Blog › Classement Phishers' Favorites, T3 2020 : explosion du phishing Microsoft au cœur de l’été

Classement Phishers' Favorites, T3 2020 : explosion du phishing Microsoft au cœur de l’été

29 octobre 2020

29 octobre 2020

min

5 min

Natalie Petitto
Natalie Petitto

Bienvenue dans le classement Phishers' Favorites. Cette dixième édition présente les 25 marques les plus victimes d’usurpation d’identité pour réaliser des attaques de phishing au troisième trimestre 2020 en s’appuyant sur le nombre d’URL de phishing uniques détectées par Vade Secure au cours du trimestre. Notre solution assure la protection de près d’un milliard de boîtes mail dans 76 pays, ce qui nous donne une vision unique sur le trafic de messagerie international, ainsi que sur le phishing ciblant le grand public et les professionnels.


Classement Phishers' Favorites, T3 2020 : explosion du phishing Microsoft au cœur de l’été

2020 s’est avérée imprévisible sur de nombreux plans, mais l’activité de phishing détectée par Vade Secure au 3e trimestre est restée cohérente avec celle des années précédentes. Ainsi, cette année encore, la torpeur estivale a joué son rôle : le nombre d’URL de phishing uniques a diminué de juin à août, avant de reprendre du poil de la bête en septembre.

Bien que l’été soit peu propice aux records en matière d’URL de phishing uniques, un point reste néanmoins notable : les emails de phishing sont plus ciblés. Les hackers n’enchaînent plus les vagues massives et préfèrent se montrer plus sélectifs. Il en résulte des emails plus personnalisés, mais aussi bien plus efficaces.

L’explosion du phishing ciblant Microsoft permet à la société de garder sa première place

Première du classement sur 8 des 10 derniers trimestres, Microsoft est redevenue la marque la plus usurpée dans des attaques de phishing. Vade Secure a en effet détecté 13 617 URL de phishing uniques la concernant au 3e trimestre, avec un bref soubresaut en juillet et une véritable explosion en septembre.

L’explosion du phishing ciblant Microsoft permet à la société de garder sa première place

Le malware Emotet a fait son grand retour en juillet, avec une vague massive de malspam qui a touché les entreprises du monde entier. Les agences de sécurité française, japonaise et australienne ont ainsi exhorté les entreprises à se montrer vigilantes. Microsoft leur a emboîté le pas peu après.

microsoft-security-intelligence

Vade Secure a envoyé des avertissements similaires concernant Emotet en septembre. En plus d’une augmentation exponentielle du nombre d’URL de phishing, nous avons également détecté une forte hausse des emails comportant à la fois des URL de phishing et des fichiers ZIP protégés par mot de passe. Cette vague est toujours active actuellement. Emotet se fait discret le week-end et se déchaîne en semaine, moment auquel les hackers s’attaquent aux employés qui consultent leurs emails professionnels.

Entre fin août et début septembre, Vade Secure a détecté une vague d’URL de phishing ciblant Microsoft. La semaine du 21 août, le nombre d’URL a littéralement explosé, en passant de 846 URL de phishing uniques le 26 août à 1 799 le 1er septembre. Cette tendance s’est poursuivie jusqu’à la semaine du 21 septembre. Le 24 septembre, nous avons ainsi détecté 1 151 URL.

Le règne de Microsoft dans notre classement est le miroir de son omniprésence dans son secteur d’activité. En effet, Microsoft 365 reste majoritaire dans le monde professionnel et sa croissance ne montre aucun signe d’essoufflement. Au moment de la rédaction de cet article, la plateforme compte 268 millions d’utilisateurs professionnels qui sont autant de victimes potentielles d’emails et de pages Web de phishing.

Les services dans le Cloud sont les plus touchés

Microsoft n’est que l’une des entreprises spécialisées dans le Cloud qui figurent dans notre top 25. En effet, les services dans le Cloud représentent 44 % des URL de phishing détectées et ont connu une croissance trimestrielle de 17,9 %. Deux fois plus d’URL de phishing leur sont liées qu’au deuxième secteur le plus touché, celui des services financiers.

Les services dans le Cloud sont les plus touchés

La deuxième entreprise du Cloud la plus usurpée est Netflix, qui malgré un léger recul au 3e trimestre (2,3 %), est parvenue à gagner 5 places dans notre classement, à la 7e position. Netflix peut sembler être un choix étrange pour les hackers ciblant les emails, mais la convergence entre vies professionnelle et personnelle a atteint un niveau encore jamais vu en raison de la pandémie de coronavirus. Il n’est ainsi pas rare que des employés utilisent leur adresse email professionnelle pour ouvrir un compte personnel. Vous pouvez par ailleurs être certain qu’ils ont regardé Netflix depuis leur ordinateur portable du bureau.

