Qu'est-ce qu'un scareware ?

juillet 13, 2022

Qu’est-ce qu’un scareware ?

Un scareware est un type d’attaque de logiciel malveillant qui fait croire à l’utilisateur que son terminal a été infecté par un virus ou présente un autre problème et qu’il doit télécharger ou acheter un logiciel malveillant pour résoudre le « problème ». De manière générale, le scareware ne constitue pas une attaque en soi, mais sert de passerelle à une cyberattaque plus élaborée.

Les attaques de scareware commencent souvent par l’affichage d’une fenêtre contextuelle semblant provenir d’un éditeur de logiciels de sécurité légitime ou du système d’exploitation de l’ordinateur. Si l’utilisateur clique sur cette fenêtre, il est redirigé vers un site web infecté qui affiche d’autres instructions pour la résolution du soi-disant problème. Il peut s’agir d’installer un nouveau programme ou outil, d’analyser l’ordinateur, de saisir des identifiants de connexion pour obtenir plus d’informations ou de fournir des informations de carte de crédit pour continuer le processus de restauration. Ces actions entraînent généralement le téléchargement involontaire et insoupçonné d’un programme malveillant, comme un logiciel malveillant, un ransomware, un spyware, un virus ou un cheval de Troie sur le terminal.

Les attaques de scareware peuvent également être lancées par e-mail. Dans ce cas, le cybercriminel envoie un e-mail urgent semblant provenir d’un programme antivirus et exigeant une action immédiate de la part de l’utilisateur. Lorsque l’utilisateur clique sur les liens contenus dans l’e-mail, souvent présentés comme des moyens de neutraliser la menace ou d’analyser le système, des fichiers infectés, un code malveillant ou un programme malveillant sont installés et téléchargés.

Un scareware fait souvent partie d’une attaque pluridimensionnelle qui incorpore des techniques d’ingénierie sociale et d’usurpation d’identité pour accentuer le sentiment d’urgence et déclencher le comportement souhaité. À l’instar de nombreuses autres formes d’attaque de malware, les attaques de scareware sont particulièrement problématiques, car l’escroc peut obtenir l’accès à des informations de compte ou de carte de crédit, ce qui lui permet de voler des identités ou d’exécuter d’autres types de fraude.

Scareware et ransomware, quelle différence ?

Les scarewares sont souvent classés parmi les ransomwares, dans la mesure où l’objectif final du cybercriminel est d’inciter l’utilisateur à télécharger un ransomware. Un ransomware est un type de logiciel malveillant qui bloque l’accès à un système et à des informations personnelles jusqu’au paiement d’une rançon.

Cela dit, si certains types de scarewares conduisent à une attaque de ransomware, d’autres sont plus gênants que réellement dangereux. Par exemple, ils peuvent inonder l’écran de fenêtres contextuelles sans réellement endommager les fichiers.

2022 CrowdStrike Global Threat Report

Téléchargez le Global Threat Report 2022 pour découvrir les tendances observées par nos équipes chez les cyberpirates en matière de techniques, tactiques et procédures.

Télécharger

Que faire en cas de suspicion d’une attaque de scareware ?

Si vous pensez que vous êtes victime d’une attaque de scareware, il est primordial d’agir vite et de manière décisive pour endiguer l’incident. Procédez comme suit :

  1. Désactivez l’accès Wi-Fi ou Internet du terminal concerné ou déconnectez-le du réseau.
  2. Si vous utilisez un terminal d’entreprise, contactez immédiatement l’équipe informatique pour obtenir d’autres instructions.
  3. Sinon, lancez une analyse de sécurité complète à l’aide d’un antivirus de confiance afin de rechercher d’éventuels fichiers infectés et menaces connues (malwares, ransomwares, spywares, virus, chevaux de Troie, etc.).
  4. Redémarrez le terminal en mode sans échec et relancez l’analyse.
  5. Si l’analyse révèle des signes d’infection, emmenez le terminal chez un spécialiste agréé et reconnu. Cessez d’utiliser l’ordinateur ou le terminal mobile, et ne l’autorisez pas à se connecter à un réseau, même s’il semble fonctionner normalement.

En cas d’attaque de scareware, les utilisateurs doivent prendre des mesures supplémentaires pour se prémunir d’une éventuelle compromission de données, notamment :

  • Modifier les mots de passe ou autres identifiants de connexion
  • Lancer une analyse sur les autres terminaux personnels pour s’assurer qu’ils n’ont pas été compromis par inadvertance
  • Demander une nouvelle carte de crédit à la banque ou à un autre établissement financier
  • Consulter régulièrement les relevés de compte pour vérifier la présence éventuelle d’une fraude ou d’un vol d’identité

Est-il possible de supprimer un scareware ?

En tant qu’utilisateur, la meilleure façon de prévenir une attaque de scareware est la prévention. En reconnaissant les signes de ce type de cybermenace, il est possible de s’en prémunir.

