L’étude 2016 Verizon Data Breach Investigations Report (DBIR) fait apparaître une nouvelle vague de victimes de campagnes de phishing, dans la mesure où 30 % des destinataires de l’ensemble étudié cette année ont ouvert des e-mails de cette nature. Cette proportion est alarmante étant donné que le phishing est le point de départ de la plupart des piratages de réseaux et de données. Dans ce contexte, les chercheurs d’Imperva ont disséqué une campagne de phishing lancée à la mi-juin 2016. Parmi leurs découvertes les plus surprenantes figurent le faible coût du lancement d’une campagne et le fort retour sur investissement attendu pour les cybercriminels.

Les chercheurs d’Imperva ont parcouru le marché noir sur le Darknet afin d’estimer le coût des campagnes de phishing et d’avoir une vision claire de leur modèle économique. Ils ont ainsi observé la facilité avec laquelle il est possible d’acheter bon marché des campagnes toutes faites sous la forme d’un service (PhaaS, Phishing as a Service). En outre, ils ont constaté que les cybercriminels ont pu facilement pirater des serveurs web infectés dans le cadre de leur campagne, ce qui leur a permis de réduire encore l’investissement nécessaire. D’après l’analyse de coûts effectuée par les chercheurs, le modèle PhaaS revient environ quatre fois moins cher et est deux fois plus rentable qu’une campagne de phishing classique « non managée », qui réclame beaucoup de compétences et de main-d’œuvre. Malheureusement, la baisse des coûts et des freins technologiques liés au phishing ne peut qu’entraîner une multiplication des attaques et du nombre de leurs victimes.

Suivant la piste des pirates, les chercheurs ont pu recueillir une masse étonnante d’informations tant sur les victimes que sur les techniques d’ingénierie sociale employées contre celles-ci. Une étude approfondie des données relatives aux victimes a fait ressortir clairement que les destinataires étaient le plus susceptibles de mordre à l’appât d’un message de phishing pendant leurs heures de travail entre 9 heures et midi, lorsqu’ils étaient occupés à écrire ou à répondre à leurs e-mails. En outre, les victimes étaient plus enclines à saisir leur nom d’utilisateur et leur mot de passe pour ouvrir une pièce jointe – en l’occurrence un fichier Adobe PDF – qu’à cliquer sur une URL contenue dans le message pour s’y connecter aveuglément.

Les chercheurs ont relié la campagne à un groupe de pirates indonésiens qui a entamé sa « carrière » par une série d’attaques de défaçage (une sorte de tagage électroniques) contre des sites web aux Etats-Unis, en Australie et en Indonésie. Fin 2015, le groupe a évolué vers des piratages à motivation financière, parvenant à monter et poursuivre activement trois campagnes différentes ciblant des applications Web Outlook, la banque en ligne de Wells Fargo ou encore des fichiers Adobe PDF. Ce groupe est également en lien avec des attaques utilisant des scanners de vulnérabilité contre les boutiques en ligne qui exploitent le système de e-commerce Magento.

« La combinaison du modèle PhaaS et de serveurs web infectés a permis de nettement réduire l’investissement en argent, en technologie et en temps nécessaire pour mener à bien une campagne de phishing », commente Amichai Shulman, cofondateur et CTO d’Imperva. « Il n’est plus possible pour les entreprises de combattre les tentatives de phishing au niveau des logiciels clients car les utilisateurs continuent de cliquer sur des liens malveillants dans des e-mails. Une façon de freiner ces attaques consiste à brider la facilité d’accès aux serveurs infectés, ce qui rendrait le modèle économique du phishing plus coûteux et moins rentable. Les applications web étant aujourd’hui omniprésentes, leur sécurité doit être largement assurée pour endiguer la progression du phishing et protéger de précieuses données et applications. »