IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Dirigeant
    Inscrit en
    Juin 2016
    Messages
    3 160
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Bénin

    Informations professionnelles :
    Activité : Dirigeant
    Secteur : Aéronautique - Marine - Espace - Armement

    Informations forums :
    Inscription : Juin 2016
    Messages : 3 160
    Points : 66 263
    Points
    66 263
    Par défaut Cybercriminalité : les sites de phishing de la poste US rivalisent avec le site officiel en termes de trafic
    La moitié des sites de phishing sont en HTTPS
    alors que pour les internautes, le HTTPS indique qu'il s'agit d'un site légitime

    En mai dernier, Google avait annoncé comment l’adoption par défaut de HTTPS en lieu et place de HTTP se ferait sur son navigateur Chrome. On apprenait donc que Chrome n’allait bientôt plus afficher le label « Sécurisé » pour les sites HTTPS. Au lieu de ça, le navigateur estampillera systématiquement tous les sites HTTP comme étant non sécurisés. Cette modification traduit les efforts constants de Google depuis plusieurs années pour faire passer Internet sous HTTPS. Le moins que l’on puisse dire, c’est que cette préoccupation qui amène l’entreprise à vouloir sécuriser Internet est partagée par plus d’un. Troy Hunt, un expert australien connu pour ses activités de sensibilisation sur des sujets liés à la sécurité, fait partie de ceux qui, comme Google, ont estimé que la migration vers HTTPS est plus que nécessaire.

    En effet, déjà en janvier dernier, l’expert australien avait expliqué que l’adoption de HTTPS avait dépassé le « point de basculement » et « deviendrait très prochainement la norme ». Ses dires semblent réellement se vérifier puisque depuis janvier, le pourcentage de pages Web chargées sur HTTPS est passé de 52 % à 71 %. La proportion du million de sites le plus important du monde redirigeant les utilisateurs vers HTTPS serait également passée de 20 % à presque 50 %. Cette adoption générale plutôt rapide a été motivée par la recrudescence d’avertissements sur les navigateurs (Chrome et Firefox, principalement), des certificats plus facilement accessibles et une prise de conscience grandissante des internautes concernant les risques inhérents à la navigation non sécurisée.

    Nom : https.jpg
Affichages : 11764
Taille : 98,6 Ko

    La présence du HTTPS ou du cadenas sur un site web, en occurrence les sites de commerce électronique, rassurent les visiteurs contre les pièges de phishing ou de logiciels malveillants. Malheureusement, cela ne suffit plus pour être à l'abri d'une arnaque. Une nouvelle étude indique que la moitié des escroqueries par hameçonnage sont désormais hébergées sur des sites Web dont l'adresse Internet inclut le cadenas et commence par « https:// ». Selon les récentes données de PhishLabs, une entreprise qui aident les organisations à se protéger contre les cyberattaques visant leurs employés et leurs clients, 49 % de tous les sites de phishing au troisième trimestre de 2018 sont en HTTPS en regard du nom de domaine du site de phishing tel qu'il apparaît dans la barre d'adresse du navigateur. Cela représente une hausse de 25 % il y a un an et de 35 % au deuxième trimestre de 2018.

    Ce changement alarmant est remarquable car la majorité des internautes pensent qu'il faut se référer au verrou, ou au HTTPS, pour être sûr qu'il s'agit d'un site légitime. Une enquête menée par PhishLabs l'année dernière aurait révélé que plus de 80 % des personnes interrogées pensaient que le cadenas vert indiquait qu'un site Web était soit légitime, soit sûr. Mais il en est rien. Brian Krebs, un journaliste américain spécialiste en cybersécurité, explique qu'en réalité, « la partie "https://" de l'adresse (également appelée « Secure Sockets Layer » ou SSL ) signifie simplement que les données échangées entre votre navigateur et le site sont cryptées et ne peuvent pas être lues par des tiers. La présence du cadenas ne signifie pas que le site est légitime et ne prouve pas non plus que le site a été protégé contre l'intrusion de pirates informatiques ».

