Classement Phishers' Favorites : Microsoft domine toujours le classement !
Adrien Gendre
—18 janvier 2019
—5 min de lecture

Classement Phishers' Favorites : Microsoft domine toujours le classement avec les attaques en plusieurs phases, tandis que Netflix s’arroge la 2e place après un Noël très actif.
Bienvenue dans le classement Phishers' Favorites portant sur le 4e trimestre 2018. Nous en sommes désormais à la 3e édition de notre classement des 25 marques les plus souvent visées par des attaques de phishing. N’hésitez pas à jeter un œil à nos classements du 2e trimestre 2018 et du 3e trimestre 2018. Cette liste a été compilée en calculant le nombre de nouvelles URL de phishing détectées chaque jour par Vade et publiées sur www.IsItPhishing.AI.
Microsoft conserve la première place, car Office 365 ouvre la voie à des attaques de phishing en plusieurs phases
La firme de Redmond occupe ainsi la première place du classement Phishers' Favorites pour le troisième trimestre consécutif. En valeur absolue, Microsoft reste loin devant ses concurrents, avec 2,3 fois plus d’URL de phishing détectées au 4e trimestre que le n°2 du classement, Netflix.
La popularité exceptionnelle de Microsoft auprès des hackers provient de la valeur des identifiants Office 365. En effet, ils constituent des points d’entrée vers l’ensemble des applications hébergées sur la plateforme, ainsi que vers les fichiers, données, coordonnées et autres données qu’elles contiennent.
Nous voyons ainsi de plus en plus d’attaques en plusieurs phases basées sur Office 365. Les hackers recueillent des identifiants Office 365, puis utilisent ces comptes légitimes pour envoyer des emails de spear phishing aux collègues ou partenaires commerciaux des utilisateurs piratés. Ainsi, l’objectif de ces attaques ne réside pas tant dans les identifiants que dans la valeur financière qu’ils peuvent générer par le truchement de virements, rançons ou cartes cadeaux. La base de ces attaques étant des comptes tout à fait légitimes, les produits classiques de sécurité de l'email n’ont presque aucune chance de les détecter.
Malgré la montée en puissance de ces attaques en plusieurs phases, la croissance des URL de phishing ciblant Microsoft a ralenti, atteignant 4,9 % au 4e trimestre, contre 23,7 % au trimestre précédent. Cette évolution est peut-être saisonnière, car le nombre de nouvelles URL détectées a chuté au cours de la deuxième quinzaine de décembre. De nombreux salariés prennent des vacances et ne consultent pas leurs emails professionnels pendant cette période, aussi les hackers se sont-ils concentrés sur d’autres cibles. Mais à n’en point douter, l’activité reprendra avec vigueur début 2019 !
Netflix ravit la 2e place à PayPal avec une multiplication des attaques pendant les fêtes
Mais alors, quelle marque a eu les faveurs des hackers au cours des fêtes ? Eh bien, il s’agit de celle qui occupe la 2e place de notre classement, Netflix. Les URL de phishing ciblant le spécialiste du streaming ont augmenté de 25,7 % au 4e trimestre, faisant du service une cible plus populaire que PayPal. Plus spécifiquement, un important pic d’attaques a été détecté fin décembre. Le jour de Noël a même battu le record 2018 du nombre d’URL de phishing ciblant Netflix !
Nos données confirment plusieurs rapports parus dans les médias un peu après Noël, qui faisaient état de nombreux scams visant Netflix. La FTC a même alerté le public en publiant un email de phishing qui affirme que le compte d’un utilisateur est suspendu et l’invite à cliquer sur un lien pour mettre à jour son mode de paiement. Il s’agit d’un exemple de phishing tout à fait classique pour le service, aucune nouveauté n’est à signaler de ce côté-là. Les hackers ont probablement essayé de tirer parti du fait que les clients du service étaient chez eux et actifs pendant les fêtes pour les faire réagir en urgence à la suspension apparente de leur compte.
Détail du Top 10
PayPal descend à la 3e place avec une réduction de 5,1 % de ses URL de phishing. Les hackers ont toujours eu un faible pour PayPal en raison des gains financiers immédiats résultant du piratage de ces comptes. Toutefois, la plateforme semble être en disgrâce, au moins temporairement. Les hackers sont probablement à la recherche de cibles plus lucratives.
Bank of America se maintient à la 4e place, malgré une chute de 33,2 % des URL de phishing la concernant, tandis que Chase gagne deux places et se classe en 5e position, avec une hausse de 0,8 % des URL. Le reste de notre top 10 se compose comme suit : DHL (+24,5 %), Facebook (-39,1 %, une chute remarquable), DocuSign (+11,5 %), Ameli (-51,76 %, la plus forte chute de notre classement, qui fait passer la plateforme de la 6e à la 9e place) et LinkedIn (+15,8 %).
Les services dans le Cloud représentent désormais la moitié des cibles des URL de phishing
Si l’on classe les différentes marques en fonction des secteurs auxquels elles appartiennent, aucun changement n’apparaît au 4e trimestre. Les services financiers ouvrent toujours la marche avec 8 entreprises, suivis par le Cloud (6), le secteur Internet/Télécom (5), le commerce/la logistique (2) et les médias sociaux (2).
