Blog › Classement Phishers' Favorites : après 5 trimestres de règne, Microsoft est détrôné par PayPal

Classement Phishers' Favorites : après 5 trimestres de règne, Microsoft est détrôné par PayPal

07 novembre 2019

07 novembre 2019

min

8 min

Adrien Gendre
Adrien Gendre

Bienvenue dans le classement Phishers' Favorites. Cette 6e édition présente les 25 marques qui ont été les plus victimes de phishing au 3e trimestre 2019, en s’appuyant sur le nombre d’URL de phishing uniques détectées par Vade Secure au cours du trimestre.

Phishers_Favorites_Q3_2019

Voir la liste complète

Après 5 trimestres de règne, Microsoft est détrôné par PayPal

Pour la première fois depuis la publication de notre rapport Phishers' Favorites, Microsoft n’occupe pas la première place du classement. Au 3e trimestre 2019, la marque la plus usurpée lors d’attaques de phishing est en effet PayPal. Certes, le service de paiement en ligne est depuis toujours une cible privilégiée des hackers en raison du retour sur investissement immédiat généré par les comptes PayPal piratés. Toutefois, sa popularité a explosé en 2019. Le nombre d’URL uniques de phishing usurpant l’image de PayPal a ainsi fortement augmenté, avec une croissance de 167,8 % et 111,9 % aux 1er et 2e trimestres 2019 par rapport à 2018. Au 3e trimestre 2019, cette croissance a atteint 69,6 %. Avec 16 547 URL, soit presque 180 par jour, il ne s’agit toutefois que d’une augmentation modeste de 4 % par rapport au trimestre précédent.

Phishers_Favorites_Q3_2019_Microsoft_Paypal

PayPal compte parmi les services de paiement les plus utilisés au monde, avec plus de 286 millions de comptes actifs au 2e trimestre. Par ailleurs, deux initiatives stratégiques révélées au 3e trimestre ont contribué à l’attractivité de la plateforme, car les hackers tentent souvent de tirer parti de l’actualité et des événements liés à leur cible. Tout d’abord, PayPal a annoncé en juillet souhaiter jouer un rôle prépondérant dans le Libra, la nouvelle cryptomonnaie que souhaite lancer Facebook. (La plateforme s’est rétractée depuis). La société a également fait part de son intention de proposer Xoom, une plateforme de transfert d’argent internationale acquise en 2015, dans 32 pays, dont l’Autriche, la France, l’Allemagne, l’Italie, l’Espagne et le Portugal.

De manière plus précise, Vade a récemment mis au jour une campagne de phishing visant plus de 700 000 utilisateurs de PayPal, principalement basés en Europe. Les emails envoyés menacent leurs destinataires de poursuites judiciaires avec des objets du type « Dernier rappel avant action en justice ». Ils précisent en outre que cette action en justice peut être évitée moyennant le paiement d’une somme modeste, de l’ordre de 45 €. Divers modes de paiement sont proposés, notamment via une adresse postale aux États-Unis et un numéro de téléphone payant. Cette dernière option est bien entendu pensée pour être perçue comme étant la plus rapide et la moins coûteuse. Lorsqu’ils cliquent sur le lien, les utilisateurs sont redirigés vers une série d’outils de raccourcissement d’URL et finissent par arriver sur une page de phishing PayPal dont le domaine se termine par .info, .cx ou .ae.

Autre exemple récent, cet email de phishing PayPal imite une confirmation de paiement à Ryanair pour un montant de 356,98 £. Le message, qui utilise le nom affiché « service@paypal.co.uk », inclut des URL PayPal authentiques, ainsi que l’adresse « paypalquery@ryanair.com » dans le corps du message. Le seul lien de phishing est celui associé au texte invitant à cliquer pour annuler la transaction. Bien entendu, le destinataire n’ayant pas fait cet achat, il aura tendance à vouloir annuler la transaction et divulguer ainsi ses identifiants !

paypal

Microsoft passe à la 2e place, mais les campagnes de phishing usurpant l’identité Office 365 gagnent en sophistication

Comme nous l’avons vu précédemment, Microsoft a perdu sa couronne et est tombé à la 2e place de notre classement. Les 13 849 URL de phishing uniques usurpant l’identité de Microsoft et détectées au cours du 3e trimestre représentent une réduction de 31,5 % par rapport au trimestre précédent et le nombre le plus faible depuis le 1er trimestre 2018 (11 178).

Les raisons de cette baisse sont mystérieuses. S’agit-il d’une évolution saisonnière temporaire témoignant de la préférence des hackers pour les particuliers aux dépens des professionnels pendant l’été ? Après tout, nous avons déjà constaté une baisse du phishing usurpant l’image de Microsoft (et une hausse de celui usurpant l’identité de Netflix) à Noël dernier, période à laquelle les professionnels ne sont généralement pas au bureau.

