Modèles de phishing EMEA : Informations du F5 SOC

Ce n’est un secret pour personne pour ceux qui pratiquent la pêche (pour de vrais poissons vivants) que le timing est important. Certains types de poissons sont plus actifs et donc plus susceptibles d’être capturés le matin, d’autres le soir et d’autres encore en début d’après-midi.

Il s’avère que le phishing numérique n’est pas différent, si l’on interprète les modèles présentés par ceux qui mènent de telles activités sur la base des statistiques collectées par notre F5 SOC en 2015 à partir de tentatives de phishing menées contre des institutions financières en Europe, au Moyen-Orient et en Afrique (EMEA). 

LE TEMPS EST IMPORTANT

Si vous souhaitez éviter d'être victime d'une attaque de phishing dans la région EMEA, il s'avère que le meilleur jour de la semaine pour mener des activités financières est le samedi. Seulement 5 % des attaques ont eu lieu en 2015, le vendredi et le dimanche étant les jours les plus propices, avec seulement 12 % se produisant l'un ou l'autre de ces jours.

La mauvaise réputation de lundi se confirme : plus d’attaques ont été observées lundi (20 %) que n’importe quel autre jour, même si le reste de la semaine ne s’en sort pas beaucoup mieux. Il n’est pas surprenant que les institutions financières subissent en moyenne plus d’attaques pendant la semaine de travail que pendant le week-end, sachant que les recherches d’IDC indiquent que 30 à 40 % du temps d’accès à Internet sur le lieu de travail est consacré à des activités non liées au travail[1].

Ce constat est encore renforcé par les données montrant que la plupart des attaques de phishing se produisent pendant les heures ouvrables.

En 2015, il était également 200 % plus probable de voir une attaque de phishing au début du mois plutôt qu’à la fin. Les attaques de phishing ont atteint un pic au cours de la première semaine du mois, puis ont diminué, avec une activité prévisible plus élevée en semaine et plus faible le week-end.

Sans surprise, dans la région EMEA, la plupart des employeurs prélèvent les salaires des employés au début ou à la fin du mois. Les experts du F5 SOC notent que ceci, combiné à une utilisation moyenne de 46 % des services bancaires en ligne dans l'UE[2], est probablement la raison pour laquelle nous constatons une forte augmentation des attaques au début du mois, lorsque les employés se connectent à leurs systèmes bancaires en ligne pour payer leurs factures ou vérifier si leur salaire a déjà été déposé.

CHOISIR LE BON LEURRE

Lors de la pêche dans le monde physique, aucun sujet n'est aussi controversé que celui de savoir quel leurre est le meilleur. Les couleurs, la taille, le mouvement et la mesure dans laquelle le leurre imite le monde « réel » sont des facteurs importants. Après tout, nous essayons de convaincre le poisson que le leurre que nous utilisons est réel dans l’espoir qu’il morde. Il en va de même pour les leurres et les sites utilisés par les pirates informatiques pour récupérer des données financières dans le monde numérique.

Il s’avère que, tout comme les poissons, il faut beaucoup de temps pour être convaincus, il en va de même pour les victimes potentielles de phishing. L'enquête F5 SOC a constaté qu'en moyenne, il fallait 9,14 visites sur une page frauduleuse avant que quelqu'un ne morde à l'hameçon.

Les experts passent beaucoup de temps à évaluer les sites frauduleux découverts afin de recueillir autant d’informations que possible sur les auteurs du phishing et leurs techniques. Il s'avère qu'ils peuvent en dire beaucoup sur les attaquants grâce aux URL utilisées dans les attaques de phishing. En 2015, il a été constaté qu'un site frauduleux sur dix était hébergé à la racine sans chemin supplémentaire, par exemple www.phishingsite.com ou www.phishingsite.com/index.html, ce qui indique que les serveurs étaient spécifiquement préparés pour héberger des sites frauduleux. Cela signifie qu’ils ont probablement été achetés spécifiquement pour des attaques de phishing. En règle générale, les attaquants piratent et injectent un contenu malveillant sur un site existant. Cette démarche est donc déconcertante car la configuration du site n'est pas susceptible d'être détectée par d'autres moyens de prévention, tels que les pare-feu d'applications Web.

Il n’est pas surprenant de constater que 15 % des sites frauduleux étaient hébergés dans des dossiers Word Press, compte tenu du nombre de vulnérabilités graves signalées comme affectant le système populaire en 2015. Les vulnérabilités non corrigées et/ou non traitées sont facilement exploitées par ceux qui recherchent un endroit pour héberger leur code malveillant et leurs sites frauduleux.

De plus, les experts du F5 SOC notent que 20 % des chemins d'URL ont été générés de manière dynamique pour chaque victime, ce qui rend difficile leur blocage avec les mesures de sécurité traditionnelles. Cela contribue également au temps moyen nécessaire en 2015 pour supprimer ou fermer les sites frauduleux.

La bonne nouvelle est qu’il faut moins de temps pour démanteler un site frauduleux lorsque les identifiants des utilisateurs finaux ont été volés. La mauvaise nouvelle est que dans l’intervalle, de nombreux utilisateurs restent sans protection et ne sont donc pas conscients du danger potentiel.

Le F5 SOC recommande de surveiller les domaines portant des noms similaires aux noms officiels afin de réduire le temps entre l'établissement et la détection. De nombreuses fausses pages, même si elles ne sont pas nécessairement hébergées sur des domaines portant des noms similaires, contiennent des chaînes officielles dans l'URL attaquante. En général, F5 SOC recommande de rechercher ces mots spécifiques sur Internet. Les attaques de phishing ciblant les institutions financières situées dans la région EMEA ont tendance à être plus actives pendant les heures ouvrables, du lundi au jeudi. Le temps est essentiel pour empêcher les consommateurs de devenir victimes de vol d’informations d’identification. Il est donc important d’analyser toutes les fausses pages et de les fermer dès que possible.

[1] http://www.staffmonitoring.com/P32/stats.htm

[2] http://www.statista.com/statistics/222286/online-banking-penetration-in-leading-european-countries/

Vous pouvez en savoir plus sur la protection contre la fraude F5 dans la fiche technique WebSafe ainsi que dans la fiche technique MobileSafe . Pour en savoir plus sur les centres d'opérations de sécurité F5, vous pouvez consulter la fiche technique F5 SOC