Sécurité

Statistiques et tendances du phishing en 2020 [prévisions 2020]

Nous approchons de la fin de 2019 maintenant. Cette année a été jusqu’ici très productive en matière d’innovation. Les entreprises se tournent plus que jamais vers le monde numérique pour tout gérer, de la paie aux contrats intelligents. Il n’est donc pas étonnant que les escroqueries par hameçonnage existent.

Pourtant, le phishing est un terme assez vague pour désigner l’activité de fraude numérique qui s’est produite cette année. Comment mettre fin au phishing en 2019? Nous devons examiner des faits, des statistiques et un jargon particuliers pour comprendre ce à quoi nous devons faire face pour le reste de l’année. Nous devons également comparer les modèles qui se sont reportés des dernières années à 2019. Cela nous aidera à prévoir les incidents de phishing en 2020.

> Définition>

Une attaque de phishing de base se produira via des e-mails et des publicités. Ces e-mails comprendront généralement un lien ou un fichier qui compromettra le système informatique du destinataire. Souvent, ces attaques redirigent également vers une page de connexion qui ressemble à la connexion légitime d’une application où la victime visée est déjà active. Cette page de connexion ressemblera à un système de messagerie courant comme Gmail ou à un identifiant de réseau social familier comme Facebook.

Veuillez noter que si cette définition de base nous aide à comprendre le phishing en tant que concept, cela ne suffit pas. Le phishing est de plus en plus sophistiqué de jour en jour.

Les faits en un coup d’œil

Entre 2018 et 2019, il y a eu des modèles de phishing récurrents. Nous pouvons les observer d’un coup d’œil pour avoir une idée de ce à quoi nous sommes confrontés. Ce qui suit provient d’un rapport PhishLabs comparant 2018 à 2019. Comme suit:

  • Dans des circonstances normales, les hameçonneurs doivent se présenter comme une seule institution financière. Cela enlève une partie de l’efficacité de ses attaques. De nombreuses victimes ciblées par le phisher ne seront pas des clients de la banque qui dénonce l’arnaque. La modélisation des alertes de virement interbancaire est intéressante pour les cybercriminels. Cela leur donne la possibilité de cibler plusieurs chaînes bancaires différentes à la fois.
  • Les attaques de phishing semblent correspondre à une augmentation de l’utilisation du site d’hébergement gratuit. Entre 2015 et 2018, les opérations d’escroquerie de phishing ont doublé leur utilisation de l’hébergement gratuit de 3,0% à 13,8%.
  • L’hébergement de phishing était en hausse au cours du premier trimestre de 2018. Après cela, c’était à peu près la même chose en volume. Sauf entre août et septembre où il y a eu un pic supplémentaire. Il existe une bonne marge de comparaison entre ce pic et septembre-octobre 2019.
  • Les sites de phishing sont facilement préparés avec un kit de phishing. Ceci est facilité avec les services d’hébergement gratuits. Un acteur de la menace peut produire un grand nombre de sites. Même pour une courte période, la portée d’un acteur menaçant sera massivement étendue. Ce volume peut être produit par un petit nombre de hameçonneurs.
  • 000webhostapp était l’hôte gratuit le plus populaire pour les activités de hameçonnage en 2019. Il représentait 69% des hameçonnages hébergés gratuitement.
  • Il y avait un risque observable de phishing par SMS en 2018. Beaucoup de gens ne s’attendent pas à ce qu’il y ait un risque de phishing sur leurs téléphones et les textes ouverts instinctivement. Les SMS ont des perspectives de suivi beaucoup plus difficiles. Les kits de hameçonnage pour les programmes de hameçonnage mobile définissent une connexion simulée pour les applications mobiles qui dépassent un niveau d’authenticité élevé.
  • Il est important de se rappeler que les attaques de phishing ont toujours un taux de réussite élevé. Les escroqueries par hameçonnage sont le domaine des cybercriminels novices. Ils utilisent ces escroqueries pour accéder aux informations d’identification. Ils l’utiliseront également pour distribuer des ransomwares.
  • Le crime organisé utilise le phishing pour voler des millions. Les États-nations utilisent le phishing pour identifier des stratégies et obtenir des informations privilégiées sur un environnement cible.
  • Les attaques de phishing infiltrent tous les coins du monde numérique. Le courrier électronique n’est pas la seule cible. Les équipes techniques doivent commencer à surveiller le phishing sur les réseaux sociaux, les SMS, les applications mobiles, le streaming, etc. Tout ce qui peut être numérisé sera du phishing à un moment donné.

