Rapport Phishers’ Favorites de Vade Secure – 1er trimestre 2020 : Microsoft regagne la première place, le phishing lié aux fichiers partagés monte en puissance et les banques servent de gisement pour pirater les mots de passe des messageries.
Tribune Vade Secure – Le spécialiste de la défense prédictive des boîtes mails, qui protège aujourd’hui plus de 600 millions de boîtes de messagerie à travers le monde, dévoile les 25 marques les plus utilisées dans des campagnes de phishing au cours du 1er trimestre 2020 dans son dernier rapport Phishers’ Favorites.
Microsoft récupère la 1ère place et détrône PayPal avec 2 fois plus d’URL de phishing
Microsoft, la principale marque victime d’usurpation lors des 5 premiers rapports Phishers’ Favorites de Vade Secure, avait vu sa suprématie mise à mal par PayPal au cours des deux précédents trimestres. La firme de Redmond a aujourd’hui regagné la tête du classement : au total, Vade a détecté lors de ce 1er trimestre 2020, deux fois plus d’URL de phishing pour Microsoft que pour PayPal, qui reste pourtant en 2e position.
Le télétravail accentue les campagnes de phishing liées aux plateformes Cloud
Il n’est pas surprenant que Microsoft tienne la dragée haute à ses concurrents en matière de phishing d’entreprise. En effet, la société a déclaré en octobre dernier compter près de 200 millions d’utilisateurs professionnels de Microsoft 365. En outre, la pandémie de COVID-19 ne fait qu’accélérer la migration vers les plateformes de messagerie et de productivité dans le cloud. Par ailleurs, les identifiants Microsoft 365 peuvent être valorisés de nombreuses façons par les hackers, notamment en leur permettant d’accéder aux informations sensibles de l’entreprise et de lancer des attaques de spear phishing et par ransomware depuis l’intérieur du réseau.
Les attaques de phishing usurpant l’identité de Microsoft O365 se présentent sous forme de notifications de partage de fichiers OneDrive ou SharePoint qui imitent parfaitement bien les pages d’accès (identifiant / mot de passe) à ces deux plateformes.
Le phishing lié aux fichiers partagés concerne également Dropbox : le service d’hébergement de fichiers a gagné quatre places au 1er trimestre, et se hisse ainsi en 11è position. Adobe se hisse à la 8è place (+12).
COVID-19 : une campagne de phishing ciblant Microsoft 365 et exploitant la pandémie découverte par Vade Secure
L’email semble provenir du Département de la santé américain (who-publichealth-covid19 (at) getyourguide (dot) com) et dispose de l’objet « COVID-19: New cases around your city» (COVID-19 : de nouveaux cas autour de votre ville). En cliquant sur l’URL de phishing, hébergée sur divers sites Web légitimes hackés d’Allemagne, du Bélarus ou de République tchèque, l’utilisateur accède à une page de connexion Web Outlook usurpée.
Cette attaque a été envoyée à 48 clients de Vade Secure for Microsoft 365, mais à seulement un utilisateur par client. Elle n’aura duré que 5 heures : il s’agit donc d’une campagne dynamique de faible ampleur. En plus des tentatives classiques de phishing cherchant à exploiter le COVID-19, Vade Secure a également observé diverses stratégies de phishing et autres arnaques liées au coronavirus.
Facebook conserve sa 2e place pour le 2e trimestre consécutif – Le phishing sur les médias sociaux cherche à compromettre d’autres comptes
L’un des principaux objectifs du phishing sur les médias sociaux est de récupérer les identifiants des utilisateurs, puis de tenter de réutiliser les mots de passe sur d’autres services en ligne.
Dans les derniers exemples observés, l’utilisateur est invité à confirmer son compte pour prouver qu’il est bien l’administrateur de celui-ci. Or, le logo de Facebook et l’icône « F » ont été légèrement étirés et déformés. La manipulation des images est de plus en plus utilisée par les hackers pour contourner les filtres de messagerie qui ne peuvent détecter que les images correspondant exactement à celles qu’ils connaissent.
Facebook permettant aux utilisateurs de se connecter à des dizaines de milliers d’applications, élargit le champ des possibles aux hackers qui, s’ils parviennent à s’emparer d’identifiants Facebook, peuvent désormais accéder aux applications tierces pour lesquelles l’utilisateur a activé la connexion depuis le réseau social, et les compromettre.
