Blog › Classement Phishers' Favorites : Microsoft regagne la première place, le phishing lié aux fichiers partagés monte en puissance et les banques servent de gisement pour pirater les mots de passe des mes

Classement Phishers' Favorites : Microsoft regagne la première place, le phishing lié aux fichiers partagés monte en puissance et les banques servent de gisement pour pirater les mots de passe des mes

07 mai 2020

07 mai 2020

min

7 min

Adrien Gendre
Adrien Gendre
Bienvenue dans le classement Phishers' Favorites portant sur le 1er trimestre 2020. Cette 8e édition présente les 25 marques les plus usurpées par des attaques de phishing au 1er trimestre 2020 en s’appuyant sur le nombre d’URL de phishing uniques détectées par Vade Secure au cours du trimestre. Notre solution assure la protection de près de 600 millions de boîtes mail dans 76 pays, ce qui nous donne une vision unique sur le trafic international d’emails, ainsi que sur le phishing ciblant le grand public et les professionnels.

 

Voir la liste complète

Microsoft récupère la 1re place et détrône PayPal avec 2 fois plus d’URL de phishing

Microsoft, la principale marque victime d’usurpation lors de nos 5 premiers classements Phishers' Favorites, avait vu sa suprématie mise à mal par PayPal au cours des deux derniers trimestres. La firme de Redmond a aujourd’hui regagné la tête du classement : au total, Vade a détecté lors de ce 1er trimestre 2020 2 fois plus d’URL de phishing pour Microsoft que pour PayPal, qui reste pourtant en 2e position.

Microsoft récupère la 1re place et détrône PayPal avec 2 fois plus d’URL de phishing

Il n’est pas surprenant que Microsoft tienne la dragée haute à ses concurrents en matière de phishing d’entreprise. En effet, la société a déclaré en octobre compter près de 200 millions d’utilisateurs professionnels de Microsoft 365. En outre, la pandémie de COVID-19 ne fait qu’accélérer la migration vers les plateformes de messagerie et de productivité dans le cloud. Par ailleurs, les identifiants Microsoft 365 peuvent être valorisés de nombreuses façons par les hackers, notamment en leur permettant d’accéder aux informations sensibles de l’entreprise et de lancer des attaques de spear phishing et par ransomware depuis l’intérieur.

Les attaques de phishing usurpant l’identité de Microsoft 365 continuent de se présenter sous forme de notifications de partage de fichiers OneDrive et SharePoint. Dans l’exemple ci-dessous, la page de phishing usurpe la marque OneDrive et demande à l’utilisateur de se connecter sur Microsoft 365, Outlook ou un autre service pour consulter un fichier partagé. 

page de phishing usurpe la marque OneDrive

De même, cet exemple semble être un lien sécurisé vers un fichier SharePoint intitulé « Invoice & Remittance Advice » (Conseils de facturation et paiement). Encore une fois, l’utilisateur est invité à se connecter sur Microsoft 365 pour accéder au fichier.

Invoice & Remittance Advice

Par ailleurs, nous avons récemment découvert une campagne de phishing ciblant Microsoft 365 et exploitant la pandémie de COVID-19. L’email semble provenir du Département de la santé américain (who-publichealth-covid19 (at) getyourguide (dot) com) et dispose de l’objet « COVID-19: New cases around your city» (COVID-19 : de nouveaux cas autour de votre ville). En cliquant sur l’URL de phishing, hébergée sur divers sites Web légitimes hackés d’Allemagne, du Bélarus ou de République tchèque, l’utilisateur accède à la page de connexion Web Outlook ci-dessous.

la page de connexion Web Outlook ci-dessous

Cette attaque a été envoyée à 48 clients de Vade Secure for Microsoft 365, mais à seulement un utilisateur par client. Elle n’aura duré que 5 heures : il s’agit donc d’une campagne dynamique de faible ampleur. En plus des tentatives classiques de phishing cherchant à exploiter le COVID-19, nous avons également observé diverses stratégies de phishing et autres arnaques liées aux coronavirus et que nous avons détaillées dans un récent article.

Facebook conserve sa 2e place - Le phishing sur les médias sociaux cherche à compromettre d’autres comptes

Le géant des médias sociaux, Facebook, se classe en 2e position de notre classement pour le 2e trimestre consécutif. Avec près de 2,5 milliards d’utilisateurs actifs chaque mois, Facebook offre un vivier inépuisable aux hackers.

Jusqu’ici, l’un des principaux objectifs du phishing sur les médias sociaux  était de récupérer les identifiants des utilisateurs, puis de tenter de réutiliser les mots de passe sur d’autres services en ligne. Après tout, une étude réalisée par Google en 2019 a révélé que les 2/3 des internautes réutilisaient le même mot de passe pour plusieurs comptes.

