Marques les plus “phishées” – Forte croissance du phishing sur Facebook et Instagram sur Q1 2019

1
91

Vade Secure dévoile les résultats de son classement Phishers’ Favorites sur le 1er trimestre 2019, incluant les réseaux sociaux, nouvelle cible favorite des cybercriminels, Microsoft qui reste la marque la plus usurpée, l’explosion du phishing visant PayPal et Netflix.

Les pirates s’attaquent aux réseaux sociaux

Rapport Vade Secure – Après une grande stabilité au 4e trimestre 2018, la répartition des secteurs au sein du classement Phishers’ Favorites a changé au 1er trimestre 2019. Concerné par ce changement, les médias sociaux ont connu la croissance trimestrielle la plus importante de tous les secteurs. Les URL de phishing visant ces plateformes ont augmenté de 74,7 % au 1er trimestre, inversant la tendance à la baisse des trois trimestres précédents. La multiplication des attaques dans ce secteur est principalement liée à deux marques : Facebook et Instagram.

Le phishing ciblant Facebook a en effet augmenté de 155,5 % au 1er trimestre, propulsant le géant des médias sociaux à la 4e place. Facebook était d’ailleurs la principale marque visée par le phishing au 1er trimestre 2018, avant que sa popularité parmi les hackers ne diminue pendant trois trimestres consécutifs. Le réseau n’était ainsi plus qu’en 7e position au 4e trimestre 2018.

Il est difficile de savoir avec exactitude à quoi est dû ce regain d’intérêt. Nous pouvons toutefois supposer qu’il est lié à la montée en puissance de la possibilité offerte par le réseau social de se connecter à des sites tiers avec les mêmes identifiants. Ainsi, les hackers parvenant à s’emparer de tels identifiants peuvent savoir quelles sont les autres applications de l’utilisateur qui bénéficient de ce type de connexion et compromettre également ces comptes. 

Il est également possible que cette croissance soit liée aux pratiques commerciales douteuses de Facebook. Il a ainsi notamment été révélé que Facebook stockait des centaines de millions de mots de passe en clair et avait demandé à certains utilisateurs leurs mots de passe de messagerie pour s’inscrire. Les pirates profitent peut-être des questions et inquiétudes entourant le réseau pour pousser les clients à cliquer sur des liens de phishing. 

Instagram est un autre exemple intéressant. Pendant trois trimestres, le phishing sur Instagram n’existait quasiment pas. Au 1er trimestre, le nombre d’URL concernant le réseau a explosé de 1 868,8 %. Au début du mois de mars, plusieurs journaux se sont d’ailleurs fait l’écho d’une vague d’e-mails de phishing proposant à leurs victimes un badge vérifié Instagram afin de les inciter à saisir leurs informations d’identification. Cette attaque avait été détectée par Vade Secure.

Microsoft toujours à la première place : les  pirates informatique jouent sur une fausse impression de sécurité

Microsoft décroche la première place du classement pour le 4e trimestre consécutif. Après une baisse importante de l’activité lors de la trêve des confiseurs, pendant laquelle les hackers se sont consacrés aux consommateurs, le phishing ciblant Microsoft a repris du poil de la bête en janvier et retrouvé son rythme effréné en février et mars. La semaine du 4 mars a même battu tous les records observés depuis que Vade Secure effectue cette analyse. Toutefois, en raison d’un début d’année atone, le nombre d’URL de phishing visant Microsoft a diminué pour la première fois au cours de ce trimestre, à -4,5 % par rapport au 4e trimestre 2018.

La popularité de Microsoft auprès des hackers ne se dément pas, car les identifiants Office 365 sont très lucratifs. Ils offrent un point d’entrée unique à l’ensemble de la plateforme et leur permettent de réaliser des attaques en plusieurs phases à partir des comptes compromis. De fait, les propres études de Microsoft estiment que le phishing visant Office 365 a augmenté de 250 % entre janvier et décembre 2018.

