in

Forte croissance des cas de phishing sur Facebook et Instagram – Vade Secure

Vade Secure dévoile les résultats de son classement Phishers’ Favorites sur le 1er trimestre 2019 :

  • Les réseaux sociaux, nouvelle cible favorite des hackers
  • Microsoft reste la marque la plus usurpée
  • Le phishing ciblant PayPal explose
  • Netflix, les cybercriminels ne manquent pas d’idées

Les pirates s’attaquent aux réseaux sociaux

Après une grande stabilité au 4e trimestre 2018, la répartition des secteurs au sein du classement Phishers’ Favorites a changé au 1er trimestre 2019. Concerné par ce changement, les médias sociaux ont connu la croissance trimestrielle la plus importante de tous les secteurs. Les URL de phishing visant ces plateformes ont augmenté de 74,7 % au 1er trimestre, inversant la tendance à la baisse des trois trimestres précédents. La multiplication des attaques dans ce secteur est principalement liée à deux marques : Facebook et Instagram.

Le phishing ciblant Facebook a en effet augmenté de 155,5 % au 1ertrimestre, propulsant le géant des médias sociaux à la 4e place. Facebook était d’ailleurs la principale marque visée par le phishing au 1er trimestre 2018, avant que sa popularité parmi les hackers ne diminue pendant trois trimestres consécutifs. Le réseau n’était ainsi plus qu’en 7e position au 4e trimestre 2018.

Il est difficile de savoir avec exactitude à quoi est dû ce regain d’intérêt. On peut toutefois supposer qu’il est lié à la montée en puissance de la possibilité offerte par le réseau social de se connecter à des sites tiers avec les mêmes identifiants. Ainsi, les hackers parvenant à s’emparer de tels identifiants peuvent savoir quelles sont les autres applications de l’utilisateur qui bénéficient de ce type de connexion et compromettre également ces comptes.

Il est également possible que cette croissance soit liée aux pratiques commerciales douteuses de Facebook. Il a ainsi notamment été révélé que Facebook stockait des centaines de millions de mots de passe en clair et avait demandé à certains utilisateurs leurs mots de passe de messagerie pour s’inscrire. Les pirates profitent peut-être des questions et inquiétudes entourant le réseau pour pousser les clients à cliquer sur des liens de phishing.

Instagram est un autre exemple intéressant. Pendant trois trimestres, le phishing sur Instagram n’existait quasiment pas. Au 1er trimestre, le nombre d’URL concernant le réseau a explosé de 1 868,8 %. Au début du mois de mars, plusieurs journaux se sont d’ailleurs fait l’écho d’une vague d’emails de phishing proposant à leurs victimes un badge vérifié Instagram afin de les inciter à saisir leurs informations d’identification. Cette attaque avait été détectée par Vade Secure. 

Microsoft toujours à la première place : les hackers jouent sur une fausse impression de sécurité

Microsoft décroche la première place du classement pour le 4etrimestre consécutif. Après une baisse importante de l’activité lors de la trêve des confiseurs, pendant laquelle les hackers se sont consacrés aux consommateurs, le phishing ciblant Microsoft a repris du poil de la bête en janvier et retrouvé son rythme effréné en février et mars. La semaine du 4 mars a même battu tous les records observés depuis que Vade Secure effectue cette analyse. Toutefois, en raison d’un début d’année atone, le nombre d’URL de phishing visant Microsoft a diminué pour la première fois au cours de ce trimestre, à -4,5 % par rapport au 4e trimestre 2018.

La popularité de Microsoft auprès des hackers ne se dément pas, car les identifiants Office 365 sont très lucratifs. Ils offrent un point d’entrée unique à l’ensemble de la plateforme et leur permettent de réaliser des attaques en plusieurs phases à partir des comptes compromis. De fait, les propres études de Microsoft estiment que le phishing visant Office 365 a augmenté de 250 % entre janvier et décembre 2018.

Vade Secure continue d’observer une grande diversité parmi les attaques de phishing ciblant Office 365, allant des comptes faussement suspendus aux liens vers des documents OneDrive ou SharePoint malveillants. Cette diversité s’accompagne d’une sophistication toujours plus grande : de nombreuses pages de phishing imitent à la perfection la page de connexion à Office 365. Pour y parvenir, les hackers effectuent une copie miroir de la véritable page, récupèrent son code JavaScript et CSS, et insèrent leur propre script permettant de récupérer les identifiants.