Avec plus de 150 URL uniques par jour, les attaques de phishing usurpant l’identité d’Office 365 restent très fréquentes. Par ailleurs, les cybercriminels ont commencé à se concentrer davantage sur la façon de construire les emails en introduisant différents éléments aléatoires pour contourner les défenses traditionnelles. Avec cette approche, créer des URL uniques pour chaque email devient superflu, les hackers pouvant réutiliser une même page Web dans de nombreux emails, et ainsi déployer leur modèle plus facilement à grande échelle.

Une technique de plus en plus utilisée consiste par exemple à exploiter des logos de marque modifiés. L’objectif est de contourner les algorithmes de mise en correspondance de modèles et de caractéristiques, qui ne sont capables d’identifier que les logos et images strictement identiques à ceux qu’ils connaissent, tout en s’assurant qu’ils restent reconnaissables par leurs destinataires. Dans l’email de phishing imitant Microsoft présenté ci-dessous, le hacker a placé le logo de la société sur un fond bleu pour cette raison. Par chance, Vade Secure propose un moteur de vision par ordinateur capable d’identifier avec précision les logos modifiés, ainsi que les autres images utilisées dans les campagnes de phishing, comme les codes QR et les images composées de texte.

Le moteur a été entraîné pour voir les images web pages et les emails comme le feraient les êtres humains, en analysant leur affichage plutôt que leur code. Par ailleurs, pour faire face à ce scénario, nous avons également mis au point un algorithme qui modifie aléatoirement les logos et les insère sur des fonds générés au hasard pour anticiper tous les types de modifications qu’un hacker pourrait effectuer.

microsoft

Nous avons observé une autre tendance forte au cours des derniers mois : l’augmentation du nombre et de la diversité des emails de phishing usurpant les identités de OneDrive et SharePoint. Ces emails ont gagné en sophistication, qu’il s’agisse de notifications factices contenant directement une URL de phishing ou de notifications OneDrive authentiques incluant une URL liée à un fichier lui aussi authentique, mais dans lequel se trouve l’URL de phishing :

  • Notifications de document factices : l’exemple ci-dessous est une notification SharePoint factice contenant un lien de phishing. Cet email est extrêmement simple, mais fait appel à l’usurpation du nom affiché (en utilisant le nom d’un partenaire commercial du client et en prétendant provenir de son site SharePoint) et instille un sentiment d’urgence en précisant que le message ne sera plus disponible dans 48 heures).

sharepoint

  • Envoi de l’URL de phishing directement depuis un compte compromis : dans cet exemple, l’email provient d’un compte Office 365 compromis et semble envoyer un « document chiffré ». L’hyperlien semble mener à un document SharePoint (my.sharepoint.com), mais la véritable URL est complètement aléatoire.

exemple email

  • Notifications légitimes de fichiers légitimes contenant des URL de phishing : une troisième variation tire parti de la plateforme Office 365 pour générer des notifications comportant des liens vers des documents légitimes. Dans de nombreux cas, tandis que le fichier est légitime, le lien qu’il contient ne l’est pas. Nous avons également observé des liens vers des fichiers légitimes qui fonctionnaient comme des formulaires (voir l’exemple ci-dessous) pour capturer les identifiants de leurs victimes.

exemple email

Le phishing s’appropriant l’image de Netflix poursuit sa croissance

Au 3e trimestre, Netflix gagne une place et se hisse en 3e position. Le nombre d’URL de phishing uniques usurpant l’image du service et détectées au 3e trimestre est de 13 562, une hausse de 14,1 % par rapport au trimestre précédent et de 73,7 % par rapport au 3e trimestre 2018. De fait, le phishing usurpant l’identité de Netflix s’est montré très régulier, avec une hausse trimestrielle ininterrompue depuis 6 trimestres.

Phishers_Favorites_Q3_2019_Netflix

Bien entendu, la croissance continue de Netflix fait partie des moteurs de la multiplication des campagnes de phishing. Au 3e trimestre 2019, la plateforme disposait ainsi de plus de 158 millions d’abonnés payants dans le monde, ainsi que de plus de 5,5 millions d’utilisateurs bénéficiant d’un essai gratuit. Un autre facteur décisif pourrait être la diffusion de blockbusters. Par exemple, la saison 3 de Stranger Things, diffusée sur la plateforme depuis le 4 juillet, a réalisé la meilleure audience de l’année, avec 64 millions de spectateurs. Il est logique pour les hackers de capitaliser sur l’excitation générée par de tels lancements et d’essayer d’attaquer leurs victimes lorsqu’elles s’y attendent le moins.

Comme lors de trimestres précédents, nous continuons de voir de nombreux emails de phishing concernant des comptes suspendus ou des paiements refusés, qui ciblent à la fois les particuliers et les professionnels. Dans la variante ci-dessous (en espagnol), le lien ne mène pas à un formulaire, mais directement au malware, qui peut alors infecter l’ordinateur de la victime.

netflix

Détail du Top 10

Facebook a perdu une place au 3e trimestre et obtient donc la 4e position en raison d’une baisse de 20 % du nombre d’URL de phishing uniques. Il semble que la croissance massive du phishing usurpant l’identité de Facebook que nous avons signalée lors du trimestre précédent ait commencé à s’atténuer.

