Bienvenue dans le classement Phishers’ Favorites portant sur le 1er trimestre 2019. Nous en sommes aujourd’hui à la 4e édition de cette liste des 25 marques les plus ciblées par les attaques de phishing, établie sur la base du nombre d’URL de phishing uniques détectées par Vade Secure pour chaque marque au cours du trimestre.

Jusqu’ici, nous avons publié des versions différentes de notre classement pour l’Amérique du Nord et l’Europe. Toutefois, les différences entre les deux régions étant minimales, nous avons décidé de les réunir au sein d’un seul et même classement mondial.

Sans plus attendre, voici les résultats complets du trimestre, suivis d’une analyse détaillée.

Top 25 phishers favorites
Voir le classement complet

Microsoft conserve la première place, les hackers jouent sur une fausse impression de sécurité

Cela ne surprendra personne : Microsoft décroche la première place de notre classement pour le 4e trimestre consécutif. Après une baisse importante de l’activité lors de la trêve des confiseurs, pendant laquelle les hackers se sont consacrés aux consommateurs, le phishing ciblant Microsoft a repris du poil de la bête en janvier et retrouvé son rythme effréné en février et mars. La semaine du 4 mars a même battu tous les records observés depuis que nous effectuons cette analyse. Toutefois, en raison d’un début d’année atone, le nombre d’URL de phishing visant Microsoft a diminué pour la première fois au cours de ce trimestre, à -4,5 % par rapport au 4e trimestre 2018.

La popularité de Microsoft auprès des hackers ne se dément pas, car les identifiants Office 365 sont très lucratifs. Ils offrent un point d’entrée unique à l’ensemble de la plateforme et leur permettent de réaliser des attaques en plusieurs phases à partir des comptes compromis. De fait, les propres études de Microsoft estiment que le phishing visant Office 365 a augmenté de 250 % entre janvier et décembre 2018.

Nous continuons d’observer une grande diversité parmi les attaques de phishing ciblant Office 365, allant des comptes faussement suspendus aux liens vers des documents OneDrive ou SharePoint malveillants. Cette diversité s’accompagne d’une sophistication toujours plus grande : de nombreuses pages de phishing imitent à la perfection la page de connexion à Office 365. Pour y parvenir, les hackers effectuent une copie miroir de la véritable page, récupèrent son code JavaScript et CSS, et insèrent leur propre script permettant de récupérer les identifiants.

Microsoft Office 365 Phishing Page
Page de Phishing imitant exactement la page de Microsoft

Par ailleurs, nous avons remarqué que certaines attaques redirigent les utilisateurs vers des pages Microsoft légitimes une fois les identifiants récupérés pour ne pas éveiller les soupçons. Par exemple, lors d’une attaque récente ciblant plusieurs clients, les utilisateurs étaient redirigés vers Office.com après leur « connexion ». Il faut également noter que l’adresse de réponse à l’email d’origine de cette attaque était légitime (support@microsoft.com). Encore une fois, l’idée était de provoquer chez l’utilisateur une fausse impression de sécurité.

Le phishing ciblant PayPal explose, propulsant l’entreprise à la 2e place

Éternel chouchou des hackers, PayPal a retrouvé la 2e place après une impressionnante hausse de 88 % du nombre d’URL de phishing au 1er trimestre 2019. L’entreprise occupait déjà cette place aux 2e et 3e trimestres 2018, avant de tomber à la 3e place au 4e trimestre avec une réduction de 5,1 % du nombre d’URL.

PayPal a toujours fait partie des marques les plus visées par les hackers. La raison en est évidente : il s’agit du service de paiement en ligne le plus utilisé au monde, avec plus de 250 millions d’utilisateurs actifs au 3e trimestre 2018. Il s’agit également d’un mode de paiement accepté par de nombreux commerçants en ligne du monde entier : la valeur d’identifiants PayPal atteint ainsi des sommets.

Les attaques de phishing axées sur Netflix visent à la fois les consommateurs et les utilisateurs professionnels

Au 1er trimestre 2019, Netflix a perdu 1 place et se classe 3e. La croissance du nombre d’URL de phishing ciblant Netflix semble ralentir : 49,7 % au 2e trimestre 2018, 61,9 % au 3e trimestre 2018, 25,7 % au 4e trimestre de la même année, puis 11,9 % au 1er trimestre 2019.

Les emails de phishing essaient de faire croire aux utilisateurs que leur compte Netflix a été suspendu ou que leur paiement a été refusé. Ce qu’il est intéressant de noter, c’est qu’un nombre croissant de ces emails visent des utilisateurs professionnels. La plupart des utilisateurs fournissant probablement leur adresse personnelle lors de la création de leur compte Netflix, on peut supposer que les hackers espèrent qu’ils ne remarqueront pas que l’email leur a été envoyé sur leur adresse professionnelle. C’est un pari qui peut effectivement être gagnant, la distinction étant parfois peu évidente, en particulier sur un appareil mobile.

Une autre tendance intéressante concernant l’entreprise réside dans le fait que de nombreux emails de phishing contiennent pas moins de six ou sept liens Netflix authentiques (en plus du lien malveillant). Cette technique cherche à tromper les solutions basées sur la réputation et les utilisateurs, qui vont cliquer sur un ou deux liens pour s’assurer que l’email est authentique.

Détail du Top 10

Facebook a gagné trois places et est désormais 4e. Bank of America a perdu une place (5e) et le Crédit Agricole en a gagné 15 (6e). La société de transport DHL occupe quant à elle la 7e place, devant Apple (+8), Dropbox (+2) et la CIBC (+9).

