Au cours de ce 2ème trimestre, Microsoft, entreprise mondiale de technologie, a grimpé dans le classement, passant de la troisième place, qu’elle occupait au trimestre précédent, à la première place. Le géant technologique a à lui-seul concentré 29 % de toutes les tentatives de phishing relevées à l’encontre de marques. Ce chiffre peut s’expliquer en partie par la campagne de phishing qui a permis aux pirates de cibler les utilisateurs de comptes en faisant croire, via des messages frauduleux, qu’une activité inhabituelle était en cours sur leur compte. Le rapport place Google en deuxième position, avec 19 % de toutes les tentatives, et Apple en troisième position, avec 5 % de toutes les tentatives de phishing au cours du dernier trimestre. En ce qui concerne les secteurs d’activité, c’est le secteur des technologies qui a été le plus attaqué, suivi par le secteur bancaire et les réseaux sociaux.

Au début de l’année, CPR avait lancé une alerte sur la tendance à la hausse des campagnes de phishing dans le secteur financier, et cette tendance s’est poursuivie au cours des trois derniers mois. Pour preuve, la banque américaine Wells Fargo prend la quatrième place ce trimestre à la suite d’une série d’e-mails malveillants réclamant des informations confidentielles aux utilisateurs. Les mêmes tactiques imitant des marques telles que Walmart et LinkedIn ont été observées lors d’autres tentatives d’escroqueries. Ces deux marques figurent parmi les dix premières de ce rapport, respectivement au sixième et huitième rang.

« Si le classement des marques les plus usurpées évoluent d’un trimestre à l’autre, les tactiques utilisées par les cybercriminels, elles, ne changent guère. En effet, cette méthode consistant à inonder nos boîtes de réception avec des emails utilisant des logos de confiance pour créer une fausse impression de sécurité s’avère plutôt efficace dans de nombreux cas », a déclaré Omer Dembinsky, responsable du groupe de données chez Check Point Software.

« D’où la nécessité pour nous tous de nous engager à faire une pause et à vérifier, en prenant un moment avant de cliquer sur un lien que nous ne reconnaissons pas. Est-ce que quelque chose cloche dans le mail ? Les mots sont-ils adaptés à la situation ? Le ton ou la formulation utilisés incitent-ils à réagir instantanément ? Si c’est le cas, cela peut être le signe qu’il s’agit d’un e-mail de phishing. Pour les entreprises soucieuses de protéger leurs propres données et leur réputation, il est essentiel de mettre à profit les technologies conçues pour bloquer efficacement ces e-mails avant qu’ils n’aient la chance de duper une victime. »

Dans sa dernière version Titan R81.20, Check Point a également annoncé qu’une technologie de sécurité en ligne appelée « Zero Phishing » a récemment été renforcée par un nouveau moteur appelé Brand Spoofing Prevention, conçu pour empêcher toute usurpation d’identité de marque et pour détecter et bloquer également les marques locales utilisées comme appâts, dans toutes les langues et tous les pays. Ce moteur est capable d’identifier une usurpation de marque de manière proactive, grâce à la reconnaissance préalable de faux noms de domaines dès le stade de l’enregistrement et de bloquer l’accès à ces derniers. Cette solution utilise un moteur innovant alimenté par l’IA, des processus avancés de langage naturel et des capacités améliorées d’analyse des URL : elle inspecte automatiquement les éventuelles tentatives malveillantes et bloque l’accès aux marques locales et mondiales usurpées dans plusieurs langues et pays, ce qui permet un taux de capture supérieur de 40 % à celui des technologies traditionnelles.

Lorsqu’il s’agit d’une attaque de phishing de marque, les criminels tentent d’imiter le site web officiel d’une marque connue en utilisant un nom de domaine ou une URL similaire et une structure de page web qui ressemble à celle du site authentique. Le lien vers le faux site web peut servir à plusieurs niveaux : soit il est envoyé aux personnes ciblées par e-mail ou par SMS, soit un utilisateur peut être redirigé vers ce lien pendant sa navigation sur le web, ou le lien peut être déclenché lors de l’utilisation d’une application mobile frauduleuse. Le faux site contient souvent un formulaire destiné à subtiliser les informations d’identification des utilisateurs, leurs coordonnées bancaires ou d’autres informations personnelles.