En 3e position, PayPal perd 2 places – Le phishing s’oriente vers les PME
PayPal a finalement dû abandonner sa couronne au bout de deux trimestres, et se classe désormais en 3e position du Phishers’ Favorites de Vade Secure.
Le phishing sur PayPal s’intéresse depuis peu aux utilisateurs professionnels, et en particulier aux PME. En effet, PayPal a annoncé en juin 2019 PayPal Commerce Platform, une solution d’e-commerce permettant de mettre en relation ses utilisateurs avec 22 commerçants en ligne du monde entier. PayPal Commerce Platform constitue non seulement une solution de paiement pour les PME, mais elle offre également une conformité simplifiée, une protection contre la fraude et des offres de paiement de bout en bout. Cette expansion, et la couverture médiatique dont elle a fait l’objet, ont entraîné une explosion immédiate des attaques de phishing utilisant la marque PayPal.
Les autres marques du top 10 ont toutes gagné des places ; eBay fait son entrée à la 9e position
Les sept autres marques du top 10 du rapport Phishers’ Favorites de Vade Secure ont toute gagné des places par rapport au 4e trimestre 2019. Les mastodontes bancaires comme Chase (4e), Bank of America (5e) et Crédit Agricole (6e) ont respectivement gagné 7, 1 et 19 places. Amazon a gagné 3 places et se hisse ainsi en 7e position. Adobe (8e), eBay (9e), et Wells Fargo (10e) ont tous connu une croissance à deux chiffres.
eBay apparaît ainsi dans le classement pour la toute première fois, en 9e position. Le phishing usurpant l’identité de la plateforme a considérablement augmenté au cours des quatre derniers trimestres, propulsant le géant de l’e-commerce dans le top 25. Étonnant qu’eBay n’ait pas fait son apparition plus tôt dans le classement, au vu de son activité.
Le phishing visant les services financiers reste prédominant, mais les attaquants s’intéressent de plus en plus aux mots de passe des messageries
Cela fait maintenant trois trimestres que les services financiers représentent le plus grand nombre de marques et d’URL figurant dans le rapport Phishers’ Favorites de Vade Secure.
Deux marques des services financiers ont quitté le top 25, ce qui porte désormais leur nombre à huit, mais le secteur reste pourtant mieux représenté que le cloud (six marques). Le secteur de l’e-commerce/la logistique en compte quatre, la catégorie Internet/télécommunications trois, et les réseaux sociaux et le secteur gouvernemental deux.
Si l’on s’intéresse au pourcentage global d’URL de phishing, les services financiers dominent toujours, avec 37 %. Le Cloud commence toutefois à disputer leur suprématie en passant de 24,5 % au 4e trimestre 2019 à 29,1 % ce trimestre. Les médias sociaux (11,6 %), l’e-commerce/la logistique (11,1 %), le secteur Internet/Télécommunications (8,6 %) et les sites gouvernementaux (2,8 %) ferment la marche.
Pour les cybercriminels, le lundi tout est permis !
Si l’on s’intéresse à la répartition de l’envoi des emails de phishing, le jeudi compte toujours parmi les jours les plus actifs, mais le lundi dépasse le vendredi, qui était pourtant le jour le plus dynamique au 4e trimestre. Le mardi, le mercredi et le vendredi sont des jours intermédiaires, et le samedi et le dimanche ferment encore une fois la marche.
Tandis que le pourcentage global d’emails envoyés pendant le week-end connaissait une légère croissance au cours des quatre derniers trimestres, cette tendance s’est inversée lors du 1er trimestre 2020. Le pourcentage d’emails envoyés pendant le week-end est ainsi passé de 21,2 % au 4e trimestre 2019 à 17,6 % au 1er trimestre 2020. C’est sans doute pour cette raison que le samedi et le dimanche constituent les deux jours les moins actifs pour les marques du top 10. Les exceptions sont Facebook, dont le 2e jour d’activité le plus intense est le samedi, et Amazon pour qui les samedis et dimanches constituent 2 des 3 jours intermédiaires.
Le rapport « Phishers’ favorites (disponible ici dans son intégralité – Lien actif en début d’après-midi pour vous laisser l’exclusivité) est le fruit de l’analyse du nombre d’URL de phishing uniques détectées par Vade Secure et rendues publiques sur www.IsItPhishing.AI. En exploitant les données issues de plus de 600 millions de boîtes mail dans le monde, les algorithmes de deep learning de Vade Secure identifient la marque usurpée lors de la campagne de phishing grâce à une analyse en temps réel de l’URL et du contenu de la page.