Le casser

Même avec certains modèles courants, il n’y a pas deux escroqueries par hameçonnage identiques. Ils sont souvent similaires, mais il y a toujours un bogue dans le système qui les rend difficiles à détecter. Nous devons réduire les comportements courants pour rester protégés. Il ne s’agit pas seulement d’examiner les taux de criminalité statistiques. Il s’agit de pénétrer dans la tête des hameçonneurs. Pensez comme un phisher pour éviter le phishing.

Symantec a publié un article de recherche pour le rapport sur les menaces de sécurité Internet en février 2019. Voici ce qu’ils ont découvert sur le phishing:

Abrév. Engagement de messagerie professionnelle. Les incidents de phishing par e-mail BEC 2017-2019 partageaient des mots-clés communs. Ils sont représentés graphiquement ci-dessous par ordre de fréquence et d’augmentation du pourcentage d’utilisation.

Augmentation des mots en pourcentage d’utilisation

urgent 8,0
demande 5,8
important 5,4
Paiement 5.2
Attention 4.4

Croissance inférieure à 4,0

impayé 4.1
Info 3,6
mise à jour majeure 3.1

Croissance inférieure à 3,0

attn 2,3
Transaction 2,3

Nous pouvons voir à partir de ces statistiques que les escroqueries par hameçonnage sont de plus en plus sophistiquées. Ils demandent une «attention» «urgente» à un taux beaucoup plus élevé qu’ils ne demandent un transfert de paiement complet. Cela signifie que le phisher est familiarisé avec les méthodes changeantes de prévention de la fraude. Ils recherchent une faille dans les stratégies anti-hameçonnage.

Développer une solide victimologie de phishing

Nous pouvons donc voir quel type de jargon les escrocs utilisent dans ces graphiques ci-dessus. Contre qui utilisent-ils ce langage? Qui cibleront-ils le plus susceptible d’ouvrir un e-mail avec ce type de langage dans la ligne d’objet ou dans le corps du texte?

Pour comprendre cela, nous devrons développer une compréhension approfondie de l’identité des victimes des attaques de phishing de 2017-2019.

Petites et moyennes entreprises sur la liste des victimes d’usurpation d’identité

Les recherches de Symantec ont révélé que le taux d’hameçonnage des e-mails en fonction de la taille du modèle commercial était le plus élevé dans la gamme des entreprises de taille moyenne. Les entreprises ayant le plus grand nombre d’attaques de phishing comptaient environ 1 001 à 1 500 employés. Parmi les utilisateurs de cette taille, 56 de ces 1 001 à 1 500 employés étaient les cibles. Cela se situe entre 3,73 et 5,59% des salariés des entreprises de cette taille.

Symantec a également constaté que 48% de tous les e-mails malveillants sont des fichiers de travail. Ce sont généralement des fichiers joints. L’e-mail sera déguisé en une notification de logiciel commercial, des informations de transaction, telles qu’une facture ou un reçu. Les fichiers Office attachés contiendront un script malveillant. L’ouverture de l’e-mail télécharge le code du script et termine le transfert des logiciels malveillants vers les systèmes bureautiques.

Nous pouvons donc voir d’en haut que seul un petit pourcentage des personnes de ces entreprises est attaqué. S’il était beaucoup plus grand, la suspicion se répandrait plus rapidement. Toute l’équipe du bureau aurait de meilleures chances de saboter l’attaque. Ce petit pourcentage d’employés ciblés doit avoir une raison solide pour ouvrir les e-mails infectés.

Le faible pourcentage d’employés spécifiques travaillent dans les finances et les ressources humaines.