Bank of America et Apple ont conservé leur 5e et 6e position, même si le nombre d’URL usurpant l’image de Bank of America a diminué de 1 %, contre une hausse de 66,8 % pour Apple. Chase a gagné 8 places et s’arroge la 7e position après une hausse de 70,2 % du nombre d’URL usurpant l’image l’établissement. CIBC, Amazon et DHL ont chacun perdu une place et se retrouvent respectivement 8e, 9e et 10e.

En ce qui concerne Apple, nous avons repéré un exemple intéressant de phishing : un email récent affirmait que son destinataire avait demandé l’effacement à distance de ses données Apple. Ce message poursuivait en expliquant que cette demande étant inhabituelle, la société avait choisi de désactiver l’ID Apple de l’utilisateur pour assurer sa sécurité. N’ayant jamais formulé de telle demande, l’utilisateur peut bien entendu être tenté de cliquer sur le lien de réactivation de l’ID afin de restaurer l’accès à son compte.

email

Les services financiers réunissent 10 marques dans le top 25 et représentent pour la première fois le plus grand nombre d’URL de phishing

En termes de répartition sectorielle, cette édition du Phishers' Favorites voit les premiers conforter leur avance. Avec 8 marques dans le top 25, les services financiers ont ainsi gagné 3 représentants (Sun Trust Bank, Desjardins et BNP Paribas) et en ont perdu 1 (Stripe), ce qui porte leur nombre à 10 au 3e trimestre. Le nombre d’entreprises spécialisées dans le Cloud est resté stable (6). Les secteurs Internet/télécommunications (OVH), E-Commerce/Logistique (Alibaba) et Médias sociaux (LinkedIn) ont chacun perdu une marque, et sont donc représentés par respectivement 4, 3 et 1 sociétés. Le site des impôts a rejoint le top 25. Il s’agit du seul site gouvernemental représenté.

Phishers_Favorites_Q3_2019_Cloud_industry

Concernant la répartition du nombre global d’URL de phishing, le 3e trimestre a marqué la fin de l’hégémonie du Cloud. Les services financiers ont en effet décroché la première place pour la première fois en représentant 37,9 % de l’ensemble des URL. Cette performance est notamment due à la forte croissance du nombre d’URL usurpant les identités des marques Chase (70,2 %), Sun Trust Bank (750,8 %), Desjardins (194,7 %), Société Générale (83,9 %) et BNP Paribas (358,2 %). Ils sont suivis du secteur du Cloud (32,6 %), des médias sociaux (13,3 %), de l’e-commerce/la logistique (9,8 %), d’Internet/des télécommunications (5,1 %) et des sites gouvernementaux (1,2 %).

suntrust

En matière de croissance trimestrielle, les sites gouvernementaux ont connu l’évolution la plus forte, avec une hausse de 31,5 %, bien que le nombre total d’URL reste encore faible au regard de celui des autres secteurs. La catégorie E-Commerce/Logistique a également connu une forte croissance sur le trimestre (21,5 %), tandis que la croissance des services financiers se limite à 9,4 %. Les secteurs Internet/Télécommunications, Cloud et Médias sociaux ont vu leur nombre d’URL de phishing diminuer de respectivement 5,6 %, 17,3 % et 18,6 %.

Les hackers sont en repos le lundi, quand le mercredi reste un jour populaire

De manière globale, au 3e trimestre, 79,1 % des attaques de phishing ont été envoyés en semaine, ce qui constitue une légère baisse (79,8 % au 2e trimestre). Le pic de phishing n’est plus le mardi et le mercredi comme au 2e trimestre, mais le lundi et le mercredi. On trouve ensuite le mardi, le jeudi et le vendredi. Sans surprise, le samedi et le dimanche ferment la marche.

En analysant séparément chacune des marques, nous avons constaté que le lundi figure parmi les 2 jours de pic d’activité chez 6 des 10 premières de notre classement. Le phishing usurpant la marque PayPal est le plus fréquent le lundi et vendredi, tandis que pour Microsoft c’est le lundi et le mardi (quasiment aucune activité le week-end). Évoquons justement le week-end. Seul Facebook compte le samedi parmi ses jours d’activité la plus intense. Le phishing usurpant les marques CIBC et Amazon est quant à lui le plus actif le dimanche.

MSP : utilisez le classement Phishers’ Favorites pour informer vos clients

Le classement Phishers’ Favorites est une véritable mine d’informations pour les MSP et les revendeurs. Il leur permet d’informer leurs clients, de leur présenter les menaces du moment, mais aussi d’insister sur leur évolution permanente. Il peut à terme permettre de réévaluer les contrôles de sécurité de l'email actuels du client et de placer une solution comme Vade Secure pour Office 365, qui vient compléter la protection native d’Office 365 avec une détection des menaces basée sur l’IA et des fonctionnalités de neutralisation automatique.

Abonnez-vous à nos alertes pour recevoir nos derniers articles de blog