Phishing

Classement Phishers' Favorites : PayPal garde la main, le phishing visant les Notes augmente et les petites banques suscitent l’intérêt

Adrien Gendre

11 février 2020

36 min

Bienvenue dans le classement Phishers' Favorites du dernier trimestre 2019. Cette 7e édition présente les 25 marques les plus touchées par des attaques de phishing au 4e trimestre en s’appuyant sur le nombre d’URL de phishing uniques détectées par Vade. Notre solution assure la protection de près de 600 millions de boîtes mail dans 76 pays, ce qui nous donne une vision unique sur le trafic de messagerie international, ainsi que sur le phishing ciblant le grand public et les professionnels.

PayPal décroche la première place pour le 2e trimestre consécutif

Pour la deuxième fois cette année, PayPal a été la marque la plus usurpée par les attaques de phishing. Si le nombre d’URL a diminué de 31 % par rapport au 3e trimestre, il reste 23 % supérieur à celui observé à la même époque l’année passée. Avec une moyenne de 124 URL uniques détectées par jour, le phishing ciblant PayPal constitue une menace omniprésente pour le grand public et les employés de PME.

Si PayPal reste aussi populaire auprès des hackers, c’est en partie à cause du retour financier immédiat généré par le piratage des comptes de cette plateforme. De plus, le nombre de comptes PayPal actifs ayant dépassé les 295 millions au 3e trimestre, les hackers y voient un vivier exceptionnel de cibles potentielles pour leurs campagnes de phishing.

Leurs attaques continuent d’exploiter du contenu légitime afin d’essayer de tromper les utilisateurs et les filtres de messagerie. Les campagnes cachent une URL de phishing parmi des URL légitimes, utilisent des adresses de réponse authentiques et redirigent les utilisateurs vers le véritable site Web de PayPal une fois leurs identifiants récupérés sur la page de phishing.

Exemple récent : un email de phishing affirme qu’une nouvelle connexion provenant d’un appareil inconnu a été détectée. Il indique également des informations techniques sur cette prétendue connexion, comme le système d’exploitation, ainsi que le nom du navigateur Web et sa version. Le message poursuit en expliquant que l’accès au compte PayPal sera restreint tant que l’utilisateur ne se sera pas connecté pour confirmer son identité.

Microsoft reste la principale cible de l’espace professionnel, avec une hausse du phishing lié aux fichiers et aux Notes

Microsoft est resté la principale cible du monde professionnel au 4e trimestre et arrive en 3e position de notre classement. Ce résultat n’a rien de surprenant au vu de la croissance continue d’Office 365. En octobre, Microsoft a ainsi annoncé 200 millions d’utilisateurs professionnels actifs sur sa plateforme. En raison du nombre de PME qui ne s’appuient que sur la solution EOP de Microsoft pour se protéger, les cybercriminels n’ont qu’à affiner leurs campagnes de phishing pour passer entre les mailles du filet. Les comptes Office 365 compromis leur permettent d’accéder aux informations sensibles stockées dans SharePoint, OneDrive, Skype, etc., mais aussi de lancer des attaques de spear phishing visant d’autres employés ou des partenaires.

On observe toujours une grande diversité dans les attaques de phishing ciblant Office 365. La tendance que nous avons signalée au trimestre dernier concernant les fausses notifications de partage OneDrive et SharePoint se poursuit. Ces campagnes vont des fausses notifications OneDrive/SharePoint menant directement à une page de phishing aux notifications authentiques liées à des fichiers contenant des URL de phishing.

Comme nous l’avons évoqué récemment dans nos prédictions concernant la sécurité de l'email en 2020, le phishing lié au partage de fichiers laisse peu à peu place au phishing lié au partage de Notes OneNote et Evernote. Les campagnes fonctionnent de la même manière : vous recevez une fausse notification menant directement à une page de phishing ou une notification authentique de partage associée à une note contenant une URL de phishing. La différence réside dans le fait que les Notes OneNote et EverNote ne sont pas des fichiers, mais des pages HTML. Or, la technologie utilisée par les fournisseurs de solutions de sécurité de l'email pour analyser le contenu des fichiers ne fonctionne pas avec ces pages. Ces emails ont ainsi de plus grandes chances de parvenir jusqu’aux boîtes de réception des utilisateurs.