Revenez aux résultats de Phishlab pour 2018-2019. 98% des attaques contre les boîtes de réception des utilisateurs n’incluaient pas de logiciels malveillants. La grande majorité des escroqueries de phishing dans la boîte de réception de 2018 étaient le vol d’informations d’identification et les escroqueries par e-mail. Pour 2018, les leurres les plus efficaces concernaient les techniques d’escroquerie financière / RH et le commerce électronique. Ces leurres ont fonctionné sur les objectifs de l’entreprise. 83,9% de ces attaques visaient cinq secteurs clés. Ces attaques ciblaient les informations d’identification pour les services financiers, de messagerie électronique, de cloud, de paiement et SaaS.

À partir de là, nous pouvons voir que le petit pourcentage de la base d’employés cible sont ceux dans des rôles de communication d’entreprise. Ce sont des personnes ressources humaines et des gestionnaires financiers. La typologie exacte qui se précipiterait pour ouvrir un e-mail étiqueté «urgent».

Ce groupe de personnes est hautement formé aux escroqueries financières, non? Donc, s’ils mordent l’appât, alors ces attaques ont un haut niveau de sophistication. Ils seront également transparents. Le commis aux ressources humaines ou aux finances ne sera pas en mesure de repérer en un coup d’œil quoi que ce soit de suspect avec l’e-mail. Pourquoi donc?

Dans le cadre de l’étude Symantec, la plus grande quantité de contenu malveillant en pièce jointe était des scripts à 47,5%. Cela a été suivi par les exécutables et autres pièces jointes.

Que sont les scripts de phishing?

Alors, qu’est-ce qu’un script? Comment cela compromet-il votre système informatique même sans utiliser de logiciels malveillants?

Un script est un morceau de code qui sera écrit par le pirate de phishing et qui s’exécutera en arrière-plan de l’e-mail que l’équipe RH ouvre. Il n’a pas besoin de virus pour être dangereux. Vous trouverez simplement un moyen d’espionner votre système. Les pirates informatiques l’utilisent souvent pour voler des informations financières à l’intérieur du système.

Les pirates utiliseront des scripts complexes dans leur travail de phishing. Plus la technique de phishing est sophistiquée, plus les scripts sont différents. Les tendances préférées des hackers à surveiller ont été écrites en Python et Ruby.

Études de cas du monde réel

Maintenant que nous comprenons la cible et la victimologie des attaques de phishing, nous devons jeter un coup d’œil à certains des cas les plus tristement célèbres de 2019 à ce jour. Il est bon d’analyser ce qui n’a pas fonctionné pour quelqu’un d’autre pour éviter les mêmes erreurs. De cette façon, ces attaques peuvent signifier plus qu’un coup sûr dans une entreprise qui peut même leur avoir coûté l’entité.

Certains de ces succès ont été trop proches pour le confort et récents. L’un de ces cas tristement célèbres nous est parvenu par le biais d’un rapport Healthcare Drive publié en août 2019.

Attaque de phishing dans un hôpital presbytérien compromettant 183000 données sur les patients

Les attaques de phishing contre la chaîne hospitalière presbytérienne ont exposé à la fois les patients et les membres du plan de santé. Cela s’est produit dans le réseau complet basé au Nouveau-Mexique. La brèche a été découverte le 6 juin à Nine-Hospital. Les comptes de messagerie exposés comprenaient les informations d’identification du patient. Les noms, les membres du régime de santé, les numéros de sécurité sociale, les dates de naissance et les informations confidentielles sur les cliniques et les régimes ont été exposés.

L’équipe presbytérienne n’a trouvé aucune utilisation malveillante des données collectées. Ils n’ont pas non plus été en mesure de déterminer si les hameçonneurs avaient eu accès au DSE ou aux systèmes de facturation de Presbyterian.

Cependant, cela ne signifie pas que l’attaque était sans conséquences. En fait, ce type d’attaque est pire. Les victimes peuvent modifier leurs informations financières et leurs informations d’identification avec un peu de patience. Cependant, les données peuvent être recyclées pour fraude et même vendues.

Une attaque similaire contre le Massachusetts General

L’attaque de phishing a été lancée le 9 mai. Cela signifie qu’il était dans le système pendant près de 2 mois avant d’être détecté.

