Vous êtes prêt à faire votre shopping ? Votre liste est déjà prête ? Vous êtes plus que jamais à l’affût de bonnes affaires ? Vous allez sans doute vous préparer un bon café, vous asseoir devant votre clavier, vous rendre sur votre site marchand préféré, entrer les chiffres de votre carte bancaire, appuyer sur le bouton pour finaliser l’achat … et le tour sera joué !
Dommage, vous venez d’être victime de phishing !
D’accord, peut-être ne tomberez-vous pas sur un site marchand cloné, mais ayez juste à l’esprit que les chances de se faire avoir ont littéralement explosé. Selon une étude menée par Venafi, le nombre total de certificats TLS (Transport Layer Security) utilisés par des domaines typosquattés pour se donner des allures légitimes est maintenant 400% plus élevé que le nombre de domaines de vente en ligne authentiques.
Voici quelques chiffres pour vous donner un meilleur aperçu : Venafi a trouvé 109 045 certificats TLS concernant des domaines clonés, contre 19 890 concernant des sites marchands authentiques. Plus de la moitié des certificats utilisés sur des domaines malveillants étaient des certificats émis par Let’s Encrypt : une autorité de certification automatisée qui envoie des certificats gratuits … y compris, par exemple, les 15 270 certificats “PayPal” délivrés en 2017 à des sites utilisés pour du phishing.
Les chiffres sont tout simplement hallucinants : à savoir qu’il y a maintenant quatre fois plus de sites marchands frauduleux que de sites de vente en ligne légitimes. Le nombre a plus que doublé depuis 2018.
Faites attention aux informations que vous saisissez
Ce constat rend également les erreurs de saisie sur le clavier plus dangereuses que jamais. Vous savez comment cela se passe : vous tapez rapidement une URL que vous utilisez tout le temps, mais cette fois-ci, vous vous trompez en intervertissant, en ajoutant ou en supprimant accidentellement une lettre et appuyez sans réfléchir sur ‘Entrée‘. Tout à coup, vous n’êtes plus du tout là où vous devriez être. Si vous avez de la chance vous tomberez sur un message d’erreur 404. Mais vous risquez surtout de vous retrouver sur des sites de phishers du type ‘L’étrange Noël de Monsieur Jack‘, avec au moins un de ces sites qui se présentera à vous en parfait clone et qui ne demandera qu’à récupérer votre carte de crédit.
Venafi a découvert qu’il existait plus de 49 500 domaines typosquattés ciblant les clients des plus grands sites marchands américains. En ce qui concerne le Royaume-Uni, il existe six fois plus de domaines frauduleux que de domaines valides parmi les 20 principaux sites de vente en ligne.
Attention, tous ces sites ne sont pas nécessairement gérés par des phishers. Par le passé, nous avions examiné des domaines typosquattés et nous avions constaté que, malgré le type de comportement attendu de la part de sites qui enregistrent intentionnellement des fautes d’orthographe au niveau des URL classiques, ils ne sont pas pour autant tous truffés de malwares.
En fait, la cybercriminalité représentait un peu moins de 3% des résultats. Les fenêtres pop-up et les publicités étaient beaucoup plus répandues (15%), tandis que les annonces concernant des services IT et d’hébergement, à savoir des pages proposant de vous vendre des noms de domaine intéressants, représentaient quant à elles 12%.
Mais Venafi a déclaré avoir effectivement constaté une “croissance exponentielle” du nombre de domaines malveillants et clonés qui sont spécifiquement utilisés dans les attaques de phishing de type prédateur.
Jing Xie, chercheur en renseignement sur les menaces chez Venafi, a déclaré dans un communiqué de presse que l’augmentation des certificats TLS apparaissant sur les sites typosquattés était le résultat de cette volonté de chiffrer davantage, et potentiellement tout le trafic web, en précisant que :
Cette tendance qui vise à améliorer globalement la sécurité des utilisateurs, introduit néanmoins par inadvertance un nouveau défi pour les méthodes de détection d’attaques de phishing existantes.
Il est déjà assez difficile de détecter les sites marchands frauduleux par la simple observation, car ils imitent soigneusement les logos, les nuances de couleurs, d’autres aspects de la stratégie de la marque et le fonctionnement des véritables sites. Ce qui rend la situation encore plus difficile à présent, c’est qu’ils se cachent derrière des certificats TLS.
Le cadenas n’est pas une garantie de site sécurisé
Comme nous l’avons déjà expliqué, les certificats TLS sont utilisés par les sites web communiquant via des connexions HTTPS chiffrées. Ils signent en général une clé de chiffrement publique d’un site web, garantissant ainsi que votre communication avec ce site web soit privée et sécurisée : vous savez à quel site vous vous adressez et avez la garantie que personne d’autre ne vous espionnera.
Mais vous ne pouvez pas toujours faire confiance à un site simplement parce qu’il possède un certificat : la prolifération de sites typosquattés clonant de véritables sites nous le prouve une fois de plus.
En juin dernier, le FBI a averti que trop d’internautes considéraient le symbole du cadenas et le “S” à la fin de HTTP comme une garantie tacite prouvant la fiabilité d’un site.
Compte tenu de la facilité avec laquelle un certificat TLS valide est obtenu gratuitement, et de la possibilité qu’un site légitime ait été piraté, cette hypothèse est devenue de plus en plus dangereuse.
Malheureusement, les cybercriminels ont repéré la confusion entourant le protocole HTTPS, expliquant ainsi le nombre croissant d’attaques de phishing l’utilisant pour prendre les gens par surprise. L’alerte du FBI mettait en garde de la façon suivante :
Ils [les attaquants par phishing] incorporent plus fréquemment des certificats de site web, à savoir une vérification émise par un tiers concernant la sécurité d’un site, lorsqu’ils envoient aux victimes potentielles des emails imitant des entreprises ou des contacts dignes de confiance.
Quoi faire ?
Bien sûr, il faut redoubler de prudence lorsque vous saisissez des informations sur votre clavier, mais allez dire cela à vos doigts agiles et bien trop pressés de frapper sur ce dernier !
La perfection n’étant malheureusement pas de ce monde, nous vous conseillons donc d’utiliser un gestionnaire de mot de passe. Il s’agit d’une bonne ligne de défense car ils ne se laisseront pas avoir par des URL qui sembleront être correctes pour des yeux humains mais qui sont bien trop susceptibles de se tromper : ils repéreront plus facilement les modifications d’URL introduites par des typosquatters qui seront souvent trop subtiles pour que nous puissions les repérer par nous-mêmes.
Si vous décelez des attaques de phishing, n’hésitez pas à aider les autres. Vous pouvez signaler des cybermenaces potentielles à Sophos via notre page Envoi d’un échantillon …
EN SAVOIR PLUS SUR LES TECHNIQUES POUR STOPPER LES ATTAQUES DE PHISHING
Billet inspiré de Ho Ho OUCH! There are 4x more fake retailer sites than real ones, sur Sophos nakedsecurity.