Blog › Classement Phishers' Favorites, T2 2020 : Microsoft, marque la plus usurpée : comment la pandémie de COVID-19 a faussé la donne

Classement Phishers' Favorites, T2 2020 : Microsoft, marque la plus usurpée : comment la pandémie de COVID-19 a faussé la donne

27 août 2020

27 août 2020

min

6 min

Natalie Petitto
Natalie Petitto

Bienvenue dans le classement Phishers’ Favorites du deuxième trimestre 2020. Cette neuvième édition présente les 25 marques les plus usurpées par les attaques de phishing au troisième trimestre 2019 en s’appuyant sur le nombre d’URL de phishing uniques détectées par Vade Secure au cours du trimestre. Notre solution assure la protection de près d’un milliard de boîtes mail dans 76 pays, ce qui nous donne une vision unique sur le trafic de messagerie international, ainsi que sur le phishing ciblant le grand public et les professionnels.


Classement Phishers' Favorites, T2 2020 : Microsoft, marque la plus usurpée : comment la pandémie de COVID-19 a faussé la donne

Microsoft est n° 1 des marques les plus usurpées, deux fois plus que le n° 2 Facebook.

Microsoft conserve la première place et n’a occupé la deuxième place que deux fois au cours des neuf derniers trimestres. Il convient de noter que les 9 410 URL de phishing uniques détectées par Vade Secure au 2ème trimestre ne représentent pas le nombre total d’e mails de phishing de Microsoft détectés mais uniquement les URL de phishing contenues dans ces emails. Dans la plupart des cas, une URL de phishing unique est détectée plusieurs centaines de fois au cours de différentes campagnes de phishing.

La place occupée par Microsoft au cours des sept derniers trimestres correspond au nombre croissant d’utilisateurs de Microsoft 365 (anciennement Office 365). Avec 258 millions d’utilisateurs, Microsoft 365 abrite un nombre incalculable de données sensibles concernant les entreprises et les employés dans SharePoint, OneDrive, Teams et autres applications.

Sans compter que Microsoft est l’une des entreprises les plus célèbres au monde. Cette notoriété est synonyme de confiance : la force de persuasion des logos de Microsoft 365 ou d’Office 365 est telle, en particulier dans le monde de l’entreprise, que les hackers les utilisent afin de se donner une légitimité apparente dans le but d’usurper d’autres marques.

Ci-dessous, vous trouverez un exemple du facteur de confiance à l’œuvre. Bien que l’email de phishing et la page web ci-dessous exploitent le véritable service Dropbox, les documents de phishing et le lien associés usurpent l’identité de Microsoft. Il s’agit de l’étape finale de l’attaque de phishing, et le hacker compte sur cette image pour inciter sa victime à cliquer.

Email Dropbox authentique
Email Dropbox authentique

Page Dropbox authentique
Page Dropbox authentique

Document de phishing Office 365
Document de phishing Office 365

Ci-dessous, vous trouverez un autre exemple d’usurpation de la marque Microsoft dans la même séquence. L’email semble être une notification du scanner Xerox de l’entreprise, qui informe la cible qu’un document est prêt à être visualisé. Si l’email à proprement parler est peu sophistiqué, il en va tout autrement de la page de phishing.

Comme vous pouvez le voir ci-dessous, l’email ne comporte aucun lien de phishing : la page de phishing est en pièce jointe, ce qui permet à l’email de contourner le scan des liens de phishing. Un formulaire Microsoft 365 pré-rempli avec l’adresse email professionnelle apparaît sur l’aperçu flouté d’une image scannée (l’objet de l’email). L’authenticité du formulaire Microsoft, associé à une image attrayante, crée une illusion efficace qui incite à livrer son mot de passe.

Email de phishing Xerox
Email de phishing Xerox

Formulaire de phishing Microsoft
Formulaire de phishing Microsoft

Le n° 2 Facebook est l’une des trois sociétés de médias sociaux présentes dans le top 25

Facebook a figuré au classement Phisher’s Favorite pendant plusieurs trimestres, et en a occupé la deuxième place pendant les deux derniers. Au cours du 2ème trimestre 2020, Vade Secure a détecté 4 373 URL de phishing uniques de Facebook, soit une augmentation de 17,1 % par rapport au 1er trimestre. À l’instar de Microsoft, l’empreinte numérique mondiale de Facebook est incontestable. Sa réputation en matière de sécurité ? Un peu moins. Les déboires de Facebook font couler beaucoup d’encre dans la presse, et chaque faux pas fait immanquablement la une, même s’il ne surprend guère.