    La majeure partie des sites de filoutage ont déjà adoptés le HTTPS. John LaCour, directeur technique de PhishLabs, pense que cela peut être attribué « à l'utilisation continue de certificats SSL par ces sites qui enregistrent leurs propres noms de domaine et en créent des certificats, ainsi qu'à une augmentation générale de SSL due au navigateur Google Chrome affichant désormais « Non sécurisé » pour les sites Web qui n’utilisent pas le protocole SSL. En fin de compte, la présence ou l'absence de SSL ne vous dit rien sur la légitimité d'un site ». Certains sites d'hameçonnage vont jusqu'à créer une confusion visuelle au niveau de l'adresse même du site qu'ils imitent en tirant parti des noms de domaine internationalisés (IDN) ; ce qui est extrêmement difficile à distinguer dans une barre d'adresse URL.

    Les internautes confirment le fait que les utilisateurs ont une confiance erronée aux sites HTTPS dans la mesure où, étant donné qu’un navigateur ne les avertit pas à propos d’un site, et qu’il dispose d’un cadenas sécurisé, ils pensent qu'il est sécurisé. Certains accusent les navigateurs de ces faits en disant que ce n’est pas à eux de forcer les sites Web à être sécurisés. D'autres ont proposé que la seule solution est de sensibiliser davantage de personnes sur ce problème.

    Source : Billet de blog

    Et vous ?

    Qu'en pensez-vous ?
    Que proposeriez-vous pour lutter contre les sites de phishing sur Internet ?
    Comment pourrait-on garantir l'authenticité d'un site Web en ligne selon vous ?

    Voir aussi

    Le protocole HTTPS en danger ? L'algorithme RCA qu'il utilise pour le chiffrement cassé par des chercheurs pour SSL/TLS

    Pourquoi devriez-vous faire migrer vos sites statiques de HTTP vers HTTPS ? Voici les raisons avancées par un expert en sécurité Web

    Chrome ne va plus afficher le label « Sécurisé » pour les connexions HTTPS à compter de septembre 2018
    Contribuez au club : corrections, suggestions, critiques, ... Contactez le service news et Rédigez des actualités

  2. #2
    Membre chevronné

    Profil pro
    Chef de Projet / Développeur
    Inscrit en
    Juin 2002
    Messages
    601
    Détails du profil
    Informations personnelles :
    Localisation : France, Loire Atlantique (Pays de la Loire)

    Informations professionnelles :
    Activité : Chef de Projet / Développeur
    Secteur : Santé

    Informations forums :
    Inscription : Juin 2002
    Messages : 601
    Points : 2 033
    Points
    2 033
    Par défaut
    Que les connexion chiffré devienne la norme est une bonne chose, mais la politique de Google en matière de signalisation de la sécurité est débile : il y a plusieurs niveaux de certificats et ces niveaux sont important en matière de sécurité.

    Il n'y a qu'à aller sur paypal.com sur Firefox et sur Chrome et voir la différence au niveau du cadenas.

    Sur Chrome, pour être certain que je suis bien sur le vrai paypal, il faut cliquer sur le cadenas et s'y connaitre en matière d'autorité de certification.
    C'est un non sens.
    --
    vanquish

  3. #3
    Expert éminent sénior Avatar de Uther
    Homme Profil pro
    Tourneur Fraiseur
    Inscrit en
    Avril 2002
    Messages
    4 566
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Pyrénées Orientales (Languedoc Roussillon)

    Informations professionnelles :
    Activité : Tourneur Fraiseur

    Informations forums :
    Inscription : Avril 2002
    Messages : 4 566
    Points : 15 518
    Points
    15 518
    Par défaut
    De manière générale, la faute est aussi aux formateurs qui ont répandu pendant des années le mythe que le cadenas était une protection contre le phising alors que ça n'a jamais été le cas.

  4. #4
    Membre confirmé
    Homme Profil pro
    Inscrit en
    Décembre 2011
    Messages
    268
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations forums :
    Inscription : Décembre 2011
    Messages : 268
    Points : 558
    Points
    558
    Par défaut
    Pour moi le protocole HTTPS n'indique pas seulement qu'on utilise du SSL à la base, il y a aussi une notion d'autorité et de tiers de confiance qui a été complètement bafoué par l'approbation d'autorité comme Let's Encrypt par les autorités racines ou encore certaines autorité chinoises qui donnent des certifs sans aucune vérification, le vrai problème est la pour moi, si les certificats des sites de Phishing ne sont pas approuvés par les autorités racines, le cadenas n'apparaitrai pas et on se rapprocherai du fonctionnement nominal du HTTPS ...

