Le phishing, tous les services jurisiques et informatiques connaissent ! Savent-ils cependant que la plupart des attaques de ce type privilégient les marques, culminent le mercredi et surviennent dans les 3 à 5 jours qui suivent l’enregistrement du nom de domaine créé aux fins d’hameçonnage ? Voici le profilage assez complet de ces attaques et les recommandations pour en limiter la portée…
L’étude approfondie réalisée du 1er mai au 31 juillet 2020 par l’Interisle Consulting Group ne laisse planer aucun doute sur les stratégies de plus en plus « affûtées » déployées par les fraudeurs. L’identification, pendant cette courte période, de 99 412 noms de domaine utilisés pour du phishing et de 122 092 attaques, permet en effet de mieux comprendre l’ampleur de ce phénomène dont les marques sont les cibles privilégiées : elles représentent 43 % des attaques. Parmi elles, des banques, des médias sociaux, des services fiscaux, des universités… et, pour citer les plus connues, Amazon, Apple, AT&T, Chase, Facebook, LinkedIn, Microsoft, Outlook, Paypal et WhatsApp. Pire encore, d’après les données relevées, plus de 300 d’entre elles ont été attaquées au moins cinq fois !
Au-delà de ces chiffres déjà parlants, cette étude contribue aussi à esquisser le profil type actuel des atteintes par hameçonnage : elles sont courtes (21 heures environ), ont lieu principalement en milieu de semaine et ne sont détectées que 8 heures 44 minutes après que les victimes ont commencé à se connecter.
Il ressort également que, pour les noms dont la date d’enregistrement est connue, les attaques de phishing ont lieu :
- dans les 14 jours dans 45 % des cas ;
- mais dans les 3 premiers jours pour 57 % des noms enregistrés à des fins malveillantes. Parmi ces noms identifiés comme malveillants, 17 % (dits dormants) restent inutilisés par les pirates plus de 90 jours après leur enregistrement, d’autres plus d’un an, dans l’attente de futures attaques.
Par ailleurs, l’étude précise que :
- 54 % des noms attaqués sont enregistrés en .COM et .NET ;
- 24 % seulement utilisent les extensions géographiques (ccTLDs), mais privilégient les 5 qui offrent des enregistrements peu couteux, à savoir .TK (Tokelau), .GA (Gabon), .ML (Mali), .CF (République centrafricaine) et .GQ (Guinée équatoriale) ;
- 18 % des noms le sont dans les nouvelles extensions (alors que ces nTLDs ne représentent que 9 % de tous les noms de domaine enregistrés dans le monde) ; à noter le .BUZZ (plus particulièrement dédié aux interactions sociales) qui se hisse à la 5e place des extensions utilisées par les pirates.
Il est pourtant probable que l’ampleur du phishing est sous-évaluée. L’étude évoque en effet plusieurs raisons susceptibles de représenter un obstacle à la détection et à l’identification des attaques. Parmi elles :
- certaines techniques évasives employées par les fraudeurs, notamment le « cloaking » (masquage) qui consiste à présenter un contenu de page différent selon que le visiteur est un humain ou un robot ;
- les différentes politiques encadrant la confidentialité des données qui garantissent l’anonymat des fraudeurs, le RGPD par exemple.
LE CONSEIL D’EBRAND
La technique préférée des pirates est l’usurpation d’identité (spoofing) et la porte d’entrée de la majorité des tromperies reste : le nom de domaine ! En effet, pour créer l’adresse email frauduleuse qui sera utilisée pour leurs opérations de phishing, les pirates ont besoin d’enregistrer au préalable un nom de domaine trompeur. S’il n’est pas possible d’empêcher la création d’une adresse email, il est en revanche parfaitement possible de limiter les enregistrements de noms de domaine jugés “à risque”.
Si, à votre niveau, vous constatez une hausse significative des attaques, il faut absolument renforcer la détection de celles-ci avec la mise en place d’une surveillance adapté mais aussi prévenir ces attaques par des enregistrements défensifs de noms de domaine très ciblés.
Pour cette raison, EBRAND met à votre disposition XRay, un tout nouvel outil de détection anti-phishing. Celui-ci va permettre de surveiller les enregistrements de noms de domaine et de sous-domaines, toutes les heures, afin d’étudier la composition des noms de domaine frauduleux et leur fréquence d’enregistrement. La détection se fait parmi les enregistrements DNS déclarés mais aussi parmi d’autres bases de données telles que la création des certificats de sécurité. Grâce à l’étude réalisée, vous pourrez ensuite adapter plus finement votre périmètre défensif sur Internet. Cette méthode a fait ses preuves en permettant de mieux anticiper les attaques. Par ailleurs, la surveillance horaire procure la latitude nécessaire pour agir ou réagir avant l’échéance fatidique des 3 jours.
Pour plus d’informations sur la solution Xray, cliquez sur la bannière ci-dessous. Une documentation est à disposition.
Par Raphaël TESSIER et Sophie AUDOUSSET pour EBRAND France.
