de réception de courrier électronique, il reste encore environ 20000 courriels qui auraient pu être transmis. De toute évidence, la sécurité est de s’assurer que les gens sont éduqués et peuvent reconnaître une arnaque lorsqu’elle arrive dans une boîte de réception. Cela signifie éduquer nos amis et notre famille, en veillant à ce qu’ils soient conscients que les pirates sont plus occupés que jamais à la lumière de ce qui se passe.

Notre prochaine histoire vient du Washington Post. Ils rapportent que près de 25 000 adresses e-mail et mots de passe, prétendument du NIH, de l’Organisation mondiale de la santé et de la Fondation Gates, ont été déversées en ligne. Celles-ci se retrouvaient sur Twitter et Twitter les supprimait activement. La BBC a également signalé cela. Ils ont déclaré avoir trouvé environ 9 900 e-mails et mots de passe du NIH, 6 800 du CDC, 5 100 de la Banque mondiale, 2 700 de l’Organisation mondiale de la santé, 269 de la Fondation Gates et 21 de l’Institut de virologie de Wuhan.

Le NIH a déclaré à la BBC qu’il enquêtait sur la fuite, mais aucune des autres organisations n’avait répondu aux demandes de commentaires. Maintenant, il est difficile de dire ce qui se passe exactement ici. De toute évidence, nous en entendons juste parler de diverses sources. J’ai fait une enquête et j’ai trouvé un autre chercheur en sécurité parlant de leur analyse de certains de ces décharges et le plus gros point à retenir était que les gens utilisent des mots de passe incroyablement simplistes même dans certaines de ces grandes organisations que vous pourriez supposer connaître mieux.

Alors, que cela soit un avertissement pour nous tous. Utilisez des mots de passe extraordinairement complexes. Utilisez vos gestionnaires de mots de passe et utilisez l’authentification à deux facteurs partout où vous le pouvez et assurez-vous de votre sécurité. Évidemment, avec un gros dépotoir comme celui-ci, quelque chose d’autre se passe. Ce n’est pas un seul compte de messagerie auquel on accède. Il semble que ces hackers trouvent des bases de données de noms d’utilisateurs et de mots de passe, il y a donc évidemment des problèmes de sécurité au-delà de cela, mais juste quelques-uns de ces simplistes … il y avait des mots de passe123. Assurez-vous donc que vos mots de passe sont plus sûrs que ceux qu’ils utilisent à l’Organisation mondiale de la santé et resserrez votre courrier électronique avec une authentification à deux facteurs.

Notre dernière histoire dans le monde WordPress, Frontity lève un million d’euros avec Automattic et K fund. Cet article a été publié sur WP Tavern le 22 avril. Qu’est-ce que la Frontité? Frontity est un framework open source gratuit pour créer des thèmes WordPress basés sur React. Désormais, ces thèmes basés sur React seront en concurrence avec des thèmes basés sur PHP. Et React est une bibliothèque JavaScript pour construire une interface utilisateur. Il est géré par Facebook et une communauté de développeurs et d’entreprises et il peut être utilisé comme base dans le développement d’une seule page ou d’applications mobiles. Gatsby, dont on parle souvent dans le monde WordPress avec WordPress sans tête, est également basé sur React.

Maintenant, cela m’intéresse. Automattic couvre 22% de ce tour de financement pour un thème basé sur React. Au cours de la dernière année environ, tout le monde a parlé de Gatsby. C’est en quelque sorte ce nouvel objet brillant dans le monde WordPress à cause de WordPress sans tête parce que tout le monde veut le site le plus rapide qu’ils pourraient éventuellement développer et ces cadres JavaScript le permettent.

Vous pouvez maintenant créer un site à Gatsby, vous n’avez pas besoin de WordPress. La raison pour laquelle il est intéressant pour WordPress est que beaucoup d’entre nous ont des sites Web qui sont construits dans WordPress et donc d’avoir un site Gatsby incroyablement rapide qui parle à la base de données WordPress et extrait des informations qui y sont stockées depuis 10 ans et les affiche dans une nouvelle façon, c’est très intéressant.

L’une des raisons pour lesquelles je me suis impliqué dans WordPress au départ était toutes les informations d’un site, tout le contenu était stocké dans une base de données et je pouvais le thème de différentes manières simplement en changeant le thème, en changeant l’apparence de le site, mais le contenu resterait le même. Donc, cela donnerait à mon site et à moi la liberté de grandir avec Internet parce qu’évidemment, ce qui avait l’air bien en 2002 sur Internet n’est pas ce qui semble bon maintenant. Et l’un des problèmes avec Gatsby est qu’il a une courbe d’apprentissage assez abrupte. Vous devez apprendre un cadre entièrement nouveau, puis comprendre comment le connecter à WordPress.

Je n’ai pas encore joué avec Frontity, mais je compte bien le faire. Parce qu’il est 100% concentré sur WordPress et les API WordPress, cela relève de mon domaine d’expertise et il présente les mêmes avantages que d’utiliser un cadre basé sur React dans WordPress. Cela semble être une étape plus facile, donc je ferai rapport une fois que je jouerai avec sur quelques sites et j’espère ne rien casser. Cela ressemble à une prochaine étape intéressante pour WordPress. Si vous avez joué avec Frontity, faites-moi savoir comment cela fonctionne pour vous.

Et avec ça, c’est l’actualité de cette troisième semaine d’avril. Maintenant, le 28 mardi prochain, nous allons avoir un autre horaire de bureau Wordfence. Je mettrai un lien pour m’enregistrer dans les notes de l’émission si vous souhaitez nous rejoindre. Nous essayons de le faire chaque semaine maintenant. Nous allons modifier le contenu à partir de mai, mais nous avons en quelque sorte répété le même contenu parce que de nouvelles personnes arrivent tout le temps. Nous serions ravis de vous y voir.

Si vous avez des articles que vous aimeriez que je couvre ou si vous avez des commentaires, veuillez me contacter à kathy@wordfence.com, suivez-moi sur Twitter @kathyzant, suivre la @Wordfence compte bien sûr, et suivez le compte Wordfence sur Instagram et YouTube également. Nous avons quelques nouvelles vidéos qui vous aideront à vous familiariser avec certaines des fonctionnalités de Wordfence et Wordfence Central sur notre Chaîne Youtube, alors suivez-nous et donnez-nous un coup de pouce et des commentaires et vous savez, mendiant pour toutes ces preuves sociales dans les médias sociaux. Merci encore d’avoir écouté Think Like a Hacker et nous vous parlerons la semaine prochaine.



Source link