La menace du phishing devient de plus en plus une proccupation majeure pour les consommateurs et les entreprises. Une rcente tude dAkamai Technologies a rvl une statistique alarmante : les sites de phishing imitant le service postal des tats-Unis (USPS) ont attir presque autant de trafic que le site officiel de lUSPS. Les oprations de phishing ciblent gnralement les informations sensibles des personnes (identifiants de compte, dtails de carte) ou tentent d’inciter les utilisateurs effectuer des paiements des boutiques frauduleuses ou couvrir les frais supposs ncessaires la liquidation d’articles qui ont t mis en attente pour diverses raisons.
Le phishing (ou hameonnage) est lune des arnaques les plus anciennes et les plus connues dInternet. On peut le dfinir comme nimporte quel type de fraude de tlcommunications qui utilise des astuces dingnierie sociale pour obtenir des donnes confidentielles de la part de leurs victimes.
Quelles soient menes par e-mail, sur les rseaux sociaux, par SMS ou tout autre vecteur, toutes les attaques de phishing obissent aux mmes principes de base. Lattaquant envoie un argumentaire cibl visant persuader la victime de cliquer sur un lien, de tlcharger une pice jointe, denvoyer les informations requises ou mme deffectuer un paiement.
Quant ce que le phishing peut faire, cela dpend de limagination et des comptences du phisher (hameonneur). Lavnement des rseaux sociaux permet plus que jamais aux hameonneurs davoir accs un nombre croissant dinformations personnelles de leurs cibles. Arms de toutes ces donnes, ils peuvent adapter leurs attaques aux besoins, aux dsirs et aux situations de leurs cibles, ce qui rend leurs propositions bien plus allchantes. Dans ces cas de figure, les rseaux sociaux alimentent une ingnierie sociale plus puissante.
Les effets du phishing
La plupart des tentatives de phishing peuvent conduire un vol didentit ou dargent. Cest galement une technique efficace pour lespionnage dentreprise ou le vol de donnes. Certains pirates vont jusqu crer de faux profils sur les rseaux sociaux et prennent le temps de tisser des liens avec leurs victimes potentielles, en tendant leur pige une fois quils ont gagn leur confiance. Quel est le cot du phishing ? Les consquences ne sont pas uniquement financires. Le phishing entrane aussi une perte de confiance. a fait mal de se faire arnaquer par une personne sur laquelle on pensait pouvoir compter, et on peut mettre du temps sen remettre.
Le contexte
En tant que l’une des principales institutions de livraison de colis aux tats-Unis, l’USPS est, et a t pendant un certain temps, une cible commune pour les campagnes de phishing et de smishing (une attaque de cyberscurit par phishing mene par le biais de la messagerie texte mobile, galement connue sous le nom de phishing par SMS). Pour les rsidents amricains, il est presque garanti que vous recevrez au moins une tentative d’escroquerie pendant les vacances : l’USPS dispose mme d’une page web distincte consacre la mise en garde des consommateurs contre ce type de fraude et d’escroquerie. Une recherche rapide sur le web permet de trouver des tonnes d’exemples.
Akamai a commenc enquter sur le phishing sur le thme de l’USPS en octobre 2023, aprs qu’un employ a reu un SMS suspect qui redirigeait vers un site contenant un code JavaScript malveillant :
L’un des membres de notre quipe a rcemment reu l’une de ces tentatives sur son tlphone (Figure 1). Compte tenu de l’omniprsence de ces escroqueries, cette tentative nous a incits commencer une analyse de ce qui se passe au niveau du DNS en rapport avec le site web de l’USPS. Nous avons pu le faire en accdant aux journaux anonymes des requtes DNS globales provenant des serveurs DNS Akamai CacheServe.
Ensuite, les analystes ont dress une liste de tous les domaines utilisant le mme fichier JS au cours des cinq derniers mois et n’ont conserv que ceux dont le nom contenait la chane USPS.
