La menace du phishing devient de plus en plus une préoccupation majeure pour les consommateurs et les entreprises. Une récente étude d’Akamai Technologies a révélé une statistique alarmante : les sites de phishing imitant le service postal des États-Unis (USPS) ont attiré presque autant de trafic que le site officiel de l’USPS. Les opérations de phishing ciblent généralement les informations sensibles des personnes (identifiants de compte, détails de carte) ou tentent d'inciter les utilisateurs à effectuer des paiements à des boutiques frauduleuses ou à couvrir les frais supposés nécessaires à la liquidation d'articles qui ont été mis en attente pour diverses raisons.Le phishing (ou hameçonnage) est l’une des arnaques les plus anciennes et les plus connues d’Internet. On peut le définir comme n’importe quel type de fraude de télécommunications qui utilise des astuces d’ingénierie sociale pour obtenir des données confidentielles de la part de leurs victimes.
Qu’elles soient menées par e-mail, sur les réseaux sociaux, par SMS ou tout autre vecteur, toutes les attaques de phishing obéissent aux mêmes principes de base. L’attaquant envoie un argumentaire ciblé visant à persuader la victime de cliquer sur un lien, de télécharger une pièce jointe, d’envoyer les informations requises ou même d’effectuer un paiement.
Quant à ce que le phishing peut faire, cela dépend de l’imagination et des compétences du phisher (hameçonneur). L’avènement des réseaux sociaux permet plus que jamais aux hameçonneurs d’avoir accès à un nombre croissant d’informations personnelles de leurs cibles. Armés de toutes ces données, ils peuvent adapter leurs attaques aux besoins, aux désirs et aux situations de leurs cibles, ce qui rend leurs propositions bien plus alléchantes. Dans ces cas de figure, les réseaux sociaux alimentent une ingénierie sociale plus puissante.
Les effets du phishing
La plupart des tentatives de phishing peuvent conduire à un vol d’identité ou d’argent. C’est également une technique efficace pour l’espionnage d’entreprise ou le vol de données. Certains pirates vont jusqu’à créer de faux profils sur les réseaux sociaux et prennent le temps de tisser des liens avec leurs victimes potentielles, en tendant leur piège une fois qu’ils ont gagné leur confiance. Quel est le coût du phishing ? Les conséquences ne sont pas uniquement financières. Le phishing entraîne aussi une perte de confiance. Ça fait mal de se faire arnaquer par une personne sur laquelle on pensait pouvoir compter, et on peut mettre du temps à s’en remettre.
Le contexte
En tant que l'une des principales institutions de livraison de colis aux États-Unis, l'USPS est, et a été pendant un certain temps, une cible commune pour les campagnes de phishing et de smishing (une attaque de cybersécurité par phishing menée par le biais de la messagerie texte mobile, également connue sous le nom de phishing par SMS). Pour les résidents américains, il est presque garanti que vous recevrez au moins une tentative d'escroquerie pendant les vacances : l'USPS dispose même d'une page web distincte consacrée à la mise en garde des consommateurs contre ce type de fraude et d'escroquerie. Une recherche rapide sur le web permet de trouver des tonnes d'exemples.
Akamai a commencé à enquêter sur le phishing sur le thème de l'USPS en octobre 2023, après qu'un employé a reçu un SMS suspect qui redirigeait vers un site contenant un code JavaScript malveillant :
L'un des membres de notre équipe a récemment reçu l'une de ces tentatives sur son téléphone (Figure 1). Compte tenu de l'omniprésence de ces escroqueries, cette tentative nous a incités à commencer une analyse de ce qui se passe au niveau du DNS en rapport avec le site web de l'USPS. Nous avons pu le faire en accédant aux journaux anonymes des requêtes DNS globales provenant des serveurs DNS Akamai CacheServe.
Ensuite, les analystes ont dressé une liste de tous les domaines utilisant le même fichier JS au cours des cinq derniers mois et n'ont conservé que ceux dont le nom contenait la chaîne USPS.
La conception de ces pages est très convaincante et apparaît comme une réplique exacte du site authentique d'USPS avec des pages de suivi réalistes pour les mises à jour d'état.