  5. #5
    Membre du Club
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    Février 2017
    Messages
    22
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Ingénieur développement logiciels

    Informations forums :
    Inscription : Février 2017
    Messages : 22
    Points : 48
    Points
    48
    Par défaut
    En même temps comme une grande partie des pages de phishing sont hébergées au sein de sites qui ont été piratés et que beaucoup de sites basculent en HTTPS les pages pirates beneficient du même coup du fameux cadenas si mal interprété dans sa signification.

    La faute aux médias qui clament régulièrement "si vous avez le cadenas c'est que c'est ok" et qui n'ont clairement pas compris que seule la communication entre le client et le serveur sera privée et sécurisée, mais pas ce que le serveur contient et la confiance à apporter à ce contenu !

  6. #6
    Invité
    Invité(e)
    Par défaut
    Citation Envoyé par spyserver Voir le message
    Pour moi le protocole HTTPS n'indique pas seulement qu'on utilise du SSL à la base, il y a aussi une notion d'autorité et de tiers de confiance qui a été complètement bafoué par l'approbation d'autorité comme Let's Encrypt par les autorités racines ou encore certaines autorité chinoises qui donnent des certifs sans aucune vérification, le vrai problème est la pour moi, si les certificats des sites de Phishing ne sont pas approuvés par les autorités racines, le cadenas n'apparaitrai pas et on se rapprocherai du fonctionnement nominal du HTTPS ...
    Let's Encrypt, en proposant des certificats gratuits, a quand même permis de démocratiser l'emploi du HTTPS. Il fallait débourser des sommes importantes avant pour avoir la même chose. Maintenant, le web est chiffré, c'est le standard et c'est tant mieux.

    Je ne pense pas que cette notion d'autorité soit réellement bafouée, pas plus que celle de tiers de confiance. Je pense plutôt qu'avant l'apparition de Let's Encrypt et des autres, seuls quelques sites légitimes disposaient de certificats pouvant remonter aux autorités connues des navigateurs. Ce n'était pas viable financièrement pour les acteurs malveillants de générer des milliers de certificats à la volée. Dans cette situation, avoir HTTPS et le petit cadenas vert dans l'URL revenait à dire que le site visité était légitime et pourtant, c'était déjà une sur-interprétation de ce qu'HTTPS est sensé apporter. Une mauvaise habitude qui a continué à se perpétuer en somme.

    En fait, ça dit simplement que pour le navigateur, le certificat du site (et lui seul) est valide et de confiance. D'ailleurs même un certificat acheté en bonne et due forme ne garantit pas que le domaine auquel il est rattaché va servir ou non à du phishing.

  7. #7
    Expert éminent sénior Avatar de Uther
    Homme Profil pro
    Tourneur Fraiseur
    Inscrit en
    Avril 2002
    Messages
    4 566
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Pyrénées Orientales (Languedoc Roussillon)

    Informations professionnelles :
    Activité : Tourneur Fraiseur

    Informations forums :
    Inscription : Avril 2002
    Messages : 4 566
    Points : 15 518
    Points
    15 518
    Par défaut
    Citation Envoyé par spyserver Voir le message
    Pour moi le protocole HTTPS n'indique pas seulement qu'on utilise du SSL à la base, il y a aussi une notion d'autorité et de tiers de confiance
    Tu te trompes sur la fonction primaire d'un tiers de confiance. Le rôle premier d'un tiers de confiance n'est pas de contrôler l'identité physique mais de permettre qu'un tiers malveillant n'interfère pas dans l'échange de clés publiques. La vérification de l'identité est une fonctionnalité annexe.

