Blog GlobalSign

12 mars 2019

Attention : kits de phishing avancés sur le Dark Web

La montée en puissance du Dark Web a changé beaucoup de choses pour les délinquants. Si le Dark Web fut longtemps le paradis des acheteurs et vendeurs de drogue, d’armes et de fausses pièces d’identité, une récente étude montre aussi que l’on y trouve de plus en plus souvent des kits de phishing avancé.

Certes, l’hameçonnage (phishing) n’est pas nouveau : le phénomène existe depuis presque aussi longtemps que l’e-mail et a toujours constitué un élément important de l’arsenal des cybercriminels. Malgré une meilleure connaissance des risques associés au phishing, cette pratique reste l’une des formes d’attaques prédominantes des cyberassaillants. Selon certains rapports, le point de départ de 91 % des attaques en ligne et des atteintes à la protection des données est un e-mail de phishing.

Dernièrement, une étude conjointe de CyberInt et Check Point pointe du doigt une tendance encore plus inquiétante. Les nouveaux kits en vente sur le Dark Web pourraient permettent à toute personne, même sans connaissances techniques poussées, de lancer ses propres arnaques de phishing. Au vu de leur simplicité d’utilisation, ces kits pourraient faire exploser le nombre d’attaques par hameçonnage pour atteindre un niveau inédit.

Avant de vous révéler les détails croustillants de ces nouveaux kits de phishing, revenons quelques instants sur les dégâts que peuvent provoquer ces attaques.

Phishing : petit rappel

Vous en avez probablement assez de lire des articles sur les attaques de phishing et les moyens de les éviter. Les sites consacrés à la cybersécurité, fréquentables (ou pas), regorgent de conseils pratiques sur les moyens de se prémunir contre ce genre d’attaque. Leur fonctionnement est désormais bien connu et tout le monde, ou presque, pense savoir comment les éviter.

Mais, compte tenu de la masse d’informations disponibles sur les risques de l’hameçonnage et de la longue prise de conscience qui s’est opérée au fil du temps chez les utilisateurs et les entreprises, le danger est que nous nous endormions sur nos lauriers. Or, loin de reculer, les attaques par hameçonnage sont en plein essor et se perfectionnent constamment.

Si les conséquences de ces attaques peuvent être catastrophiques pour les particuliers, n’oublions pas que chaque année, les pertes occasionnées par les attaques de phishing aux PME-PMI atteignent des milliards de dollars. De plus, ces attaques sont davantage ciblées. On note notamment l’émergence du « spear phishing ou harponnage » — ces attaques ultra-personnalisées qui, bien souvent, ne ciblent que des personnes influentes.

Phishing : tous concernés

Mais les nouveaux kits de phishing découverts par CyberInt et Check Point mettent en lumière un fait beaucoup plus inquiétant : toute personne, même sans connaissances techniques poussées, a accès à des outils sophistiqués.

Depuis des années, le Dark Web propose des kits de phishing qui offrent aux cybercriminels en herbe une solution relativement bon marché. Un kit de phishing standard coûte entre 20 et 50 dollars US l’essai et promet de récupérer les informations de base sur les victimes (mots de passe génériques ou autres renseignements simples) — ces informations pouvant être exploitées par la suite pour fomenter une attaque plus sophistiquée.

Mais le kit récemment identifié est d’un autre acabit. Son prix est d’ailleurs beaucoup plus élevé. Développé par un utilisateur connu sous le nom d’[A]pache, ce kit fournit un site complet (ayant l’apparence d’un site légitime) qui permet de récupérer les données financières de ses victimes. Le prix — autour de 300 dollars US — s’explique par la sophistication du logiciel.

Ce que l’on peut obtenir pour ce montant est toutefois assez impressionnant. Le kit de phishing permet de créer plusieurs sites factices qui ressemblent à s’y méprendre à de grandes enseignes du commerce en ligne. Même s’ils se concentrent principalement sur les sites e-commerce brésiliens, les malfaiteurs peuvent aussi faire passer leur site pour Walmart et d’autres entreprises américaines. Le résultat est assez bluffant :

Source : https://research.checkpoint.com/a-phishing-kit-investigative-report/

Avec ce kit, un pirate même inexpérimenté peut monter un faux site et le remplir d’articles « à vendre ». Cerise sur le gâteau : le kit propose aussi des conseils aux assaillants potentiels pour les aider à définir des tarifs compétitifs pour leurs faux produits. Il fournit également un panneau d’administration permettant de récupérer les données financières des victimes, comme le montre Check Point ici.

Reste à savoir si ce kit, ou d’autres kits similaires connaîtront le succès. Le rapport de l’étude ne comporte aucun chiffre sur les ventes. En fait, Check Point ayant aussi réussi à retrouver le compte Twitter de son auteur, on pourrait s’attendre à ce que le kit soit assez rapidement retiré du Dark Web s’il est prouvé — et c’est un grand si — qu’[A]pache a commis un délit au Brésil.

Quelle que soit l’issue de cette affaire, l’aspect de ce site de phishing permet cependant de penser que ces kits avancés risquent de se banaliser dans les années à venir.

Comment se protéger ?

Dans ces conditions, que faire pour se protéger ?

De manière générale, si vous avez fait le plein d’articles sur l’hameçonnage, vous connaissez probablement déjà quelques-unes des stratégies à mettre en place pour assurer votre protection, celle de vos données et votre entreprise. Même si les kits comme celui d’[A]pache se perfectionnent constamment, la meilleure défense contre les attaques par hameçonnage reste inchangée : apprenez à repérer les e-mails de phishing et les faux sites Web, et effectuez des simulations de phishing pour mettre vos connaissances à l’épreuve.

Par ailleurs, assurez-vous également que les sites que vous gérez sont protégés contre les attaques de phishing. Si le vol de vos données peut être catastrophique sur un plan individuel et personnel, le vol des données de vos clients peut être encore plus grave si votre responsabilité est engagée, et se solder par des sanctions légales. Il est par conséquent indispensable d’apprendre à protéger vos clients contre les attaques par hameçonnage.

Plus généralement, ces nouveaux kits de phishing nous enseignent une chose importante : mieux vaut rester vigilant face à ces nouvelles attaques, malgré la lassitude que l’on peut ressentir à la lecture d’articles qui rabâchent toujours la même chose.

À propos de l’auteur

Sam Bocetta est un journaliste indépendant spécialisé dans la diplomatie et la sécurité nationale américaines, avec un focus sur les évolutions technologiques autour des thématiques actuelles de cyberguerre, cyberdéfense et cryptographie.

Note: ce billet de blog a été écrit par un rédacteur externe afin de varier les contenus proposés à nos lecteurs. Les opinions exprimées par l’auteur de cet article sont exclusivement les siennes et ne reflètent pas nécessairement les opinions de GlobalSign.

Partager ce blog

Quelles données sont collectées sur vous en ligne ?

Qu’est-ce que l’ingénierie sociale ? Jouer sur la confiance