Principales marques les plus usurpées pour des campagnes de phishing au 2ème trimestre 2023
Voici les principales marques classées selon le nombre de fois où elles apparaissent lors de tentatives de phishing de marques :
1. Microsoft (29%)
2. Google (19,5%)
3. Apple (5,2%)
4. Wells Fargo (4,2%)
5. Amazon (4%)
6. Walmart (3,9%)
7. Roblox (3,8%)
8. LinkedIn (3%)
9. Home Depot (2,5%)
10. Facebook (2,1%)

Les quatre illustrations d’email de phishing usurpant les marques Microsoft, LinkedIn, Wells Fargo et Walmart :

1/ Email de phishing de Microsoft - Exemple d’activité inhabituelle
Au cours du deuxième trimestre 2023, une campagne de phishing a été menée, visant spécifiquement les détenteurs de comptes Microsoft. Les attaquants ont envoyé des messages frauduleux, prétendant signaler une activité de connexion inhabituelle dans le but de tromper les utilisateurs.
La campagne comprenait des e-mails mensongers qui étaient soi-disant émis par l’entreprise avec des noms d’expéditeur tels que « Microsoft sur  ». L’objet de ces e-mails de phishing était « RE : Activité de connexion inhabituelle sur le compte Microsoft » et ils prétendaient avoir détecté une activité de connexion inhabituelle sur le compte Microsoft du destinataire. Les e-mails fournissaient des détails sur la prétendue connexion, tels que le pays/la région, l’adresse IP, la date, la plateforme et le navigateur.
Pour réagir à ce présumé problème de sécurité, les e-mails de phishing invitaient les destinataires à vérifier leur activité récente en cliquant sur un lien fourni qui menait à des sites internet malveillants n’ayant aucun rapport avec Microsoft. URL utilisées dans la campagne, telles que hxxps ://online.canpiagn[.]best/configurators.html ethxxps ://bafybeigbh2hhq6giieo6pnozs6oi3n7x57wn5arfvgtl2hf2zuf65y6z7y[.]ipfs[.]dweb[.] Le lien est actuellement indisponible, mais l’hypothèse est qu’ils ont été conçus pour voler les identifiants ou les informations personnelles de l’utilisateur, ou pour télécharger du contenu malveillant sur l’appareil de l’utilisateur.

2/ Email de phishing de LinkedIn - exemple de vol de compte
Au cours du deuxième trimestre 2023, un e-mail de phishing qui imitait LinkedIn, une plateforme de réseautage professionnel, a été identifié (figure 1). L’e-mail prétendait à tort provenir de "LinkedIn" et avait pour objet « Revoir PO juin - Feuille de commande. » Son but était de tromper les destinataires et de les inciter à cliquer sur un lien malveillant prenant l’apparence d’un rapport. Le lien de phishing (qui n’est plus actif) contenu dans l’e-mail menait à un site internet suspect situé à l’adresse hxxps ://amazonlbb[.]ajimport[.]com[.]br/china/newcodingLinkedin/index.html (figure 2). En cliquant sur ce lien, les utilisateurs risquaient de se faire voler leur compte et de subir d’autres types d’activités malveillantes.

3/ Email de phishing de Wells Fargo - scam de vérification de compte
Au cours du deuxième trimestre 2023, l’équipe CPR a observé une campagne d’e-mails de phishing usurpant l’identité de Wells Fargo, une institution financière renommée. L’e-mail avait été émis depuis l’adresse « 29@9bysix[.]co[.]za » et semblait provenir de « Wellsfargo Online ». Il avait pour objet « Vérification requise » et cherchait à inciter les destinataires à fournir les informations relatives à leur compte en prétendant que certains détails manquaient ou étaient incorrects.
L’e-mail de phishing comprenait un lien malveillant (qui n’est plus actif) : hxxps ://vmi1280477[.]contaboserver[.]net/pyfdwqertfdswwrty/wells/main[.]html. Le lien menait à un site internet malveillant où les utilisateurs étaient invités à saisir les identifiants de leur compte, ce qui risquait d’entraîner un accès non autorisé ou une compromission du compte.

4/ Email de phishing de Walmart - Fausse offre de carte cadeau
Au deuxième trimestre 2023, l’équipe CPR a détecté une campagne d’e-mails de phishing usurpant l’identité de Walmart, une enseigne spécialisée dans la vente de détail. L’e-mail était envoyé depuis l’adresse « info@chatpood[.]info » et avait pour objet « Carte cadeau électronique Walmart en attente ». Le but de cet e-mail frauduleux était de tromper les destinataires en leur offrant une carte cadeau Walmart d’une valeur de 500 dollars en guise de remerciement pour leur fidélité. L’e-mail de phishing contenait un lien malveillant : hxxps ://cloud[.]appsmtpmailers[.]com. Cliquer sur ces liens redirigeait les utilisateurs vers une page web frauduleuse où il leur était demandé de fournir des informations personnelles telles que leur nom et leur adresse e-mail, afin de vérifier s’ils étaient éligibles. Ce site est actuellement inactif.