Vade Secure continue d’observer une grande diversité parmi les attaques de phishing ciblant Office 365, allant des comptes faussement suspendus aux liens vers des documents OneDrive ou SharePoint malveillants. Cette diversité s’accompagne d’une sophistication toujours plus grande : de nombreuses pages de phishing imitent à la perfection la page de connexion à Office 365. Pour y parvenir, les hackers effectuent une copie miroir de la véritable page, récupèrent son code JavaScript et CSS, et insèrent leur propre script permettant de récupérer les identifiants.

Par ailleurs, certaines attaques redirigent les utilisateurs vers des pages Microsoft légitimes une fois les identifiants récupérés pour ne pas éveiller les soupçons. Par exemple, lors d’une attaque récente ciblant plusieurs clients, les utilisateurs étaient redirigés vers Office.com après leur « connexion ». Il faut également noter que l’adresse de réponse à l’e-mail d’origine de cette attaque était légitime (support@microsoft.com). Encore une fois, l’idée était de provoquer chez l’utilisateur une fausse impression de sécurité.

Paypal, éternel chouchou des cybercriminels

PayPal a retrouvé la 2e place après une impressionnante hausse de 88 % du nombre d’URL de phishing au 1er trimestre 2019. L’entreprise occupait déjà cette place aux 2e et 3e trimestres 2018, avant de tomber à la 3e place au 4e trimestre avec une réduction de 5,1 % du nombre d’URL.

PayPal a toujours fait partie des marques les plus visées par les hackers. La raison en est évidente : il s’agit du service de paiement en ligne le plus utilisé au monde, avec plus de 250 millions d’utilisateurs actifs au 3e trimestre 2018. Il s’agit également d’un mode de paiement accepté par de nombreux commerçants en ligne du monde entier : la valeur d’identifiants PayPal atteint ainsi des sommets.

Netflix : Les attaques de phishing visent à la fois les consommateurs et les utilisateurs professionnels

Au 1er trimestre 2019, Netflix a perdu 1 place et se classe 3e. La croissance du nombre d’URL de phishing ciblant Netflix semble ralentir : 49,7 % au 2e trimestre 2018, 61,9 % au 3e trimestre 2018, 25,7 % au 4e trimestre de la même année, puis 11,9 % au 1er trimestre 2019.

Les e-mails de phishing essaient de faire croire aux utilisateurs que leur compte Netflix a été suspendu ou que leur paiement a été refusé. Ce qu’il est intéressant de noter, c’est qu’un nombre croissant de ces emails visent des utilisateurs professionnels. La plupart des utilisateurs fournissant probablement leur adresse personnelle lors de la création de leur compte Netflix, on peut supposer que les hackers espèrent qu’ils ne remarqueront pas que l’email leur a été envoyé sur leur adresse professionnelle. C’est un pari qui peut effectivement être gagnant, la distinction étant parfois peu évidente, en particulier sur un appareil mobile.

Une autre tendance intéressante concernant l’entreprise réside dans le fait que de nombreux emails de phishing ne contiennent pas moins de six ou sept liens Netflix authentiques (en plus du lien malveillant). Cette technique cherche à tromper les solutions basées sur la réputation et les utilisateurs, qui vont cliquer sur un ou deux liens pour s’assurer que l’email est authentique.

Détail du Top 10

Facebook a gagné trois places et est désormais 4e. Bank of America a perdu une place (5e) et le Crédit Agricole en a gagné 15 (6e). La société de transport DHL occupe quant à elle la 7e place, devant Apple (+8), Dropbox (+2) et la CIBC (+9).

Comme pour Netflix, les hackers ciblant Apple s’intéressent à la fois aux consommateurs et aux utilisateurs professionnels. De plus, en raison de la diversité des produits et services proposés par la marque, les thématiques de phishing sont très nombreuses : mises à jour de sécurité importantes, ID Apple désactivé, factures d’achat en Apple Store… Par ailleurs, les vecteurs d’attaque se combinent, par exemple avec des e-mails de phishing qui contiennent également une pièce jointe malveillante se faisant passer pour une facture.

Si certaines choses ne changent pas d’un trimestre à l’autre (Microsoft paraît indélogeable), la créativité des hackers semble n’avoir aucune limite. La façon dont ils conçoivent leurs attaques, du contenu aux techniques utilisées, continue d’évoluer à un rythme extrêmement rapide. 

Les commentaires sont fermés.