![\"\"](\"https:\/\/cscwebcontentstorage.blob.core.windows.net\/cscmarketing-cscdbs-media\/images\/DBS%20APWG.PNG\")
<\/figure>\n<\/div>\n\n\nUn rapport pr\u00e9c\u00e9dent de l\u2019APWG <\/sup>r\u00e9v\u00e9lait que plus de 80\u00a0% des sites de phishing utilisaient des certificats\u00a0SSL (Secure Socket Layers) ou TLS (Transport Layer Security) autorisant l\u2019utilisation du protocole HTTPS\u00a0\u2013 soit une augmentation de pr\u00e8s de 5\u00a0% \u00e0 la fin 2016\u00a0\u2013 et que 90\u00a0% de ces certificats \u00e9taient \u00e9mis par des fournisseurs gratuits, tels que cPanel et Let\u2019s\u00a0Encrypt.<\/p>\n\n\n\n En outre, l\u2019\u00e9tude sur le paysage des menaces de phishing (\u00ab Phishing Landscape \u00bb) r\u00e9alis\u00e9e par Interisle en 2022 a signal\u00e9 la d\u00e9tection de plus d\u20191,1 million d\u2019attaques de phishing entre avril 2021 et avril 2022, avec plus de 2 000 marques touch\u00e9es, la majorit\u00e9 des attaques ciblant n\u00e9anmoins les 10 marques les plus connues. Globalement, 69 % des attaques ont utilis\u00e9 des noms de domaine enregistr\u00e9s pour l\u2019occasion, les attaques s\u2019\u00e9tant majoritairement concentr\u00e9es sur les nouvelles extensions g\u00e9n\u00e9riques (nouveaux gTLD). De plus, il semble que les enregistrements abusifs se concentrent aupr\u00e8s d\u2019un nombre restreint de registrars. Pr\u00e8s de 41 % des noms de domaine signal\u00e9s pour le phishing ont \u00e9t\u00e9 utilis\u00e9s pour lancer une attaque dans les 14 jours qui ont suivi leur enregistrement, la plupart d\u2019entre eux \u00e9tant signal\u00e9s dans les 48 heures.<\/p>\n\n\n\n Les attaques de phishing visent aujourd\u2019hui \u00e0 d\u00e9rober des identifiants et \u00e0 usurper l\u2019identit\u00e9 d\u2019entreprises officielles, mais elles servent \u00e9galement de plus en plus de passerelles pour lancer des attaques par logiciels malveillants et ran\u00e7ongiciels, ce qui entra\u00eene souvent des compromissions s\u00e9v\u00e8res des r\u00e9seaux d\u2019entreprises ainsi que d\u2019autres probl\u00e8mes de s\u00e9curit\u00e9, comme les attaques contre l\u2019infrastructure DNS (syst\u00e8me de noms de domaine).<\/p>\n\n\n\n Au centre de nombreuses attaques de phishing se trouve un site frauduleux qui imite l\u2019apparence du site officiel de la marque vis\u00e9e et qui inclut g\u00e9n\u00e9ralement un formulaire de connexion invitant l\u2019utilisateur \u00e0 saisir des informations sensibles qui, de ce fait, tombent entre les mains du fraudeur. Dans les attaques de phishing classiques, le site imite une marque sp\u00e9cifique, et les cybercriminels envoient des e-mails \u00e0 un large groupe d\u2019utilisateurs pour les inciter \u00e0 se rendre sur le site. Cette strat\u00e9gie part du principe qu\u2019un certain pourcentage de destinataires seront clients de la marque en question et seront donc plus susceptibles d\u2019\u00eatre bern\u00e9s.<\/p>\n\n\n\n Toutefois, ces deux derni\u00e8res ann\u00e9es, CSC a vu appara\u00eetre un type de site de phishing beaucoup plus ostensible, dont l\u2019apparence est personnalis\u00e9e dynamiquement pour chaque destinataire, et qui peut donc cibler avec plus de pr\u00e9cision un plus large pourcentage de destinataires dans une seule et m\u00eame campagne.<\/p>\n\n\n\n Le premier site de ce type a \u00e9t\u00e9 identifi\u00e9 en f\u00e9vrier 2020 ; il utilisait une URL au format https:\/\/[sitefraudeur.com]\/[r\u00e9pertoire]\/?usr=[cha\u00eene], dans laquelle la partie \u00ab cha\u00eene \u00bb \u00e9tait constitu\u00e9e d\u2019une s\u00e9rie de caract\u00e8res apparemment al\u00e9atoires. Le site semblait cibler l\u2019utilisateur d\u2019une adresse mail d\u2019entreprise particuli\u00e8re li\u00e9e \u00e0 un titulaire de marque, cette adresse \u00e9tant pr\u00e9-remplie dans le formulaire de connexion de la page. L\u2019arri\u00e8re-plan du site affichait une version encadr\u00e9e du site web officiel de l\u2019entreprise, laissant croire \u00e0 l\u2019utilisateur qu\u2019il se connectait \u00e0 son propre site d\u2019entreprise. Tout ce contenu semble avoir \u00e9t\u00e9 cod\u00e9 en dur dans le code HTML du site de phishing.