Le rapport F5 Labs sur le phishing et la fraude montre que les escroqueries liées au COVID-19 et les attaques de plus en plus sophistiquées exacerbent les menaces mondiales. Les attaques de phishing augmentent de 19 % en raison du COVID-220.
La pandémie de COVID-19 continue d'augmenter considérablement les tentatives de phishing et de fraude, selon une analyse récente de F5 Labs. Selon la quatrième édition du Phishing and Fraud Report, publiée aujourd'hui, au plus fort de la pandémie mondiale, les incidents de phishing ont augmenté de 220 % par rapport à la moyenne annuelle. D'après les données du Security Operations Center (SOC) de F5, le nombre d'incidents de phishing augmentera de 2020 % en 15 par rapport à l'année précédente. Mais ce nombre pourrait augmenter en raison de la deuxième vague de la pandémie.
Termes "covid" et "corona" en haut
Les trois principales cibles des e-mails de phishing liés au COVID-19 sont la sollicitation frauduleuse de dons pour des organisations caritatives présumées, la collecte d'informations d'identification et la diffusion de logiciels malveillants. De plus, le nombre de certificats avec les termes « covid » et « corona » a culminé à 14.940 1102 en mars, soit une augmentation de XNUMX XNUMX % par rapport au mois précédent.
"Le risque d'être victime d'attaques de phishing est plus élevé que jamais, car les escrocs utilisent de plus en plus des certificats numériques pour donner l'impression que leurs sites Web sont légitimes", a déclaré Roman Borovits, ingénieur système senior chez F5. « Les attaquants sautent également rapidement sur les tendances émotionnelles, ce qui fait que le COVID-19 aggrave une situation déjà dangereuse. Malheureusement, nos recherches montrent que les contrôles de sécurité, l'éducation des utilisateurs et la sensibilisation générale dans le monde font toujours défaut.
Nouvelles méthodes de phishing
Comme les années précédentes, F5 Labs a constaté que les escrocs deviennent plus créatifs avec les noms et adresses de leurs sites de phishing. Jusqu'à présent en 2020, 52 % des sites de phishing ont utilisé des noms et des identités de marques bien connues dans leurs adresses. Au second semestre 2020, Amazon était le plus fréquemment exploité pour des attaques. Paypal, Apple, WhatsApp, Microsoft Office, Netflix et Instagram figuraient également parmi les dix marques les plus usurpées. En suivant le vol d'informations d'identification à utiliser dans les attaques actives, F5 Labs a découvert que les criminels tentaient d'utiliser des mots de passe volés dans les quatre heures suivant l'hameçonnage d'une victime. Certaines attaques se sont même produites en temps réel pour permettre la capture du code de sécurité de l'authentification multifacteur (MFA).
Les cybercriminels deviennent également de plus en plus impitoyables en détournant des URL légitimes mais vulnérables. WordPress représentait à lui seul 20 % des URL de phishing génériques en 2020, contre 4,7 % trois ans plus tôt. En outre, les cybercriminels économisent de plus en plus d'argent en utilisant des registres gratuits tels que Freenom pour certains domaines de premier niveau de code de pays (ccTLD) tels que .tk, .ml, .ga, .cf et .gq. .tk est désormais le cinquième domaine le plus fréquemment enregistré au monde.
Sites de phishing faussement réels
En 2020, les hameçonneurs ont également intensifié leurs efforts pour faire apparaître les sites frauduleux aussi authentiques que possible. Les statistiques F5 SOC ont révélé que la plupart des sites Web de phishing utilisent le cryptage. 72 % utilisent des certificats HTTPS valides pour tromper les victimes. Même toutes les zones de dépôt - les cibles des données volées envoyées par des logiciels malveillants - utilisent le cryptage TLS, contre 89 % l'année dernière.
Menaces futures
Selon une étude récente de Shape Security, qui est incluse dans le rapport pour la première fois, deux grandes tendances de phishing émergent. Grâce à l'amélioration des contrôles de sécurité et des solutions pour le trafic de robots (botnet), les attaquants utilisent de plus en plus les fermes de clics. Des dizaines de "travailleurs à distance" tentent systématiquement de se connecter à un site Web cible à l'aide d'informations d'identification récemment obtenues. La connexion est lancée par un humain à l'aide d'un navigateur Web standard, ce qui rend plus difficile la détection des fraudes.
Ici, même un pourcentage relativement faible d'attaques peut avoir des conséquences désastreuses. Par exemple, Shape Security a analysé 14 millions d'enregistrements mensuels auprès d'un fournisseur de services financiers et a enregistré un taux de fraude de 0,4 %. Cependant, cela équivaut à 56.000 XNUMX tentatives de connexion frauduleuses - et les chiffres continueront d'augmenter.
Tendance des proxys de phishing en temps réel
Comme deuxième tendance, les chercheurs de Shape Security ont noté une augmentation des proxys de phishing en temps réel (RTPP) capables de capturer et d'utiliser des codes d'authentification multifacteur (MFA). Le RTPP agit comme une personne intermédiaire, interceptant les transactions d'une victime avec un vrai site Web. Étant donné que l'attaque se produit en temps réel, le site Web malveillant peut automatiser le processus de capture et de relecture des authentifications limitées dans le temps telles que les codes MFA. Il peut même voler et réutiliser les cookies de session. Les RTTP récemment utilisés activement incluent Modlishka et Evilginx2.
"Les attaques de phishing réussiront tant que les gens pourront être manipulés psychologiquement d'une manière ou d'une autre", a poursuivi Borovits. « Les contrôles de sécurité et les navigateurs Web doivent mieux alerter les utilisateurs des sites Web frauduleux. Mais les utilisateurs et les entreprises doivent également être formés en permanence aux dernières techniques utilisées par les escrocs. Les tendances actuelles telles que COVID-19 doivent être au centre de l'attention.
Étude avec 5 ans de données en arrière-plan
Le rapport sur l'hameçonnage et la fraude de cette année examine les incidents d'hameçonnage sur la base de l'expérience du centre des opérations de sécurité (SOC) F5 au cours des cinq dernières années. Il détaille les sites Web de phishing actifs et confirmés alimentés par OpenText Webroot BrightCloud Intelligence Services. Il analyse également les données du marché du dark web de Vigilante. Ensemble, ces informations fournissent une image complète et cohérente du monde du phishing.
Directement au rapport sur F5.com
À propos des réseaux F5 F5 (NASDAQ : FFIV) donne aux plus grandes entreprises, fournisseurs de services, agences gouvernementales et marques grand public du monde la liberté de fournir n'importe quelle application en toute sécurité, n'importe où et en toute confiance. F5 fournit des solutions cloud et de sécurité qui permettent aux entreprises de tirer parti de l'infrastructure qu'elles choisissent sans sacrifier la vitesse et le contrôle. Visitez f5.com pour plus d'informations. Vous pouvez également nous rendre visite sur LinkedIn et Facebook pour plus d'informations sur F5, ses partenaires et ses technologies.