Après 6 trimestres de croissance, le phishing ciblant Netflix diminue enfin

L’une des plus grandes surprises de notre classement du 4e trimestre est la la baisse du phishing ciblant Netflix ! La plateforme subissait en effet les assauts croissants des hackers depuis six trimestres consécutifs. Cette tendance a connu une inversion spectaculaire au 4e trimestre avec une chute de 50,2 % du nombre d’URL de phishing uniques. Avec seulement 6 758 URL de phishing détectées par Vade au 4e trimestre, le phishing ciblant Netflix a retrouvé le niveau  du 2e trimestre 2018.

Le phishing visant les services financiers continue de dominer le classement, mais concerne de plus en plus des établissements bancaires plus modestes

Voilà déjà deux trimestres que les services financiers représentent le plus grand nombre de marques et d’URL figurant dans notre classement Phishers’ Favorites. Au 4e trimestre, le nombre de marques est resté inchangé (10), mais Square, ATB et M&T Bank ont fait leur apparition dans le classement, quand Wells Fargo, SunTrust Bank et la Société Générale l’ont quitté. Le nombre d’entreprises du monde du Cloud (6) et de l’e-commerce/de la logistique (3), ainsi que le nombre d’organisations gouvernementales (1) n’ont pas changé non plus. Enfin, le groupe des réseaux sociaux a quant à lui gagné deux membres (WhatsApp et Instagram) aux dépens du secteur Internet/Télécom (Yahoo! et AT&T sont sortis du classement).

Si l’on classe ces secteurs selon la répartition des URL de phishing, les services financiers occupent la première place (37 %) et sont suivis du secteur du Cloud (27 %), des réseaux sociaux (24 %) de l’e-commerce/Logistique (7 %), d’Internet/Télécom (4 %) et des sites gouvernementaux (1 %). Mais le plus intéressant reste l’étude des tendances au sein même du groupe des services financiers. Le phishing ciblant les plus grandes banques a fortement diminué : Bank of America, Chase, le Crédit Agricole et Wells Fargo ont ainsi respectivement vu leur nombre d’URL chuter de 21,5 %, 14,6 %, 30 % et 54,4 %. Seule exception : BNP Paribas. La deuxième banque française en valeur a connu une croissance du nombre d’URL de phishing de 23,1 %. Dans le même temps, le phishing ciblant les banques plus modestes a fortement augmenté. Sont notamment concernées M&T Bank (+469,8% ), Desjardins (+54,4 %) et ATB Financial (+0,7 %).

Cet intérêt pour les banques de taille moins importante suit la même trajectoire que la situation observée dans le monde des entreprises. En effet, la vague de ransomwares de 2016 a ciblé les grandes entreprises, qui, après des perturbations majeures dans leurs activités, ont investi dans des produits de cybersécurité plus robustes. Les petites entreprises ne disposant généralement pas de protections aussi solides, les ransomwares ont par la suite jeté leur dévolu sur les PME et les agences gouvernementales. De la même façon, les grandes banques ont mis en place des SOC, ainsi que des procédures de réponse aux incidents et d’élimination pour limiter l’impact des campagnes de phishing usurpant leur marque. Les petites banques ne possèdent pas nécessairement de protections de niveau équivalent.

Le phishing visant les réseaux sociaux continue d’exploser, avec WhatsApp et Instagram en première ligne

Bien que seules 3 marques figurent dans le top 25, les réseaux sociaux représentent une part toujours plus importante du nombre d’URL de phishing : de 13,1 % au 3e trimestre 2019, ils sont passés à 24,1 % au 4e. Cette croissance est majoritairement due à WhatsApp, qui s’est envolé de 63 places pour atterrir en 5e position de notre classement, ainsi qu’à Instagram, qui arrive en 13e position (+16). La dernière marque liée aux réseaux sociaux, Facebook, a gagné 2 places et occupe la 2e position de notre classement, malgré une baisse de 18,7 % du nombre d’URL de phishing détectées. Par rapport au même trimestre de l’année précédente, le nombre d’URL ciblant Facebook reste néanmoins en hausse de 358,8 %.

