Etude de Check Point
Nous pensons tous qu’il nous est impossible de tomber dans le piège d’une tentative de phishing. Malheureusement, aucun d’entre nous n’est à l’abri parce que nous faisons tous des erreurs.
Le rapport d’enquête de Verizon sur les fuites de données en 2019 a montré que près d’un tiers (32 %) des fuites de données impliquaient une activité de phishing. Le phishing était également présent dans 78 % des incidents de cyberespionnage, et d’installation et d’utilisation de portes dérobées dans les réseaux. Il n’est pas surprenant que le phishing continue d’être une arme clé de l’arsenal des cybercriminels, afin de tenter de tromper les utilisateurs et les amener à divulguer des informations sensibles en se faisant passer pour des marques connues.
Le phishing détournant une marque consiste pour les pirates à imiter le site web officiel d’une marque connue en utilisant un domaine ou une URL similaire, et généralement une page web similaire au site web d’origine. Les liens vers le faux site web peuvent être envoyés par email ou par SMS, un utilisateur peut y être redirigé pendant la navigation sur le web, ou ils peuvent être intégrés à une application mobile frauduleuse. Dans de nombreux cas, le site web contient un formulaire destiné à voler des identifiants, des informations personnelles ou de l’argent.
Le dernier rapport de Check Point Research sur le phishing détournant des marques durant le premier trimestre 2020 montre que la marque Apple a été la plus imitée, passant de la 7e place (soit 2 % de toutes les tentatives de phishing détournant une marque au niveau mondial au quatrième trimestre 2019) à la première place. Cette situation est due en partie au lancement anticipé de la nouvelle Apple Watch, les cybercriminels cherchant à exploiter le buzz en ligne pour lancer plusieurs tentatives de vol d’identifiants. Le nombre total de détections de tentatives de phishing détournant une marque est resté stable par rapport au quatrième trimestre 2019.
Au premier trimestre, les tentatives de phishing sur mobile était le second vecteur d’attaque le plus courant, alors qu’au quatrième trimestre 2019, il occupait la troisième place. Cela pourrait être dû à la pandémie de coronavirus qui a amené les gens à se fier davantage à leur téléphone mobile pour s’informer et travailler. Il existe également des similitudes entre les marques utilisées dans les vecteurs de phishing sur le web et sur les téléphones mobiles, comme Netflix et PayPal, qui ont gagné en popularité en raison de l’augmentation du nombre de personnes travaillant à domicile à cause du coronavirus
Les exemples ci-dessous montrent une série de campagnes de phishing qui visent à générer des profits en se faisant passer pour Chase, Netflix et d’autres marques.
Principales marques détournées dans les tentatives de phishing
Vous trouverez ci-dessous les 10 principales marques classées en fonction de leur présence dans les événements de phishing détournant des marques au cours du second trimestre 2020 :
Principales marques détournées par les tentatives de phishing par plateforme
Au cours du premier trimestre 2020, des marques similaires ont été utilisées dans les vecteurs de phishing sur mobile et sur le web, qui comprenaient des services bancaires et de streaming tels que Chase et Netflix. Le phishing sur le web était le vecteur le plus important avec 59 %, suivi par le phishing sur mobile en tant que second vecteur d’attaque le plus courant par rapport au quatrième trimestre 2019, où il était classé troisième. Cela est dû au fait que les gens passent plus de temps sur leur téléphone mobile pendant la pandémie de coronavirus, et que les cybercriminels en profitent.
Email (18 % des attaques)
- Yahoo!
- Microsoft
- Outlook
- Amazon
Web (59 % des attaques)
- Apple
- Netflix
- PayPal
- eBay
Mobile (23 % des attaques)
- Netflix
- Apple
- Chase
Principaux secteurs
- Technologie
- Banque
- Médias
Netflix – exemple de domaine frauduleux
En février, un pirate a tenté d’imiter les services de Netflix en utilisant un domaine frauduleux (netflix-pagos\.com)
Page de connexion de Chase – Exemple de vol d’identifiants
Au cours de ce trimestre, nous avons remarqué des dizaines de détections de sites web frauduleux essayant d’imiter les pages de connexion des banques. De tels sites web, comme celui ci-dessous, tentent de voler les identifiants de connexion de la banque Chase et sont répertoriés sous l’adresse chasecovid19s\.com/home/myaccount/access\.php qui était active pour la première fois en mars 2020 et enregistrée sous l’IP 23.229.221.103, située aux États-Unis.
D’après les recherches, le pirate a utilisé plusieurs domaines frauduleux similaires tels que :
chasecovid19v\.com, chasecovid19t\.com
Airbnb – Escroquerie d’informations sur le coronavirus
Au cours du mois de mars, nous avons remarqué un site web frauduleux qui essayait d’imiter la page de connexion d’Airbnb et qui prétendait fournit des informations relatives au service Airbnb pendant cette période. Le site web est répertorié sous l’adresse hxxps://airbnb.id-covid19/.com/update/login/.php. Le domaine est enregistré sous l’IP russe 91.210.107.54
Page de connexion d’Unicredit – Exemple de vol d’identifiants
À la mi-février, nous avons remarqué que l’URL mastriapaypal/.com (enregistrée le 3 février 2020 et hébergée sous l’IP 216.239.38.21) redirigeait les utilisateurs vers la page de connexion de la banque Unicredit en langue bulgare sous l’URL ci-dessous :
ghlinkup/.com/wp-content/plugins/wp-component/wp-com/img/js/pp/ – le domaine est hébergé sous l’adresse IP 198.54.120.52
Escroquerie du domaine Yahoo Japon
Vers la fin du mois de mars, nous avons remarqué que le domaine yahoo-mask\.com proposait des masques faciaux aux Japonais via ce qui semblait être Yahoo Japon.
Le domaine est hébergé sous l’adresse IP 45.34.181.228 et a été enregistré par cette adresse email tepjfotx198686@yahoo.co.jp
Page de connexion à WhatsApp – Exemple de vol d’identifiants
En février, nous avons remarqué que l’URL mail\.whatsapp\.vvipx9\.com/login.phpprésentait une fausse page de connexion WhatsApp en indonésien, demandant des identifiants Facebook afin de se connecter. Le domaine est hébergé sous l’adresse IP 5.189.170.134
Pour éviter d’être victime de ces tentatives d’escroquerie, nous recommandons les mesures suivantes :
- Vérifiez que vous utilisez ou passez commande auprès d’un site web authentique. NE cliquez PAS directement sur des liens de promotion dans des emails. Recherchez plutôt le détaillant souhaité sur Google, puis cliquez sur le lien figurant sur la page des résultats de Google.
- Attention aux offres « spéciales ». Une réduction de 80 % sur le nouvel iPhone n’est généralement pas le signe d’une opportunité d’achat sûre.
- Méfiez-vous des noms de domaine sosies, des fautes d’orthographe dans les emails et les sites web, et des expéditeurs d’emails inconnus.