    Citation Envoyé par spyserver Voir le message
    qui a été complètement bafoué par l'approbation d'autorité comme Let's Encrypt par les autorités racines
    Les certificats OV et EV, qui fournissent des informations sur la société, n'ont jamais été la norme unique. Toutes les autorités de certifications ont toujours délivré des certificats de type DV (qui valident le domaine uniquement). Comme ils offrent moins de garanties, c'était déjà les moins chers. Let's encrypt les a juste rendu gratuits.

    Citation Envoyé par spyserver Voir le message
    ou encore certaines autorité chinoises qui donnent des certifs sans aucune vérification
    Tu as des cas précis en tête, parce que, les autorités qui attribuent les certificats OV ou EV sans faire les vérifications adéquates risquent gros si c'est découvert. C'est notamment le cas de DigiNotar et des filiales de Symantec qui ont été retirées des navigateurs, ce qui a provoqué la faillite du premier.

    Citation Envoyé par spyserver Voir le message
    le vrai problème est la pour moi, si les certificats des sites de Phishing ne sont pas approuvés par les autorités racines, le cadenas n'apparaitrai pas et on se rapprocherai du fonctionnement nominal du HTTPS ...
    Sauf que ce que tu décris n'est justement pas le fonctionnement nominal du https. Que tu le veuille ou non, le https seul n'a jamais garanti l'identité du site ou tu te connecte.

  8. #8
    Membre confirmé
    Homme Profil pro
    Inscrit en
    Décembre 2011
    Messages
    268
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations forums :
    Inscription : Décembre 2011
    Messages : 268
    Points : 558
    Points
    558
    Par défaut
    Mais c'est bien la tout le problème, des champs existent pour assurer l'identité d'un site mais vous indiquez qu'ils ne sont pas controlés ou pire pas renseignés pour les certificats gratuits ... en gros si le HTTPS garantie uniquement l'identité d'un serveur vis à vis du client mais que ce serveur n'est pas ce qu'il indique être en terme de contenu, pour vous tout est ok, et bien non, le HTTPS doit vérifié l'identité physique bien entendu et cette vérification doit être effectué par l'autorité de confiance justement ...
    Ca marchait très bien avant Let's encrypt je vois pas pourquoi on pourrait pas revenir en arrière ... et oui la sécurité à un cout mais ça fait parti du jeu et pour ce qui est des certificats délivrés gratuitement, il faudrait les distinguer visuellement dans le navigateur, exemple : rouge -> HTTP, orange -> HTTPS avec identité non vérifiée, vert ->HTTPS avec identité confirmée (Paypal, Facebook,etc.)

  9. #9
    Expert éminent sénior Avatar de Uther
    Homme Profil pro
    Tourneur Fraiseur
    Inscrit en
    Avril 2002
    Messages
    4 566
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Pyrénées Orientales (Languedoc Roussillon)

    Informations professionnelles :
    Activité : Tourneur Fraiseur

    Informations forums :
    Inscription : Avril 2002
    Messages : 4 566
    Points : 15 518
    Points
    15 518
    Par défaut
    Citation Envoyé par spyserver Voir le message
    Mais c'est bien la tout le problème, des champs existent pour assurer l'identité d'un site mais vous indiquez qu'ils ne sont pas controlés ou pire pas renseignés pour les certificats gratuits ...
    Il y a toujours eu 3 type de certificats pour https:
    - DV (Domain Validation) : Valide uniquement que la connexion au domaine ne peut être usurpée. Comme ils ne requièrent pas de vérification légales, ils sont peu cher et rapide à obtenir, encore plus depuis Let's Encrypt.
    - OV (Organisation Validation) : Fournis en plus quelques info légales sur l'organisation qui a demandé le certificat.
    - EV (Organisation Validation) : Fournit des information légales supplémentaire qui requièrent une vérification plus poussée, il sont donc plus cher et long a obtenir, mais ils permettent d'avoir le nom de la société affiché directement dans la barre d'adresse.

    Citation Envoyé par spyserver Voir le message
    mais que ce serveur n'est pas ce qu'il indique être en terme de contenu, pour vous tout est ok
    Je ne dit pas que qu'il n'y a pas moyen de faire mieux. Personnellement, je n'afficherais pas du tout le cadenas vert, c'est une information trompeuse.
    Mais ça a toujours été le mode de fonctionnement nominal du https depuis toujours. Apprendre aux gens que le cadenas indique un site de confiance était et reste une imbécilité.