<\/p>\n\n\n\n Toutefois, un examen plus d\u00e9taill\u00e9 \u00e0 r\u00e9v\u00e9l\u00e9 qu\u2019en r\u00e9alit\u00e9, le contenu semble avoir \u00e9t\u00e9 g\u00e9n\u00e9r\u00e9 dynamiquement, avec la cha\u00eene de l\u2019URL contenant une version cod\u00e9e en base64 de l\u2019adresse mail du destinataire. (Le base64 est un sch\u00e9ma de codage standard pour convertir des donn\u00e9es binaires, comme une cha\u00eene de caract\u00e8res ASCII, au format texte.)<\/p>\n\n\n\n Pour d\u00e9terminer comment le site de phishing traite concr\u00e8tement ces informations, une URL modifi\u00e9e a \u00e9t\u00e9 g\u00e9n\u00e9r\u00e9e, rempla\u00e7ant la cha\u00eene en base64 par une version cod\u00e9e de l\u2019adresse mail d\u2019un employ\u00e9 de CSC. Cette technique a produit la page illustr\u00e9e \u00e0 la Figure 2, dans laquelle le code source HTML semble de nouveau avoir \u00e9t\u00e9 cod\u00e9 en dur \u00e0 l\u2019affichage.<\/p>\n\n\n Cela signifie que le site ex\u00e9cute probablement un script pour g\u00e9n\u00e9rer dynamiquement le code HTML de la page en fonction du contenu de la cha\u00eene en base64 de l\u2019URL. Cette technique permet de produire des attaques de phishing extr\u00eamement convaincantes, par lesquelles, en fonction de l\u2019adresse mail du destinataire, le site frauduleux est configur\u00e9 pour afficher une version encadr\u00e9e du domaine h\u00f4te de l\u2019adresse mail, sur laquelle appara\u00eet une zone de connexion pr\u00e9-remplie avec cette adresse. Il est donc possible d\u2019envoyer la m\u00eame adresse e-mail de phishing \u00e0 un grand nombre de destinataires, sans qu\u2019il soit n\u00e9cessaire de personnaliser l\u2019e-mail de destination ou le site de phishing correspondant pour le destinataire en question, \u00e0 condition de s\u2019assurer que la version cod\u00e9e en base64 de l\u2019adresse mail de destination est ajout\u00e9e au lien dans l\u2019e-mail de phishing dans chaque cas (ce qui peut facilement \u00eatre automatis\u00e9 \u00e0 l\u2019aide d\u2019un script).<\/p>\n\n\n\n Il a \u00e9galement \u00e9t\u00e9 \u00e9tabli que le comportement du site semble d\u00e9pendre du mode et du lieu de consultation, le site semblant inactif lorsqu\u2019il est visionn\u00e9 dans un environnement de machine virtuelle. Ce type de configuration a d\u00e9j\u00e0 \u00e9t\u00e9 signal\u00e9 comme une technique utilis\u00e9e par les fraudeurs pour tromper les r\u00e9sultats des analyses d\u00e9taill\u00e9es de leurs sites par des professionnels de la s\u00e9curit\u00e9, qui travaillent souvent en environnement virtuel.<\/p>\n\n\n\n De plus, certaines caract\u00e9ristiques visibles (\u00e0 savoir, les indicateurs de contrefa\u00e7on) dans l\u2019image du produit peuvent aider \u00e0 d\u00e9terminer si un r\u00e9f\u00e9rencement rel\u00e8ve de la fraude. Pour ce faire, on utilise une fonctionnalit\u00e9 d\u2019analyse d\u2019image automatis\u00e9e, qui sera v\u00e9rifi\u00e9e manuellement par un analyste.<\/p>\n\n\n\n Il faut \u00e9galement souligner que ce type de site est tr\u00e8s difficile \u00e0 rep\u00e9rer avec les tactiques de surveillance de marque traditionnelles. Hormis le fait que ce site peut tr\u00e8s bien avoir \u00e9t\u00e9 configur\u00e9 en tant que site isol\u00e9 non index\u00e9, auquel il n’est possible d\u2019acc\u00e9der que via des liens contenus dans des messages ind\u00e9sirables, il n\u2019y a habituellement aucune r\u00e9f\u00e9rence \u00e0 la marque dans le contenu m\u00eame du site, le contenu de marque \u00e9tant g\u00e9n\u00e9r\u00e9 dynamiquement dans le code HTML uniquement lorsqu\u2019un utilisateur acc\u00e8de au site en cliquant sur l\u2019URL. Dans ce type de cas, la d\u00e9tection d\u00e9pend uniquement de la capacit\u00e9 du moteur anti-fraude de CSC, combin\u00e9 aux informations du r\u00e9f\u00e9rent du site fournies par le titulaire de marque, afin d\u2019identifier le moment o\u00f9 le site de phishing extrait des informations du site officiel de la marque pendant l’ex\u00e9cution du processus de cadrage.