Dans l’exemple ci-dessous, une fausse page de sécurité Facebook affirme que la page Facebook cible a été signalée comme abusive et risque donc d’être désactivée. L’utilisateur est invité à confirmer son compte pour prouver qu’il est bien l’administrateur de cette page. Ce qui est particulièrement intéressant, c’est que le logo de Facebook et l’icône « F » ont été légèrement étirés et déformés. La manipulation des images est de plus en plus utilisée par les hackers pour contourner les filtres de messagerie qui ne peuvent détecter que les images correspondant exactement à celles qu’ils connaissent.

une fausse page de sécurité Facebook

Facebook facilite encore cette approche avec son API universelle, qui permet aux utilisateurs de se connecter à des dizaines de milliers d’applications directement depuis le réseau. En effet, les hackers parvenant à s’emparer d’identifiants Facebook peuvent désormais accéder aux applications tierces pour lesquelles l’utilisateur a activé la connexion depuis le réseau social, et les compromettre.

En 3e position, PayPal perd 2 places - Le phishing s’oriente vers les PME

PayPal a finalement dû abandonner sa couronne au bout de 2 trimestres, et se classe désormais en 3e position de notre classement Phishers’ Favorites.

Traditionnellement, les hackers se tournent vers PayPal pour s’attaquer à des particuliers. La raison est double : la plateforme dispose d’une base impressionnante de 305 millions d’utilisateurs actifs (au 4e trimestre) et elle permet aux hackers de bénéficier d’un retour financier immédiat. Une fois que vous avez récupéré des identifiants PayPal, il vous suffit en effet de retirer le solde disponible sur le portefeuille et de poursuivre votre chemin.

Toutefois, le phishing sur PayPal s’intéresse depuis peu aux utilisateurs professionnels, et en particulier aux PME. En effet, PayPal a annoncé en juin 2019 PayPal Commerce Platform, une solution d’e-commerce permettant de mettre en relation ses utilisateurs à 22 commerçants en ligne du monde entier. PayPal Commerce Platform constitue non seulement une solution de paiement pour les PME, mais elle offre également une conformité simplifiée, une protection contre la fraude et des offres de paiement de bout en bout. Cette expansion, et la couverture médiatique dont elle a fait l’objet, ont entraîné une explosion immédiate des attaques de phishing utilisant la marque PayPal.

Les autres marques du top 10 ont toutes gagné des places ; eBay fait son entrée à la 9e position

Les 7 autres marques de notre top 10 ont toute gagné des places par rapport au 4e trimestre 2019. Les mastodontes bancaires comme Chase (4e), Bank of America (5e) et Crédit Agricole (6e) ont respectivement gagné 7, 1 et 19 places. Amazon a gagné 3 places et se hisse ainsi en 7e position. Adobe (8e), eBay (9e), et Wells Fargo (10e) ont tous connu une croissance à deux chiffres.

Il est ainsi intéressant de noter qu’eBay apparaît dans notre classement pour la toute première fois, en 9e position. Le phishing usurpant l’identité de la plateforme a considérablement augmenté au cours des 4 derniers trimestres, propulsant le géant de l’e-commerce dans le top 25. En réalité, nous sommes assez surpris qu’eBay n’ait pas fait son apparition plus tôt dans le classement, au vu de son activité.

eBay fait son entrée à la 9e position

Assez logiquement, une des stratégies de phishing fréquemment utilisées avec eBay consiste en l’envoi d’une fausse notification d’achat, telle que présentée ci-dessous. Un autre point intéressant dans cet exemple réside dans l’URL de phishing. Le hacker utilise ebay.com dès le début de l’URL pour tenter de convaincre sa victime que le domaine est légitime. 

<code>https:&#47;&#47;www.ebay.com-itm.pl/1962-Airstream-Bambi-16ft-Camper-Travel-Trailer/133273902820fhash-item1f07be5ee4_g_fR0AAOSwEJZdNjGP/WQAAOSwePtdK4Gwk11/Ha9IlLaBzZzfoyJSv52t/1962</code>

eBay phishing

Le phishing de fichiers ne concerne plus seulement Microsoft, mais aussi Adobe et Dropbox

Microsoft était la principale cible du phishing lié aux fichiers partagés depuis plusieurs trimestres, mais ce type d’attaque a maintenant évolué et concerne également d’autres marques.

Dropbox en est un exemple évident. Le service d’hébergement de fichiers a gagné 4 places au 1er trimestre, et se hisse ainsi en 11e position.

La page de phishing ci-dessous se fait passer pour une page Dropbox Business, l’offre la plus avancée de Dropbox, qui a déjà séduit plus de 300 000 utilisateurs professionnels. La page invite l’utilisateur à se connecter pour consulter un fichier.

La page de phishing ci-dessous se fait passer pour une page Dropbox Business

Une autre marque victime de cette tendance est Adobe, qui se hisse à la 8e place (+12). Principalement connue pour ses applications incontournables que sont Photoshop et Illustrator, la société propose également Document Cloud, une suite intégrant différentes solutions de gestion des PDF et signatures électroniques. Les hackers n’hésitent plus à exploiter cette offre pour lancer leurs attaques.

