Étude Flare : près d’un cybercriminel sur deux utilise des kits de phishing multi-marques
https://www.undernews.fr/reseau-securite/phishing-hoax/etude-flare-pres-dun-cybercriminel-sur-deux-utilise-des-kits-de-phishing-multi-marques.html

Le phishing moderne est structuré comme une véritable économie souterraine de services. Ils sont conçus pour usurper simultanément plusieurs services au sein d’un même déploiement, et sont devenus le moteur principal du phishing actuel (43,8 %).

Les Kits de phishing et les Plateformes de phishing-as-a-service (PhaaS) sont conçus pour maximiser rapidité, rentabilité et efficacité. Ils permettent à des acteurs peu expérimentés de contourner l’authentification multifacteur (MFA), de détourner des sessions actives et de prendre le contrôle de comptes. Ils ne connaissent plus de frontières régionales.

« Le phishing peut sembler chaotique, mais lorsqu’il est mené à grande échelle, il obéit à des structures claires et à des logiques économiques bien définies. L’analyse d’un volume important d’activités permet d’identifier les méthodes qui fonctionnent réellement, celles qui échouent, et la manière dont les attaquants optimisent leurs pratiques au fil du temps. Autant d’enseignements concrets pour les équipes de défense. » — Assaf Morag, chercheur en cybersécurité chez Flare.

Principaux enseignements du rapport

• Kits de phishing multi-cibles :
  • 81,9 % usurpent des marques bancaires,
  • 76,4 % ciblent de grandes plateformes de e-commerce,
  • 75,1 % PayPal.
• Les combo kits (phishing multi-marques, plusieurs services avec un seul déploiement) sont devenus la norme : 43,8 % des entrées analysées.
• 2 kits largement dominants : EvilProxy (334 occurrences) et Typhoon 2FA (240 occurrences) concentrent l’essentiel des PhaaS.
• 48 % des profils impliqués ne sont pas à des acteurs malveillants « classiques » : chercheurs, bots, développeurs de malwares, courtiers, vendeurs, acheteurs, acteurs non identifiés.
• Le phishing devient une économie de services : les outils dominants reposent sur des plateformes de type reverse-proxy ou « adversary-in-the-middle », capables de contourner les MFA basées sur des OTP et de voler des cookies de session actifs*.
• La rapidité du gain financier est prioritaire : les campagnes mono-cible visent principalement les cryptomonnaies (53,9 %) et Microsoft/O365 (21,4 %), les kits multi-cibles se concentrent sur l’écosystème financier grand public.
• L’anglais domine largement les échanges clandestins liés au phishing (77 %), le segment russophone (5 %) pour les techniques à forte valeur ajoutée.

Le rapport complet propose une analyse approfondie de la conception, de la commercialisation et de l’exploitation des kits de phishing, ainsi qu’une immersion dans des infrastructures de phishing actives et les leviers dont disposent les défenseurs pour perturber les opérations des attaquants. Le rapport est disponible ICI.

Adoptez une approche systémique !

MFA — Multi-Factor Authentication, authentification multi-facteur.
OTP — One Time Password, mot de passe à usage unique, il n'est valable que pour une session ou une transaction.

* “voler des cookies de session actifs” — Est-il judicieux de cocher : [_] Se souvenir de moi — [_] Garder la session ouverte ? Je ne le crois pas…