Comment fonctionne le phishing moderne ?

Le phishing est une technique d'ingénierie sociale de longue date utilisée par les cybercriminels pour inciter les gens à divulguer des informations sensibles (par exemple, les détails de la carte de crédit, les identifiants de connexion, les numéros de téléphone, les adresses, etc.) à des fins financières. La victime ne sait même pas que ses informations ont été compromises, étant donné qu'elle n'a reçu ni consentement ni approbation. Selon les rapports de l'Anti-Phishing Working Group (APWG) , au quatrième trimestre 2022, le nombre d'attaques de phishing dans le monde a établi un record de plus de 4,7 millions d'attaques. Cela se traduit par un taux de croissance de plus de 150 % par an depuis 2019, le secteur financier étant le plus ciblé.

Les attaquants utilisent ces moyens électroniques pour diffuser des textes et des images persuasifs afin de gagner la confiance de la victime en la convainquant de la légitimité de la communication. Ce type d'arnaque se présente sous de nombreuses formes, notamment le phishing téléphonique, le smishing (phishing par SMS), les e-mails de phishing et les sites Web de phishing.

Une manière courante d'approcher les victimes potentielles consiste à leur fournir par courrier électronique des liens de phishing (URL) d'apparence légitime qui mènent à des sites Web malveillants. Même les messages envoyés sur des sites et des applications de réseaux sociaux, comme Facebook, WhatsApp et Instagram, peuvent contenir des liens de phishing, ainsi qu'une raison de cliquer dessus, tout en prétendant que cela redirigera l'utilisateur vers la page officielle de quelque chose qu'il reconnaît. En outre, il est également courant de trouver des liens malveillants parmi des liens inoffensifs dans les résultats des moteurs de recherche.

Il est important de noter que les liens malveillants peuvent être très similaires à l’URL réelle que les attaquants tentent d’usurper. Un exemple courant de ces URL de phishing serait quelque chose comme www.faceb00k.com — la version camouflée du vrai www.facebook.com . L'apparence très similaire entre les URL apporte une autre faille de sécurité dont les attaquants peuvent profiter, car les utilisateurs peuvent mal saisir des lettres lorsqu'ils saisissent une adresse URL dans leur navigateur Internet. Ces URL presque identiques peuvent être récupérées par un site Web de phishing. Dans la nature, nous pouvons trouver des exemples d'URL de phishing avec une apparence complètement différente de la réalité, et elles semblent être une version abrégée d'URL très longues, comme celles générées par le raccourcisseur d'URL de Google.

Les sites Web de phishing peuvent être difficiles à identifier. Dans l'espoir d'inciter les victimes à divulguer des informations personnelles, de nombreux sites ressemblent de manière convaincante à ceux qu'ils imitent. Dans certains cas, les faux sites Web sont mal construits par les attaquants et il est évident que la page semble déformée. Comme une version mal rendue de la version originale ou il y a des éléments inattendus sur la page (pieds de page, menus ou panneaux). Il peut également y avoir des éléments textuels incluant une typographie et/ou un langage qui ne correspondent pas.

Néanmoins, étant donné que la majeure partie du code source de n'importe quelle page Web est accessible via un navigateur Internet, il est assez facile de créer des pages Web de phishing qui semblent identiques aux pages légitimes, ce qui permet d'identifier une page malveillante, via une évaluation visuelle ou « l'intuition de l'utilisateur ». très difficile à faire avec précision.

Les e-mails de phishing ont généralement moins de succès grâce aux progrès réalisés dans leur classification comme spam. Cependant, certains emails et liens de phishing parviennent toujours à se glisser dans les boîtes de réception. Néanmoins, les attaquants font preuve de plus en plus de créativité dans la manière dont ils diffusent des URL malveillantes. Par exemple, les fraudeurs peuvent les partager lors d’appels téléphoniques ou en envoyant un grand nombre de messages SMS – des astuces pour toucher des groupes spécifiques de personnes. Cela peut aller de la publication d'URL malveillantes dans des vidéos de YouTubers populaires à des applications d'authentification trompeuses, montrant à l'utilisateur un code QR contenant un site de phishing sur lequel un voleur d'informations d'identification est installé. Vous trouverez ci-dessous deux exemples de campagnes de phishing récentes.

