Le phishing tiers, une tactique qui dirige les victimes vers de fausses pages de phishing gérées par une marque de confiance, est en augmentation significative. Les institutions financières mondiales sont particulièrement ciblées par les attaquants. Une nouvelle tendance dangereuse.
Le phishing a toujours constitué une menace majeure pour les entreprises. Ce qui est particulièrement inquiétant, c'est que les attaquants trouvent constamment de nouvelles façons de développer des méthodes d'attaque sophistiquées, capables de contourner divers protocoles de cybersécurité.
Au premier semestre 2023, les experts en analyse des cybermenaces de BlueVoyant ont commencé à enquêter sur une technique d'attaque qu'ils avaient identifiée pour la première fois en 2020 mais qui s'est considérablement développée ces derniers mois : le phishing tiers. L’ampleur, la complexité et la mise à disposition de mécanismes avancés d’évasion et de furtivité pour les acteurs malveillants rendent cette technique d’attaque bien plus efficace que l’utilisation de sites Web de phishing traditionnels et autonomes.
Phishing tiers dans de nombreux secteurs
Le phishing par des tiers est un phénomène qui cible, entre autres, des centaines d'institutions financières mondiales, en utilisant des sites intermédiaires qui redirigent les victimes vers de faux sites de phishing se faisant passer pour le domaine d'une marque de confiance. En usurpant l'identité d'une marque apparemment sans rapport avec celle-ci, il est plus facile pour les attaquants d'éviter la détection de leur identité et de leurs stratagèmes, tout en collectant des informations d'identification et des informations personnelles auprès de clients d'un plus large éventail d'entreprises.
Les experts en analyse des cybermenaces ont remarqué une augmentation significative de la popularité et de la prévalence de cette tactique parmi les attaquants. Elle est désormais présente dans de multiples secteurs : e-commerce, logistique et expédition, opérateurs mobiles, institutions gouvernementales, plateformes de traitement des paiements, etc.
Le rapport donne un aperçu des méthodes sophistiquées développées par les attaquants pour mener des campagnes de phishing tierces, ainsi que des meilleures pratiques pour atténuer ce type d'attaque que les utilisateurs peuvent ne pas reconnaître, même s'ils connaissent la cybersécurité.
Phishing traditionnel vs phishing tiers
Traditionnellement, les sites Web de phishing ciblent principalement les utilisateurs d’une organisation, qu’ils soient employés ou clients. Ces sites Web suivent généralement un schéma similaire : les attaquants utilisent un kit de phishing pour créer un faux site Web de marque d'entreprise presque identique (ou suffisamment convaincant). Ils utilisent un domaine le plus similaire possible pour créer un sentiment de légitimité.
Les sites de phishing tiers, en revanche, partagent certaines des caractéristiques du processus susmentionné, mais avec une étape supplémentaire : la tromperie initiale, qui renforce la crédibilité auprès de l'utilisateur final, est réalisée via un service qui n'est pas affilié à l’organisation cible. De plus, le site de phishing tiers lui-même ne demandera pas à l’utilisateur de saisir ses informations d’identification personnelles. L’arnaque se produit sur la dernière page de phishing vers laquelle le client a été redirigé, qui usurpe l’identité de l’institution financière choisie.
Un phénomène mondial et intersectoriel
La tendance du phishing par des tiers ne se limite pas à une région géographique spécifique, mais s’étend à l’échelle mondiale. Les attaquants ciblent également divers secteurs d’activité : institutions financières, gouvernements, services de livraison, sites de commerce électronique, plateformes de paiement, etc.
Les acteurs malveillants font appel à des tiers pour mener des campagnes de phishing avancées, comme le montrent les exemples en Europe et au Royaume-Uni. Les chercheurs en sécurité ont découvert des sites de phishing tiers qui usurpent l'identité de dizaines d'institutions financières via des sites Web intermédiaires et des services postaux frauduleux, des plateformes de commerce électronique, des plateformes de paiement d'impôts, des fournisseurs de téléphonie mobile et des services gouvernementaux. Les victimes sont attirées vers de faux sites intermédiaires et finalement redirigées vers le site de phishing cible qui usurpe l'identité de l'institution financière choisie par la victime.
Des mesures de défense efficaces
Le phishing tiers ajoute une nouvelle tournure à la méthode d'arnaque bien connue. Les sites intermédiaires qui dirigent les victimes vers divers sites de phishing offrent aux attaquants deux avantages : ils leur permettent d'élargir leur réseau et de compromettre davantage de victimes, et ils créent une autre couche entre eux et les analystes des menaces qui pourraient être sur leurs traces.
En plus de surveiller les cybermenaces ciblant leurs propres domaines, les organisations doivent désormais être vigilantes face aux tentatives par lesquelles un intermédiaire redirige le trafic vers un autre site de phishing. Le risque qu’un site Web serve de passerelle vers des dizaines d’institutions financières est énorme, et les équipes de sécurité doivent redoubler d’efforts pour trouver de tels sites de phishing. Pour réduire le risque de phishing tiers, les étapes suivantes sont recommandées :
- Surveillez les domaines similaires et l’utilisation illégitime de marques d’entreprise sur le Web pour identifier les sites de phishing potentiels.
- Former les clients et les employés sur la manière de gérer le phishing tiers et examiner de manière critique chaque URL.
- Combattez les domaines malveillants qui utilisent le phishing tiers pour minimiser les risques et potentiellement empêcher les attaques à grande échelle.
- Travaillez en étroite collaboration avec un fournisseur holistique de protection contre les risques numériques pour détecter de manière proactive les campagnes de phishing tierces, recevoir des alertes validées et remédier rapidement aux menaces.
À propos de BlueVoyant
BlueVoyant combine des capacités de cyberdéfense internes et externes dans une plate-forme cloud native basée sur les résultats en surveillant en permanence votre réseau, vos terminaux, votre surface d'attaque, votre chaîne d'approvisionnement et le Web clair, profond et sombre à la recherche de menaces. La plate-forme de cyberdéfense à spectre complet éclaire, valide et corrige rapidement les menaces pour protéger votre organisation. BlueVoyant s'appuie à la fois sur l'automatisation basée sur l'apprentissage automatique et sur l'expertise humaine.
Articles liés au sujet