Le phishing fait des milliers de victimes chaque année. Si ces campagnes ont toujours existé, elles ont considérablement gagné en popularité ces dernières années, portées par la démocratisation du web. Toutefois, et contrairement à ce que l’on pourrait croire, elles partagent de nombreux traits communs et elles s’appuient souvent sur les mêmes sites.
Et justement, si vous vous posiez la question, l’entreprise de cybersécurité Webroot s’est amusée à classer les 10 sites les plus utilisés pour les campagnes de phishing.
Attention, cette liste n’est pas exhaustive et de nombreux sites sont ainsi utilisés pour mener des campagnes de phishing. De manière générale, il faut donc toujours vous montrer méfiant lorsque vous ouvrez un nouveau courriel.
Le phishing, qu’est-ce que c’est ?
Si vous n’êtes pas familier de la chose, alors sans doute est-il préférable de commencer par rappeler ce qu’est le phishing.
Traduit hammeçonnage en français, le phishing consiste principalement à mettre un internaute en confiance pour le pousser à divulguer des informations personnelles, privées et sensibles.
Les modes opératoires peuvent différer d’une campagne à l’autre, mais ces dernières se présentent le plus souvent sous la forme d’un courriel prétendument envoyé par un site connu. Une plateforme populaire, une banque en ligne, un service de courrier, ainsi de suite.
Ces courriels cherchent à imiter les originaux et ils comprennent généralement un lien pointant vers une copie du site mis en avant. L’internaute, en cliquant dessus, est donc redirigé vers un site malveillant, un site sur lequel il sera invité à divulguer des informations comme son adresse électronique, son identité ou même ses mots de passe.
L’auteur de la campagne peut donc récupérer ces informations et les utiliser pour usurper l’identité de ces cibles ou même pour accéder à ses autres comptes en ligne.
A lire aussi : 9 astuces pour se protéger des ransomwares
Les sites les plus utilisés pour le phishing
Comme nous l’expliquions un peu avant, mes campagnes de phishing s’appuient sur des sites ou des services existants. L’idée étant en effet de mettre l’internaute en confiance en lui donnant l’impression qu’il se trouve à l’endroit où il devrait être.
Sans surprise, les instigateurs de ces campagnes ont donc pris l’habitude de cibler certains sites. Et Webroot a justement classé les sites les plus utilisés à l’occasion des campagnes de phishing menées en 2020. Avec quelques surprises dans le lot, d’ailleurs.
Top 1 : eBay (13,2 %)
eBay est toujours apprécié des hackers. En 2020, la plupart des campagnes de phishing ciblaient donc le site. Il totalise à lui seul 13,2 % des campagnes menées tout au long de l’année.
Top 2 : Apple (10,2 %)
Cela peut surprendre, mais Apple figure en deuxième position de ce classement. Elle est une fois encore victime de sa popularité. Il faut dire aussi que les arnaques à l’iPhone sont nombreuses. D’ailleurs, elles ne s’appuient pas toutes sur des campagnes de mailing et on en voit parfois passer sur Facebook et YouTube.
Top 3 : Microsoft (9,5 %)
Microsoft arrive ensuite, derrière son concurrent de toujours. A elle seule, l’entreprise représente en effet 9,5 % des campagnes de phishing circulant en ligne. Et ce n’est pas vraiment surprenant compte tenu de la place occupée par Windows sur le marché.
Top 4 : Facebook (8,8 %)
Facebook a beau être très critiqué, il reste à ce jour le numéro 1 des réseaux sociaux. Une place que beaucoup lui envient et qui lui vaut de tenir la quatrième place de ce classement.
Il peut d’ailleurs être intéressant de préciser que Facebook n’est pas uniquement utilisé par ces campagnes. La plateforme est aussi parfois utilisée pour les diffuser. Il faut donc toujours vous montrer prudent quand vous voyez circuler des liens sur le service.
Top 5 : Google (8,6 %)
On aurait pu croire qu’il figurerait plus haut dans le classement, mais ce n’est visiblement pas le cas. Google arrive à la cinquième position des marques les plus utilisées dans les campagnes de phishing.
Il faut d’ailleurs souligner que la firme oeuvre autant qu’elle le peut à restreindre l’impact de ces dernières auprès des internautes. Gmail intègre en effet de puissants filtres qui parviennent à bloquer la plupart de ces mailings malveillants. Et si vous en doutez, nous vous recommandons d’aller jeter de temps à autre un coup d’oeil à votre dossier spam.
Top 6 : Steam (7,9 %)
Steam a pendant longtemps réglé seul (ou presque) sur le marché des boutiques de jeux vidéo pour PC.
Et il faut croire que cela a donné des idées aux personnes et aux groupes qui se cachent derrière les campagnes de phishing. La marque de Valve se hisse en effet à la sixième position de ce classement.
Top 7 : Yahoo (5,4 %)
Yahoo n’est plus vraiment ce qu’il était. Alors même que le portail a été pendant très longtemps un point d’entrée sur le web, il a beaucoup perdu de sa superbe depuis. A un tel point qu’il a changé plusieurs fois de propriétaires, sans que cela ne lui soit d’une quelconque utilité d’ailleurs.
Malgré tout, Yahoo est encore très présent dans le coeur des spammeurs comme le prouve la septième place qu’il détient à ce classement.
Top 8 : Amazon (4,7 %)
Je vais être franc, quand j’ai reçu le communiqué de presse de Webroot, je m’attendais vraiment à trouver Amazon en tête de liste. Après tout, on parle tout de même ici du plus gros site d’e-commerce au monde. Un site sur lequel nous sommes d’ailleurs beaucoup à avoir enregistré nos coordonnées bancaires.
Et pourtant, Amazon n’est pas la marque préférée des spammeurs puisqu’elle arrive seulement à la huitième place de ce classement.
Top 9 : Netflix (3 %)
N’en déplaise à ses détracteurs, Netflix a clairement révolutionné l’industrie de la diffusion de films et de séries. Avant lui, personne n’avait été en mesure de proposer un service de streaming légal proposé à moins de 10 € par mois. Et on comprend donc pourquoi il occupe une place aussi importante dans le coeur des spammeurs.
Top 10 : PayPal (3 %)
A la dixième place de ce classement, nous trouvons l’incontournable PayPal. PayPal, que nous utilisons tous quotidiennement et qui a considérablement simplifier le processus de paiement en ligne. Au point d’attirer l’attention de certaines personnes indélicates.