Comment arrêter le phishing à sa source — avant qu’un seul client ne devienne victime

Malgré les avertissements des médias sur les arnaques de phishing, des millions de consommateurs continuent de tomber dans le piège des e-mails ou des messages texte trompeurs les incitant à se rendre sur un site web contrefait qui ressemble presque parfaitement au site légitime. Les victimes sont les plus susceptibles de cliquer sur des messages urgents (un problème avec leur compte) ou attrayants (coupons ou avantages) envoyés par une marque en laquelle elles ont confiance. Dès qu’elles se connectent, les attaquants volent leur nom d’utilisateur et leur mot de passe, et dans certains cas, ils installent des logiciels malveillants.

Nous savons tous ce qui se passe ensuite. L’escroc se connecte simplement pour prendre le contrôle du compte du client, effectuer des transactions frauduleuses et voler des données personnelles qui sont ensuite revendues sur le dark web. Dans de nombreux cas, ils effectueront plus tard des attaques par bourrage d’identifiants, testant les mêmes identifiants sur d’autres sites à travers le web.

Selon le rapport d’incidents de violation de données de Verizon, le phishing était impliqué dans 36 % de toutes les violations de données en 2022. Les attaquants envoient désormais environ 3,4 milliards d’e-mails de phishing chaque jour. La raison pour laquelle le phishing reste si populaire est qu’il est facile à réaliser et difficile à prévenir ! Les violations en 2022 causées par le phishing ont mis en moyenne 295 jours à être identifiées et contenues, selon IBM. Cela donne aux fraudeurs le luxe du temps pour causer de véritables dommages.

La clé pour prévenir les dommages est une détection rapide — plus rapide que vos clients ne peuvent cliquer. Chez Transmit Security, nous avons développé plusieurs moyens pour stopper les violations liées au phishing avant qu’elles ne puissent commencer. Dans ce blog, nous expliquerons comment les sites de phishing sont créés et ce que Transmit Security fait pour protéger les clients lorsque le site de votre entreprise est usurpé dans une campagne de phishing.

Phishing : les nouvelles astuces du domaine

Les attaques de phishing peuvent sembler simples, mais elles deviennent de plus en plus sophistiquées. Un exemple marquant qui fait les gros titres est EvilProxy, un outil de “phishing-as-a-service” basé sur un abonnement (400 $ par mois), conçu pour contourner l’authentification multi-facteurs (MFA). Lorsqu’un utilisateur clique sur une page de phishing d’EvilProxy, celle-ci utilise un proxy inversé pour refléter la page de connexion avec l’interface utilisateur et l’image de marque que l’utilisateur s’attend à voir. Après que la victime se soit connectée, cet outil transfère le trafic via le proxy. Ce faisant, les fraudeurs interceptent les cookies de session contenant des jetons d’authentification, contournent la MFA et se connectent, semblant être le client légitime.

D’autres kits d’outils de phishing permettent aux attaquants de créer rapidement des sites usurpés avec des ensembles de fichiers préemballés contenant du code, des modèles et des ressources, y compris des formulaires de connexion préfabriqués et des scripts. Pour tromper des victimes plus averties, les pirates peuvent même obtenir des certificats SSL pour activer le cryptage HTTPS, ce qui crée l’illusion d’une connexion sécurisée, même si le site est malveillant.

Comment un site de phishing typique est créé

Maintenant que nous avons abordé quelques tactiques de phishing avancées, revenons aux bases. La création d’un site de phishing usurpé suffisamment convaincant pour tromper des victimes non averties implique plusieurs étapes :

1. Choisir une cible : Les acteurs malveillants sélectionnent généralement des marques bien connues susceptibles d’avoir une base d’utilisateurs très large. Les sites web populaires, les banques, les plateformes de réseaux sociaux et les fournisseurs de messagerie sont des cibles courantes.
2. Usurper le domaine : Les pirates enregistrent des domaines qui semblent similaires au domaine légitime, en utilisant des variantes comme des fautes d’orthographe, des tirets ou des domaines de premier niveau alternatifs, comme .net ou .ai. À première vue, l’URL semble être la vraie.
3. Héberger le site usurpé : Pour héberger le site de phishing, ils peuvent utiliser un site web compromis, un service d’hébergement gratuit ou utiliser leurs propres serveurs pour héberger le faux site.
4. Copier le site cible : Les pirates reproduisent le design visuel et les éléments de la marque pour ressembler presque identiquement au site légitime. En utilisant une tactique connue sous le nom de « rétro-ingénierie » ou « clonage », ils copient les scripts du site réel pour recréer l’interface utilisateur et les fonctionnalités interactives. Certains de ces scripts contiennent le kit de développement logiciel du système de reconnaissance des appareils (DRS SDK), ce qui améliore encore l’apparence de légitimité et de sécurité sur un site de phishing.
   Le DRS SDK aide les sites web à identifier et authentifier les clients en fonction des caractéristiques uniques de leurs appareils connus, telles que les paramètres du navigateur, la taille de l’écran, le système d’exploitation, etc. En intégrant ces scripts, l’attaquant peut essayer de contourner la reconnaissance des appareils, en utilisant des tactiques comme l’usurpation d’appareil, par exemple. Cependant, cela pourrait se retourner contre lui, et nous aborderons ce point plus loin.
5. Configurer les redirections : Les pirates peuvent envoyer des e-mails de phishing ou des liens malveillants qui redirigent les utilisateurs des sites légitimes vers leurs sites usurpés. Cela peut impliquer des raccourcisseurs d’URL ou des sites web compromis utilisés comme intermédiaires. Ils utilisent également des redirections, aussi appelés référents (illustrés ci-dessous), pour renvoyer les victimes du site usurpé au site légitime afin que la victime puisse accéder à son solde de compte bancaire, par exemple. Elles ne remarqueront alors rien d’anormal.
6. Distribuer la campagne : Les attaquants utilisent diverses tactiques pour distribuer des e-mails ou des messages texte de phishing, ce qui peut impliquer des campagnes de courriels en masse, des publications sur les réseaux sociaux ou des sites web compromis. En utilisant l’art raffiné de l’ingénierie sociale, les messages utilisent un langage urgent ou attrayant pour attirer les utilisateurs vers le site usurpé.
7. Collecter les données : Le site usurpé est différent du site réel à un égard important : il collecte les identifiants et redirige les données vers les attaquants au lieu du site légitime.

