Bank of America, grande gagnante des banques les plus ciblées par le phishing

D’après notre classement Phishers' Favorites : bilan de l’année 2019, le phishing visant Bank of America a augmenté de 34 % en 2019. Cette hausse a coïncidé avec une multiplication inattendue des attaques de phishing visant les banques régionales. Autrefois considérées comme moins lucratives, elles sont aujourd’hui, au même titre que de nombreuses PME du monde entier, dans le viseur des hackers. Dotées de ressources bien inférieures à celles des grandes entreprises, les PME sont en effet devenues des cibles de choix.

Phishing visant Bank of America

Phishing visant Bank of America

Vade a détecté 19 800 URL de phishing uniques aux couleurs de Bank of America en 2019, contre 14 771 en 2018. Les alertes de sécurité figurent parmi les techniques de phishing liées aux services financiers les plus courantes, et les emails de phishing ciblant Bank of America ne font pas exception à la règle. Toute alerte liée à un compte personnel inquiète nécessairement son destinataire, mais lorsqu’elle provient d’un établissement financier, elle entraîne une réaction bien plus forte et multiplie ainsi les chances de réussite des hackers.

Dans l’exemple d’email de phishing  ci-dessous, la victime est informée qu’un nouvel appareil a été associé à son compte bancaire. De manière assez bien vue, l’utilisateur est poliment invité à ignorer cet avertissement s’il est à l’origine de l’enregistrement de ce nouvel appareil.

Phishing visant Bank of America

Aucun lien de phishing n’apparaît dans la première partie de l’email. Il s’agit là aussi d’une stratégie ingénieuse. En effet, le lien n’apparaît que plus tard, une fois que l’utilisateur est psychologiquement prêt à cliquer dessus.

Phishing visant Bank of America

Ce lien mène à une page de phishing très bien faite. Un utilisateur lambda penserait probablement se trouver sur le site de Bank of America. Cette page présente toutefois un point faible, même s’il n’est pas évident à repérer. En effet, à la différence des formulaires des pages Web authentiques de la marque, ses formulaires acceptent n’importe quel texte, notamment des adresses email et mots de passe qui n’existent pas, ainsi que des numéros de compte et de code PIN qui ne correspondent probablement à aucun client de l’établissement. C’est un comportement très classique des pages de phishing, car elles sont conçues uniquement pour enregistrer des informations. Elles ne reconnaissent donc pas les bonnes et mauvaises réponses.

Page de phishing pour Bank of America

Fausse page de connexion à Bank of America
Fausse page de connexion à Bank of America

Formulaire de phishing pour Bank of America
Formulaire de phishing pour Bank of America

Les petites banques deviennent les cibles préférées des hackers

Bank of America compte parmi les 10 marques de services financiers figurant dans le top 25. Plusieurs autres établissements de plus petite taille sont également présents dans le classement, une évolution qui tranche par rapport à l’année précédente, au cours de laquelle les hackers s’intéressaient principalement aux banques de Wall Street.

De manière générale, le secteur des services financiers constitue la cible privilégiée des hackers, avec 37 % des URL de phishing uniques détectées par Vade. Il est suivi de près par les services dans le Cloud, Microsoft et PayPal étant les deux entreprises les plus ciblées du secteur.

Microsoft et PayPal étant les deux entreprises les plus ciblée

Les évolutions des banques les plus visées sont contrastées. Le nombre d’URL ciblant Chase a diminué de plus de 14 %. Au contraire, la CIBC, auparavant en 21e place, s’est hissée à la 7e position avec une hausse de 399,5 % du nombre d’URL par rapport à 2018. Le nombre d’URL usurpant l’image du Crédit Agricole a quant à lui augmenté de 49,4 %, contre une réduction de plus de 74 % pour Wells Fargo.

Comme la CIBC, ATB, un établissement d’Alberta, a été victime d’une hausse de 317,8 % du nombre d’URL de phishing.

Enfin, Desjardins a vu son classement bouleversé après plusieurs trimestres d’une hausse assez faible du nombre d’URL de phishing. En effet, ce nombre a fini par augmenter de 1 680,4 % par rapport à 2018, lui permettant de se classer en 15e position (+47).

Cette augmentation du phishing ciblant Desjardins fait suite à une fuite massive de données survenue en 2019, au cours de laquelle un des employés de l’établissement a divulgué les informations de plus de 2,9 millions de comptes. Les fuites de données très médiatisées favorisent souvent le lancement d’attaques de phishing de grande ampleur, des attaques par email basées sur un événement ou saisonnières qui exploitent des événements dont on parle beaucoup.

Cet intérêt pour les banques régionales est cohérent avec la hausse globale des cyberattaques contre les PME. En 2019, les attaques délaissant les grandes entreprises au profit notamment des organismes publics, que ce soit directement ou par le biais des MSP, se sont multipliées. En raison du succès de ces attaques, cette tendance risque fort de se poursuivre en 2020, un scénario particulièrement sombre eu égard à la situation des PME pendant la pandémie de COVID-19.

Classement Phishers' Favorites : bilan de l’année 2019

Notre Classement Phishers' Favorites : bilan de l’année 2019 se penche sur les 20 marques les plus usurpées, ainsi que sur les tendances et techniques de phishing qui ont marqué 2019. Consultez ce rapport pour en savoir plus sur les raisons qui poussent les hackers à se tourner vers ces marques et la marche à suivre pour expliquer à vos clients et prospects les dangers du phishing et l’importance de la sécurité de l'email à l’aide de ces données.