La survenue des campagnes de phishing est souvent liée aux actualités ou à un évènement en cours. Nous avons eu l’occasion de l’observer au début du mois de mars 2020 avec une vague massive d’attaques de phishing liées à la pandémie de CODIV-19, et qui continue encore de déferler. Pour Facebook et d’autres marques connues, les pics d’usurpation d’identité correspondent parfois au lancement de fonctionnalités attendues, à des partenariats commerciaux et aux failles de sécurité ébruitées. Au cours de ces dernières années, Facebook a enchaîné les difficultés, notamment concernant la protection des données client, et les innombrables emails de phishing usurpant la marque en sont une conséquence logique.

Voici ci-dessous l’un des exemples les plus courants de phishing Facebook. Sans surprise, l’email exploite la volonté continuelle de Facebook de réaffirmer auprès de ses utilisateurs son engagement en faveur de la confidentialité et de la sécurité.

Phishing par demande de confirmation d’identité Facebook
Phishing par demande de confirmation d’identité Facebook

Facebook n’est évidemment pas la seule société de médias sociaux à monter dans le classement. WhatsApp, qui figurait timidement sur la liste aux premier et deuxième trimestres 2019, a connu un pic significatif au 4ème trimestre, avec plus de 5 000 URL de phishing uniques détectées. Après une baisse importante (-83 %) au 1er trimestre 2020, les URL de phishing WhatsApp ont bondi de 185 % au 2ème trimestre 2020, propulsant ainsi l’entreprise à la cinquième place du classement. Pourquoi ?

La pandémie de COVID-19 et les confinements déclarés en conséquence sont responsables d’une perte du lien social dans le monde entier. Face à ce problème, c’est naturellement vers la technologie que nous nous sommes tournés. Un certain nombre d’entreprises technologiques, en particulier Zoom, ont d’ailleurs enregistré d’importants bénéfices au cours de la crise, ayant saisi l’occasion de compenser la perte des liens personnels rendus impossibles par la situation sanitaire.

En plein confinement, l’utilisation de WhatsApp a connu une augmentation de 40 % dans le monde, dont 76 % en Espagne, pays particulièrement touché par la pandémie. Tout comme Facebook, WhatsApp est le paradis des groupes, dans lequel se sont massivement réfugiés les utilisateurs pendant le confinement afin de rester en contact avec leurs proches.

WhatsApp talonne Facebook avec ses 2 milliards d’utilisateurs et a également connu des percées remarquables dans le monde des affaires. Ce sont notamment les entreprises technologiques qui se sont tournées vers WhatsApp, dont l’API Business permet aux entreprises de contacter leurs clients directement via la messagerie WhatsApp. Un rapport publié en avril estimait que, d’ici 2024, sept millions d’entreprises utiliseraient professionnellement WhatsApp, ce qui représente une augmentation de 5 400 %.

Malgré sa sortie du top 10 au T2, les URL de phishing LinkedIn ont doublé par rapport au T1. Les opportunités d’ingénierie sociale abondent sur LinkedIn, d’autant plus que l’épidémie de COVID-19 a provoqué la perte de millions d’emplois à travers le monde.

Les sessions LinkedIn ont augmenté de 26 % au T2, et les utilisateurs de la plate-forme ont visionné quatre millions d’heures de contenu de formation en mars 2020, soit une augmentation de 50 % d’un mois à l’autre. Il ne fait aucun doute que ces augmentations sont corrélées à la perte de ces millions d’emplois, résultant dans l’afflux massif d’utilisateurs cherchant à élargir leur cercle et ainsi attirer de nouveaux prospects ou à agrémenter leur CV de nouvelles compétences (très certainement les deux). 