Les services financiers constituent le deuxième secteur le plus usurpé par les hackers (6 marques présentes dans le top 25). Avec 2 512 URL de phishing uniques au 3e trimestre, PayPal décroche la 3e place. Le phishing ciblant la plateforme a atteint son niveau le plus haut en 2019 avant de décliner au 1er trimestre 2020. Chase, Bank of America, Wells Fargo et le Crédit Agricole figurent aussi dans le top 25.

L’e-commerce est quant à lui représenté par 5 marques dans le top 25, dont 3 dans le top 10 (eBay, Amazon et DHL). DHL s’est hissé pour la première fois dans le top 10 au 1er trimestre et y est resté depuis. Apple a gagné deux places et se classe 16e au 3e trimestre, comme au 1er.

Les médias sociaux représentent 4 des marques présentes dans le top 25. Bien que le nombre d’URL de phishing ciblant Facebook soit en recul, le réseau reste classé dans le top 5 et se positionne sur la 2e marche du podium au 3e trimestre, avec 2 868 URL de phishing.

WhatsApp, désormais propriété de Facebook, arrive en 8e position après avoir fait l’objet d’un intérêt croissant de la part des hackers depuis plusieurs trimestres. La plateforme est suivie par LinkedIn et Instagram.

Comme Microsoft, le secret de l’attrait de Facebook réside dans sa dominance dans son secteur. Les hackers intéressés par LinkedIn utilisent un appât comme celui présenté ci-dessous : ils promettent à leur victime d’étendre son réseau, voire de trouver un emploi.

Email de phishing LinkedIn
Email de phishing LinkedIn

Les spécialistes du phishing sont les plus actifs le lundi, le mardi et le mercredi

Les jours de semaine ont toujours été les plus populaires pour les hackers ciblant les professionnels, et cette règle ne s’est pas démentie au 3e trimestre. Les lundis, mardis et mercredis ont ainsi été les jours les plus favorables aux attaques. Le record de Microsoft a toutefois été enregistré un jeudi.

Les spécialistes du phishing sont les plus actifs le lundi, le mardi et le mercredi

En ce qui concerne les marques davantage tournées vers le grand public, ce sont les week-ends qui sont les plus populaires. Par exemple, le phishing ciblant Facebook et WhatsApp était le plus actif le samedi et le dimanche, tandis que la tendance pour Netflix était plus équilibrée, avec un pic d’activité le mercredi et le dimanche.

eBay marque des points auprès des hackers

Le phishing ciblant eBay monte en puissance. Avec une hausse de 53,5 % des URL de phishing au 3e trimestre, la plateforme devient populaire auprès des hackers et connaît une progression régulière dans le classement. Le premier pic s’est produit au 1er trimestre, quand eBay a gagné 18 places pour arriver en 9e position. La marque est ensuite passée 7e, puis 4e. Pourquoi cet intérêt soudain pour eBay ?

eBay marque des points auprès des hackers

Comme d’autres entreprises spécialisées dans le e-commerce, notamment Amazon, eBay a connu une croissance explosive au 2e trimestre en raison des confinements, qui ont entraîné une hausse du shopping en ligne. Mais eBay est aussi une place de marché sur laquelle les vendeurs sont à l’affût de la moindre nouvelle communiquée par la plateforme et ainsi susceptibles de cliquer sur des emails de phishing, qu’ils soient positifs ou négatifs. Dans l’exemple ci-dessous rédigé en allemand, l’expéditeur évoque ainsi une confirmation de commande. La pièce jointe, un PDF, est protégée par un mot de passe.

Email de phishing eBay
Email de phishing eBay

Tendances du phishing pour le trimestre

Les URL de phishing uniques des principales marques du classement sont globalement moins nombreuses, exception faite de Microsoft et d’eBay. Comme nous l’avons vu tout au long de cette année, les hackers se lancent de plus en plus dans des attaques plus ciblées, aux dépens des vagues massives qui recyclent des URL de phishing identiques dans des milliers d’emails.

Nous avons également constaté une hausse des attaques ne ciblant que quelques personnes d’une entreprise spécifique. Dans certains cas, une seule personne est même ciblée. Les hackers enquêtent souvent en amont sur ces personnes pour savoir à quel moment précis les contacter, quelle méthode adopter et comment les appâter.

Ils ont également fait preuve d’une imagination remarquable pour cacher leurs liens de phishing. Comme nous l’avons vu avec la vague d’emails liés à Emotet, ils parviennent de mieux en mieux à masquer les URL, en utilisant notamment des documents Word et PDF censés être des factures ou des contrats. Consultez nos rapports Phishers’ Favorites précédents pour en savoir plus sur l’évolution du phishing et du classement des principales marques.

Abonnez-vous à nos alertes pour recevoir nos derniers articles de blog