Si le nombre d'URL de phishing a logiquement baissé avec l'été, celui-ci est nettement reparti à la hausse à la rentrée, note Vade Secure. Avec des hackers désormais plus sélectifs encore.
L'activité de phishing est restée encore très soutenue au troisième trimestre. La pratique, qui consiste à dérober, grâce à l'envoi d'un mail, les identifiants d'un compte et à diffuser des logiciels malveillants, continue de se répandre en imitant, souvent proche de la perfection, l'identité, le logo et les codes d'une entreprise, souvent des banques ou des services bien connus du grand public, susceptibles eux-mêmes de vous envoyer régulièrement des courriers électroniques. Dans son dernier rapport Phisher's Favorites, Vade Secure fait état d'une explosion du phishing Microsoft durant l'été. Voyons comment cela a pu se matérialiser.
Un phishing plus pervers, avec des mails davantage personnalisés
« L’activité de phishing détectée par Vade Secure au 3e trimestre est restée cohérente avec celle des années précédentes », indique le spécialiste français de la défense prédictive des boîtes mail. Mais si l'été 2020 n'a pas été synonyme de record en termes d'URL de phishing, Vade Vesure relève tout de même un point important : les emails de phishing sont de plus en plus ciblés.
Autrement dit, les pirates informatiques ne vont plus nécessairement se concentrer sur des attaques massives aux plus minces chances de succès, mais se veulent être plus sélectifs. Frapper moins, mais mieux en somme. Et cela passe par un phishing plus pervers qu'à l'accoutumée, avec des courriers électroniques qui vont être davantage personnalisés, pour renforcer l'illusion, par exemple, que c'est bien Netflix qui vous écrit, alors qu'il s'agit en réalité d'un hacker.
Et durant les mois de juillet, août et septembre, c'est Microsoft qui fut la cible idoine des pirates. L'éditeur américain, historiquement très apprécié des attaquants, est redevenu la marque la plus usurpée dans les attaques de phishing. Vade Secure nous indique avoir détecté pas moins de 13 617 URL de phishing uniques concernant la marque, avec une explosion des chiffres à la rentrée de septembre. Microsoft surpasse ainsi Facebook, deuxième marque la plus usurpée, avec moins de 3 000 URL. PayPal, eBay, Chase, Amazon, Netflix, WhatsApp, DHL et Google suivent derrière.
Le Cloud ciblé, Microsoft 365 comme catalyseur
De façon un peu plus détaillée, et cela ne surprendra pas les initiés, Vade Secure confirme le grand retour en force d'Emotet. Le malware, qui apprécie l'envoi couplé de liens et de pièces-jointes (des fichiers ZIP protégés par mot de passe) qui vont ensuite lui ouvrir les portes des systèmes informatiques, a touché les entreprises du monde entier en lançant, cet été, une vague massive de spam.
Emotet, logiciel malveillant le plus populaire encore en septembre, continue de se faire discret le week-end et de se « déchaîner » en semaine. Un comportement logique pour les hackers, qui savent bien que les messageries professionnelles sont davantage consultées la semaine.
Concernant Microsoft plus particulièrement, la firme de Redmond paie le tribut du poids qu'elle pèse dans le monde professionnel, notamment au travers de Microsoft 365 et des produits de sa suite Office. Avec près de 270 millions d'utilisateurs professionnels, les cibles ne manquent pas. Mais c'est surtout les services dans le Cloud qui sont les plus touchés ce trimestre. « Les services dans le Cloud représentent 44 % des URL de phishing détectées et ont connu une croissance trimestrielle de 17,9 %. Deux fois plus d’URL de phishing que le deuxième secteur le plus touché, celui des services financiers, y sont liées », explique Vade Secure.
Derrière Microsoft, la seconde entreprise du Cloud la plus usurpée est donc Netflix. Ici, le professionnel se mêle au personnel, de nombreuses personnes ayant davantage utilisé la plateforme de streaming vidéo ces derniers mois, marqués par la pandémie de Covid-19. « Il n’est ainsi pas rare que des employés utilisent leur adresse email professionnelle pour ouvrir un compte personnel », note l'entreprise française de cyberdéfense.
Quoi qu'il en soit, la prudence reste de mise et même plus que jamais, à l'heure où les pirates font preuve de plus en plus d'imagination pour masquer leurs liens de phishing.