Le phishing reste une méthode d'attaque de premier plan car elle permet aux cybercriminels de cibler des personnes à grande échelle. Habituellement, ils diffusent des escroqueries par phishing sous prétexte d’être des représentants de grandes entreprises auprès desquelles les cibles visées ont des comptes. Les banques, les institutions gouvernementales, les boutiques en ligne, les fournisseurs de services de messagerie et les entreprises de télécommunications sont les entreprises les plus attractives pour les attaques de phishing, en raison de leur nombre élevé de clients et des données sensibles impliquées.

À quoi ressemble un site de phishing ?

Certains sites Web de phishing modernes sont raisonnablement faciles à mettre en évidence dans la nature en raison des disparités évidentes par rapport aux sites légitimes. De nos jours, les cybercriminels utilisent des boîtes à outils pour créer des pages de phishing en peu de temps, sans avoir besoin de connaissances spécialisées en matière de construction de sites Web. Vous trouverez ci-dessous un exemple d’une telle attaque, où les différences visuelles révèlent la fausseté du site.

Dans les pages de connexion Facebook précédentes, nous pouvons voir quelques changements qui nous amènent à douter de l'authenticité du site, comme un logo plus grand, des différences typographiques, l'absence du texte de pied de page, le bouton « Créer un nouveau compte » dans un vert légèrement différent. ton, et entre autres.

Il existe néanmoins des sites de phishing extrêmement trompeurs. Dans ces cas-là, les attaquants déploient beaucoup d’efforts pour les faire ressembler aux vrais. Dans les exemples ci-dessous, vous pouvez voir à quel point un site de phishing ressemble à son homologue authentique.

Dans les pages de connexion présentées ci-dessus, nous pouvons repérer de petits détails qui différencient le site de phishing de la page de connexion réelle. La version de phishing est une quasi-copie de la version originale, où les changements sont très subtils et discrets intentionnellement pour passer inaperçus par la victime, c'est-à-dire que le texte du pied de page a un alignement différent, qu'il contient des éléments manquants ou qu'ils ne sont pas affichés. correctement.

Les sites de phishing ont beaucoup évolué au fil des années pour devenir des contrefaçons convaincantes. Certains utilisent même HTTPS, donnant aux utilisateurs un faux sentiment de sécurité lorsqu’ils voient le cadenas vert.

Les défauts mineurs d’un site Web de phishing peuvent sembler évidents lorsqu’ils sont placés à côté d’une page légitime, mais pas si visibles seuls. Mais pensez à la dernière fois que vous avez vu la page de connexion d’un service que vous utilisez fréquemment. Il y a de fortes chances que vous ayez du mal à vous souvenir de tous les détails, ce qui est exactement ce qu'espèrent les fraudeurs par phishing lorsqu'ils conçoivent leurs pages.

Comment les menaces de phishing se propagent-elles ?

Historiquement, le moyen le plus courant de propager des sites Web de phishing a été les e-mails de phishing, mais ils se propagent également via des publicités payantes qui apparaissent dans les résultats de recherche. D'autres vecteurs d'attaque incluent une technique appelée clickbait. Les cybercriminels utilisent généralement le clickbait sur les réseaux sociaux en promettant quelque chose, comme un téléphone gratuit, pour encourager les utilisateurs à cliquer sur des liens malveillants.

Que se passe-t-il lorsqu'un phisher réussit une capture ?

Comme presque toutes les cyberattaques modernes, le phishing est utilisé à des fins financières. Lorsque les utilisateurs abandonnent leurs identifiants de connexion à un site de phishing, les cybercriminels peuvent en abuser de plusieurs manières différentes, selon le type de site utilisé pour le phishing. De nombreuses attaques de phishing imitent des institutions financières, telles que des banques ou des sociétés comme PayPal, et visent à rapporter d'importantes récompenses financières aux cybercriminels.