Dans un cas, les auteurs de l'hameçonnage ont mis en place ce qui ressemble à une boutique dédiée aux articles d'affranchissement, qui a commencé à recevoir un trafic important à la fin du mois de novembre, les consommateurs cherchant à acheter des cadeaux et des objets de collection pour les fêtes de fin d'année.
Les domaines les plus populaires utilisés par ces sites frauduleux étaient .com et .top, avec respectivement 4459 domaines et 271 278 requêtes, et 3063 domaines et 274 257 requêtes. D’autres extensions notables incluent .shop, .xyz, .org et .info.
Le TLD [.]com est le plus populaire pour l'enregistrement de nouveaux domaines. Nous voyons près de 4*500 domaines .com uniques dans nos données. Cela n’est pas surprenant dans la mesure où un [.]com peut donner aux victimes potentielles un sentiment de familiarité et de légitimité à l’échelle mondiale.
Le [.]top TLD semble être le TLD alternatif préféré des acteurs menaçants. Il arrive en deuxième position avec plus de 3 000 noms de domaine différents. Ce TLD générique est exploité par une entreprise technologique en Chine et est bien connu pour être utilisé de manière malveillante dans des campagnes de phishing.
Il est intéressant de noter que le TLD [.]world n'apparaît pas dans le tableau. En effet, pour [.]world, nous avons compté un total de 170*126 requêtes (très élevé, presque au même niveau que [.]com et [.]top), mais 99,5*% d'entre elles ont été effectuées uniquement sur usps-post[.]world ( rappelez-vous que usps-post[.]world était le nom de domaine qui a reçu le plus de requêtes). Nous n'avons trouvé que quelques noms de domaine sous ce TLD.
Le [.]top TLD semble être le TLD alternatif préféré des acteurs menaçants. Il arrive en deuxième position avec plus de 3 000 noms de domaine différents. Ce TLD générique est exploité par une entreprise technologique en Chine et est bien connu pour être utilisé de manière malveillante dans des campagnes de phishing.
Il est intéressant de noter que le TLD [.]world n'apparaît pas dans le tableau. En effet, pour [.]world, nous avons compté un total de 170*126 requêtes (très élevé, presque au même niveau que [.]com et [.]top), mais 99,5*% d'entre elles ont été effectuées uniquement sur usps-post[.]world ( rappelez-vous que usps-post[.]world était le nom de domaine qui a reçu le plus de requêtes). Nous n'avons trouvé que quelques noms de domaine sous ce TLD.
« La figure 6 montre le nombre total de requêtes dans notre ensemble de données, à la fois pour usps.com et pour les domaines malveillants. Comme vous pouvez le constater, les chiffres sont presque identiques. Malgré la rigidité des paramètres de filtrage, les domaines malveillants reçoivent à peu près le même nombre de requêtes que usps.com lui-même. Cette constatation est choquante. »
« Nous pouvons également observer ce qui se passe dans le temps. La figure 7 présente les mêmes chiffres agrégés par semaine ».
Non seulement le trafic est relativement équivalent au cours d'une journée normale, mais certaines semaines, les domaines malveillants reçoivent plus de requêtes que le site usps.com lui-même. Ces pics tournent autour des fêtes de Thanksgiving (Black Friday) et de Noël, période de l'année où les livraisons sont les plus importantes aux États-Unis.
Il semble que les cybercriminels soient bien conscients de ces fêtes de fin d'année et qu'ils programment leurs campagnes d'hameçonnage de l'USPS en conséquence. Il est bien sûr logique qu'ils agissent de la sorte, car davantage de personnes attendent des colis à ces dates. Les vacances sont également une période particulièrement chargée pour les gens, ce qui signifie qu'ils sont plus susceptibles de commettre des erreurs d'inattention qu'ils ne feraient pas autrement, comme de cliquer sur ces messages frauduleux.
Ce qu'en pense le professionnel de la cybersécurité
« Nous avons constaté que l'USPS est attaqué par des escroqueries par SMS, en particulier pendant les périodes de fêtes de Noël et de Thanksgiving, en raison de la nature des achats de cadeaux pendant ces fêtes.