Le plus intéressant réside dans la répartition des URL. Pour le troisième trimestre consécutif, le Cloud représente le plus grand nombre d’URL de phishing. Sa part est même devenue encore plus prépondérante, passant de 38,5 % au 2e trimestre à 39,2 % au 3e et à 49,6 % au 4e. Vous avez bien lu : les services dans le Cloud représentent désormais quasiment la moitié des URL de phishing ! Cette forte croissance est bien sûr liée à celles de Microsoft (+4,9 %) et Netflix (+25,7 %), mais également de DocuSign (+11,5 %) et de Google (+8,6 %). Adobe est le seul acteur du Cloud pour lequel le nombre d’URL de phishing a diminué (-10 %).
Même si les services financiers constituent le deuxième secteur visé avec 32 % des URL, ce chiffre atteignait 35,1 % au 3e trimestre. Cette baisse est principalement due à PayPal (-5,1 %), Bank of America (-33,2 %) et Wells Fargo (-72,7 %). Les six autres entreprises de services financiers de la liste sont quant à elles davantage représentées dans les URL de phishing qu’au trimestre précédent.
L’exemple le plus notable est UBS. Le nombre d’URL visant la banque a en effet explosé (+3 078 %), faisant gagner 35 places à l’établissement (n°16). Après une activité peu significative les neuf premiers mois de l’année, le phishing ciblant UBS a monté en flèche en novembre, avant de s’atténuer en décembre.
L’analyse des URL révèle qu’elles partagent toutes une même structure (voir ci-dessous). Cette découverte laisse à penser qu’elles proviennent du même outil de phishing. Cet outil a peut-être été publié au début du 4e trimestre, entraînant le pic d’URL. Le nombre d’URL a ensuite diminué à mesure que les produits de sécurité de l'email ont commencé à les détecter.
Exemples d’URL de phishing d’UBS :
http://switzerlandag12mqocb.naniqsystems.net/ubs/ |
http://switzerlandag1irlbv.alertpads.com/ubs/ |
http://switzerlandag1.ananeat.com/ubs/ |
http://switzerlandag1.ananeat.com/ubs/card.php |
http://switzerlandag1irlbv.alertpads.com/ubs/card.php |
http://switzerlandag1.alertpad.net/ubs/ |
http://switzerlandag1.alertpad.net/ubs/card.php |
http://switzerlandag12mqocb.naniqsystems.net/ubs/card.php |
http://switzerlandag1qchrujkuh.deput365.com/ubs/card.php |
http://switzerlandag1ltm.depute365.com/ubs/card.php |
http://switzerlandag1qchrujkuh.deput365.com/ubs/ |
http://switzerlandag1ltm.depute365.com/ubs/ |
http://switzerlandag1wrxpn.curointernational.com/ubs/ |
http://switzerlandag1wrxpn.curointernational.com/ubs/card.php |
http://switzerlandag1kc.alertsenses.com/ubs/ |
http://switzerlandag1kc.alertsenses.com/ubs/card.php |
http://switzerlandag172mf.paymentsea.com/ubs/ |
http://switzerlandag172mf.paymentsea.com/ubs/card.php |
http://switzerlandag1hk.brandmanagementclub.com/ubs/ |
http://switzerlandag1hk.brandmanagementclub.com/ubs/card.php |
Les mardis et mercredis sont les jours les plus favorables aux attaques de phishing
L’analyse des jours de la semaine a révélé que si le mardi et le jeudi étaient les plus populaires au 3e trimestre, le mardi et le mercredi remportent la palme du phishing au 4e trimestre. Les autres jours de la semaine restent dans le milieu du classement et le week-end ferme la marche.
Si l’on se penche sur ces données pour chaque marque, quelques points sautent aux yeux.
- Les attaques de phishing ciblant Microsoft ont principalement lieu du lundi au vendredi : Microsoft suit la tendance générale. Les attaques connaissent un pic le mardi et le mercredi, sont encore nombreuses le lundi, le jeudi et le vendredi, et diminuent significativement le week-end. Les hackers tentent visiblement de profiter du fait que les professionnels sont au travail et actifs sur leur messagerie pour maximiser leurs chances de réussite.
- Les hackers ciblant Bank of America sont principalement actifs le week-end : les attaques visant la banque sont plus nombreuses le dimanche. Lorsque les agences et les lignes d’assistance sont fermées, les hackers empêchent les destinataires de vérifier si les emails et pages sont frauduleux.
Découvrez Phishers' Favorites Lake !
Nous allons bien entendu poursuivre nos analyses sur ce blog, mais nous voulions permettre aux médias, analystes et bloggeurs de réaliser les leurs pour produire leurs propres articles en s’appuyant sur nos données. Nous sommes ainsi très heureux d’annoncer le lancement de Phishers’ Favorites Lake, un outil interactif permettant de manipuler nos données comme bon vous semble.