Les e-mails de phishing liés au Covid‑19 visent principalement trois objectifs : dons frauduleux à de fausses œuvres caritatives, collecte d’identifiants et envoi de malwares.
Principaux résultats du F5 Labs :
– Hausse de 220 % des incidents de phishing au plus fort de la pandémie par rapport à la moyenne annuelle
– Le nombre de certificats utilisant les termes « covid » et « corona » a culminé à 14 940 en mars, soit une augmentation massive de 1 102 % par rapport au mois précédent
– Amazon est la marque la plus usurpée au second semestre 2020
– Les cybercriminels tentent d’utiliser les mots de passe volés dans les 4 heures suivant l’hameçonnage d’une victime
– La plupart des sites de phishing font appel au chiffrement et 72 % se servent de certificats HTTPS valides pour tromper leurs victimes
– Les cybercriminels commencent à adopter des « usines à clics » : des dizaines de « télétravailleurs » tentent de se connecter à un site Web cible à l’aide d’identifiants récemment volés. La connexion étant établie par un être humain depuis un navigateur Web standard, ce type d’activité frauduleuse est plus difficile à détecter.
– Recrudescence de proxy de phishing en temps réel (RTPP, Real-Time Phishing Proxies) capables de capturer et d’utiliser des codes d’authentification multifacteur.
Maroc, le 30 novembre 2020 – Selon le rapport 2020 sur le phishing et la fraude du F5 Labs, la pandémie de Covid‑19 continue à galvaniser les cybercriminels.
Publiée aujourd’hui, la quatrième édition du Phishing and Fraud Report révèle une hausse de 220 % des incidents de phishing au plus fort de la pandémie par rapport à la moyenne annuelle.
D’après les données fournies par le Security Operations Center (SOC) de F5, le nombre d’incidents de phishing en 2020 devrait progresser de 15 % par rapport à l’année dernière, un chiffre qui pourrait bientôt évoluer avec l’apparition des deuxièmes vagues de la pandémie.
Les e-mails de phishing liés à la Covid‑19 visent principalement trois objectifs : dons frauduleux à de fausses œuvres caritatives, collecte d’identifiants et envoi de malwares.
L’opportunisme des attaquants a été clairement mis en évidence lors de l’analyse effectuée par le F5 Labs. Le nombre de certificats utilisant les termes « covid » et « corona » a culminé à 14 940 en mars, soit une augmentation massive de 1 102 % par rapport au mois précédent.
« Le risque d’être ciblé par une attaque de phishing n’a jamais été aussi élevé et les attaquants ont de plus en plus recours aux certificats numériques pour conférer davantage d’authenticité à leurs sites », explique Nasser El Abdouli, Directeur Commercial Afrique du Nord au F5
« Les cybercriminels n’hésitent pas à jouer sur le registre émotionnel, et le Covid‑19 continuera à exacerber des menaces déjà bien présentes. Malheureusement, si l’on en croit notre étude, les outils de sécurité, la formation des utilisateurs et la sensibilisation sont encore insuffisants à l’échelle mondiale. »
Amazon : la marque la plus ciblée au second semestre 2020
Conformément aux études des années précédentes, le F5 Labs a noté que les attaquants devenaient sans cesse plus créatifs concernant les noms et les adresses pour leurs sites de phishing.
Depuis le début de l’année, 52 % des sites de phishing ont utilisé des noms de marque et des identités cibles dans l’adresse de leur site web. En s’appuyant sur le moteur de Webroot, F5 Labs a découvert qu’Amazon était la marque la plus ciblée au second semestre 2020. Paypal, Apple, WhatsApp, Microsoft Office, Netflix et Instagram figurent aussi parmi les dix premières marques les plus usurpées.
En analysant le vol d’identifiants jusqu’à leur exploitation dans des attaques actives, F5 Labs a constaté que les cybercriminels tentaient d’utiliser les mots de passe volés dans les quatre heures suivant l’hameçonnage d’une victime. Certaines attaques se sont même déroulées en temps réel afin de recueillir les codes de sécurité de l’authentification multifacteur.
Les cybercriminels sont également devenus plus impitoyables dans leurs tentatives de détournement d’URL réputées, mais vulnérables, une opération qui ne leur coûte généralement rien. En 2020, les sites WordPress représentent à eux seuls 20 % des URL de phishing génériques. Ce chiffre ne dépassait pas 4,7 % en 2017.
En outre, les cybercriminels réduisent de plus en plus leurs coûts en utilisant des services d’enregistrement gratuits, tels que Freenom, pour certains domaines de premier niveau (ccTLD, country code Top-Level Domain), comme .tk, .ml, .ga, .cf et .gq. À titre d’exemple, .tk est aujourd’hui le cinquième domaine enregistré le plus populaire au monde.
Phishing : le chiffrement massivement utilisé
En 2020, les attaquants ont redoublé d’efforts pour donner à leurs sites frauduleux une apparence aussi authentique que possible. D’après les statistiques du SOC F5, la plupart des sites de phishing font appel au chiffrement et 72 % se servent de certificats HTTPS valides pour tromper leurs victimes. Cette année, 100 % des « drop zones », c’est-à-dire la destination des données volées envoyées par les malwares, utilisent le chiffrement TLS (contre 89 % en 2019).
En combinant les incidents survenus en 2019 et en 2020, F5 Labs s’est par ailleurs aperçu que 55,3 % des drop zones se servaient d’un port SSL/TLS non standard. Le port 446 a été utilisé dans tous les cas sauf un. Une analyse des sites de phishing a révélé que 98,2 % d’entre eux employaient des ports standard : 80 pour le trafic HTTP en clair, et 443 pour le trafic SSL/TLS chiffré.
2021 : à quoi s’attendre ?
Selon une récente étude de Shape Security, qui a pour la première fois été intégrée au rapport Phishing and Fraud Report, deux grandes tendances se profilent en matière de phishing.
Grâce à l’amélioration des outils de sécurité du trafic généré par les bots (botnet), les cybercriminels commencent à adopter des « usines à clics ». Ces usines emploient des dizaines de « télétravailleurs » qui tentent de se connecter à un site Web cible à l’aide d’identifiants récemment volés. La connexion étant établie par un être humain depuis un navigateur Web standard, ce type d’activité frauduleuse est plus difficile à détecter.
Même un volume d’attaques relativement faible à un impact. Par exemple, Shape Security a analysé 14 millions de connexions mensuelles à un organisme de services financiers et a enregistré un taux de fraude de 0,4 %. Cela équivaut à 56 000 tentatives de connexion frauduleuses, et les chiffres relatifs à ce type d’activité ne feront qu’augmenter.
Les chercheurs de Shape Security ont également observé une recrudescence de proxy de phishing en temps réel (RTPP, Real-Time Phishing Proxies) capables de capturer et d’utiliser des codes d’authentification multifacteur. Agissant comme un intermédiaire, le RTPP intercepte les transactions de la victime sur un site Web légitime. Comme l’attaque se produit en temps réel, le site Web malveillant peut automatiser le processus de capture et de réutilisation des authentifications générées à intervalles réguliers, telles que les codes d’authentification multifacteur. Il peut même voler et réutiliser des cookies de session.
Parmi les proxy de phishing en temps réel fréquemment utilisés figurent Modlishka2 et Evilginx23. F5 Labs et Shape Security surveilleront le recours croissant aux RTPP dans les mois à venir.
« Tant qu’un humain pourra être manipulé psychologiquement d’une façon ou d’une autre, les attaques de phishing se poursuivront avec succès. Les solutions de sécurité et les navigateurs Web doivent signaler les sites frauduleux aux utilisateurs de manière plus efficace », conclut Nasser El Abdouli.
« Particuliers et entreprises doivent être régulièrement formés aux dernières techniques de fraude. Il est essentiel de mettre l’accent sur la façon dont les cybercriminels surfent sur les nouvelles tendances telles que la Covid-19. »
F5 Networks est distribué par Exclusive Networks , distributeur à valeur ajoutée spécialiste mondial des solutions de cybersécurité et de cloud – deux technologies déterminantes et interdépendantes de l’ère numérique. Pour en savoir plus, rendez-vous sur : www.exclusive-networks.com.
###
1Le rapport sur le phishing et la fraude de cette année passe en revue cinq ans d’incidents de phishing observés par le centre des opérations de sécurité (SOC) de F5. Il examine les sites de phishing actifs et confirmés par les services de renseignement BrightCloud de Webroot, une société d’OpenText, et analyse les données sur le marché du Dark Web communiquées par Vigilante. Toutes ces informations permettent de dresser un tableau complet et cohérent des activités de phishing.
2https://github.com/drk1wi/Modlishka
3https://github.com/kgretzky/evilginx2