Si l’on s’intéresse de plus près à WhatsApp, il apparaît que la croissance exceptionnelle des URL est liée à une campagne invitant ses destinataires à rejoindre le célèbre groupe Berbagi, qui diffuse du contenu pornographique. Par ailleurs, il apparaît que l’hébergeur Web 000webhost a été piraté afin d’héberger les pages de phishing. Vous remarquerez que ces quelques URL présentent toutes une structure similaire :

https://segera-masuk-bokep-wa-2019.000webhostapp.com https://join-grup-video-bokep62.000webhostapp.com http://join-grup-video-bokep62.000webhostapp.com https://working-class-total.000webhostapp.com http://frice123.000webhostapp.com http://grupwassap2019.000webhostapp.com https://grupwassap2019.000webhostapp.com http://join-grub-bokep-whatsap.000webhostapp.com https://join-grub-bokep-whatsap.000webhostapp.com https://grupwadwsa0.000webhostapp.com https://grup-bokep-whatsap-terbaru.000webhostapp.com http://grup-bokep-whatsap-terbaru.000webhostapp.com

En ce qui concerne Facebook, on peut supposer que sa popularité constante est liée à la montée en puissance de la fonctionnalité Facebook Login. En effet, les hackers parvenant à s’emparer d’identifiants Facebook peuvent désormais savoir quelles autres applications de l’utilisateur bénéficient de ce type de connexion et compromettre également ces comptes !

Par ailleurs, plutôt que de courir après un retour financier, les cybercriminels s’intéressent aux identifiants de leurs victimes pour tenter de réutiliser les mots de passe sur d’autres services en ligne. Après tout, une étude réalisée par Google en 2019 a révélé que les 2/3 des internautes réutilisaient le même mot de passe pour plusieurs comptes.

Enfin, il convient de noter que Facebook a lancé en novembre un nouveau système de paiement appelé Facebook Pay. Disponible sur Facebook, Messenger, Instagram et WhatsApp, Facebook Pay permet aux utilisateurs d’envoyer de l’argent à leurs amis, d’acheter des produits ou même de faire des dons. Il sera intéressant de voir si cette nouvelle fonctionnalité entraîne une nouvelle hausse du phishing ciblant les marques de Facebook, en particulier si le nombre d’utilisateurs de ce nouveau service atteint, voire dépasse celui de PayPal.

Le vendredi, c’est phishing

Pour la première fois depuis le début de notre analyse, le vendredi est le principal jour de réception des emails de phishing, suivi de près par le jeudi. Le mardi le mercredi et le lundi occupent le milieu du classement. Comme d’habitude, le samedi et le dimanche ferment la marche.

Comme vous pouvez le voir sur la carte, le vendredi fait partie des deux principaux jours au cours desquels sept des principales marques, notamment PayPal, Facebook, Netflix, WhatsApp et Bank of America, sont les plus visées. Ces marques s’adressent principalement au grand public : les hackers essaient probablement de toucher leurs victimes lorsqu’elles utilisent activement ces services pour les rendre plus susceptibles d’effectuer l’action demandée. Imaginez un week-end entier sans accès à votre compte Netflix !

En parallèle, le phishing ciblant Microsoft continue de connaître un pic en milieu de semaine, le mercredi et le jeudi étant les principaux jours d’activité au dernier trimestre. Ce phénomène est logique : les hackers souhaitent toucher les professionnels lorsqu’ils sont au bureau et qu’ils utilisent leurs comptes de messagerie.

Enfin, si le samedi et le dimanche constituent les deux jours au cours desquels le phishing est le moins actif, nous avons noté que les cybercriminels semblaient lancer de plus en plus de campagnes le week-end. Au cours des quatre derniers trimestres, la part des URL de phishing envoyées le week-end est en effet passée de 19,8 % à 21,2 %. Certes, cette hausse reste très contenue, mais il convient de suivre cette tendance, car les utilisateurs sont généralement moins vigilants le week-end.

MSP : utilisez le classement Phishers’ Favorites pour informer vos clients

Le classement Phishers’ Favorites est une véritable mine d’informations pour les MSP. Il leur permet de les informer, de leur présenter les menaces du moment, mais aussi d’insister sur leur évolution permanente. Au final, il peut donner l’occasion de réévaluer la stratégie de sécurité de l'email actuelle des clients et de proposer une solution comme Vade pour Office 365.

 

CLASSEMENT PHISHERS' FAVORITES : BILAN DE L’ANNÉE 2019
Ce rapport annuel met en lumière les 20 marques les plus usurpées dans les attaques de phishing en 2019.

Télécharger l’eBook