kits de phishing et top 10 des marques usurpées
L'indice IBM X-Force Threat Intelligence 2024 indique que le phishing était l'un des principaux vecteurs d'accès initial observés l'année dernière, représentant 30 % des incidents. Pour mener leurs campagnes de phishing, les attaquants utilisent souvent des kits de phishing : un ensemble d'outils, de ressources et de scripts conçus et assemblés pour faciliter le déploiement. Chaque déploiement de kit de phishing correspond à une seule attaque de phishing, et un kit peut être redéployé plusieurs fois au cours d'une campagne de phishing. IBM X-Force a analysé des milliers de kits de phishing dans le monde entier et a récemment découvert quelques tendances notables, notamment les données que ces kits ciblaient le plus et les marques les plus exploitées.
Durées des kits de phishing, victimes et données ciblées
La durée de déploiement des kits de phishing (durée pendant laquelle l'attaque a été active avant d'être neutralisée par les services d'hébergement ou par l'attaquant qui a déployé le kit) est en légère baisse, tandis que le nombre médian de victimes touchées a considérablement augmenté au cours des trois dernières années.
La moitié des déploiements ont duré moins de 3,2 jours en 2023, ce qui représente une légère baisse par rapport aux 3,7 jours de 2022. Une durée de déploiement inférieure pourrait indiquer un taux de détection plus rapide de ces attaques de phishing à différents niveaux, comme les e-mails bloqués par un fournisseur de services de messagerie, un arrêt de serveur par un service d'hébergement ou une URL bloquée par un navigateur. Toutefois, la durée de déploiement d’un kit de phishing ne doit pas être confondue avec la durée de vie d’une campagne de phishing, qui peut durer des semaines ou des mois. Pourquoi? Car un « kit de phishing » peut être redéployé à l’infini sur différents serveurs. Même si chaque déploiement ne dure que quelques jours, les attaquants lancent généralement de nombreux déploiements au cours de la durée d'une seule campagne de phishing.
En 2023, la moitié de tous les déploiements de kits de phishing signalés ont touché moins de 160 victimes potentielles, ce qui représente une augmentation par rapport à l'année précédente (93 victimes potentielles en 2022) et à l'année précédente (75 en 2021). L’importance ici est qu’un plus grand nombre de victimes potentielles pourrait équivaloir à des compromissions plus réussies. Nous prévoyons que ce nombre continuera d’augmenter, d’autant plus que les attaquants utilisent potentiellement l’IA pour passer au crible les données volées afin d’identifier de nouvelles victimes potentielles.
En termes de catégories de données ciblées dans chaque kit, seules les données de cartes de crédit ont été recherchées dans un pourcentage plus élevé de kits en 2023 par rapport à l'année précédente. Les trois principales catégories de données recherchées par les kits de phishing analysés étaient les mêmes qu'en 2022 : noms (85 % des kits), e-mails (66 %) et adresses (62 %). A la quatrième place, les mots de passe ont été recherchés dans la moitié des kits. Avec l'utilisation d'identifiants valides observée dans un tiers des cas auxquels X-Force a répondu l'année dernière, il n'est pas surprenant de voir les e-mails et les mots de passe en tête de la liste des données ciblées par les kits de phishing.
Principales marques usurpées : le secteur des technologies de l'information domine le top 10, les services financiers étant le deuxième plus ciblé dans l'ensemble.
X-Force a examiné la télémétrie des kits de phishing pour les principales marques usurpées au cours des trois dernières années. Les cybercriminels exploitent souvent des kits de phishing pour créer des pages Web frauduleuses de marques connues afin d'inciter les victimes à divulguer leurs informations sensibles. L’année dernière, les marques les plus usurpées ont connu un léger bouleversement, avec de nouvelles entreprises qui ne figuraient pas parmi les 10 premières en 2022 ou 2021. Non seulement Telegram et Visa sont nouvelles dans le top 10 en 2023, mais elles ont également surclassé certaines des plus grandes marques des années précédentes, dont Microsoft et Apple. Mastercard est également nouvelle dans le top 10 en 2023. Google était la marque la plus usurpée en 2023 après que Microsoft ait pris la première place les deux années précédentes.
Top 10 des marques usurpées : 2021-2023
2023 | 2022 | 2021 | |
1 | Microsoft | Microsoft | |
2 | Telegram | Apple | |
3 | Microsoft | Yahoo | |
4 | Visa | BMO Harris Bank | |
5 | Apple | Outlook | Chase |
6 | Apple | Amazon | |
7 | Yahoo | Adobe | Dropbox |
8 | Outlook | AOL | DHL |
9 | PayPal | PayPal | CNN |
10 | Mastercard | Office365 | Hotmail |
Dans plus de la moitié de tous les kits, les technologies de l’information étaient le secteur le plus usurpé en 2023. La plupart des grandes marques observées comme usurpées incluent certains des plus grands noms de l’industrie de l’information ou les marques de logiciels ou de technologies qu’ils proposent. Mais le secteur de la finance et des assurances arrive en deuxième position, avec un peu plus de 20 % des kits de phishing. Notamment, de nombreux domaines usurpés ciblaient les émetteurs de cartes de crédit ou les banques, tandis que quelques plateformes d’échange de cryptomonnaies étaient usurpées. Les kits de phishing ciblaient également fréquemment des marques telles que DHL, FedEx et le service postal américain dans le secteur du transport, de l'entreposage et de la livraison.
Marques usurpées ciblées par des kits de phishing répertoriées par secteur et pourcentage de demande.
Le phishing est en baisse, mais pas disparu
Bien que le phishing ait diminué de 44 % entre 2022 et 2023, selon l'analyse du plus récent X-Force Threat Intelligence Index, le phishing reste l'une des principales méthodes utilisées par les attaquants pour compromettre les environnements, à égalité au premier rang avec l'abus de comptes valides au 30e rang. % d'incidents. Il est donc important que les organisations continuent d’évaluer leurs méthodes de détection du phishing et de sensibilisation des utilisateurs, en particulier compte tenu de la prévalence de l’IA et de l’espoir que les attaquants exploiteront cette technologie pour générer davantage de phishing trompeurs. Vous trouverez ci-dessous nos recommandations pour atténuer le phishing :
- Assurez-vous que la formation de sensibilisation à la sécurité existante explique comment identifier les campagnes de phishing en cours, y compris l'utilisation de pages de phishing Adversary-in-the-Middle (AitM) et l'utilisation de codes QR.
- Développez les meilleures pratiques permettant aux employés de signaler tout e-mail et message texte suspect.
- Exigez des employés qu’ils vérifient toute demande d’informations personnelles ou sensibles en contactant l’expéditeur ou en visitant directement le site légitime de l’expéditeur, plutôt que de cliquer sur les liens contenus dans l’e-mail.
- Utilisez des solutions qui analysent le comportement et les flux du réseau pour déterminer s'il existe des tentatives de phishing.
- Utilisez des filtres Web qui empêchent les utilisateurs de visiter des sites Web malveillants connus (sites de liste de blocage) et affichez des alertes chaque fois que les utilisateurs visitent des sites Web suspectés d'être malveillants ou faux.