Bienvenue dans le classement Phishers’ Favorites. Cette 5e édition présente les 25 marques les plus victimes de phishing au 2e trimestre 2019 en s’appuyant sur le nombre d’URL de phishing uniques détectées par Vade Secure au cours du trimestre.

Microsoft reste la cible préférée des hackers pour le 5e trimestre consécutif

Au 2e trimestre, Microsoft a conservé sa place de leader du classement Phishers’ Favorites, un honneur douteux dont la firme « bénéficie » depuis maintenant 5 trimestres consécutifs. Au cours du trimestre écoulé, notre moteur d’IA a détecté pas moins de 20 217 URL de phishing uniques liées à Microsoft, soit plus de 222 par jour ! Bien que ce chiffre soit en réalité en baisse de 6,8 % par rapport au 1er trimestre, il est néanmoins supérieur de 15,5 % à celui du 2e trimestre 2018, date de notre premier classement Phishers’ Favorites. Par ailleurs, l’écart entre Microsoft et le 2e du podium, PayPal, se monte à plus de 4 300 URL.

Pour comprendre pourquoi le phishing ciblant Microsoft a atteint de telles proportions et se montre si durable, penchons-nous sur la taille de la base d’utilisateurs d’Office 365 et sa croissance. Dans la présentation de ses derniers résultats trimestriels, Microsoft a révélé qu’Office 365 comptait plus de 180 millions d’utilisateurs professionnels actifs chaque mois. Par ailleurs, IDC estime que la plateforme représente presque la moitié des implémentations mondiales de solutions d’email dans le cloud (47,6 %). Plus Office 365 gagne des utilisateurs, plus la plateforme devient alléchante pour les hackers.

Pour autant, la taille ne fait pas tout. La popularité de Microsoft parmi les hackers témoigne également du caractère lucratif des identifiants Office 365. Ces identifiants offrent en effet un point d’entrée unique vers l’intégralité de la plateforme, y compris la liste d’adresses globale de l’entreprise, ainsi que les documents, informations et contacts stockés dans SharePoint, OneDrive, Skype, etc. Les comptes Office 365 compromis sont également de plus en plus fréquemment utilisés pour envoyer des emails de spear phishing à d’autres employés de l’entreprise ou à ses partenaires.

Nous continuons d’observer une grande diversité parmi les attaques de phishing ciblant Office 365, allant des comptes faussement suspendus aux liens vers des documents OneDrive ou SharePoint, en passant par des enregistrements de messages vocaux et même des fax. De récentes attaques ont quant à elle utilisé des outils en ligne gratuits comme Typeform (voir la capture d’écran ci-dessous) pour créer et héberger des formulaires permettant de récupérer des identifiants. Nous avons également noté des emails avec des objets du type « Fermeture de votre compte Office ƷбƼ » utilisant des jeux de caractères exotiques, comme le cyrillique, pour contourner les filtres classiques bloquant la chaîne exacte « Office 365 ».

Page de Phishing Microsoft
Page de Phishing Microsoft créée à l’aide de Typeform

Par ailleurs, les hackers continuent de recourir au JavaScript, au CSS et à d’autres ressources directement issues du véritable site Web de Microsoft. En plus de permettre de recréer à l’identique l’expérience utilisateur d’origine, cette technique permet d’éviter de devoir mettre à jour ces ressources et d’accélérer le chargement de la page, car elles sont hébergées sur un CDN rapide.


PayPal conserve la 2e place en dépit d’une réduction de 8,4 % du nombre d’URL de phishing

PayPal a conservé la 2e place au 2e trimestre en dépit d’une réduction de 8,4 % du nombre d’URL de phishing par rapport au 1er trimestre. En comparaison avec le 2e trimestre 2018, le nombre d’URL de phishing ciblant PayPal a toutefois augmenté de 111,9 %. 

PayPal est depuis longtemps une cible très prisée, car il s’agit du service de paiement en ligne le plus utilisé au monde, avec près de 277 millions d’utilisateurs actifs au 1er trimestre. La nature de ces comptes rend la récupération de leurs identifiants instantanément payante pour les hackers.

Les emails de phishing imitant PayPal affirment généralement que le compte du destinataire est bloqué ou suspendu et l’invite à se rendre sur une page frauduleuse pour « confirmer » ou « restaurer » son compte. Par exemple, Vade a récemment détecté un email de phishing dont l’objet était du type « Votre compte a été désactivé, merci de le confirmer ». Le nom affiché de l’expéditeur était « PayPal security », mais le hacker a utilisé une adresse longue (no-reply-support-team_._@ewrtdrf.com), probablement pour cacher le domaine. Cette attaque est particulièrement intéressante, car l’email contenait 1 seul lien de phishing, noyé parmi 28 liens légitimes vers un site Web sans rapport avec PayPal (Vivid Seats). Les hackers essaient ainsi de tromper le destinataire, qui après avoir constaté que les premières URL de l’email le redirigeaient vers un site Web connu, baisse sa garde au moment de cliquer sur le lien malveillant.

