Nous sommes très heureux d’annoncer la publication de la deuxième édition de notre classement Phishers’ Favorites. Ce classement trimestriel présente les 25 marques les plus ciblées par les fraudeurs en France, leur positionnement et le nombre de places gagnées ou perdues depuis le 2e trimestre.

Comme dans l’édition précédente, cette liste a été compilée en calculant le nombre de nouvelles URL de phishing détectées chaque jour par Vade Secure et publiées sur www.IsItPhishing.AI. Au total, 86 marques sont suivies et analysées dans le cadre de ce classement. Ces 86 marques représentent à elles seules 95 % des URL de phishing détectées par notre technologie.

Sans plus attendre, voici le nouveau Top 25 Phishers’ Favorites, suivi d’une analyse et d’un commentaire détaillés.

Téléchargez l’infographie complète

Des URL de phishing toujours plus nombreuses et les attaques toujours plus ciblées

Il est évident que les attaques de phishing ont le vent en poupe, les hackers laissant de côté les failles logicielles pour se concentrer sur les failles humaines. Globalement, le nombre d’URL de phishing associées aux 86 marques évaluées a augmenté de 20,4 % au 3e trimestre.

 

Mais le plus inquiétant pour les professionnels de la sécurité réside dans le caractère toujours plus ciblé de ces attaques. En comparant le nombre d’URL au nombre d’emails de phishing bloqués par notre moteur de filtrage, nous avons constaté que le nombre d’emails associé à chaque URL a diminué de 64 % au 3e trimestre. Cette évolution indique que les hackers utilisent chaque URL dans un nombre moins important d’emails pour contourner les systèmes de sécurité basés sur l’analyse de la réputation. En fait, nous avons même détecté des attaques de phishing sophistiquées, dans lesquelles chaque email contenait une URL unique, garantissant ainsi son passage entre les mailles des filets des outils de sécurité de l’email traditionnels.

Microsoft reste de loin la victime préférée des hackers

Si l’on étudie les marques visées par ces attaques, une entreprise sort très nettement du lot : Microsoft.

Phishers img 3

 

La firme de Redmond occupe ainsi la première place du classement Phishers’ Favorites pour le deuxième trimestre consécutif. En termes de pourcentage, l’augmentation du nombre d’URL de phishing visant Microsoft peut sembler modérée (23,7 %). Pourtant, Microsoft a connu la plus forte croissance en valeur absolue, le nombre moyen d’URL passant de 124,2 au 1er trimestre à 192,4 au 2e trimestre, puis à 235,4 au 3e trimestre.

 

Le principal objectif de ces attaques est de récupérer des informations d’identification Office 365. Une seule combinaison identifiant/mot de passe peut en effet permettre aux hackers d’accéder à une quantité phénoménale de fichiers confidentiels, de données et de contacts stockés dans les applications d’Office 365 comme SharePoint, OneDrive, Skype, Excel, CRM, etc. De plus, les hackers peuvent exploiter ces comptes Office 365 compromis pour lancer d’autres attaques, notamment basées sur du spear phishing ou des malware, mais aussi de plus en plus des attaques internes ciblant d’autres utilisateurs d’une même entreprise.

 

Il existe toujours deux stratégies de phishing très courantes visant Microsoft. La première consiste à imiter la page de connexion d’Office 365 de manière quasiment indiscernable. Les e-mails pointant vers ce type de page expliquent souvent que le compte Office 365 du destinataire est suspendu ou désactivé. Ils sont formulés de sorte à générer un sentiment d’urgence qui pousse l’utilisateur à saisir immédiatement son mot de passe pour débloquer ou consulter son compte.

Microsoft Phishing

Détail du Top 10

Pas d’évolution pour PayPal, qui reste en 2e position avec une hausse de 29,9 % des URL de phishing. Les hackers ont toujours eu un faible pour PayPal en raison de sa grande base d’utilisateurs (244 millions de comptes actifs au 2e trimestre 2018) et des gains financiers immédiats résultant du piratage de ces comptes.

