Au second trimestre 2020, Google et Amazon devancent Apple dans le classement des marques les plus imitées lors des tentatives de phishing.
Lorsque l’on demandait au criminel Willie Sutton pourquoi il s’était attaqué à autant de banques, il répondait : « Parce que c’est là où se trouve l’argent. » La même logique s’applique à la question « Pourquoi y a-t-il tant d’attaques de phishing ? » Tout simplement parce qu’elles réussissent, encore et encore.
On estime que le phishing est le point de départ de plus de 90 % de toutes les tentatives de cyberattaques, et le rapport d’enquête de Verizon sur les fuites de données de 2019 a montré que près d’un tiers (32 %) des fuites de données réelles impliquaient une activité de phishing. Le phishing était également présent dans 78 % des incidents de cyberespionnage, et d’installation et d’utilisation de portes dérobées dans les réseaux.
Elles réussissent parce que nous sommes humains et que nous faisons des erreurs, soit parce que nous sommes pressés et que nos défenses sont affaiblies, soit parce que nous pensons être trop malins pour nous laisser prendre à une tentative de phishing (une étude récente a montré que nous ne reconnaissons souvent pas le risque dans l’évaluation de nos propres actions, alors qu’il est plus facile de repérer le risque dans l’évaluation du comportement des autres). Aucun d’entre nous n’est à l’abri, surtout lorsque les criminels à l’origine des attaques se font passer pour des marques familières et fiables avec lesquelles nous interagissons souvent.
Le phishing détournant une marque consiste pour les pirates à imiter le site web officiel d’une marque connue en utilisant un domaine ou une URL similaire, et généralement une page web similaire au site web d’origine. Les liens vers le faux site web peuvent être envoyés via des emails ou des SMS, un utilisateur peut y être redirigé pendant la navigation sur le web, ou peuvent être intégrés à une application mobile frauduleuse. Dans de nombreux cas, le site web contient un formulaire destiné à voler des identifiants, des informations personnelles ou des paiements.
Google et Amazon en tête, Apple relégué
Le dernier rapport de Check Point Research sur le phishing détournant des marques durant le second trimestre 2020 montre que Google et Amazon ont été les marques les plus imitées dans les tentatives de phishing, tandis qu’Apple (la marque la plus détournée au premier trimestre) a chuté de la première place au premier trimestre à la 7e place. Le nombre total de détections de tentatives de phishing détournant une marque reste stable par rapport au premier trimestre 2020.
Les tentatives de phishing par email étaient les plus fréquentes, après les tentatives via le web, par rapport au premier trimestre où les tentatives de phishing par email étaient en troisième position. La raison de ce changement pourrait être l’assouplissement des restrictions liées à Covid-19, qui a vu la réouverture des entreprises et le retour des salariés sur leur lieu de travail.
Voici les statistiques détaillées sur le phishing détournant des marques au second trimestre 2020, ainsi que des exemples de campagnes de phishing qui avaient pour objectif de générer des profits directs en se faisant passer pour Apple iCloud et PayPal.
Principales marques détournées dans les tentatives de phishing au second trimestre
Vous trouverez ci-dessous les 10 principales marques classées en fonction de leur présence dans les événements de phishing détournant des marques au cours du second trimestre 2020 :
Principaux secteurs de ces marques
1. Technologie
2. Banque
3. Réseaux sociaux
Principales marques détournées par les tentatives de phishing par vecteur
En examinant les différents vecteurs utilisés, nous pouvons constater des différences notables dans les marques ciblées par chaque vecteur : par exemple, les grandes marques de technologie et les médias sont principalement visés.
Email (24 % des attaques)
1. Microsoft
2. Outlook
3. Unicredit
Web (61 % des attaques)
1. Google
2. Amazon
3. WhatsApp
Mobile (15 % des attaques)
1. Facebook
2. WhatsApp
3. PayPal
Page de connexion d’iCloud – Exemple de vol d’identifiants
Fin juin, nous avons découvert un site web frauduleux qui tentait d’imiter la page de connexion des services en ligne d’Apple iCloud. Le but de ce site web (exemple ci-dessous) est d’essayer de voler les identifiants de connexion iCloud via le nom de domaine « account-icloud[.]com ». Le domaine était actif pour la première fois fin juin 2020, avec l’adresse IP 37.140.192.154 située en Russie.
Page de connexion PayPal – Exemple de vol d’identifiants
En mai, nous avons remarqué un site web frauduleux qui tentait d’imiter une page de connexion PayPal. Le site web utilise le nom de domaine « paypol-login[.]com ». Le domaine est enregistré depuis 2018 et a été réutilisé une nouvelle à la fin du mois de mai. Le domaine est associé à l’adresse IP aux États-Unis 52.22.86.101.
Pour éviter d’être victime de ces tentatives phishing, nous recommandons les mesures suivantes :
Vérifiez que vous utilisez ou passez commande auprès d’un site web authentique. NE cliquez PAS directement sur des liens de promotion dans des emails. Recherchez plutôt le détaillant souhaité sur Google, puis cliquez sur le lien figurant sur la page des résultats de Google.
Attention aux offres « spéciales ». Une réduction de 80 % sur un nouvel iPhone n’est généralement pas le signe d’une opportunité d’achat sûre.
Méfiez-vous des noms de domaine sosies, des fautes d’orthographe dans les emails et les sites web, et des expéditeurs d’emails inconnus.
