Rawpixel.com - stock.adobe.com
Comment se défendre contre le phishing as a service et les kits de phishing
Le phishing reste un problème récurrent pour la sécurité des entreprises. Avec l’avènement des offres de phishing en mode service et des kits de phishing, le problème ne fera qu’empirer.
Si le phishing – ou hameçonnage – n’est pas le seul point de départ de cyberattaques, il n’en reste pas moins un vecteur courant. Et cela d’autant plus que des kits de phishing faciles à utiliser réduisent considérablement la difficulté du lancement de campagnes efficaces, sans compter le phishing-as-a-service. En somme, si certaines campagnes s’avèrent peu efficaces et peu crédibles, c’est moins la faute à des outils complexes et peu accessibles qu’à la paresse et à l’incompétence de certains acteurs malveillants.
Fonctionnement des kits de phishing
Les cybercriminels utilisent principalement des kits de phishing basiques pour créer rapidement des pages web factices ressemblant à celles de marques connues. Les kits de phishing comprennent deux parties :
- Une page HTML qui est une réplique d’un site légitime. Typiquement, cette page demande des informations aux utilisateurs telles que noms d’utilisateur, mots de passe, numéros de carte de crédit, etc.
- Un script de phishing qui collecte les données et les envoie à l’attaquant par divers moyens comme l’email, Telegram ou WhatsApp, entre autres.
Bien que les défenseurs puissent bloquer ces sites malveillants, ces kits permettent aux pirates de les créer rapidement et à grande échelle, parfois plus vite que les mécanismes de défense ne peuvent les reconnaître et les bloquer.
Fonctionnement du phishing en mode service
Le phishing en mode service (PhaaS) est une version plus moderne et étendue des kits de phishing basiques, qui abaisse encore davantage la barrière à l’entrée pour les aspirants cybercriminels.
Les offres de PhaaS sont des packages prêts à l’emploi qui incluent des fonctionnalités avancées telles que :
- Modèles d’emails malveillants.
- Modèles de pages de destination trompeuses.
- Services d’hébergement multisite.
- Tutoriels d’attaque.
- Informations de contact des cibles potentielles.
- Services de gestion du vol de données d’identification.
- Distribution automatique et répétée de messages de phishing.
- Tarification à l’abonnement.
- Support client.
Plateformes de phishing en mode service
Parmi les plateformes PhaaS les plus populaires, on trouve Greatness et Strox. Greatness propose des fonctionnalités telles que :
- Modèles de phishing préconçus qui imitent de manière convaincante des sites web légitimes.
- Interfaces conviviales pour la gestion des campagnes.
- Système de back-end sophistiqué pour la récolte et l’analyse des données.
Greatness simplifie non seulement le processus de lancement de campagnes de phishing, mais amplifie également l’impact potentiel de ces cyberattaques à l’échelle mondiale.
Strox offre de manière similaire un service intuitif et convivial qui permet même aux novices de lancer des campagnes de phishing sophistiquées.
Comment se défendre contre le phishing en mode service
Se défendre contre le PhaaS nécessite une approche multicouche combinant des contrôles technologiques et une éducation des utilisateurs.
En premier lieu, il faut se concentrer sur la défense des boîtes de réception des utilisateurs :
- Filtrage avancé des emails. Déployer des outils avancés de filtrage des emails, comme les passerelles de sécurité des emails, capables de détecter et de mettre en quarantaine les emails de phishing.
- Politiques de mot de passe robustes et MFA. Renforcer la sécurité des emails en mettant en œuvre l’authentification à facteurs multiples (MFA) et en assurant une bonne hygiène des mots de passe.
- Gestion des correctifs. Appliquer les mises à jour critiques des systèmes de messagerie dès qu’elles sont disponibles.
- Contrôles de sécurité techniques. Déployer des protocoles comme le DMARC pour authentifier l’origine des emails et réduire le risque de propagation de messages usurpés.
- Formation à la sensibilisation à la sécurité. Il est crucial de sensibiliser les employés aux risques de phishing avec des formations régulières et des exercices de simulation. Les exercices de simulation d’hameçonnage mettent les connaissances des utilisateurs à l’épreuve et montrent quels types d’attaques ils sont le plus susceptibles de subir, de sorte que les équipes de sécurité peuvent mettre à jour les programmes de formation en conséquence. Les nouvelles techniques de formation, telles que la gamification et les concours, peuvent rendre la formation de sensibilisation à la sécurité plus amusante et plus pertinente pour le public.