    Citation Envoyé par spyserver Voir le message
    Ca marchait très bien avant Let's encrypt je vois pas pourquoi on pourrait pas revenir en arrière ... et oui la sécurité à un cout
    Rien n'a changé au fonctionnement du https avec Let's Encrypt. Les certificats DV existaient déjà avant, c'est juste qu'ils sont encore mois cher.

  10. #10
    Membre confirmé
    Homme Profil pro
    Inscrit en
    Décembre 2011
    Messages
    268
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations forums :
    Inscription : Décembre 2011
    Messages : 268
    Points : 558
    Points
    558
    Par défaut
    Oui on est d'accord, mais Let's encrypt a démocratisé l'usage du HTTPS pour les fraudeurs en étant gratuit, le web n'était pas inondé de sites HTTPS avant et seuls les grands sites avaient leur cadenas, ma remarque portait sur le ressenti simplement ...
    Mais donc on peut donc considérer un certificat HTTPS type EV (Extended Validation) comme étant le certificat HTTPS type pour un site web sécurisé et comme étant le seul éligible au cadenas vert, c'était le sens de ma première remarque ... les DV n'étant que des variantes pour permettre tout de même d'encrypter ses échanges à titre perso (ou autre justement ...) sans identité garantie ... et donc la pas de cadenas vert attendu (logiquement).

  11. #11
    Membre expert
    Profil pro
    programmeur du dimanche
    Inscrit en
    Novembre 2003
    Messages
    796
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : programmeur du dimanche
    Secteur : Santé

    Informations forums :
    Inscription : Novembre 2003
    Messages : 796
    Points : 3 423
    Points
    3 423
    Par défaut
    Je pense que le cadenas vert c'est insuffisant. Déjà, vu qu'il y a plusieurs niveaux de sécurité en certificats, ça devrait être plus évident à percevoir (même avec un clic en plus...)
    Ensuite, je ne comprends pas très bien comment le navigateur vérifie que le certificat est bien conforme. D'après ce que j'ai compris, il y a une sorte de système dit "certificate pinning" dans les navigateurs qui le fait, mais mal ?

    En ce qui me concerne, je suis sous windows 10 et kaspersky. Mon navigateur me dit que tous les https sont sécurisés, mais le certif est celui de kaspersky si on regarde. En fait, mon A-V comme beaucoup d'autres fait un man in the middle pour analyser la connexion en installant un certificat racine de confiance.
    Sauf qu'aucun des navigateurs de mon PC ne s'alarme alors qu'intellectuellement, c'est comme si toutes les connections étaient corrompues. (Qu'est ce que j'en sais qu'un jour je n'ai pas donné un accès admin à un prog légitime mais corrompu qui a installé un certificat racine plus vrai que nature ?).

    Ensuite, pour rebondir sur le problème de spoofing des noms de domaine internationalisés IDN, je n'ai trouvé aucun moyen de les désactiver dans le navigateur, mais il y a une extension (encore) qui le fait : "IDN Safe".

  12. #12
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    Mars 2013
    Messages
    8 548
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : Mars 2013
    Messages : 8 548
    Points : 199 596
    Points
    199 596
    Par défaut Cybercriminalité : les sites de phishing de la poste US rivalisent avec le site officiel en termes de trafic
    Cybercriminalité : les sites de phishing imitant le service de la poste US rivalisent avec le site officiel en termes de trafic,
    les cybercriminels générant même plus de trafic pendant les fêtes

    La menace du phishing devient de plus en plus une préoccupation majeure pour les consommateurs et les entreprises. Une récente étude d’Akamai Technologies a révélé une statistique alarmante : les sites de phishing imitant le service postal des États-Unis (USPS) ont attiré presque autant de trafic que le site officiel de l’USPS. Les opérations de phishing ciblent généralement les informations sensibles des personnes (identifiants de compte, détails de carte) ou tentent d'inciter les utilisateurs à effectuer des paiements à des boutiques frauduleuses ou à couvrir les frais supposés nécessaires à la liquidation d'articles qui ont été mis en attente pour diverses raisons.

