Le phishing a été multiplié par 4 en dix ans

Les industrieux du phishing ont trouvé dans les serveurs d’hébergement web une cible privilégiée pour véhiculer leurs campagnes mafieuses.

Les tactiques d’engineering social ont la côte auprès des mafieux. Et parmi les techniques préférées des cyber-attaquants figure le phishing, aussi appelé hameçonnage, qui consiste à tromper l’internaute via un email renvoyant vers un site web détournant une identité régulière pour l’inviter à révéler ses identifiants personnels (un faux site à entête d’une banque, par exemple).

Malgré les mises en gardes et les protections mises en place, ce type d’attaque progresse régulièrement. Elles auraient été multipliées par 4 entre 2001 et 2012, selon un rapport de Verizon. L’opérateur révèle même que 30 % des victimes d’hameçonnage sont des entreprises, que dans 27 % ce sont des managers qui se laissent prendre, et que dans 13 % elles se traduisent par des mouvements d’argent…

50% de serveurs d’hébergement web

Selon une étude de l’Anti-Phishing Working Group (APWG), l’année 2012 a été marquée par la bascule de l’origine des attaques de phishing vers les opérateurs de services d’hébergement. Au cours des 6 derniers mois de l’année, 50 % des attaques provenaient de serveurs d’hébergement de sites web. Elles étaient 47 % en 2011.

Si le différentiel en pourcentages est faible, il représente un volume de dizaines de milliers de serveurs qui servent de relais aux campagnes de phishing.

Mais la vraie problématique de ce phénomène, c’est sa capacité de propagation. Un serveur chez un opérateur héberge des dizaines, des centaines, voire parfois des milliers de sites web. Si un seul est infecté, et si la protection mise en place se révèle inefficace, ce sont des dizaines, des centaines, voire parfois des milliers de sites web qui vont former un pool de diffusion des campagnes de fishing.

Nous sommes le maillon faible !

Et Verizon de rappeler que dans 69 % des attaques par phishing, la victime n’est pas seule, et que dans 66 %, l’attaque n’a été découverte… qu’au minimum un mois après ! Et dire qu’une simple prise de conscience du modèle des attaques et du risque encouru suffirait à réduire ces chiffres. Décidément, l’humain demeure le maillon faible de la sécurité numérique !

Voir aussi

Silicon.fr étend son site dédié à l’emploi IT
Silicon.fr en direct sur les smartphones et tablettes

Lire aussi : Netflix : phishing persistant sur le petit écran