Un utilisateur a ainsi reçu il y a peu un fichier soi-disant protégé par AdobeDoc® Security et a été invité à saisir son adresse email et son mot de passe pour y accéder.

Un utilisateur a ainsi reçu il y a peu un fichier soi-disant protégé par AdobeDoc® Security

Les chercheurs de Vade ont déjà vu des pages de phishing presque identiques à celle illustrée ci-dessus, ce qui suggère que cette campagne est fortement automatisée. Les hackers insèrent de manière dynamique un formulaire de connexion différent pour chaque marque sur une image d’arrière-plan représentant un fichier Excel flouté. Ainsi, ils peuvent réutiliser efficacement la même attaque pour plusieurs marques, atteindre davantage de cibles et potentiellement gagner plus d’argent.

Le phishing visant les services financiers reste prédominant, mais les attaquants s’intéressent de plus en plus aux mots de passe des messageries

Cela fait maintenant trois trimestres que les services financiers représentent le plus grand nombre de marques et d’URL figurant dans notre classement Phishers’ Favorites.

Deux marques de services financiers ont quitté le top 25, ce qui porte désormais leur nombre à 8, mais le secteur reste pourtant plus représenté que le cloud (6 marques). Le secteur de l’e-commerce/la logistique en compte 4, la catégorie Internet/télécommunications 3, et les réseaux sociaux et le secteur gouvernemental 2.

Si l’on s’intéresse au pourcentage global d’URL de phishing, les services financiers dominent toujours, avec 37 %. Le Cloud commence toutefois à disputer leur suprématie en passant de 24,5 % au 4e trimestre 2019 à 29,1 % ce trimestre. Les médias sociaux (11,6 %), l’e-commerce/la logistique (11,1 %), le secteur Internet/Télécommunications (8,6 %) et les sites gouvernementaux (2,8 %) ferment la marche.

Le phishing visant les services financiers reste prédominant

Lors du trimestre précédent, nous avons signalé une hausse du phishing concernant les banques régionales modestes. Il semble que cette tendance ait été éphémère. Le graphique ci-dessous met en lumière le nombre d’URL ayant ciblé Desjardins et ATB Financial au cours des cinq derniers trimestres. Comme vous pouvez le constater, après une croissance importante au cours des deux derniers trimestres, le phishing a fortement diminué au 1er trimestre 2020.

Le graphique ci-dessous met en lumière le nombre d’URL ayant ciblé Desjardins et ATB Financial au cours des cinq derniers trimestres

La tendance prévalente du phishing ciblant les services financiers semble être l’usurpation de l’identité des grandes banques, non pas pour accéder aux comptes, mais pour récupérer les mots de passe des adresses email. Vade a ainsi détecté plusieurs variations d’une attaque au cours des dernières semaines, dont l’une prenait la forme de pages de phishing se faisant passer pour une page de Bank of America et Wells Fargo. Les deux exemples ci-dessous demandent explicitement à l’utilisateur de saisir son adresse email et le mot de passe de cette adresse.

pages de phishing se faisant passer pour une page de Bank of America

pages de phishing se faisant passer pour une page de Wells Fargo

Le lundi est le principal jour de phishing, mais le jeudi reste populaire

Si l’on s’intéresse à la répartition de l’envoi des emails de phishing, le jeudi compte toujours parmi les jours les plus actifs, mais le lundi dépasse le vendredi, qui était pourtant le jour le plus dynamique au 4e trimestre. Le mardi, le mercredi et le vendredi sont des jours intermédiaires, et le samedi et le dimanche ferment encore une fois la marche.

Le lundi est le principal jour de phishing, mais le jeudi reste populaire

Tandis que le pourcentage global d’emails envoyés pendant le week-end connaissait une légère croissance au cours des quatre derniers trimestres, cette tendance s’est inversée lors du 1er trimestre 2020. Le pourcentage d’emails envoyés pendant le week-end est ainsi passé de 21,2 % au 4e trimestre 2019 à 17,6 % au 1er trimestre 2020. C’est sans doute pour cette raison que le samedi et le dimanche constituent les deux jours les moins actifs pour les marques du top 10. Les exceptions sont Facebook, dont le 2e jour d’activité le plus intense est le samedi, et Amazon pour qui les samedis et dimanches constituent 2 des 3 jours intermédiaires.

MSP : utilisez le classement Phishers’ Favorites pour informer vos clients

Comme toujours, notre classement Phishers' Favorites constitue une mine d’informations que les MSP peuvent exploiter pour présenter à leurs clients les évolutions des menaces, en particulier dans le contexte de la pandémie de COVID-19. Alors que vos clients adoptent de plus en plus d’applications dans le Cloud pour permettre le télétravail, ils recevront inévitablement plus d’emails de phishing se faisant passer pour ces services. Par ailleurs, la distraction générée par le télétravail en cette période troublée génère un risque supplémentaire, ce qui peut faciliter le placement d’une solution de protection avancée contre les menaces.

Abonnez-vous à nos alertes pour recevoir nos derniers articles de blog