<\/p>\n\n\n\n Une \u00e9tude de juillet\u00a02022 a signal\u00e9 l\u2019identification d\u2019un style d\u2019attaque extr\u00eamement similaire, qui utilisait un miroir bit \u00e0 bit du site officiel de la marque cibl\u00e9e.<\/p>\n\n\n\n Ces r\u00e9sultats soulignent l\u2019importance de disposer d\u2019un programme complet de d\u00e9tection du phishing et d\u2019intervention, qui soit capable d\u2019identifier divers types de menaces. La d\u00e9tection doit combiner un volet Surveillance du nom de domaine (afin d\u2019identifier les sites de phishing o\u00f9 le nom de la marque \u2013 ou l\u2019une de ses variantes \u2013 est inclus dans le nom de domaine) et un volet Surveillance d’internet (pour d\u00e9tecter les autres sites frauduleux li\u00e9s au contenu index\u00e9 des moteurs de recherche). Toutefois, d\u2019autres sources de donn\u00e9es, comme les pi\u00e8ges \u00e0 spams ou les honeypots, ou les flux de donn\u00e9es des messageries et des journaux de serveurs web, peuvent \u00e9galement servir \u00e0 identifier les sites de phishing non index\u00e9s ou dont le contenu est g\u00e9n\u00e9r\u00e9 plus dynamiquement.<\/p>\n\n\n\n Pourtant, m\u00eame ces analyses ne constituent qu\u2019une partie de la solution. Comme nous l\u2019avons indiqu\u00e9 pr\u00e9c\u00e9demment, les attaques de phishing permettent souvent de lancer des attaques par logiciel malveillant ou d\u2019autres formes de violation de s\u00e9curit\u00e9. Une strat\u00e9gie de s\u00e9curit\u00e9 robuste devrait donc \u00e9galement inclure le d\u00e9ploiement d\u2019un \u00e9ventail complet de mesures de s\u00e9curisation des noms de domaine, comme celles offertes par un registrar r\u00e9serv\u00e9 aux professionnels, pour prot\u00e9ger les noms de domaine critiques de l\u2019organisation. Nous recommandons \u00e9galement aux titulaires de marques d\u2019\u00e9viter de faire appel \u00e0 des fournisseurs qui autorisent les pratiques douteuses, telles que le typosquatting, les ench\u00e8res de noms de domaines et la g\u00e9n\u00e9ration en masse de noms de domaine (\u00ab domain spinning \u00bb), autant de proc\u00e9d\u00e9s qui facilitent les attaques de phishing.<\/p>\n\n\n\n Si vous souhaitez en savoir plus sur la d\u00e9tection du phishing, consultez notre page d\u00e9di\u00e9e aux solutions anti-fraude destin\u00e9es aux entreprises<\/a> ou remplissez notre formulaire de contact<\/a> pour parler \u00e0 l\u2019un de nos experts.<\/p>\n","protected":false},"excerpt":{"rendered":" Nous avions d\u00e9j\u00e0 not\u00e9 dans plusieurs \u00e9tudes CSC que le phishing continuait d\u2019\u00eatre un vecteur de menaces extr\u00eamement populaire aupr\u00e8s des hackers, et que cette technique ne montrait aucun signe de d\u00e9saffection, notamment du fait de la pand\u00e9mie de COVID-19 et de la g\u00e9n\u00e9ralisation du travail \u00e0 distance. De fait, les chiffres les plus r\u00e9cents […]<\/p>\n","protected":false},"author":17,"featured_media":10455,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[545],"tags":[],"class_list":["post-11845","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-fr"],"acf":[],"yoast_head":"\nLes sites de phishing personnalisables<\/strong><\/h2>\n\n\n\n
![\"\"](\"https:\/\/cscwebcontentstorage.blob.core.windows.net\/cscmarketing-cscdbs-media\/images\/DBS%20Phishing%20example.png\")
<\/figure>\n<\/div>\n\n\nConclusion<\/strong><\/h2>\n\n\n\n