    Le phishing (ou hameçonnage) est l’une des arnaques les plus anciennes et les plus connues d’Internet. On peut le définir comme n’importe quel type de fraude de télécommunications qui utilise des astuces d’ingénierie sociale pour obtenir des données confidentielles de la part de leurs victimes.

    Qu’elles soient menées par e-mail, sur les réseaux sociaux, par SMS ou tout autre vecteur, toutes les attaques de phishing obéissent aux mêmes principes de base. L’attaquant envoie un argumentaire ciblé visant à persuader la victime de cliquer sur un lien, de télécharger une pièce jointe, d’envoyer les informations requises ou même d’effectuer un paiement.

    Quant à ce que le phishing peut faire, cela dépend de l’imagination et des compétences du phisher (hameçonneur). L’avènement des réseaux sociaux permet plus que jamais aux hameçonneurs d’avoir accès à un nombre croissant d’informations personnelles de leurs cibles. Armés de toutes ces données, ils peuvent adapter leurs attaques aux besoins, aux désirs et aux situations de leurs cibles, ce qui rend leurs propositions bien plus alléchantes. Dans ces cas de figure, les réseaux sociaux alimentent une ingénierie sociale plus puissante.

    Les effets du phishing

    La plupart des tentatives de phishing peuvent conduire à un vol d’identité ou d’argent. C’est également une technique efficace pour l’espionnage d’entreprise ou le vol de données. Certains pirates vont jusqu’à créer de faux profils sur les réseaux sociaux et prennent le temps de tisser des liens avec leurs victimes potentielles, en tendant leur piège une fois qu’ils ont gagné leur confiance. Quel est le coût du phishing ? Les conséquences ne sont pas uniquement financières. Le phishing entraîne aussi une perte de confiance. Ça fait mal de se faire arnaquer par une personne sur laquelle on pensait pouvoir compter, et on peut mettre du temps à s’en remettre.

    Le contexte

    En tant que l'une des principales institutions de livraison de colis aux États-Unis, l'USPS est, et a été pendant un certain temps, une cible commune pour les campagnes de phishing et de smishing (une attaque de cybersécurité par phishing menée par le biais de la messagerie texte mobile, également connue sous le nom de phishing par SMS). Pour les résidents américains, il est presque garanti que vous recevrez au moins une tentative d'escroquerie pendant les vacances : l'USPS dispose même d'une page web distincte consacrée à la mise en garde des consommateurs contre ce type de fraude et d'escroquerie. Une recherche rapide sur le web permet de trouver des tonnes d'exemples.

    Akamai a commencé à enquêter sur le phishing sur le thème de l'USPS en octobre 2023, après qu'un employé a reçu un SMS suspect qui redirigeait vers un site contenant un code JavaScript malveillant :

    L'un des membres de notre équipe a récemment reçu l'une de ces tentatives sur son téléphone (Figure 1). Compte tenu de l'omniprésence de ces escroqueries, cette tentative nous a incités à commencer une analyse de ce qui se passe au niveau du DNS en rapport avec le site web de l'USPS. Nous avons pu le faire en accédant aux journaux anonymes des requêtes DNS globales provenant des serveurs DNS Akamai CacheServe.
    Nom : tentative.png
Affichages : 3724
Taille : 79,8 Ko

    Ensuite, les analystes ont dressé une liste de tous les domaines utilisant le même fichier JS au cours des cinq derniers mois et n'ont conservé que ceux dont le nom contenait la chaîne USPS.

    La conception de ces pages est très convaincante et apparaît comme une réplique exacte du site authentique d'USPS avec des pages de suivi réalistes pour les mises à jour d'état.

    Nom : usps.png
Affichages : 484
Taille : 86,8 Ko

    Dans un cas, les auteurs de l'hameçonnage ont mis en place ce qui ressemble à une boutique dédiée aux articles d'affranchissement, qui a commencé à recevoir un trafic important à la fin du mois de novembre, les consommateurs cherchant à acheter des cadeaux et des objets de collection pour les fêtes de fin d'année.

