Phishing et phishing-as-a-service (PhaaS), expliqués
Le phishing est un piratage répandu qui vise à inciter les gens à divulguer des informations privées, notamment des numéros de carte de crédit, des mots de passe et des identités personnelles.
Au cours de la seule année 2022, 300 497 cas de phishing ont été signalés au Federal Bureau of Investigation des États-Unis. Ces attaques ont fait perdre aux victimes plus de 52 millions de dollars. Habituellement, cela implique l’envoi de faux e-mails qui semblent authentiques, incitant les destinataires à ouvrir des liens nuisibles ou à demander des informations sensibles. Le phishing en tant que service (PhaaS) constitue une évolution alarmante dans le monde de la cybercriminalité.
Grâce à l'utilisation d'un service Web par abonnement appelé PhaaS, même les criminels non experts peuvent facilement exécuter des attaques de phishing complexes. Ces entreprises proposent des kits de phishing prédéfinis, des modèles modifiables et une infrastructure de serveur pour créer de fausses pages Web.
Un cybercriminel peut, par exemple, s'inscrire sur une plateforme PhaaS, créer un modèle d'e-mail qui semble provenir d'un échange cryptographique respectable et le distribuer à des milliers de destinataires possibles. Un lien vers une fausse page de connexion destinée à voler les informations d’identification des utilisateurs peut être inclus dans l’e-mail.
Les cybercriminels peuvent rapidement lancer de vastes campagnes de phishing avec PhaaS, ce qui représente une menace encore plus grande pour les particuliers et les entreprises. L’accessibilité de PhaaS réduit la barrière d’entrée pour la cybercriminalité, qui constitue une préoccupation majeure pour les consommateurs Internet et les experts en cybersécurité du monde entier.
Comment fonctionne PhaaS
PhaaS permet aux fraudeurs de lancer plus facilement des attaques de phishing en leur donnant accès à des kits d'outils et à une infrastructure étendus.
Il fonctionne de la manière suivante :
Kits PhaaS
Des kits de phishing préemballés contenant tous les outils, infrastructures et modèles nécessaires pour mener des attaques de phishing sont disponibles auprès des fournisseurs PhaaS. Des modèles d'e-mails, des pages de connexion fictives, des services d'enregistrement de domaine et une infrastructure d'hébergement sont tous inclus dans ces kits.
Personnalisation
Le degré de personnalisation offert par les différents systèmes PhaaS varie. Les e-mails, sites Web et domaines de phishing peuvent tous être modifiés par des escrocs pour paraître authentiques et dignes de confiance. Les campagnes de phishing peuvent être personnalisées pour cibler des personnes, des entreprises ou des secteurs particuliers.
Ciblage
Les attaques de phishing rendues possibles par PhaaS deviennent de plus en plus complexes. Les cybercriminels ont la capacité de concevoir des campagnes publicitaires très ciblées qui imitent les stratégies de marque et de communication d'entreprises réputées et leurs offres. Les attaquants peuvent créer des communications convaincantes qui ont plus de chances de tromper les destinataires en utilisant des informations personnelles glanées sur les réseaux sociaux, les violations de données et d'autres sources.
Par exemple, les attaquants se font souvent passer pour du personnel de soutien provenant de portefeuilles, d’échanges ou de projets populaires sur les réseaux sociaux (Telegram, Discord, Twitter, etc.). Ils offrent de l'aide et incitent les utilisateurs via de fausses déclarations de cadeaux ou de parachutages à abandonner des clés privées ou des phrases de départ ou à établir des connexions avec des portefeuilles compromis pour siphonner leurs fonds.
Les dangers du PhaaS
PhaaS a considérablement réduit les barrières d’entrée pour les pirates informatiques, ce qui a entraîné une augmentation perceptible de la quantité et de la sophistication des tentatives de phishing.
Même ceux qui n'ont aucune expérience technique peuvent simplement lancer des attaques de phishing complexes avec PhaaS à l'aide de boîtes à outils pré-packagées, de modèles personnalisables et de l'infrastructure d'hébergement proposée par les fournisseurs PhaaS.