Healthcare Drive a également signalé une attaque contre le Massachusetts General Hospital en août. L’attaque était liée à deux programmes informatiques. Des chercheurs du département de neurologie les utilisaient. Les renseignements personnels sur la santé de plus de 10 000 patients ont été exposés lors de cette attaque. Cette lacune a été découverte plus tôt que celle de l’hôpital du Nouveau-Mexique. L’attaque a été lancée entre le 10 et le 16 juin (date exacte non indiquée). L’hôpital l’a appris le 24 juin.

La conclusion de ces affaires

En 2019, on observe une tendance avec les établissements de santé. Parce que l’utilisation des données devient beaucoup plus sophistiquée en 2019, la valeur des données augmente. Par conséquent, le vol de données en lui-même est souvent plus précieux que les années précédentes, lorsque les hameçonneurs n’étaient intéressés qu’à obtenir de l’argent.

Développer un profil criminel pour les hameçonneurs

Il est important de comprendre la victimologie derrière le phishing. Pourtant, ce n’est que la moitié du travail. Pour arrêter un phisher, vous devez penser comme un phisher. Qui sont-ils? Quel est le motif de vos crimes de phishing?

Il s’avère que le phishing est l’évolution du phreaking . Phreaking était le nom qu’ils donnaient aux pirates des télécommunications. Les hameçonneurs ne sont que les représailles cyber punk des voleurs d’identité classiques. Si nous nous concentrons sur cela, nous pouvons former un profil criminel qui aidera à mieux comprendre la motivation derrière les hameçonneurs.

Le ministère de la Justice des États-Unis a passé des décennies à explorer et à développer des profils criminels pour les voleurs d’identité en général.

En outre, le Centre pour la gestion de l’identité et la protection de l’information a présenté des données provenant de cas fédéraux de 2008 à 2013 portant sur le vol d’identité. Publié en 2015. Vous pouvez le lire ici .

Comparaison de l’étude CIMI 2015 sur les voleurs d’identité avec les hameçonneurs 2019

Dans l’enquête du CIMI, les cas les plus élevés de contrevenants pour vol d’identité et crimes associés tels que fraude bancaire et fiscale provenaient de Floride. Vient ensuite la Californie comme deuxième pourcentage le plus élevé de délinquants.

Les 5 États avec le plus grand nombre de crimes de vol d’identité sont les suivants:

  • Floride
  • Californie
  • Texas
  • New Jersey
  • Géorgie

Un fait intéressant à noter est que tous ces États ont des villes côtières. Tous sont également des attractions touristiques et commerciales. Si nous comparons ce fait avec les tendances du phisher, nous notons que les industries ciblées par les hameçonneurs, comme l’hôtellerie et la finance, pourraient souvent être locales. Les hameçonneurs et les voleurs d’identité connaissent probablement les victimes qu’ils ciblent dans de tels cas.

Pour les groupes d’âge des délinquants, l’étude a révélé une augmentation au cours des deux dernières décennies chez les délinquants d’âge moyen. Pourtant, 36,7% des contrevenants pour vol d’identité en 2007 étaient âgés de 25 à 34 ans.

86,7% des délinquants observés dans cette étude étaient des résidents légaux autochtones des États-Unis.

À l’époque, seuls 6,1% des auteurs de vol d’identité étaient des étrangers illégaux.

Un tiers des voleurs d’identité étaient des femmes. Cela signifie qu’en 2007, les hommes ont dominé les statistiques des voleurs d’identité. Cela n’a pas changé pour la mise à jour 2015 de l’étude, mais les statistiques de vol d’identité féminine ont augmenté.

En 2007, plus de voleurs d’identité opéraient dans le cadre d’un réseau d’escroquerie que comme une seule personne. Dès 2007, l’utilisation d’Internet pour le vol d’identité a considérablement augmenté. Cela nous montre que les criminels qui sont susceptibles d’être des voleurs d’identité courants sont également susceptibles d’être des hameçonneurs.

Avantages collectifs des escroqueries d’identifiants__les récompenses du phishing

Les escroqueries d’identité étaient souvent une équipe de mari et femme. En outre, les groupes qui ont participé à des attaques d’identité de type hameçonnage dans cette étude ont géré des réseaux de fraude d’acheteur. Les informations de carte de crédit ont été volées aux victimes en ligne. Ensuite, ils ont transformé les informations volées en fausses cartes de crédit. Ils utiliseraient des cartes de crédit pour acheter de grandes quantités d’articles au détail. Ils retournaient ou transportaient ensuite ces articles pour les convertir en espèces. Ils exploiteraient les toxicomanes et les sans-abri en échangeant l’argent qu’ils collectaient grâce à des achats frauduleux contre les numéros de sécurité sociale et autres informations d’identification de ces personnes vulnérables.