L’email de phishing LinkedIn présenté ci-dessous attirerait l’attention de n’importe quel profil à la recherche d’un emploi. Une arnaque de phishing courante : l’email informe l’utilisateur que son profil a été « consulté ». Par qui ? Connectez-vous à LinkedIn (donnez-moi votre mot de passe) pour le découvrir :

Email de phishing LinkedIn
Email de phishing LinkedIn

Le phishing des services financiers continue sur sa lancée

Les services financiers occupent encore la première place des secteurs les plus usurpés au cours des attaques de phishing, avec huit marques dans le top 25 et cinq dans le top 10, une première pour le classement Phishers’ Favorites. Les finances personnelles et professionnelles ont été bouleversées par la COVID-19, qui a conduit à la fermeture de nombreuses entreprises et provoqué l’instabilité financière de nombreux individus et familles. Le moment n’a jamais été plus opportun pour attirer les utilisateurs avec un email alarmant de la banque.

En tout, les services financiers représentent 33 % des URL de phishing au T2. Chase a détrôné Bank of America et pris sa place de banque cotée au NYSE la plus usurpée, tandis que Wells Fargo a progressé de deux places pour arriver n° 11.  La Banque Postale, une filiale du groupe La Poste, a gagné 12 places, arrivant ainsi douzième avec 3 199 URL de phishing.

Phishing avec notification par e mail de La Banque Postale
Phishing avec notification par e mail de La Banque Postale

Les usurpations de La Banque Postale ont connu une baisse importante aux troisième et quatrième trimestres 2019, puis un pic au T1 2020, à peu près au moment où la banque annonçait son partenariat avec Western Union, visant à faciliter les transactions internationales pour les clients de La Banque Postale. Au T2 2020, les URL de phishing de La Banque Postale ont augmenté de 102 %. Il s’agit de la plus forte augmentation à cette date, qui coïncide également avec une autre annonce importante : sa toute première acquisition.

Enfin, PayPal conserve la troisième place pour le deuxième trimestre consécutif, après un passage rapide par la première place aux troisième et quatrième trimestres 2019. PayPal reste une cible lucrative pour les hackers en quête de gains rapides. PayPal se distingue des marques telles que Microsoft, dont la clientèle est plus professionnelle, par une approche orientée grand public. Comme toutes les banques, PayPal abrite des millions de comptes en banque et de numéros de routages accessibles avec de simples identifiants — il suffit d’un nom d’utilisateur et d’un mot de passe —, faisant de la plate-forme une cible de choix pour les usurpateurs de marque.

La plupart des emails de phishing PayPal alertent d’une activité suspecte sur le compte ou d’un achat important. Les deux attirent forcément l’attention de l’utilisateur, et le poussent dans certains cas à cliquer sans réfléchir :

Phishing avec reçu de compte PayPal
Phishing avec reçu de compte PayPal

Phishing avec alerte d’activité suspecte sur PayPal
Phishing avec alerte d’activité suspecte sur PayPal

Le pire jour de la semaine n’est plus le lundi, mais le mercredi

Si les jours de la semaine sont toujours privilégiés par les usurpateurs de marques professionnelles, le lundi, éternel favori, a cédé la place au mercredi. Cette évolution correspond aux observations des derniers trimestres, avec des hackers qui imitent les communications du monde professionnel en envoyant des emails en semaine, mais pas le week-end.

Facebook, PayPal et WhatsApp enregistrent une plus forte activité les vendredi, samedi et dimanche, conformément à la tendance des marques grand public qui sont davantage usurpées les week-ends.

Tableau des jours de la semaine

Suivi des marques du classement Phishers’ Favorite

Vade Secure a établi un suivi des URL de phishing uniques pour les marques les plus usurpées depuis le 1er trimestre 2018. Nous assurons la protection d’un milliard de boîtes mail grand public et professionnelles, ce qui nous permet d’observer une multitude de nouvelles techniques chaque trimestre. Vous pouvez utiliser notre expertise pour former vos consommateurs et clients à identifier les attaques et techniques de phishing les plus courantes. Rendez-vous sur notre page Phishers’ Favorites pour trouver nos rapports précédents et découvrir comment les tendances de phishing ont évolué au fil du temps et la progression des marques les plus usurpées dans le classement.

Abonnez-vous à nos alertes pour recevoir nos derniers articles de blog