Au premier trimestre, Microsoft a de nouveau été la marque la plus ciblée par les cybercriminels, tout comme au quatrième trimestre 2020. 39% de toutes les tentatives de phishing de marque étaient liées au géant technologique (en légère baisse par rapport aux 43 % du quatrième trimestre), car les auteurs de menaces continuent dans leur tentative de profiter des personnes en télétravail pendant la pandémie. DHL a conservé sa position de deuxième marque la plus usurpée, avec 18 % de toutes les tentatives de phishing. Les criminels surfent sur la vague des achats en ligne qui se généralisent.

Le rapport révèle que la technologie reste le secteur le plus susceptible d’être visé par le phishing de marque, suivi du transport maritime. Cependant, le secteur bancaire a remplacé le commerce de détail sur le podium des industries ce trimestre, puisque deux marques bancaires - Wells Fargo et Chase - figurent désormais sur la liste des dix premières, démontrant que les auteurs de la menace exploitent la montée en puissance des paiements électroniques due à la pandémie, et la dépendance accrue à la banque en ligne, aux achats et livraisons à domicile, pour essayer de piéger les utilisateurs et commettre des fraudes financières.

« Les criminels ont intensifié leurs opérations au premier trimestre 2021 pour voler les données personnelles des internautes en se faisant passer pour des grandes marques. Nos données montrent clairement leur façon de changer de tactiques de phishing pour augmenter leurs taux de réussite », explique Xavier Duros, CTO de Check Point Software France. « Alors que des mesures de sécurité sont souvent intégrées aux sites web et aux applications, notamment dans le domaine bancaire, ce sont les utilisateurs qui ne parviennent pas toujours à détecter les escroqueries. C’est pour cela que les cybercriminels continuent à duper les utilisateurs en envoyant des emails convaincants qui prétendent provenir de marques de confiance. Comme toujours, nous encourageons les utilisateurs à être prudents lorsqu’ils partagent des données personnelles et des informations d’identification, et à réfléchir à deux fois avant d’ouvrir des pièces jointes ou des liens, en particulier les emails qui prétendent venir d’entreprises comme Microsoft, DHL ou encore des institutions bancaires les plus susceptibles d’être usurpées. »

Dans le cas d’une attaque par phishing de marque, les criminels tentent d’imiter le site web officiel d’une marque connue en utilisant un nom de domaine ou une URL et une présentation de page web similaires à ceux du site authentique. Le lien vers le faux site web peut être envoyé aux personnes ciblées par email ou par SMS, un utilisateur peut être redirigé pendant sa navigation sur le web, ou encore peut être déclenché depuis une application mobile frauduleuse. Le faux site contient souvent un formulaire destiné à subtiliser les informations d’identification des utilisateurs, leurs coordonnées bancaires ou d’autres informations personnelles.

Principales marques de phishing au 1er trimestre 2021

1. Microsoft (lié à 39 % de toutes les tentatives de phishing de marque au niveau mondial)
2. DHL (18%)
3. Google (9%)
4. Roblox (6%)
5. Amazon (5%)
6. Wells Fargo (4%)
7. Chase (2%)
8. LinkedIn (2%)
9. Apple (2%)
10. Dropbox (2%)

Email de phishing DHL - exemple de logiciel malveillant

Un email de phishing malveillant utilisait la marque DHL et tentait de télécharger le RAT Agent Tesla sur l’ordinateur de l’utilisateur. L’email (ci-dessous), qui a été envoyé à partir d’une adresse webmail et usurpée pour sembler provenir de support@dhl.com, avait pour objet « DHL Import Clearance - Consignment :  ». Le contenu demandait de télécharger un fichier d’archive « DHL-IVN.87463.rar », qui contenait un fichier exécutable malveillant entraînant l’infection du système par Agent Tesla.

Ce rapport sur le phishing de marques de Check Point et sa carte ThreatCloud sont alimentés par l’intelligence ThreatCloud de Check Point, le plus grand réseau collaboratif de lutte contre la cybercriminalité qui fournit des données sur les menaces et les tendances des attaques à partir d’un réseau mondial de capteurs de menaces. La base de données ThreatCloud inspecte plus de 3 milliards de sites web et 600 millions de fichiers par jour, et identifie plus de 250 millions d’activités malveillantes chaque jour.