Ils utiliseraient les informations d’identification de ces personnes qui étaient tombées dans le système pour obtenir plus tard de faux permis de conduire et d’autres fausses informations d’identification. Ils utiliseraient ces nouvelles informations d’identification pour assumer une identité dans l’État de résidence qui serait la personne exploitée si elle était enregistrée. À partir de là, ils utiliseraient ces informations d’identification pour créer de faux comptes bancaires. Ils pourraient alors falsifier des chèques sur ces comptes.

Les voleurs d’identité dans l’étude précédente ont montré des modèles d’utilisation d’informations d’identité volées pour commettre d’autres crimes liés à la fraude.

Dans cette étude, les victimes d’usurpation d’identité étaient souvent inconnues du voleur. La mise à jour de 2015 de cette étude a montré que la relation entre le délinquant et la victime était souvent le client et le client.

Nous savons d’après ce rapport que ces personnes agissent souvent comme un groupe de cellule interne. Ils ont intérêt à contourner le gouvernement et à exploiter des cibles faciles. Au fil des ans, le profil des victimes elles-mêmes n’a pas été figé. Cependant, les escroqueries par hameçonnage, avec leur accès accru à Internet, génèrent un taux plus élevé de cibles individuelles. Ils chercheront une personne au sein d’une entreprise dont l’engagement conduirait l’entité entière à l’arnaque.

Leçons sur le phishing de la part des pirates eux-mêmes

Nous avons donc maintenant des attaques de victimologie assez solides. Nous connaissons exactement les personnes dont nous avons besoin pour former des poids lourds pour ces incidents. Nous savons également quels groupes de discussion devraient être les plus surveillés et scrutés à la recherche de menaces internes.

Maintenant, il pourrait être utile de créer une méthodologie criminelle pour les attaques elles-mêmes. Quelle est la répartition exacte d’une arnaque par hameçonnage? Nous avons étudié les méthodes enseignées par Pentest Geek , un groupe de piratage éthique qui utilise des scénarios et des exercices de piratage pour agir comme un exercice d’incendie pour les équipes commerciales. Ils ont un guide complet sur le processus d’attaque de phishing. Ils l’ont publié le 18 septembre 2019.

Le processus étape par étape pour une attaque de phishing courante ressemble à ceci:

  • Répertorier les adresses e-mail

La première chose que fera votre phisher est de lister la liste de diffusion. Ils doivent déterminer exactement à qui ils veulent envoyer ces e-mails. Pour ce faire, ils utiliseront un service comme Jigsaw.com. Jigsaw listera automatiquement les e-mails pour le phisher potentiel. Avec Jigsaw, le phisher aura le support d’une base de données et pourra exporter ces connaissances vers des fichiers CSV. Le système Jigsaw essaiera de bloquer ce script. Les hackers opéreront sur la dernière version disponible. Ils fonctionneront à partir d’un compte gratuit jigsaw.com. Ils transmettront leurs informations d’identification comme arguments dans le cil.

Une autre option est la moissonneuse-batteuse. Harvester est un script Python qui fait partie de BackTrack5 et se trouve dans / pentest / enumeration / theharvester. Ce script permet de rechercher rapidement différents moteurs de recherche. Comme son nom l’indique, il collectera ensuite les adresses e-mail répertoriées qu’il trouve.

  • Évitez les systèmes antivirus

Le phisher étudiera ensuite votre système antivirus. Ils devront savoir à quel système ils ont affaire pour trouver un point faible. Éviter votre antivirus est la faille que ces exécuteurs de scripts ont pour infecter votre base de données d’informations confidentielles. Une façon est d’espionner votre cache DNS. Ils peuvent voir le type d’antivirus que leur victime utilise à partir du cache DNS.