La conception de ces pages est trs convaincante et apparat comme une rplique exacte du site authentique d’USPS avec des pages de suivi ralistes pour les mises jour d’tat.
Dans un cas, les auteurs de l’hameonnage ont mis en place ce qui ressemble une boutique ddie aux articles d’affranchissement, qui a commenc recevoir un trafic important la fin du mois de novembre, les consommateurs cherchant acheter des cadeaux et des objets de collection pour les ftes de fin d’anne.
Les domaines les plus populaires utiliss par ces sites frauduleux taient .com et .top, avec respectivement 4459 domaines et 271 278 requtes, et 3063 domaines et 274 257 requtes. Dautres extensions notables incluent .shop, .xyz, .org et .info.
Le TLD [.]com est le plus populaire pour l’enregistrement de nouveaux domaines. Nous voyons prs de 4*500 domaines .com uniques dans nos donnes. Cela nest pas surprenant dans la mesure o un [.]com peut donner aux victimes potentielles un sentiment de familiarit et de lgitimit lchelle mondiale.
Le [.]top TLD semble tre le TLD alternatif prfr des acteurs menaants. Il arrive en deuxime position avec plus de 3 000 noms de domaine diffrents. Ce TLD gnrique est exploit par une entreprise technologique en Chine et est bien connu pour tre utilis de manire malveillante dans des campagnes de phishing.
Il est intressant de noter que le TLD [.]world n’apparat pas dans le tableau. En effet, pour [.]world, nous avons compt un total de 170*126 requtes (trs lev, presque au mme niveau que [.]com et [.]top), mais 99,5*% d’entre elles ont t effectues uniquement sur usps-post[.]world ( rappelez-vous que usps-post[.]world tait le nom de domaine qui a reu le plus de requtes). Nous n’avons trouv que quelques noms de domaine sous ce TLD.
Entre octobre 2023 et fvrier 2024, les chercheurs dAkamai ont observ que les sites de phishing de lUSPS avaient reu 1 128 146 requtes, tandis que le site officiel en avait reu 1 181 235. Plus inquitant encore, pendant la priode des ftes de novembre et dcembre, les sites frauduleux ont enregistr encore plus de trafic, les pirates intensifiant leurs efforts pour exploiter la saison des achats en ligne
La figure 6 montre le nombre total de requtes dans notre ensemble de donnes, la fois pour usps.com et pour les domaines malveillants. Comme vous pouvez le constater, les chiffres sont presque identiques. Malgr la rigidit des paramtres de filtrage, les domaines malveillants reoivent peu prs le mme nombre de requtes que usps.com lui-mme. Cette constatation est choquante.
Nous pouvons galement observer ce qui se passe dans le temps. La figure 7 prsente les mmes chiffres agrgs par semaine .
Non seulement le trafic est relativement quivalent au cours d’une journe normale, mais certaines semaines, les domaines malveillants reoivent plus de requtes que le site usps.com lui-mme. Ces pics tournent autour des ftes de Thanksgiving (Black Friday) et de Nol, priode de l’anne o les livraisons sont les plus importantes aux tats-Unis.
Il semble que les cybercriminels soient bien conscients de ces ftes de fin d’anne et qu’ils programment leurs campagnes d’hameonnage de l’USPS en consquence. Il est bien sr logique qu’ils agissent de la sorte, car davantage de personnes attendent des colis ces dates. Les vacances sont galement une priode particulirement charge pour les gens, ce qui signifie qu’ils sont plus susceptibles de commettre des erreurs d’inattention qu’ils ne feraient pas autrement, comme de cliquer sur ces messages frauduleux.
Ce qu’en pense le professionnel de la cyberscurit
Nous avons constat que l’USPS est attaqu par des escroqueries par SMS, en particulier pendant les priodes de ftes de Nol et de Thanksgiving, en raison de la nature des achats de cadeaux pendant ces ftes.