Par ailleurs, certaines attaques redirigent les utilisateurs vers des pages Microsoft légitimes une fois les identifiants récupérés pour ne pas éveiller les soupçons. Par exemple, lors d’une attaque récente ciblant plusieurs clients, les utilisateurs étaient redirigés vers Office.com après leur « connexion ». Il faut également noter que l’adresse de réponse à l’email d’origine de cette attaque était légitime (support@microsoft.com). Encore une fois, l’idée était de provoquer chez l’utilisateur une fausse impression de sécurité.

Paypal, éternel chouchou des hackers

PayPal a retrouvé la 2e place après une impressionnante hausse de 88 % du nombre d’URL de phishing au 1er trimestre 2019. L’entreprise occupait déjà cette place aux 2e et 3e trimestres 2018, avant de tomber à la 3e place au 4e trimestre avec une réduction de 5,1 % du nombre d’URL.

PayPal a toujours fait partie des marques les plus visées par les hackers. La raison en est évidente : il s’agit du service de paiement en ligne le plus utilisé au monde, avec plus de 250 millions d’utilisateurs actifs au 3e trimestre 2018. Il s’agit également d’un mode de paiement accepté par de nombreux commerçants en ligne du monde entier : la valeur d’identifiants PayPal atteint ainsi des sommets. 

Netflix : Les attaques de phishing visent à la fois les consommateurs et les utilisateurs professionnels

Au 1er trimestre 2019, Netflix a perdu 1 place et se classe 3e. La croissance du nombre d’URL de phishing ciblant Netflix semble ralentir : 49,7 % au 2etrimestre 2018, 61,9 % au 3e trimestre 2018, 25,7 % au 4e trimestre de la même année, puis 11,9 % au 1er trimestre 2019.

Les emails de phishing essaient de faire croire aux utilisateurs que leur compte Netflix a été suspendu ou que leur paiement a été refusé. Ce qu’il est intéressant de noter, c’est qu’un nombre croissant de ces emails visent des utilisateurs professionnels. La plupart des utilisateurs fournissant probablement leur adresse personnelle lors de la création de leur compte Netflix, on peut supposer que les hackers espèrent qu’ils ne remarqueront pas que l’email leur a été envoyé sur leur adresse professionnelle. C’est un pari qui peut effectivement être gagnant, la distinction étant parfois peu évidente, en particulier sur un appareil mobile.

Une autre tendance intéressante concernant l’entreprise réside dans le fait que de nombreux emails de phishing ne contiennent pas moins de six ou sept liens Netflix authentiques (en plus du lien malveillant). Cette technique cherche à tromper les solutions basées sur la réputation et les utilisateurs, qui vont cliquer sur un ou deux liens pour s’assurer que l’email est authentique.

Détail du Top 10

Facebook a gagné trois places et est désormais 4e. Bank of America a perdu une place (5e) et le Crédit Agricole en a gagné 15 (6e). La société de transport DHL occupe quant à elle la 7e place, devant Apple (+8), Dropbox (+2) et la CIBC (+9).

Comme pour Netflix, les hackers ciblant Apple s’intéressent à la fois aux consommateurs et aux utilisateurs professionnels. De plus, en raison de la diversité des produits et services proposés par la marque, les thématiques de phishing sont très nombreuses : mises à jour de sécurité importantes, ID Apple désactivé, factures d’achat en Apple Store… Par ailleurs, les vecteurs d’attaque se combinent, par exemple avec des emails de phishing qui contiennent également une pièce jointe malveillante se faisant passer pour une facture.

Si certaines choses ne changent pas d’un trimestre à l’autre (Microsoft paraît indélogeable), la créativité des hackers semble n’avoir aucune limite. La façon dont ils conçoivent leurs attaques, du contenu aux techniques utilisées, continue d’évoluer à un rythme extrêmement rapide. 

Morgane
Morgane Palomo

Diplômée d'un master un brand management marketing, sa curiosité et sa soif de savoir ne sont étanchées. De nature créative, elle a su diversifier ses expériences. De la création graphique, à l'événementiel en passant par la communication interne et le marketing digital, elle s’est construit un savoir pluriel et avant tout polyvalent.

Written by Morgane Palomo

Diplômée d'un master un brand management marketing, sa curiosité et sa soif de savoir ne sont étanchées. De nature créative, elle a su diversifier ses expériences. De la création graphique, à l'événementiel en passant par la communication interne et le marketing digital, elle s’est construit un savoir pluriel et avant tout polyvalent.