Apple a été la marque la plus visée par des attaques d’hameçonnage au premier semestre 2014,
d'après une étude

L’APWG (Anti-Phishing Working Group) a publié les résultats de son enquête « Global Phishing »sur le premier semestre de l’année 2014. Dans le monde, il y a eu 123 741 attaques par hameçonnage qui ont pu être observées au premier semestre de cette année, le pic le plus grand observé depuis la seconde moitié de 2011 qui en comptait environ 83 083. L’un des plus grands catalyseurs de ces attaques provient de l’accroissement des attaques contre des hébergements vulnérables, mais également l’accroissement de l’utilisation de domaines et sous domaines malveillants. Par attaque, l’étude indique un site de phishing qui vise une marque ou une entité particulière. Ceci étant, un domaine unique peut donc héberger plusieurs attaques d’hameçonnage discrètes contre différentes banques par exemple.

Notons que les attaques ont eu lieu sur 87 901 domaines uniques, soit 5 738 domaines uniques de plus qu’à la seconde moitié de 2013 ou 34 216 domaines uniques de plus que la même période l’année passée. Il faut savoir que sur les 87 901 domaines d’hameçonnage, l’étude estime que 23 679 ont été enregistrés par des hackers (pratiquement le même nombre trouvé en 2013). La plupart de ces domaines (95%) ont été enregistrés par des hackers chinois. Concernant les 59 485 domaines restants, ils étaient presque tous victimes d’un hack ou compromis parce qu’étant sur un hébergeur web vulnérable.


Au total 756 institutions ont été visées, le nombre le plus grand jamais observé depuis que l’APWG a lancé cette étude. Au second trimestre de 2013, l’étude n’en comptait que 681. Sur les 756 institutions visées, presque la moitié (347) ne figurait pas sur la liste des cibles du second semestre de 2013. Les types de cible étaient suffisamment variés : des grandes aux petites banques en Amérique Latine, Inde ou au Moyen-Orient, aux organismes de transfert d’argent. Une si grande variété dans les cibles peut avoir plusieurs causes. La première est le vol de carte de crédit. Il arrive également que les pirates volent des informations directement depuis des sites pour récupérer identifiants et mots de passe ; à cause de la fâcheuse habitude des consommateurs d’utiliser les mêmes identifiants, les pirates peuvent parfois accéder à une panoplie d’autres services une fois qu’ils ont obtenu ces informations depuis un seul site.


Pour la première fois, Apple a été la plateforme la plus attaquée : 21 951 ont été observées sur la plateforme de Cupertino (soit 17,7% de toutes les attaques). La durée d’une attaque moyenne quant à elle n’a pas beaucoup changé : la moyenne haute au premier semestre était de 32h et 32 minutes tandis que la médiane haute était de 8h 42 minutes, ce qui signifie que toutes les attaques d’hameçonnage sont restées actives pendant moins de 9 heures.


Les domaines en point-com (.com) sont ceux qui enregistrent le plus grand nombre de sites abritant des attaques par hameçonnage (51% des cas), mais lorsqu’il s’agit du pourcentage de domaines abritant des attaques d’hameçonnage par nombre (10 000) de domaines, le grand vainqueur est la République Centre Africaine qui compte 40 000 noms de domaines enregistrés en avril 2014 parmi lesquels 1 283 noms de domaines uniques ont été utilisés pour lancer des attaques au premier semestre. Il est talonné par le Mali qui a enregistré un peu plus de domaines que lui en avril 2014 (44 000), mais qui se distingue par un plus faible nombre de noms de domaines uniques utilisés pour lancer des attaques (523). Le trio de tête sera fermé par la République des Palaos qui compte 190 000 noms de domaine inscrits en avril 2014 et où ont été observées des attaques lancées depuis 2 318 noms de domaines uniques.


Le registre .pw a été très utilisé par des hackers Chinois qui ont enregistré au moins 1 889 domaines pour lancer des attaques contre taobao.com et d’autres cibles chinoises. Concernant les domaines malicieux eux-mêmes, neuf des dix constituants le peloton de tête ont été localisés en Chine. L’étude estime que cette observation peut largement être imputable au fait que les hackers chinois ont tendance à enregistrer des noms de domaines pour leurs attaques par hameçonnage et utilisent régulièrement des registres chinois. La plupart de ces domaines sont régulièrement utilisés pour lancer des attaques contre des produits et services nationaux à l’instar d’Alibaba, Taobao.com ou même CCTV. Ils ont également été utilisés pour viser des produits et services extérieurs comme Facebook ou même PayPal. Les hackers chinois ont également enregistré des noms de domaine à l’extérieur du pays pour pouvoir attaquer des cibles situées en Chine, mais l’étude note que pour la majorité ils utilisent des noms de domaines en Chine.


Source : rapport APWG (au format PDF)