Le nombre total de requtes de domaines malveillants par rapport usps[.]com est presque le mme, mme en ne comptant que les domaines incluant l’acronyme explicite USPS. Bien que l’USPS ait gagn avec 51*% du total des requtes pour cette priode de 5*mois dans cette analyse, la faon dont nous avons filtr les donnes suggre que le trafic malveillant dpasse largement le trafic lgitime dans le monde rel. Nous avons utilis lUSPS comme exemple, mais cette technique de combosquatting est utilise mondialement dans les campagnes de phishing, et pour cause : elle connat un norme succs.
Nous avons observ deux approches diffrentes de la part des acteurs malveillants*: soit ils rpartissent le trafic sur de nombreux noms de domaine diffrents, soit ils n’utilisent que quelques domaines qui gnrent chacun beaucoup de trafic. Cela pourrait tre des fins d’obscurcissement*: les oprateurs et autres fournisseurs d’hbergement sont conscients de l’omniprsence de ces escroqueries et tentent avec vigilance d’identifier et de supprimer ces pages. Compte tenu du niveau dattention apport llimination de ces escroqueries, leurs rsultats et nos observations sont encore plus proccupants.
Nous continuerons de surveiller et de signaler de telles menaces, tant pour nos clients que pour la communaut de la scurit dans son ensemble .
Conclusion
Les tactiques utilises par les cybercriminels sont de plus en plus sophistiques. Ils associent souvent des sites Web de phishing des courriels ou des messages SMS trompeurs. Ces messages prtendent gnralement que les colis ne peuvent pas tre livrs pour diverses raisons, telles que des informations de livraison manquantes ou des frais supplmentaires payer. Ils crent galement un sentiment durgence, exigeant des actions rapides sous peine de voir le colis renvoy lexpditeur.
Cette campagne de phishing est particulirement efficace pendant la priode des ftes, car de nombreuses personnes effectuent des achats en ligne et ne trouvent pas ces messages suspects. Akamai souligne que leur recherche sest concentre uniquement sur les sites comportant la chane USPS dans leur nom, ce qui signifie que le nombre rel de sites de phishing pourrait tre bien plus lev, tout comme le trafic quils gnrent.
Ltude met en lumire limportance pour les consommateurs dtre vigilants lorsquils font des achats en ligne. Il est essentiel de rester sceptique et de toujours garder lesprit la possibilit de fraude. Les consommateurs doivent vrifier lauthenticit des sites Web avant de saisir des informations personnelles ou de raliser des transactions financires.
Alors que le commerce lectronique continue de crotre, la menace du phishing suit la tendance. Les consommateurs doivent tre conscients des risques et prendre des mesures proactives pour se protger contre ces attaques de plus en plus frquentes et sophistiques.
Source : Akamai
Et vous ?
Avez-vous dj t la cible dune tentative de phishing ? Comment avez-vous ragi ?
Quelles mesures prenez-vous pour vrifier lauthenticit dun site Web avant dentrer vos informations personnelles ?
Selon vous, quelles responsabilits les services postaux et les plateformes en ligne devraient-ils assumer pour lutter contre le phishing ?
Comment les consommateurs peuvent-ils tre mieux duqus sur les dangers du phishing, surtout pendant les priodes de forte activit comme les ftes ?
Pensez-vous que les entreprises technologiques font assez pour protger les utilisateurs contre les sites de phishing ? Pourquoi ou pourquoi pas ?
Quel rle les autorits gouvernementales devraient-elles jouer dans la protection contre le phishing et les cyberattaques ?
Avez-vous des suggestions pour amliorer la scurit en ligne et rduire lefficacit des campagnes de phishing ?
Voir aussi :
19 ans, il a dvelopp une dizaine de frameworks pour lancer des attaques de phishing. La police nerlandaise l’a arrt tandis que ses clients auraient gagn des millions d’euros en deux ans
Le phishing augmente de 36 %, avec 278,3 millions d’e-mails de phishing uniques au quatrime trimestre 2022. Les outils d’attaque devenant plus sophistiqus, selon un rapport de Vade