La possibilité de subir une perte financière importante est le principal risque associé au PhaaS. L’objectif des escroqueries par phishing est d’obtenir les clés privées, les phrases de départ ou les identifiants de connexion des utilisateurs. Ceux-ci peuvent être utilisés pour accéder à leurs comptes et vider leurs portefeuilles de cryptomonnaies à des fins néfastes. Par exemple, des attaquants ont modifié le front-end de BadgerDAO en 2021 après avoir trompé les utilisateurs en leur faisant fournir des autorisations leur permettant de drainer leur argent.
Les attaques PhaaS peuvent potentiellement miner la confiance dans la communauté crypto. Les escroqueries qui réussissent peuvent décourager les gens d’utiliser même des projets et des services réputés, ce qui empêche une adoption généralisée. Ces attaques sont particulièrement vulnérables aux utilisateurs novices de crypto-monnaie. Ils peuvent être plus susceptibles de tomber dans le piège des usurpations d’identité sur les réseaux sociaux ou des sites Web qui semblent authentiques parce qu’ils manquent d’expérience.
Les attaques de phishing deviennent de plus en plus complexes ; ils utilisent fréquemment des stratégies d’ingénierie sociale et imitent de véritables plateformes. Cela rend la reconnaissance difficile, même pour les utilisateurs expérimentés.
PhaaS n'est pas uniquement destiné aux campagnes par e-mail à grande échelle. Les attaques de spear phishing sont dirigées contre des personnes ou des entreprises bien connues du secteur des cryptomonnaies. De telles attaques utilisent des informations personnalisées pour inciter des individus ou des organisations spécifiques à divulguer des données sensibles ou à prendre des mesures entraînant des pertes financières ou des failles de sécurité.
Comment se défendre contre PhaaS
Un moyen idéal de se protéger contre PhaaS est de pratiquer une vigilance constante : vérifiez tout (URL, adresses d’expéditeur), ne cliquez jamais sur des liens non sollicités et ne partagez jamais vos clés privées ou vos phrases de départ.
Approche de sécurité multicouche et défenses techniques
Installez des pare-feu, des outils de surveillance du réseau, la sécurité des points finaux et un filtrage robuste des e-mails. Ces protections technologiques aident à identifier et à bloquer les pièces jointes à risque, les e-mails de phishing et les activités réseau douteuses.
Formation de sensibilisation des utilisateurs
Apprenez régulièrement aux membres du personnel comment repérer et signaler les tentatives de phishing. Informez-les des signes typiques des tentatives de phishing. Cela implique de demander aux gens d'examiner de près les adresses des expéditeurs, de déterminer l'urgence des messages, de rester à l'écart des liens douteux et de s'abstenir d'envoyer des informations privées par courrier électronique.
Politiques de sécurité
Mettez en œuvre des mesures de sécurité telles que les meilleures pratiques pour les mots de passe et l'authentification à deux facteurs (2FA). Pour éviter tout accès indésirable, encouragez l’utilisation de mots de passe forts et uniques, mis à jour régulièrement.
Implémentation DMARC
Pour vous aider à supprimer les faux e-mails, utilisez des méthodes d'authentification de courrier électronique telles que l'authentification, le reporting et la conformité des messages basés sur le domaine (DMARC). En aidant à la vérification de l'authenticité des e-mails, DMARC réduit le taux de réussite des tentatives de phishing.
Il donne aux propriétaires de domaine un aperçu des statistiques d'authentification des e-mails sur leur domaine et leur permet de définir des politiques pour gérer les e-mails non authentifiés.
Renseignements sur les menaces
Inscrivez-vous aux services de renseignement sur les menaces pour recevoir des informations sur les dernières attaques de phishing et techniques PhaaS. Pour mieux défendre les plateformes de cryptomonnaies contre l’évolution des cybermenaces, suivez les nouveaux développements dans le domaine des cyberattaques et des risques émergents en ligne.