    Nom : buy.png
Affichages : 490
Taille : 285,7 Ko

    Les domaines les plus populaires utilisés par ces sites frauduleux étaient .com et .top, avec respectivement 4459 domaines et 271 278 requêtes, et 3063 domaines et 274 257 requêtes. D’autres extensions notables incluent .shop, .xyz, .org et .info.

    Nom : domaines.png
Affichages : 495
Taille : 8,6 Ko

    Le TLD [.]com est le plus populaire pour l'enregistrement de nouveaux domaines. Nous voyons près de 4*500 domaines .com uniques dans nos données. Cela n’est pas surprenant dans la mesure où un [.]com peut donner aux victimes potentielles un sentiment de familiarité et de légitimité à l’échelle mondiale.

    Le [.]top TLD semble être le TLD alternatif préféré des acteurs menaçants. Il arrive en deuxième position avec plus de 3 000 noms de domaine différents. Ce TLD générique est exploité par une entreprise technologique en Chine et est bien connu pour être utilisé de manière malveillante dans des campagnes de phishing.

    Il est intéressant de noter que le TLD [.]world n'apparaît pas dans le tableau. En effet, pour [.]world, nous avons compté un total de 170*126 requêtes (très élevé, presque au même niveau que [.]com et [.]top), mais 99,5*% d'entre elles ont été effectuées uniquement sur usps-post[.]world ( rappelez-vous que usps-post[.]world était le nom de domaine qui a reçu le plus de requêtes). Nous n'avons trouvé que quelques noms de domaine sous ce TLD.
    Entre octobre 2023 et février 2024, les chercheurs d’Akamai ont observé que les sites de phishing de l’USPS avaient reçu 1 128 146 requêtes, tandis que le site officiel en avait reçu 1 181 235. Plus inquiétant encore, pendant la période des fêtes de novembre et décembre, les sites frauduleux ont enregistré encore plus de trafic, les pirates intensifiant leurs efforts pour exploiter la saison des achats en ligne

    « La figure 6 montre le nombre total de requêtes dans notre ensemble de données, à la fois pour usps.com et pour les domaines malveillants. Comme vous pouvez le constater, les chiffres sont presque identiques. Malgré la rigidité des paramètres de filtrage, les domaines malveillants reçoivent à peu près le même nombre de requêtes que usps.com lui-même. Cette constatation est choquante. »

    Nom : total.png
Affichages : 475
Taille : 26,3 Ko

    « Nous pouvons également observer ce qui se passe dans le temps. La figure 7 présente les mêmes chiffres agrégés par semaine ».

    Non seulement le trafic est relativement équivalent au cours d'une journée normale, mais certaines semaines, les domaines malveillants reçoivent plus de requêtes que le site usps.com lui-même. Ces pics tournent autour des fêtes de Thanksgiving (Black Friday) et de Noël, période de l'année où les livraisons sont les plus importantes aux États-Unis.

    Il semble que les cybercriminels soient bien conscients de ces fêtes de fin d'année et qu'ils programment leurs campagnes d'hameçonnage de l'USPS en conséquence. Il est bien sûr logique qu'ils agissent de la sorte, car davantage de personnes attendent des colis à ces dates. Les vacances sont également une période particulièrement chargée pour les gens, ce qui signifie qu'ils sont plus susceptibles de commettre des erreurs d'inattention qu'ils ne feraient pas autrement, comme de cliquer sur ces messages frauduleux.

    Nom : sept.png
Affichages : 486
Taille : 102,9 Ko

    Ce qu'en pense le professionnel de la cybersécurité

    « Nous avons constaté que l'USPS est attaqué par des escroqueries par SMS, en particulier pendant les périodes de fêtes de Noël et de Thanksgiving, en raison de la nature des achats de cadeaux pendant ces fêtes.

    « Le nombre total de requêtes de domaines malveillants par rapport à usps[.]com est presque le même, même en ne comptant que les domaines incluant l'acronyme explicite USPS. Bien que l'USPS ait gagné avec 51*% du total des requêtes pour cette période de 5*mois dans cette analyse, la façon dont nous avons filtré les données suggère que le trafic malveillant dépasse largement le trafic légitime dans le monde réel. Nous avons utilisé l’USPS comme exemple, mais cette technique de combosquatting est utilisée mondialement dans les campagnes de phishing, et pour cause : elle connaît un énorme succès.

