Rapport Phishers' Favorites 2023 : Facebook est la marque la plus usurpée, les e-mails de phishing ont atteint 1,76 milliard
Todd Stansfield
—06 février 2024
—9 min de lecture
Vade publi aujourd’hui son rapport Phishers' Favorites 2023 Year-in-Review, une analyse annuelle des principales menaces et tendances de phishing qui ont marqué 2023. L’année s’est avérée remarquable à plusieurs égards. Les e-mails d’hameçonnage ont battu des records. Les escroqueries sur Facebook ont atteint leur plus haut niveau. L’usurpation d’identité de Microsoft est restée plus populaire que jamais. Les pirates informatiques ont multiplié les attaques contre les entreprises et les consommateurs qui s’appuient sur les plateformes de médias sociaux.
Dans cet article, nous nous penchons sur les points marquants du rapport et vous offrons la possibilité de télécharger notre analyse complète.
Les 20 marques dont l’identité est la plus usurpée lors d’attaques de phishing
En 2023, les marques figurant au classement Phishers’ Favorites étaient visées par plus de 197 000 sites de phishing uniques. Malgré une baisse de 28 % en un an, cette période a marqué un record, celui du plus grand nombre d’URL de phishing envoyées par an dans le monde (plus de 1,76 Mds).
Pour la troisième année consécutive, Facebook était la marque la plus usurpée, avec près de deux fois plus d’URL de phishing uniques que la deuxième marque de la liste, Microsoft. Plus de 44 000 sites de phishing de Facebook ont ainsi été identifiés, soit 23 % de toutes les URL de phishing listées cette année. C’est un autre record pour la marque, jamais vu depuis que Vade a entamé le suivi de ces statistiques. Si les tentatives d’usurpation ont grimpé de 74 % en un an, ce phénomène s’est largement produit au T2. Au T3, les URL de phishing uniques de Facebook étaient en hausse de 169 % par rapport au semestre précédent. Les volumes se sont stabilisés au T4, avec une légère baisse de 5 %.
Les chiffres de cette année consolident la place de Facebook à la tête des marques les plus usurpées, et ce pour la troisième année consécutive. La popularité de la plateforme auprès des hackers prouve à quel point les médias sociaux sont visés par le phishing.
Si Facebook se démarque du lot, Microsoft faisait également partie des « favoris » des usurpateurs en 2023. Depuis 2022, les URL uniques de phishing visant le leader du Cloud ont connu une légère augmentation (1 % en un an) pour dépasser les 22 000 en fin d’année. Les usurpations de Microsoft sont presque deux fois plus nombreuses que la troisième marque.
Si Facebook et Microsoft font les gros titres, d’autres marques sont aussi touchées, comme le Crédit Agricole qui passe en un an de la septième place (fin 2022) à la troisième place des marques les plus usurpées. La banque, en tête des services financiers dans le classement, comptabilise plus du double d’URL de phishing que la marque occupant la place suivante. C’est la deuxième fois depuis 2021 que la marque est classée à la troisième place.
Dans ce top 10, nous retrouvons en outre les marques suivantes : Orange, SoftBank, Amazon, PayPal, Apple, Bank of America et Instagram. Orange et Amazon étaient en tête de leur secteur (Internet/télécommunications et e-commerce/logistique). Sixième du classement en 2021 et 2022, Orange arrive cette fois-ci à la 5e place.
Il est à noter que les marques SoftBank, Amazon, Bank of America et Instagram ne figuraient pas dans le top 10 2022. Parmi elles, c’est SoftBank qui a (malheureusement) le plus progressé dans le classement entre 2022 et 2023, avec un bond spectaculaire de la 76e à la 5e place.
Petite amélioration pour Google qui, arrivée à la 3e place en 2022, a terminé l’année à la 11e place.
Par ailleurs, SFR et American Express ont intégré le top 20, toutefois quitté par MTB, au, WellsFargo, Rakuten, Credit Saison, Adobe et Santander. Ce top 20 comptait notamment La Banque Postale, WhatsApp, DHL, Comcast, OVH, Société Générale et Netflix, toutes présentes pour au moins la deuxième année consécutive.
Les 20 marques dont l'identité est la plus souvent usurpée lors des attaques de phishing
Le phishing sur les médias sociaux atteint des niveaux record
Sur les médias sociaux, le phishing est un des principaux dangers qui guettent les entreprises et les consommateurs. Une crainte matérialisée par les données de cette année, qui consacrent de nouveau le phishing comme l’arnaque préférée des hackers.
Alors que le nombre d’URL de phishing uniques était en baisse pour la plupart des secteurs, les médias sociaux ont suivi la tendance inverse, avec une augmentation de 113 % en un an, le cloud étant le seul domaine visé par une légère hausse (4 %). Si Facebook est clairement responsable de ce classement, Instagram, WhatsApp et LinkedIn n’étaient pas en reste. Instagram arrivait ainsi à la 9e place, suivie par WhatsApp (13e) et LinkedIn (23e). Le top 20 est d’ailleurs bien connu d’Instagram et de WhatsApp, puisque ces marques y figurent pour la troisième année consécutive, alors que LinkedIn en était sortie en 2022.
Page de phishing Facebook détectée par Vade
Page de phishing Instagram détectée par Vade
Les plateformes Facebook et Instagram ont la réputation d’être orientées consommateur, mais il ne faut pas oublier qu’elles sont très utiles aux entreprises. Des entreprises de toutes les tailles y ont établi leur présence et dépendent de ces réseaux sociaux pour assurer leurs ventes, leur marketing, et leur recrutement. Un sondage mené auprès de marketeurs du monde entier révèle que près de 90 % des entreprises utilisent Facebook pour faire leur promotion et qu’elles sont 80 % à le faire sur Instagram. Pas étonnant, dans ce contexte, que les revenus publicitaires de Facebook dans le monde soient estimés à 127 Mds$ (USD) pour 2027, ce qui marquera un nouveau record après des années de croissance soutenue.
De son côté, LinkedIn reste une plateforme B2B populaire dans la vente et le marketing, et quasiment incontournable pour la gestion des talents. En l’état, des estimations récentes tablent sur une multiplication par deux de ses revenus publicitaires entre 2022 et 2027.
Pour autant, l’usurpation de ces marques n’est pas uniquement motivée par leur importance auprès des consommateurs. Compromettre un compte de médias sociaux, c’est accéder en sous-main à d’autres applications commerciales. Des rapports récents révèlent que 50 % des salariés dans le monde utilisent le même mot de passe pour tous leurs comptes. Une pratique très répandue dans les PME, qui manquent bien souvent de politiques de sécurité formelle ou de personnel dédié à cet aspect. Elles s’exposent donc davantage à la compromission de leurs comptes de médias sociaux et au vol d’identifiants d’accès à des applications critiques.
Classement Phishers’ Favorites : bilan de l’année
Encore une fois, les services financiers sont les plus souvent victimes d’usurpation, mais les médias sociaux progressent à grands pas
2023 n’aura pas changé la donne pour les services financiers, qui restent les plus usurpés par les hackers. Ce secteur comptabilise le plus grand nombre d’URL de phishing uniques (64 009/32 % du total), suivi par les médias sociaux (51 183/26 %), le cloud (43 350/22 %), Internet et les télécommunications (19 291/10 %), l’e-commerce et la logistique (17 882/9 %) ainsi que les services publics (1 903/1 %). Pour la première fois depuis 2021, la 2e place est occupée par les médias sociaux plutôt que par le cloud. Le classement reste identique pour tous les autres secteurs.
Phishing par secteur économique en 2023
En tête des 20 secteurs les plus usurpés cette année, nous retrouvons encore une fois les services financiers, qui comptent le plus grand nombre d’entreprises dans le classement (7), suivi par Internet et les télécommunications (4), les médias sociaux, le Cloud et l’e-commerce/logistique (3), puis les services publics (0).
Marques dans let top 20 : 2023
Ces chiffres nous révèlent que les tentatives d’usurpation visant les services financiers sont relativement diffuses. À l’inverse, l’usurpation sur les médias sociaux et le Cloud ne cible qu’une poignée d’entreprises. La popularité du Cloud auprès des hackers est bien connue, et ce sont principalement des marques comme Microsoft, Google et Netflix qui en font les frais.
Le fait que ce classement soit dominé par les services financiers n’est pas étonnant. Les attaques de phishing ont souvent pour but à court terme d’accéder rapidement au compte de la victime. Pour les hackers, largement motivés par l’appât du gain, ce secteur s’avère particulièrement lucratif et donc attractif.
Il n’est pas difficile de comprendre pourquoi les médias sociaux et le Cloud séduisent tant les hackers. Nous avons déjà parlé des médias sociaux, qui sont une mine d’identifiants à exploiter en vue d’orchestrer d’autres attaques. Concernant le Cloud, il faut chercher les réponses du côté des suites de collaboration telles que Microsoft 365 et Google Workspace, sans oublier les entreprises éponymes qui les développent.
Microsoft 365, première suite de collaboration dans le monde, a annoncé avoir atteint 382 millions d’abonnements au T3 2023. Une hausse spectaculaire compte tenu du nombre d’abonnements en 2020, qui s’élevait à 258 millions. De son côté, Google compte plus de 9 millions d’entreprises abonnées à Google Workspace. Les hackers vont là où ils trouveront des utilisateurs à exploiter : à cet égard, Microsoft et Google leur fournissent un impressionnant vivier.
Les entreprises légitimes comptent sur ces plateformes pour mener chaque aspect de leurs opérations. Les utilisateurs s’y rendent pour communiquer, collaborer et produire, et tirent avantage de cet environnement intégré. C’est parce qu’elles fournissent et facilitent ces services que ces suites sont prises pour cible par les hackers. Une seule compromission, et c’est la porte ouverte aux hackers, qui ne se priveront pas d’exploiter les organisations et leurs clients, fournisseurs et utilisateurs.
Les marques les plus usurpées par secteur
Les services légitimes ne sont pas épargnés par les hackers
En 2023, les hackers n’ont pas renoncé à l’usurpation très lucrative des services légitimes. Plusieurs marques ont ainsi été visées, dont YouTube, Google, Baidu et Cloudflare, pour n’en citer que quelques-unes. Les raisons de cet intérêt sont évidentes. Chaque plateforme procure une valeur ajoutée considérable aux consommateurs et entreprises. Sur Google, Baidu et YouTube, consommateurs et employés peuvent trouver les informations et services dont ils ont besoin, et les entreprises peuvent y vendre leurs produits et services. Quant à Cloudflare, la plateforme permet aux entreprises d’offrir aux utilisateurs des expériences optimales et sécurisées en ligne. Une chose ne change pas, cependant : plus le service a de la valeur, plus les hackers sont motivés à l’exploiter.
Le quishing fait un retour fracassant
Depuis quelque temps, le quishing, ou phishing de QR code, fait beaucoup parler de lui. Pourtant, cette attaque n’est pas récente. Elle consiste pour les hackers à incruster une URL de phishing dans le QR code pour brouiller la détection des filtres d’email. Si les premières attaques ont été détectées par Vade dès 2017, nous avons observé une hausse alarmante au T2, qui s’est poursuivie tout au long de l’année.
Email de quishing usurpant l’identité de Microsoft
Les raisons de cet intérêt sont évidentes. Bien qu’il s’agisse d’une menace bien connue, certains filtres d’email n’offrent toujours pas de capacités d’analyse des QR codes, ce qui les empêche de voir et d’analyser une URL malveillante. De plus, le quishing peut poser des difficultés aux solutions plus avancées qui s’appuient sur la Computer Vision. Cet algorithme alimenté par l’IA est capable d’extraire des liens malveillants incrustés dans des QR codes.
Cela expliquerait le degré de sophistication atteint par les emails de phishing. Ces dernières années ont été marquées par des hausses importantes des volumes de phishing, avec un pic atteint en 2023, le plus élevé depuis le début du suivi de Vade, en 2015.
Emails de phishing détectés par Vade depuis 2019
« Scama » : un autre danger du darknet
Question productivité, les kits de phishing sont les principaux responsables de la recrudescence des attaques de phishing. En plus de simplifier la conception, le développement et le déploiement des attaques, leur simplicité effarante permet à n’importe qui de devenir un cybercriminel.
En 2023, les analystes de Vade ont publié une analyse détaillée d’un «scama », ou kit de phishing composé de faux sites, vendue sur le darknet. Cette industrie malveillante s’épanouit sur des plateformes telles que Telegram, où les cybercriminels peuvent échanger tout ce dont ils ont besoin pour orchestrer une attaque de phishing avancée. Cela va des modèles d’email aux pages Web usurpant l’identité de marques et services légitimes.
Attaques de phishing : la protection multicouche face aux menaces dynamiques
Le phishing est la première cybermenace qui pèse sur les entreprises. Sa popularité est sans égale, tout comme son rendement, et les menaces ne cessent de gagner en fréquence et en sophistication. La protection des entreprises passe donc par une approche multicouche qui compense les vulnérabilités de votre surface d’attaque.
Pour vous protéger des menaces de phishing les plus abouties, penchez-vous sur les mesures suivantes :
- Sécurité de l’email intégrée et avancée : Depuis 2020, Gartner recommande aux entreprises de protéger leurs emails dans le Cloud avec une solution tierce intégrée. En 2023, l’entreprise a renouvelé sa recommandation. Seule une solution de sécurité tierce et intégrée peut neutraliser les menaces de phishing émergentes, également connues sous le nom d’attaques zero-day. Pour cela, recherchez des solutions s’appuyant sur des algorithmes de machine learning, de natural language processing et de Computer Vision. Ensemble, ces technologies assurent une défense prédictive contre tous les types de menaces, y compris les menaces basées sur le texte et l’image. Privilégiez également les solutions alimentées par des renseignements humains, des informations sur les menaces récoltées en temps réel et des fonctions robustes de prévention, de détection et de réponse. Cette approche multiple vous protège des attaques de phishing en vous permettant de les suivre et de vous en protéger.
- Réponse aux incidents unifiée et robuste : Dans le monde de la cybersécurité, les incidents sont inévitables. Lorsqu’ils se produisent, votre réponse doit être prompte et précise. Optez pour une technologie qui remédie automatiquement les menaces pour tous vos tenants ou utilisateurs, qui trie et remédie les emails signalés et qui vous permet de gérer votre posture de cybersécurité depuis un espace centralisé.
- Protection étendue de la messagerie au navigateur : Bien que l’email reste le premier vecteur d’attaque, la charge utile est souvent déposée via le Web. Protégez vos utilisateurs sur mobile et sur ordinateur grâce à Remote Browser Isolation (RBI). La technologie RBI protège les utilisateurs des attaques du navigateur en lançant systématiquement une session hébergée à distance. Pour une sécurité optimale, préférez les solutions qui s’étendent aux liens vers le Web contenus dans les emails, avec une gestion simplifiée de vos listes blanches.
- Formation de sensibilisation au phishing : L’erreur humaine reste la principale cause des violations de données partout dans le monde. C’est un fait, les utilisateurs sont particulièrement susceptibles d’interagir avec des liens et pièces jointes piégés. La formation de sensibilisation au phishing vise à corriger ce problème en leur apprenant à identifier les menaces et à les signaler aux administrateurs pour remédiation. Toutes les formations ont leurs mérites. Cependant, optez plutôt pour des programmes administrés sur ordinateur, de façon automatique et à la demande, en fonction du poste et de l’ancienneté de l’utilisateur. Cette approche fournit les meilleurs résultats et prodigue des contenus tenant compte des menaces que l’utilisateur est véritablement susceptible de rencontrer.