Blog GlobalSign

12 avr. 2018

L’université de Californie UC Berkeley s’interroge sur les kits de phishing

D’après une étude sur la cybercriminalité réalisée en septembre par Accenture, les entreprises ont dépensé en moyenne près de 1,3 million de dollars pour se remettre en selle après avoir essuyé des attaques d’hameçonnage (phishing) et d’ingénierie sociale.

Étant donné la nature de ces attaques et les inquiétudes que font naître les dégâts occasionnés, des chercheurs les observent en permanence pour essayer de comprendre les agresseurs, leurs méthodes et l’ampleur des dommages.

Parmi ces groupes de chercheurs, des étudiants de l’université de Californie à Berkeley enquêtent sur l’hameçonnage. Ils ont récemment publié une étude d’évaluation sur le sujet et sur l’écosystème souterrain derrière le vol d’identifiants.

Dans le cadre de cette étude, l’équipe de Berkeley s’est attachée à la période entre mars 2016 et mars 2017. Leurs recherches ont, entre autres, permis d’identifier 12,4 millions de victimes de kits de phishing et la divulgation — puis l’échange au marché noir en ligne — de 1,9 milliard de noms d’utilisateur et mots de passe à la suite de violations de données. Les chercheurs ont remarqué que leurs échantillons démontraient « l’ampleur du vol d’identifiants sur la Toile ».

Pour mener à bien leur enquête, ils ont mis au point un framework automatisé pour surveiller les « sombres individus » du marché noir et les identifiants volés. Ils ont examiné dans quelle mesure le vol de mots de passe permettait aux attaquants de récupérer les identifiants de messagerie valides de leurs victimes puis de prendre le contrôle de leur identité en ligne. Pour cela, ils se sont procuré un échantillon de 10 037 kits d’hameçonnage, 3 785 identifiants volés et 15 579 enregistreurs de frappe.

Une grande partie de l’étude portait sur l’examen des kits d’hameçonnage — ces packages faciles à déployer, et capables de créer et de configurer des contenus d’hameçonnage, qui offrent en parallèle un support intégré pour signaler les identifiants volés. Le nombre de sites d’hameçonnage adossés à ces kits est flou, mais d’après un article présenté au Sommet des chercheurs en cybercriminalité (eCrime Researchers Summit) de l’IEEE en 2013, 10 % des sites de phishing actifs cette année là auraient, selon des études antérieures, laissé très peu de preuves d’utilisation d’un kit.

L’hameçonnage est le type d’attaque qui « marche » le mieux.

L’étude a également mis en évidence un lien étroit entre les techniques employées par les assaillants pour s’emparer des identifiants réutilisés par une victime et le risque de prise de contrôle total de l’adresse e-mail de la victime. À partir de l’exemple de Gmail, les chercheurs se sont aperçus que seuls 7 % des victimes de violations de données par des tiers avaient vu leur mot de passe Google valide exposé, contre 25 % chez les victimes d’hameçonnage. Le nombre d’utilisateurs de Google concernés par le phishing a dépassé les 2,3 millions, ce qui représente plus de 578 000 mots de passe valides récupérés par les pirates qui utilisent ces kits. Ces sombres individus connaissent par ailleurs des fortunes diverses lorsqu’ils tentent d’émuler les comportements de connexion habituels et le profil des appareils utilisés par les titulaires des comptes ciblés.

L’étude a également révélé que les victimes de phishing sont 400 fois plus susceptibles d’être détournées qu’un utilisateur de Google lambda. Ce chiffre tombe à 10 pour les victimes de violations de données et aux alentours de 40 pour les victimes d’enregistreurs de frappe. Cet écart s’explique par le fait que les kits de phishing récupèrent activement des informations sur les profils de risques pour mieux usurper l’identité des victimes. En effet, 83 % des kits d’hameçonnage recueillent des données de géolocalisation, 17 % des numéros de téléphone et 16 % des données sur les agents utilisateurs.

D’après les résultats de cette étude, les victimes ignoraient encore un an plus tard que leurs mots de passe avaient été divulgués et représentaient donc un risque.

Le document relate également la découverte de 4 069 kits d’hameçonnage distincts (et de 52 enregistreurs de frappe) responsables des attaques actives observées dans le cadre de cette étude menée sur un an. Le kit de phishing le plus utilisé, un site qui émule les connexions Gmail, Yahoo et Hotmail, a été exploité par 2 599 pirates malintentionnés pour s’emparer de près de 1,5 million d’identifiants.

Autres résultats

L’étude s’est également attachée à ausculter l’activité hebdomadaire des cinq meilleurs kits de phishing. La découverte d’un comportement de trafic par rafale comme pour les campagnes marketing donne à penser que l’impact n’est significatif que pour un nombre limité d’individus. Plus particulièrement, le deuxième kit de phishing le plus populaire, qui émulait le Webmail de Workspace, n’a fait que 2 500 victimes potentielles par semaine pendant les pauses, alors que le nombre de victimes a bondi pour atteindre 69 000 pendant les périodes plus actives d’activités coordonnées.

Il est intéressant de constater que les pirates derrière les attaques de phishing semblent utiliser la même technologie qu’il y a dix ans... avec pourtant une capacité de nuisance inchangée.

Le bon côté...

Si les vols d’identifiants sont problématiques, l’étude révèle néanmoins — et c’est la bonne nouvelle — que la probabilité pour qu’un incident se répète au sein d’un même groupe de victimes est étonnamment faible : seulement 2 % des utilisateurs retombent en effet dans les filets des hackers. L’équipe a présumé que la réinitialisation des mots de passe pouvait suffire à régler le problème de piratage d’un compte de messagerie. Or, dans le cas des victimes à répétition, il peut arriver que leurs mots de passe fraîchement modifiés soient récupérés par des logiciels malveillants ; à moins que ceux-ci ne fassent les frais d’une autre attaque de phishing après leur récupération initiale.

Pour les chercheurs, les conclusions de leur étude démontrent l’ampleur mondiale des vols d’identifiants et la nécessité d’éduquer en permanence les utilisateurs aux solutions de gestion de mots de passe, mais aussi à l’authentification à deux facteurs comme solution potentielle « impossible à hameçonner ». Conseil que nous trouvons tout à fait judicieux – pensez à utiliser des mots de passe uniques et forts pour vos comptes et à mettre en œuvre l’authentification multifacteurs chaque fois que possible.

Nous ne saurions que trop insister sur l’importance de rester vigilant face au hameçonnage. C’est d’ailleurs ce que confirment les résultats de l’étude : les identifiants récupérés lors d’attaques de phishing ont, de loin, le plus de chances d’être valides... et de permettre aux pirates de prendre le contrôle de votre compte. Avant de cliquer sur un lien ou de transmettre des informations sur un site Web, demandez-vous qui est l’expéditeur de l’e-mail, et si le site Web est légitime. Nous avons réuni dans un article quelques conseils pour vous aider à repérer les courriels et sites Web d’hameçonnage.

Partager ce blog