    « Nous avons observé deux approches différentes de la part des acteurs malveillants*: soit ils répartissent le trafic sur de nombreux noms de domaine différents, soit ils n'utilisent que quelques domaines qui génèrent chacun beaucoup de trafic. Cela pourrait être à des fins d'obscurcissement*: les opérateurs et autres fournisseurs d'hébergement sont conscients de l'omniprésence de ces escroqueries et tentent avec vigilance d'identifier et de supprimer ces pages. Compte tenu du niveau d’attention apporté à l’élimination de ces escroqueries, leurs résultats et nos observations sont encore plus préoccupants.

    « Nous continuerons de surveiller et de signaler de telles menaces, tant pour nos clients que pour la communauté de la sécurité dans son ensemble ».

    Conclusion

    Les tactiques utilisées par les cybercriminels sont de plus en plus sophistiquées. Ils associent souvent des sites Web de phishing à des courriels ou des messages SMS trompeurs. Ces messages prétendent généralement que les colis ne peuvent pas être livrés pour diverses raisons, telles que des informations de livraison manquantes ou des frais supplémentaires à payer. Ils créent également un sentiment d’urgence, exigeant des actions rapides sous peine de voir le colis renvoyé à l’expéditeur.

    Cette campagne de phishing est particulièrement efficace pendant la période des fêtes, car de nombreuses personnes effectuent des achats en ligne et ne trouvent pas ces messages suspects. Akamai souligne que leur recherche s’est concentrée uniquement sur les sites comportant la chaîne USPS dans leur nom, ce qui signifie que le nombre réel de sites de phishing pourrait être bien plus élevé, tout comme le trafic qu’ils génèrent.

    L’étude met en lumière l’importance pour les consommateurs d’être vigilants lorsqu’ils font des achats en ligne. Il est essentiel de rester sceptique et de toujours garder à l’esprit la possibilité de fraude. Les consommateurs doivent vérifier l’authenticité des sites Web avant de saisir des informations personnelles ou de réaliser des transactions financières.

    Alors que le commerce électronique continue de croître, la menace du phishing suit la tendance. Les consommateurs doivent être conscients des risques et prendre des mesures proactives pour se protéger contre ces attaques de plus en plus fréquentes et sophistiquées.

    Source : Akamai

    Et vous ?

    Avez-vous déjà été la cible d’une tentative de phishing ? Comment avez-vous réagi ?
    Quelles mesures prenez-vous pour vérifier l’authenticité d’un site Web avant d’entrer vos informations personnelles ?
    Selon vous, quelles responsabilités les services postaux et les plateformes en ligne devraient-ils assumer pour lutter contre le phishing ?
    Comment les consommateurs peuvent-ils être mieux éduqués sur les dangers du phishing, surtout pendant les périodes de forte activité comme les fêtes ?
    Pensez-vous que les entreprises technologiques font assez pour protéger les utilisateurs contre les sites de phishing ? Pourquoi ou pourquoi pas ?
    Quel rôle les autorités gouvernementales devraient-elles jouer dans la protection contre le phishing et les cyberattaques ?
    Avez-vous des suggestions pour améliorer la sécurité en ligne et réduire l’efficacité des campagnes de phishing ?

    Voir aussi :

    À 19 ans, il a développé une dizaine de frameworks pour lancer des attaques de phishing. La police néerlandaise l'a arrêté tandis que ses clients auraient gagné des millions d'euros en deux ans
    Le phishing augmente de 36 %, avec 278,3 millions d'e-mails de phishing uniques au quatrième trimestre 2022. Les outils d'attaque devenant plus sophistiqués, selon un rapport de Vade
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

Discussions similaires

  1. Réponses: 19
    Dernier message: 09/04/2017, 14h38
  2. Réponses: 0
    Dernier message: 01/11/2009, 20h26
  3. Réponses: 0
    Dernier message: 27/10/2009, 18h45

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo