Plongée dans la chronologie du phishing : menaces et tendances

Les escroqueries par hameçonnage restent une menace persistante. Les appareils mobiles ne sont pas à l'abri puisqu'actuellement 78% des sites de phishing ciblent les navigateurs mobiles.

Les escroqueries par hameçonnage restent une menace persistante, de nouvelles méthodes pour exploiter la confiance faisant régulièrement leur apparition. Les appareils mobiles ne sont pas à l'abri puisqu’actuellement 78 % des sites de phishing ciblent les navigateurs mobiles. Quelle est la chronologie du phishing ? A quel point les menaces de phishing sont dynamiques et évoluent rapidement ? Comment se protéger ?

L’analyse du phishing à partir d'un ensemble de données d'URL collectées sur une période donnée (mars 2024) fournit de nombreuses réponses. Ainsi, 60% des nouveaux domaines de phishing obtiennent un certificat SSL dans les deux heures suivant leur enregistrement. Cela signifie qu’un nouveau domaine peut être pleinement opérationnel via une connexion HTTPS sécurisée en seulement deux heures.

Cette analyse révèle un autre point important : si 50% des sites de phishing sont découverts au cours de la première semaine suivant leur création, l’autre moitié reste active en tant que menace "zero days" pendant plus d'une semaine.

Lorsqu'un site ou un domaine de phishing est signalé, il commence à apparaître dans les listes de blocage publiques, ce qui permet à des outils tels que Google Safe Browsing de les bloquer. Pendant cette période, le site fonctionne comme un "zero day".

L'utilisation croissante de sites d'hameçonnage sécurisés

En raison de l'évolution du comportement des navigateurs, qui considèrent les sites non cryptés comme moins sûrs, et de la possibilité d'échapper à la détection grâce à la communication cryptée, les attaquants ont migré vers l'utilisation de communications sécurisées (HTTPS) pour les attaques par hameçonnage actuelles.

L’ analyse montre que seuls 12,9 % des URL de phishing utilisent un schéma HTTP non crypté, tandis que 87,1 % utilisent le protocole HTTPS plus sûr (y compris ceux qui redirigent du HTTP vers le HTTPS). L'utilisation de connexions sécurisées pour diffuser des contenus malveillants peut créer un faux sentiment de sécurité chez l'utilisateur ou masquer des intentions malveillantes derrière l'icône du "cadenas" sur le navigateur.

Un domaine, des cibles multiples

L'analyse des URL certifiées SSL révèle un grand nombre de domaines différents utilisés dans les campagnes de phishing, chacun d'entre eux hébergeant souvent plusieurs sites frauduleux. Ces domaines de phishing hébergent environ quatre sites frauduleux distincts, démontrant comment les attaquants tirent parti d'un seul domaine pour cibler plusieurs marques simultanément.

En effet, les hackers ont tendance à cibler plusieurs marques en raison de la réutilisation des mots de passe par les utilisateurs ; si un attaquant obtient les informations d'identification d'un réseau social, il est probable que le même mot de passe ou un mot de passe similaire soit utilisé sur d'autres réseaux.

Dynamique temporelle : Révéler la chronologie de l'hameçonnage

Un site de phishing devient actif dès que son domaine est créé, le temps qui s'écoule entre sa création et sa découverte est appelé "0-day". Il s'agit de la période pendant laquelle la menace est active sans être signalée. On estime qu'environ la moitié des domaines de phishing sont signalés dans la semaine suivant leur création, et près de 25% dans la journée. Cela met en évidence le déploiement rapide de nouveaux sites d'hameçonnage et le besoin crucial de technologies avancées de détection de type "zero-day".

Par ailleurs, lorsque l’on observe le temps écoulé entre l'enregistrement du domaine jusqu'à la création du certificat SSL (nécessaire pour qu'un site HTTPS devienne pleinement opérationnel), on constate que dans les deux premières heures, près de 60% des domaines de phishing nouvellement créés disposent déjà d'un certificat SSL opérationnel.

Selon les résultats de l’étude menée, 3% des domaines ont été détectés comme étant des sites d'hameçonnage avant la date de création du certificat SSL. Cela s'explique par le fait qu'une grande partie de ces domaines fonctionnaient initialement avec un schéma HTTP avant de passer à HTTPS. Les domaines restants ont toujours conservé des URL HTTPS, ce qui suggère l'existence d'un certificat SSL préexistant.

Quelles mesures de protection mettre en place ?

Les attaques de phishing restent la principale menace pour les entreprises, évoluant de simples escroqueries par emails à des campagnes sophistiquées et multicanal exploitant l'IA. Les solutions et techniques de sécurité traditionnelles peinent à suivre le rythme de ces menaces de phishing avancées, exposant l'entreprise et ses utilisateurs à un risque important.

En combinant des technologies sur appareil et basées sur le cloud, une protection complète contre l'ensemble des attaques de phishing, y compris celles diffusées par e-mail, SMS et réseaux sociaux, peut être assurée. Le recours au machine learning et à l'analyse comportementale facilite également la détection des tentatives de phishing les plus sophistiquées.