Une fois qu’ils ont déterminé le type d’antivirus utilisé par l’entreprise, le pirate télécharge le même système ou un système similaire. Ils l’étudieront eux-mêmes pour élaborer le meilleur plan pour le faire.

  • Utilisation du filtrage de sortie

Le phisher devra choisir une charge utile. Certains des favoris sont reverse_https ou reverse_tcp_all_ports. Cette seconde n’est pas si familière à certains hackers de niveau bas à intermédiaire. En substance, reverse_tcp_all_ports implémente un gestionnaire TCP inverse et fonctionne avec des stagers «allports». C’est comme une écoute électronique. Écoutez sur un seul port TCP. Le système d’exploitation redirige alors toutes les connexions entrantes sur tous les ports vers le port «d’écoute».

Les pirates utilisent souvent des systèmes basés sur Linux. Ce système d’exploitation est essentiel pour la partie technique la plus lourde de ce processus. Le filtre capture les informations essentielles du système de la victime pour le pirate informatique. Dans le même temps, ils peuvent utiliser une opération de piratage basée sur Linux pour se connecter à distance. Ils utilisent également ces systèmes https inversés pour masquer leur trafic sur leur système. Les systèmes de prévention des intrusions ont du mal à détecter la présence malveillante car cela ressemble à un trafic HTTPS normal. La seule façon pour les pirates de se faire prendre en flagrant délit dans ce cas est si l’entreprise procède à une inspection approfondie des paquets avec suppression de SSL.

  • Choisissez un scénario de phishing par e-mail

Puis vient la partie facile. Le pirate trouvera un modèle et un scénario qui fonctionneront comme un appel d’e-mail parfait. Rappelez-vous que dans les statistiques récentes, le pirate informatique cible souvent environ 3 à 5% du personnel des petites et moyennes entreprises. Ils vont s’attaquer aux rôles de gestion des titres, comme les RH ou les finances. Ils publieront des e-mails qui semblent provenir du réseau des banques commerciales. Ces e-mails seront étiquetés comme des rapports «urgents» nécessitant une attention immédiate de la part de la victime.

  • Serveurs proxy Web Sidestep

Les pirates identifieront les serveurs proxy Web utilisés par leur victime cible. Le serveur proxy Web empêchera le réseau d’entreprise de visiter certains sites. Certains de ces systèmes sont même équipés d’une protection antivirus. Cela signifie que le serveur proxy Web peut empêcher la victime de télécharger l’exécutable envoyé par le phisher. L’hameçonneur devra trouver un moyen de contourner ce problème pour obtenir ce qu’il veut. Ils investiront ensuite dans votre arnaque en achetant un certificat SSL valide pour le site malveillant. Cela signifie que lorsque l’utilisateur victime visite le site certifié SSL, un tunnel crypté est canalisé dans l’arnaque par hameçonnage.

  • Envoyez les messages de phishing

Les pirates ont ici quelques options. Ils peuvent usurper un e-mail ou acheter un vrai domaine pour rendre la ruse encore plus convaincante.

S’ils choisissent d’envoyer à partir d’un domaine valide, ils vont souvent profiter d’un marché de domaines bon marché. GoDaddy est actuellement l’option d’achat de domaine bon marché la plus populaire. Certaines nouvelles offres de vente de domaines les proposent pour aussi peu que 1,17 $, taxes et frais compris.

De nombreux sites achetés via GoDaddy ont une fonction de messagerie. Le pirate accédera à la fonction «Créer un e-mail» du domaine et l’utilisera pour créer un compte de messagerie pour son site.

Le hacker entrera le code de compte de messagerie GoDaddy et changera toutes les informations d’identification en «Qui est-ce». Ils utiliseront ce code pour exécuter une routine d’imposteur convaincante sur le Web pour leur escroquerie de phishing. Ils devront effectuer une vérification de correspondance avec le site Web qu’ils veulent tricher pour s’assurer que tout est correctement reflété. Cela doit paraître aussi réel que possible.

À ce stade, ils peuvent choisir un fournisseur de messagerie pour détruire les e-mails de phishing. Cependant, des opérations plus sophistiquées s’exécuteront comme les scripts mentionnés ci-dessus.

Les hackers du rapport Pentest Geek

Articles Similaires

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba