Les attaques de phishing augmentent de 220 % pendant le pic de la COVID-19 alors que l'opportunisme cybercriminel s'intensifie
David Warburton, auteur du rapport 2020 de F5 Labs sur le phishing et la fraude, décrit comment les fraudeurs s'adaptent à la pandémie et trace les tendances à venir dans cette vidéo, avec des commentaires récapitulatifs ci-dessous.
Selon une nouvelle étude de F5 Labs, la COVID-19 continue d’encourager considérablement les efforts d’hameçonnage et de fraude des cybercriminels.
Dans la quatrième édition du rapport sur le phishing et la fraude , il a été découvert que les incidents de phishing ont augmenté de 220 % au plus fort de la pandémie mondiale par rapport à la moyenne annuelle.
Selon les données du Centre des opérations de sécurité (SOC) de F5, le nombre d’incidents de phishing en 2020 devrait désormais augmenter de 15 % par rapport à l’année précédente, même si cela pourrait bientôt changer à mesure que de nouvelles vagues de la pandémie se propagent.
Les trois principaux objectifs des courriers électroniques de phishing liés au COVID ont été identifiés comme étant des dons frauduleux à de fausses organisations caritatives, la collecte d'informations d'identification et la diffusion de logiciels malveillants.
Le domaine d’un hameçonneur
Selon les recherches des années précédentes , F5 Labs a constaté que les fraudeurs deviennent de plus en plus créatifs avec les noms et les adresses de leurs sites de phishing.
En 2020, à ce jour, 52 % des sites de phishing ont utilisé des noms de marques et des identités cibles dans les adresses de leurs sites Web. En utilisant les données du site de phishing de Webroot, F5 Labs a découvert qu'Amazon était la marque la plus ciblée au cours du second semestre 2020. Paypal, Apple, WhatsApp, Microsoft Office, Netflix et Instagram figuraient également parmi les dix marques les plus imitées.
En suivant le vol des identifiants jusqu'à leur utilisation dans des attaques actives, F5 Labs a observé que les criminels tentaient d'utiliser des mots de passe volés dans les quatre heures suivant le phishing d'une victime. Certaines attaques se sont même produites en temps réel pour permettre la capture de codes de sécurité d'authentification multifacteur (MFA).
Se cacher à la vue de tous
En 2020, les auteurs d’attaques de phishing ont également intensifié leurs efforts pour faire apparaître les sites frauduleux aussi authentiques que possible. Les statistiques du F5 SOC ont révélé que la plupart des sites de phishing utilisaient le cryptage, 72 % d'entre eux utilisant des certificats HTTPS valides pour tromper leurs victimes. Cette année, 100 % des zones de dépôt (les destinations des données volées envoyées par des logiciels malveillants) ont utilisé le cryptage TLS (contre 89 % en 2019).
En combinant les incidents de 2019 et 2020, F5 Labs a également signalé que 55,3 % des zones de dépôt utilisaient un port SSL/TLS non standard. Le port 446 a été utilisé dans tous les cas sauf un. Une analyse des sites de phishing a révélé que 98,2 % utilisaient des ports standards : 80 pour le trafic HTTP en clair et 443 pour le trafic SSL/TLS crypté.
Menaces futures
Selon une étude récente de Shape Security , intégrée pour la première fois au rapport sur le phishing et la fraude, deux grandes tendances en matière de phishing se profilent à l’horizon.
Grâce à l’amélioration des contrôles et des solutions de sécurité du trafic de robots (botnet), les attaquants commencent à adopter les fermes de clics. Cela implique que des dizaines de « travailleurs » à distance tentent systématiquement de se connecter à un site Web cible à l’aide d’identifiants récemment collectés. La connexion provient d’un humain utilisant un navigateur Web standard, ce qui rend les activités frauduleuses plus difficiles à détecter.
Même un volume d’attaques relativement faible a un impact. À titre d’exemple, Shape Security a analysé 14 millions de connexions mensuelles dans une organisation de services financiers et a enregistré un taux de fraude manuelle de 0,4 %. Cela équivaut à 56 000 tentatives de connexion frauduleuses, et les chiffres associés à ce type d’activité ne feront qu’augmenter.
Les chercheurs de Shape Security ont également enregistré une augmentation du volume de proxys de phishing en temps réel (RTPP) capables de capturer et d’utiliser des codes d’authentification multifacteur (MFA). Le RTPP agit comme une personne du milieu et intercepte les transactions d’une victime avec un vrai site Web. Étant donné que l’attaque se produit en temps réel, le site Web malveillant peut automatiser le processus de capture et de relecture de l’authentification basée sur le temps, comme les codes MFA. Il peut même voler et réutiliser les cookies de session.
Les proxys de phishing en temps réel récemment utilisés incluent Modlishka et Evilginx2 . F5 Labs et Shape Security vont surveiller l’utilisation croissante des RTPP dans les mois à venir.
Téléchargez le rapport 2020 sur le phishing et la fraude de F5 Labs pour en savoir plus .
À propos du rapport
Le rapport de cette année sur le phishing et la fraude de F5 Labs examine cinq années d'incidents de phishing du centre d'opérations de sécurité (SOC) de F5 et examine en profondeur les sites de phishing actifs et confirmés fournis par les services de renseignement Webroot® BrightCloud® d'OpenText. Il comprend également une analyse des données du marché du dark web de Vigilante et des recherches de Shape Security. Ensemble, ils construisent une image complète et cohérente du monde du phishing.