Si un cybercriminel incite un utilisateur à divulguer ses informations d'identification sur un site Web d'expédition, tel qu'UPS ou FedEx, il est peu probable qu'il profite de l'accès au compte. Au lieu de cela, ils peuvent essayer d'utiliser les mêmes informations d'identification pour accéder à d'autres comptes contenant des informations plus précieuses, comme un compte de messagerie, sachant que les gens utilisent souvent les mêmes mots de passe sur plusieurs services. Une autre façon pour les cybercriminels de tirer profit serait de vendre les informations d'identification volées sur le dark web, une partie plus profonde d'Internet où les réseaux privés font des affaires de manière anonyme sans divulguer d'informations d'identité.

Il s’agit d’une méthode d’attaque « pulvérisez et priez ». De nombreux sites WordPress obsolètes sur le Web peuvent être piratés et utilisés pour des campagnes de phishing à très faible coût. Généralement, le prix du déploiement d'un kit de phishing est d'environ 25 $, ce qui le rend très abordable et toujours rentable pour les attaquants. Un autre inconvénient du phishing - pour la victime potentielle - est que les attaques ont une courte durée de vie (TTL) et que les URL changent fréquemment au sein d'une même campagne, ce qui rend les méthodes de détection standard, comme la création de listes de blocage d'URL suspectes, inefficaces contre les attaques zero-day. .

Comment se protéger

Le temps varie souvent entre une attaque de phishing réussie – le moment où le cybercriminel acquiert les informations d’identification et le moment où il les utilise. Plus vite nous parvenons à atténuer la menace, plus nous pouvons protéger de victimes potentielles. Une fois les informations d'identification d'un utilisateur volées, il ne peut pas faire grand-chose d'autre que de modifier ces informations d'identification dès que possible.

En 2024, des chercheurs en cybersécurité ont découvert qu’il existe également de nouvelles techniques permettant de contourner divers filtres anti-spam, même les meilleurs de Google. Par exemple, les pièces jointes sont envoyées sous forme de fichiers PDF, qui ne contiennent aucun texte, pour rediriger les utilisateurs vers d'autres services Google, tels que Google Docs. En outre, d'autres pièces jointes de phishing non standard sont utilisées, telles que des invitations de calendrier, où des URL renvoyant vers des sites de phishing sont également incluses dans la description de l'événement.

Ci-dessous, voici une liste de contrôle pour vous aider à éviter d'être victime de l'une des formes de cyberattaque les plus efficaces :

• Avant toute chose, installez une solution antivirus sur tous vos appareils, qu'ils soient PC, mobiles ou Mac. Le logiciel antivirus agit comme un filet de sécurité, protégeant les utilisateurs en ligne.
• Ne cliquez pas sur les liens et ne téléchargez pas de fichiers à partir d’e-mails suspects. Évitez d'y répondre, même si elles proviennent prétendument d' . Au lieu de cela, contactez ces entités via un canal distinct et assurez-vous que le message provient bien d’elles.
• Entrez directement l'URL d'un site Web dans votre navigateur chaque fois que cela est possible, afin de finir par visiter le site que vous souhaitez visiter, plutôt qu'une fausse version.
• Ne vous fiez pas uniquement au cadenas HTTPS vert. Même si cela signifie que la connexion est cryptée, le site peut quand même être faux. Les cybercriminels chiffrent leurs sites de phishing pour tromper davantage les utilisateurs. Il est donc important de vérifier que le site que vous visitez est la vraie affaire.
• Surfez sur le Web en toute sécurité grâce à un navigateur Internet capable de détecter les sites de phishing imperceptibles à l'œil nu. Comme Norton Secure Browser , qui est doté de fonctionnalités de sécurité de pointe réparties sur plusieurs couches de protection, évalue la légitimité de l'URL depuis ses composants techniques exécutés derrière des rideaux jusqu'au contenu visuel présenté à l'utilisateur. Menant à une atténuation efficace de ces menaces dans le cadre de campagnes massives.

Auteur : Javier Aldana Iuit, PhD . Chercheur IA/ML en détection de phishing visuel et de cybermenaces frauduleuses, GEN