Il est important de garder à l’esprit que les antivirus reconnus n’avertissent généralement pas les clients d’un incident de sécurité par le biais d’une fenêtre contextuelle, et leur demandent encore moins de saisir leurs identifiants de connexion ou informations de carte de crédit dans ces fenêtres pop-up.

Les conseils permettant d’éviter les attaques de scareware recoupent très souvent les bonnes pratiques recommandées pour prévenir les attaques de logiciel malveillant et les usurpations d’identité :

  • Ne cliquez jamais sur des liens et ne téléchargez jamais de fichiers à partir de fenêtres contextuelles ou d’e-mails d’expéditeurs inconnus.
  • Installez un logiciel de blocage des fenêtres contextuelles et un filtre antispam, qui pourront détecter la plupart des menaces, et même bloquer l’accès des fenêtres contextuelles de scareware et des e-mails infectés à votre terminal.
  • Investissez dans un logiciel de cybersécurité d’un fournisseur d’antivirus réputé et veillez à ce que toutes les installations soient à jour.
  • Connectez-vous à votre compte via un nouvel onglet du navigateur ou une application officielle, pas au moyen d’un lien contenu dans une alerte de scareware, un e-mail ou un SMS.
  • Accédez uniquement aux URL qui commencent par HTTPS.
  • Ne communiquez jamais d’informations personnelles, telles que des numéros de compte, des mots de passe ou des informations de carte de crédit par téléphone, par e-mail ou sur un site non sécurisé.
  • Utilisez un gestionnaire de mots de passe, qui saisira automatiquement les mots de passe enregistrés sur les sites reconnus (et pas sur les sites frauduleux).
  • Activez l’authentification à deux facteurs chaque fois que possible pour compliquer la tâche des cyberattaquants et autres opérateurs de scarewares.

Prévenir les attaques de scareware à l’échelle de l’entreprise

Au niveau de l’entreprise, la protection contre les attaques de scareware est similaire à celle déployée contre les malwares, les ransomwares et autres menaces de cybersécurité. Comme ces techniques d’attaque évoluent constamment, de nombreuses entreprises peinent à maintenir une protection efficace. Pour protéger vos opérations, respectez les bonnes pratiques suivantes :

Formez tous vos collaborateurs aux bonnes pratiques en matière de cybersécurité.

Vos collaborateurs constituent votre première ligne de défense. Assurez-vous qu’ils respectent les bonnes pratiques en matière d’hygiène IT — utilisation de mots de passe forts, connexion à des réseaux Wi-Fi sécurisés uniquement et surveillance constante des tentatives de phishing — sur l’ensemble de leurs terminaux.

Maintenez votre système d’exploitation et vos logiciels à jour et appliquez les correctifs.

Les cyberpirates sont constamment à la recherche de failles et de portes dérobées à exploiter. En mettant scrupuleusement à jour vos systèmes, vous réduirez votre exposition aux vulnérabilités connues.

Utilisez des logiciels capables de bloquer les menaces inconnues.

Si les antivirus traditionnels peuvent bloquer les scarewares et ransomwares connus, ils ne permettent pas de détecter les cybermenaces inconnues. La plateforme CrowdStrike Falcon® intègre un antivirus de nouvelle génération détectant à la fois les logiciels malveillants connus et encore inconnus grâce à l’intelligence artificielle et au Machine Learning. Plutôt que de tenter de détecter les itérations de logiciels malveillants connus, Falcon recherche des indicateurs d’attaque afin de bloquer les ransomwares avant qu’ils ne puissent s’exécuter et causer des dégâts.

Surveillez en continu votre environnement afin d’identifier les activités malveillantes et les indicateurs d’attaque.

La solution de détection et d’intervention sur les endpoints CrowdStrike® Falcon Insight™ surveille les endpoints en continu afin de capturer les événements bruts. De cette façon, elle peut détecter automatiquement les activités malveillantes non identifiées par les méthodes de prévention classiques, tout en offrant une visibilité propice à un Threat Hunting proactif.

Pour contrer les attaques furtives ou dissimulées qui peuvent ne pas déclencher immédiatement les alertes automatisées, CrowdStrike propose Falcon OverWatch™, un service de Threat Hunting managé qui s’appuie sur une équipe de threat hunters chevronnés qui traquent les menaces de manière proactive dans votre environnement, 24 heures sur 24, 7 jours sur 7.

Intégrez la cyberveille à votre stratégie de sécurité.

Surveillez vos systèmes en temps réel et restez au courant des dernières informations sur les menaces pour détecter rapidement les attaques, déterminer comment y répondre au mieux et empêcher leur propagation. CrowdStrike Falcon® Intelligence automatise l’analyse des menaces et l’investigation des incidents, permettant ainsi d’examiner toutes les menaces et de déployer des contremesures de manière proactive, en seulement quelques minutes.