Netflix a gagné une place et occupe désormais la 3e position, avec une hausse importante du nombre d’URL de phishing (61,9 %). Le service de streaming vidéo est une cible populaire, car les hackers tentent fréquemment d’accéder aux numéros de carte bancaire en prétendant que les comptes ont été suspendus en raison de problèmes de facturation. Les informations de connexion à Netflix (et à d’autres services) sont également vendues à petit prix sur le dark Web.

Bank of America et Wells Fargo ferment la marche du Top 5 avec des hausses du nombre d’URL de respectivement 57,4 % et 21,5 %. Leur concurrente, Chase, a été victime d’une campagne massive de phishing, avec une hausse des URL frauduleuses de 352,2 %, ce qui la classe dans le Top 10 pour la première fois.

Sans surprise, en France Ameli reste dans le top 10 des marques les plus ciblées et passe à la 6ème place malgré une baisse de -18,2% par rapport au trimestre précédent. Ameli avait toutefois été particulièrement touchée au cours du 2ème trimestre avec une progression de 93,9% par rapport à la période précédente. Avec cette baisse relative on constate quand même en Q3 une augmentation du nombre d’attaques de près de 60% par rapport à Q1.

Il est intéressant de noter que Facebook est la seule autre marque du Top 10 à connaître une croissance trimestrielle négative du nombre d’URL de phishing (-35,6 %), qui fait suite à une baisse encore plus importante de -54,3 % au 2e trimestre.  Cette réduction régulière en 2018 suggère que les hackers ne s’intéressent plus à Facebook, peut-être en raison d’une plus grande méfiance du public et d’un intérêt renouvelé pour la sécurité après le scandale de Cambridge Analytica, qui a touché 50 millions de comptes, et d’autres incidents.

Les services dans le Cloud et financiers continuent de dominer le classement 

Encore une fois, nous avons complété notre analyse en regroupant les marques par catégorie afin de détecter d’éventuelles tendances. La composition du Top 25 reste assez stable : les services financiers y sont représentés à 6 reprises, contre 7 pour le Cloud. Avec une hausse de 359,4 % du nombre de pages de phishing ciblant Comcast, l’opérateur porte à 5 les entreprises du monde d’Internet/des télécommunications présentes dans le classement. Dans le même temps, le secteur de l’e-commerce et de la logistique a perdu une entreprise, Amazon. Il ne compte donc plus que trois représentants dans le Top 25.

 

les services cloud phishing

En termes de volumes, les secteurs du Cloud et des services financiers représentent à eux deux presque 75 % des URL de phishing. Les deux secteurs ont connu une croissance trimestrielle à deux chiffres (22,5 % et 36,7 % respectivement), mais c’est le secteur d’Internet/des télécommunications qui a subi la plus forte hausse en pourcentage (46,3 %), encore une fois à cause de Comcast. Les médias sociaux sont les seuls à avoir observé une baisse des URL de phishing, grâce à Facebook, comme expliqué ci-dessus.

Les mardis et jeudis sont les jours les plus favorables aux attaques de phishing

Ce trimestre, le classement Phishers’ Favorites se pare d’une nouveauté : l’analyse du jour de la diffusion de chaque URL de phishing. Nous avons découvert que le mardi et le jeudi sont les deux jours les plus courants pour ces attaques, suivis du mercredi, du lundi et du vendredi. L’activité est bien moindre le samedi et le dimanche. Eh oui, il semblerait que même les hackers travaillent le week-end.

jours de phishing

 

Ce qui est intéressant, c’est que ces données correspondent aux bonnes pratiques marketing relatives à l’envoi d’emails. Cette étude montre par exemple que le mardi, le mercredi et le jeudi sont les trois jours à privilégier pour l’envoi d’emails marketing. Il est difficile de dire si les hackers suivent les bonnes pratiques du marketing po