Phishing as a service : un business en croissance

Ariane Beky,
Linkedin
ANSSI phishing Nobelium

Le volume d’attaques par hameçonnage a augmenté de 29% en 2021, selon un rapport. Le succès d’offres de « phishing as-a-service » explique la tendance.

Qu’il soit utilisé pour obtenir, par la manipulation pyschologique (ingénierie sociale), les identifiants d’accès de professionnels ou, par l’usurpation de marque, les coordonnées bancaires de particuliers appelés à cliquer sur un lien frauduleux, l’hameçonnage reste l’un des vecteurs majeurs de cybercriminalité dans le monde.

Selon les données* livrées par l’entreprise américaine de sécurité en mode cloud Zscaler, le volume d’attaques par hameçonnage (phishing) a augmenté de 29% en 2021. Trois secteurs ont été plus particulièrement ciblés : le commerce de détail et de gros (+436%), les gouvernements (+110%) et la finance & assurance (+101%).

Aussi, Microsoft a été la marque la plus détournée à des fins d’escroquerie par phishing, représentant près de 31% de l’ensemble des attaques repérées.

Sous l’angle des territoires, la croissance des attaques par phishing a éte la plus forte dans les cinq pays suivants : Singapour (+829% en 2021 par rapport à 2020), la Fédération de Russie (+799%), la France (+342%), le Royaume-Uni (+331%) et la Chine (+115%).

La tendance est liée à l’émergence du « phishing as-a-service » (PhaaS).

Kits et frameworks de phishing

« Les groupes organisés utilisent le dark web pour vendre des offres packagées qui permettent à des tiers malveillants, quel que soit leur niveau d’expérience, d’escroquer plus facilement par le biais de l’hameçonnage », expliquent les auteurs du rapport. Les kits de phishing et les frameworks open source sont les deux offres PhaaS les plus populaires.

« Les experts en piratage et en ingénierie sociale font tout le travail en coulisses, de la création de campagnes de phishing au développement de code, sans oublier la création de modèles efficaces de courriels » destinés à tromper le chaland, ajoutent-ils.

Dans ce contexte, les organisations ont tout intérêt à comprendre et mesurer le risque, tirer parti des outils automatisés de protection, sensibiliser les équipes et simuler des attaques par hameçonnage pour identifier les lacunes de leur politique de cybersécurité.

*L’équipe de recherche ThreatLabz de Zscaler a analysé les données issues de plus de 200 milliards de transactions quotidiennes et de 150 millions d’attaques bloquées par jour. Au total ce sont 873 millions d’attaques de phishing qui ont été observées en 2021. (source : « 2022 Zscaler ThreatLabz – State of Phishing Report »).

(crédit photo © thodonal – Adobe Stock)