Comme pour Netflix, les hackers ciblant Apple s’intéressent à la fois aux consommateurs et aux utilisateurs professionnels. De plus, en raison de la diversité des produits et services proposés par la marque, les thématiques de phishing sont très nombreuses : mises à jour de sécurité importantes, ID Apple désactivé, factures d’achat en Apple Store… Par ailleurs, les vecteurs d’attaque se combinent, par exemple avec des emails de phishing qui contiennent également une pièce jointe malveillante se faisant passer pour une facture.

Le Cloud représente toujours la majorité des URL de phishing, mais la plus forte croissance provient des médias sociaux

Après une grande stabilité au 4e trimestre 2018, la répartition des secteurs au sein du classement Phishers’ Favorites a changé au 1er trimestre 2019. Deux entreprises de services financiers ont quitté le top 25 et seules 7 marques du secteur sont donc encore présentes. Dans le même temps, une entreprise supplémentaire a fait son apparition dans le secteur des médias sociaux et dans le secteur gouvernemental, portant leur nombre respectif à 3 et 1. Pas de changement à signaler pour le secteur du Cloud (6), de l’Internet/des télécommunications (5) et de l’e-commerce/de la logistique (3).

En termes de pourcentages, le Cloud représente le plus grand nombre d’URL de phishing pour le 4e trimestre consécutif. 42 % des URL de phishing se font en effet passer pour des prestataires de services dans le Cloud, contre 49,6 % au 4e trimestre. Cette baisse est liée à la décroissance sur le trimestre de 4 des 6 marques de services de Cloud : Microsoft (-4,5 %), Docusign (-24,2 %), Adobe (-1,6 %) et Google (-34,1 %).

À l’autre extrémité du spectre, le phishing ciblant les médias sociaux a connu la croissance trimestrielle la plus importante de tous les secteurs. Les URL de phishing visant ces plateformes ont augmenté de 74,7 % au 1er trimestre, inversant la tendance à la baisse des trois trimestres précédents. La multiplication des attaques dans ce secteur est principalement liée à deux marques : Facebook et Instagram.

Flambée de phishing sur Facebook et Instagram

Le phishing ciblant Facebook a en effet augmenté de 155,5 % au 1er trimestre, propulsant le géant des médias sociaux à la 4e place. Facebook était d’ailleurs la principale marque visée par le phishing au 1er trimestre 2018, avant que sa popularité parmi les hackers ne diminue pendant trois trimestres consécutifs. Le réseau n’était ainsi plus qu’en 7e position au 4e trimestre 2018.

Il est difficile de savoir avec exactitude à quoi est dû ce regain d’intérêt. On peut toutefois supposer qu’il est lié à la montée en puissance de la possibilité offerte par le réseau de se connecter à des sites tiers avec les mêmes identifiants. Ainsi, les hackers parvenant à s’emparer de tels identifiants peuvent savoir quelles autres applications de l’utilisateur bénéficient de ce type de connexion et compromettre également ces comptes !

Il est également possible que cette croissance soit liée aux pratiques commerciales douteuses de Facebook. Il a ainsi notamment été révélé que Facebook stockait des centaines de millions de mots de passe en clair et avait demandé à certains utilisateurs leurs mots de passe de messagerie pour s’inscrire. Les pirates profitent peut-être des questions et inquiétudes entourant le réseau pour pousser les clients à cliquer sur des liens de phishing. 

Instagram est un autre exemple intéressant. Pendant trois trimestres, le phishing sur Instagram n’existait quasiment pas. Au 1er trimestre, le nombre d’URL concernant le réseau a explosé de 1 868,8 % ! Mais à quoi est due cette croissance massive ? Au début du mois de mars, plusieurs journaux se sont fait l’écho d’une vague d’emails de phishing proposant à leurs victimes un badge vérifié Instagram afin de les inciter à saisir leurs informations d’identification. Cette attaque avait été détectée par Vade Secure.

Instagram Phishing Page: Verified Badge Scam
Instagram phishing page: verified badge scam

Le lundi et le mardi sont les principaux jours de phishing et Microsoft domine l’activité interlope en semaine

Au 4e trimestre 2018, le mardi et le mercredi étaient les jours les plus populaires, palme qui revient au lundi et au mardi au 1er trimestre 2019. On trouve ensuite le mercredi, le jeudi et le vendredi. Le samedi et le dimanche ferment la marche.

Microsoft suit la tendance générale. Les attaques connaissent un pic le lundi et le mardi, sont encore nombreuses le mercredi, le jeudi et le vendredi, et diminuent significativement le week-end. Les attaques visant Office 365 concernent plus les entreprises que les particuliers : les hackers tentent visiblement de profiter du fait que les professionnels sont au travail et actifs sur leur messagerie pour maximiser leurs chances de réussite.

Le phishing de Microsoft domine la semaine et les week-ends de phishing de PayPal

Pour mettre en avant de manière plus évidente encore la prépondérance du phishing ciblant Microsoft en semaine, nous avons cherché à déterminer quelle marque générait le plus de nouvelles URL pour chaque jour au cours du 1er trimestre. Nous avons ensuite additionné les chiffres pour les 90 jours du trimestre. La multinationale Microsoft était en première position pendant 72 % des jours de la semaine, suivie par PayPal (23 %) et Facebook (3 %).

Si l’on s’intéresse aux totaux quotidiens des week-ends du 1er trimestre, les résultats sont très différents : le trio de tête est alors composé de PayPal (73 %), Facebook (11 %) et Netflix (8 %).

Il apparaît clairement que si certaines choses ne changent pas d’un trimestre à l’autre (Microsoft paraît indélogeable), la créativité des hackers semble n’avoir aucune limite. La façon dont ils conçoivent leurs attaques, du contenu aux techniques utilisées, continue d’évoluer à un rythme extrêmement rapide.