Une variation de ce scam a circulé début avril, sous la forme d’un SMS plutôt que d’un email. Ce SMS expliquait au client que son compte faisait l’objet d’une vérification et lui demandait de renseigner un formulaire pour éviter le blocage. Un lien bit.ly permettait de masquer le nom de domaine frauduleux.

Page de Phihing Paypal


En hausse pour le deuxième trimestre consécutif, Facebook décroche la troisième place du podium

Après 3 trimestres consécutifs de déclin entre le 2e et le 4e trimestre 2018, le phishing ciblant Facebook a repris du poil de la bête en 2019, avec une croissance à 3 chiffres du nombre d’URL aux 1er et 2e trimestres (155,5 % et 175,8 %), pour une croissance annuelle de 176,1 %. Cette croissance massive a propulsé le réseau social à la 3e place de notre classement.

Tendance du Phishing  ciblant Facebook

On peut supposer qu’elle est liée à la montée en puissance de la possibilité offerte par le réseau de se connecter à des sites tiers avec les mêmes identifiants, une fonctionnalité nommée Facebook Login. Ainsi, les hackers parvenant à s’emparer d’identifiants Facebook peuvent savoir quelles autres applications de l’utilisateur bénéficient de ce type de connexion et compromettre également ces comptes !

Les hackers tirent profit de l’omniprésence de Facebook Login pour lancer des attaques des plus créatives. Une attaque en particulier a fait beaucoup de bruit en reproduisant un formulaire de connexion au réseau social dans un bloc HTML. La barre d’état, la barre de navigation, les ombres et le contenu étaient reproduits à la perfection : le formulaire paraissait absolument légitime.

Une campagne de phishing similaire axée sur Facebook avait visé en mars les utilisateurs d’appareils Apple en les redirigeant vers une page malveillante sur laquelle ils devaient s’authentifier avec Facebook Login. En cliquant sur le bouton Se connecter avec Facebook, l’utilisateur voyait s’afficher un formulaire typique d’iOS, mais il s’agissait en réalité d’une image intégrée à un document HTML. Autre technique particulièrement habile : l’utilisation d’un enregistrement vidéo pour faire croire aux utilisateurs que leur navigateur avait changé d’onglet une fois qu’ils avaient confirmé leur volonté de se connecter.


Détail du Top 10 : Amazon gagne 15 places et termine 8e

Netflix a perdu 1 place au 2e trimestre et décroche la 4e position, en dépit d’une hausse modeste de 8,2 % du nombre d’URL. Bank of America a conservé sa 5e place, Apple a gagné 2 places et se classe 6e, quand la CIBC en a gagné 3 et a atteint la 7e position. C’est Amazon qui a le plus évolué au sein de notre top 10 avec +15 places (8e). DHL a perdu 2 places (9e) et DocuSign a gagné 1 place, lui permettant d’accéder au top 10.

Penchons-nous plus en détail sur le cas d’Amazon. Le nombre d’URL de phishing imitant la société a augmenté de 182,6 % par rapport au 1er trimestre et de pas moins de 411,5 % sur 1 an. Le 5 mai a notamment été particulièrement remarquable, avec 84 URL uniques pour cette seule journée. Cette date coïncide avec le signalement d’un nouveau kit de phishing pour Amazon présentant quelques similitudes avec le kit 16shop qui avait ciblé les utilisateurs Apple fin 2018.

Un autre pic, plus modeste, mais significatif, a été observé le 19 juin, juste après l’annonce par Amazon de la date du Prime Day 2019. Cela n’a rien de surprenant, car les hackers profitent souvent des événements de cette ampleur pour noyer leurs attaques dans la masse, espérant ainsi que leur cible baisse sa garde.

De manière générale, et à la différence de ce que l’on peut constater pour les autres marques, les emails de phishing imitant Amazon sont très variés. Voici quelques exemples d’objets que nous avons observés il y a peu :

  • Félicitations : vous avez reçu un bon de fidélité Amazon #96-651
  • Une nouvelle surprise vous attend sur Amazon
  • Surprise spéciale sur Amazon
  • N’oubliez pas de demander votre produit exclusif
  • Utilisez votre carte Amazon #25-139 d’ici ce soir
  • Membre Prime : commande Amazon #C580148. Profitez de votre cadeau Amazon avant son expiration d’ici 12 heures
  • Membre Prime : confirmez votre récompense Amazon pour le Prime Day
  • Votre récompense #AM719XB vous attend. Demandez-la sans attendre !
  • Félicitations : vous avez reçu un bon de fidélité Amazon !