« Le nombre total de requêtes de domaines malveillants par rapport à usps[.]com est presque le même, même en ne comptant que les domaines incluant l'acronyme explicite USPS. Bien que l'USPS ait gagné avec 51*% du total des requêtes pour cette période de 5*mois dans cette analyse, la façon dont nous avons filtré les données suggère que le trafic malveillant dépasse largement le trafic légitime dans le monde réel. Nous avons utilisé l’USPS comme exemple, mais cette technique de combosquatting est utilisée mondialement dans les campagnes de phishing, et pour cause : elle connaît un énorme succès.
« Nous avons observé deux approches différentes de la part des acteurs malveillants*: soit ils répartissent le trafic sur de nombreux noms de domaine différents, soit ils n'utilisent que quelques domaines qui génèrent chacun beaucoup de trafic. Cela pourrait être à des fins d'obscurcissement*: les opérateurs et autres fournisseurs d'hébergement sont conscients de l'omniprésence de ces escroqueries et tentent avec vigilance d'identifier et de supprimer ces pages. Compte tenu du niveau d’attention apporté à l’élimination de ces escroqueries, leurs résultats et nos observations sont encore plus préoccupants.
« Nous continuerons de surveiller et de signaler de telles menaces, tant pour nos clients que pour la communauté de la sécurité dans son ensemble ».
Conclusion
Les tactiques utilisées par les cybercriminels sont de plus en plus sophistiquées. Ils associent souvent des sites Web de phishing à des courriels ou des messages SMS trompeurs. Ces messages prétendent généralement que les colis ne peuvent pas être livrés pour diverses raisons, telles que des informations de livraison manquantes ou des frais supplémentaires à payer. Ils créent également un sentiment d’urgence, exigeant des actions rapides sous peine de voir le colis renvoyé à l’expéditeur.
Cette campagne de phishing est particulièrement efficace pendant la période des fêtes, car de nombreuses personnes effectuent des achats en ligne et ne trouvent pas ces messages suspects. Akamai souligne que leur recherche s’est concentrée uniquement sur les sites comportant la chaîne USPS dans leur nom, ce qui signifie que le nombre réel de sites de phishing pourrait être bien plus élevé, tout comme le trafic qu’ils génèrent.
L’étude met en lumière l’importance pour les consommateurs d’être vigilants lorsqu’ils font des achats en ligne. Il est essentiel de rester sceptique et de toujours garder à l’esprit la possibilité de fraude. Les consommateurs doivent vérifier l’authenticité des sites Web avant de saisir des informations personnelles ou de réaliser des transactions financières.
Alors que le commerce électronique continue de croître, la menace du phishing suit la tendance. Les consommateurs doivent être conscients des risques et prendre des mesures proactives pour se protéger contre ces attaques de plus en plus fréquentes et sophistiquées.
Source : Akamai
Et vous ?
Avez-vous déjà été la cible d’une tentative de phishing ? Comment avez-vous réagi ? Quelles mesures prenez-vous pour vérifier l’authenticité d’un site Web avant d’entrer vos informations personnelles ? Selon vous, quelles responsabilités les services postaux et les plateformes en ligne devraient-ils assumer pour lutter contre le phishing ? Comment les consommateurs peuvent-ils être mieux éduqués sur les dangers du phishing, surtout pendant les périodes de forte activité comme les fêtes ? Pensez-vous que les entreprises technologiques font assez pour protéger les utilisateurs contre les sites de phishing ? Pourquoi ou pourquoi pas ? Quel rôle les autorités gouvernementales devraient-elles jouer dans la protection contre le phishing et les cyberattaques ? Avez-vous des suggestions pour améliorer la sécurité en ligne et réduire l’efficacité des campagnes de phishing ?Voir aussi :
À 19 ans, il a développé une dizaine de frameworks pour lancer des attaques de phishing. La police néerlandaise l'a arrêté tandis que ses clients auraient gagné des millions d'euros en deux ans Le phishing augmente de 36 %, avec 278,3 millions d'e-mails de phishing uniques au quatrième trimestre 2022. Les outils d'attaque devenant plus sophistiqués, selon un rapport de Vade