Le Cloud représente toujours la majorité des URL de phishing, mais la plus forte croissance provient des médias sociaux

La répartition sectorielle des entreprises de notre classement Phishers’ Favorites a légèrement évolué au 2e trimestre. Strip et Alibaba ayant fait leur entrée dans le top 25, les secteurs des services financiers et de l’e-commerce/la logistique sont respectivement représentés par 8 et 4 entreprises. Cette arrivée s’est faite aux dépens d’Instagram et du site des impôts : la catégorie Médias sociaux n’est ainsi plus représentée que par deux entreprises, contre zéro pour les sites gouvernementaux. L’arrivée d’OVH a été compensée par le départ de NBC : la catégorie Internet/Télécom reste inchangée (5 entreprises). Il en va de même pour la catégorie Cloud (6 entreprises).

Tendance des attaques de phishing par industrie

En ce qui concerne la répartition globale des URL de phishing, le Cloud s’arroge la part du lion pour le 5e trimestre consécutif avec 37,6 % des URL. Il est suivi des services financiers (33,1 %), des médias sociaux (15,6 %), de l’e-commerce/la logistique (7,7 %) et de la catégorie Internet/Télécom (5,2 %). La part du Cloud reste toutefois sur le déclin. De 49,6 % au 4e trimestre 2018, elle est passée à 42 % au 1er trimestre 2019, puis à 37,6 % à ce trimestre.

Les médias sociaux remportent encore une fois la palme de la croissance trimestrielle. De fait, la croissance du phishing ciblant les réseaux sociaux a accéléré, passant de 74,7 % au 1er trimestre à pas moins de 130,7 % au 2e trimestre. Cette croissance est uniquement due à l’augmentation du nombre d’URL ciblant Facebook, le seul autre réseau social présent dans le classement (LinkedIn, en 19e position) ayant quant à lui connu une réduction de 12,5 % des URL de phishing.

La catégorie E-Commerce/Logistique a également connu une forte croissance annuelle (28,4 %) tandis que la croissance des services financiers et du Cloud se limitait à respectivement 4,1 % et 0,1 %. Le phishing ciblant les sites gouvernementaux a quant à lui diminué de 12,1 % et celui ciblant les entreprises du secteur Internet/télécom de 16,8 %.


Près de 80 % des emails de phishing sont envoyés en semaine, avec un pic le mardi et le mercredi

Au global, 79,8 % des emails de phishing ont été envoyés en semaine pendant le 2e trimestre. Le pic n’est plus le lundi et le mardi comme au 1er trimestre, mais le mardi et le mercredi. On trouve ensuite le lundi, le jeudi et le vendredi. Sans surprise, le samedi et le dimanche ferment la marche.

Répartition des attaques de phihing par jour

Si l’on analyse maintenant cette répartition temporelle en fonction des marques, on peut constater que le phishing ciblant Microsoft était le plus fréquent le mardi et le jeudi, et comme pour les trimestres précédents, quasiment nul le week-end. D’autres chiffres illustrent bien la prévalence du phishing ciblant Microsoft en semaine : la marque était ainsi n° 1 71 % des 91 jours de la semaine du 2e trimestre, suivie de Facebook (18 %) et PayPal (11 %). Cet acharnement sur Office 365 montre que les hackers tentent de profiter du fait que les professionnels sont au travail et actifs sur leur messagerie pour maximiser leurs chances de réussite.

Le phishing visant PayPal était le plus fréquent le lundi et le vendredi, même s’il est intéressant de noter que la plateforme était la plus ciblée par le phishing sur 54 % des week-ends. Le phishing Facebook était quant à lui le plus courant le mercredi et le jeudi, celui visant Netflix le lundi et le mercredi, et celui imitant Bank of America le mardi et le jeudi. Dans le top 10, seule la CIBC fait bande à part, son phishing ayant connu au 2e trimestre un pic le samedi et le dimanche. Comment nous l’avons expliqué précédemment, les hackers ciblent souvent les clients des banques le week-end, lorsque les agences et les services clients sont fermés. En effet, il est ainsi plus difficile de vérifier si une demande est légitime ou non.

Comparatif du Phishing le week-end ou la semaine


MSP : utilisez le classement Phishers’ Favorites pour informer et protéger vos clients

Le classement Phishers’ Favorites est une véritable mine d’informations pour les MSP. Il leur permet de les informer, de leur présenter les menaces du moment, mais aussi d’insister sur leur évolution permanente. Vous pouvez ainsi mettre en avant les usurpations d’identité les plus fréquentes, ainsi que des exemples d’attaques récentes. Il peut à terme permettre de réévaluer les contrôles de sécurité de l’email actuels du client et de placer une solution comme Vade Secure pour Office 365, qui vient compléter la protection native d’Office 365 avec une détection des menaces basée sur l’IA et des fonctionnalités de neutralisation automatique.