Comment arrêter le phishing à sa source

Chacune de ces étapes que l’attaquant entreprend pour créer un site de phishing laisse une trace numérique. Le domaine, l’adresse IP, le DRS SDK, les redirections, les méthodes de distribution ainsi que les appareils et les comportements fournissent tous des indices.

Le Service de Detection et de Réponse de Transmit Security analyse ces indices en temps réel — pour bloquer les sites de phishing et les redirections d’URL au moment même où un client clique sur la version usurpée de votre site web.

Le service de Detection & Réponse de Transmit Security analyse en permanence des centaines de signaux pour prévenir tous les types de fraudes par prise de contrôle de compte (ATO). Les évaluations continues des risques et de la confiance tirent parti de l’apprentissage automatique et de la détection d’anomalies pilotée par l’IA, des biométries comportementales avancées, de l’empreinte numérique des appareils adaptée à l’ère de la confidentialité, des services de réputation et d’autres méthodes de détection qui évoluent aussi rapidement que les modes opératoires des fraudeurs. Le résultat final : une prévention précise et immédiate du phishing qui protège vos clients et votre marque.

La prévention du Phishing de Transmit Security inclus :

• La Détection des anomalies :  En analysant l’URL et en recherchant ces variations subtiles, comme des fautes d’orthographe ou des tirets, le service de Detection & Réponse sait instantanément si le domaine est usurpé. Transmit Security prend automatiquement en compte tous les domaines et sous-domaines de votre entreprise, de sorte que votre équipe de sécurité n’a pas besoin de configurer cela manuellement.
• Services de réputation : Lorsqu’un utilisateur interagit avec un site web, beaucoup d’informations peuvent être tirées de chaque requête envoyée, comme le référent ou la redirection. Avec les services de réputation IP, le service de Détection et Réponse vérifie si chaque adresse IP a un historique connu associé à des activités frauduleuses. Si tel est le cas, il s’agit probablement d’une fraude et cela pèse lourdement dans le score de risque. De même, la réputation du web est vérifiée pour les domaines de phishing connus. Un grand nombre de domaines de phishing connus existent et peuvent être utilisés pour signaler et bloquer le trafic entrant.
• Empreinte numérique des appareils : C’est là que le DRS SDK entre en jeu et nous donne un avantage. Notre service détecte si un utilisateur accède à un site à partir d’un appareil inconnu et peut même dire si l’attaquant utilise un émulateur d’appareil ou une usurpation d’appareil, ce qui signifie que leurs efforts pour échapper à la détection ne fonctionneront pas avec Transmit Security. Nous détectons les incohérences d’empreintes digitales ainsi que les appareils qui ont été précédemment utilisés par des attaquants pour des fraudes de compte ou du phishing.
• Biométrie comportementale : Transmit Security construit des profils clients de confiance basés sur les schémas de comportement typiques de chaque utilisateur et, par contraste, détecte les comportements suspects. Le service de Détection et Réponse mesure et analyse le comportement de tout utilisateur qui se connecte et interagit avec votre application ou site web. Cela signifie que nous pouvons voir si un fraudeur utilise les identifiants volés du client, même s’ils ont été volés sur un autre site. L’analyse comportementale comprend :
  • La vitesse et la constance de frappe
  • Le temps passé sur certains champs
  • Les mouvements et l’accélération de la souris
  • Les erreurs de frappe et les opérations de suppression qui peuvent indiquer une fraude
  • L’utilisation du copier-coller
• Identifiants non hameçonnables : Le service d’Authentification de Transmit Security prend en charge et sécurise les clés de passe en plus d’offrir notre authentification multi-facteurs sans mot de passe de classe mondiale. Les clients qui se connectent avec des données biométriques comme l’empreinte digitale ou le visage obtiennent la forme la plus forte de MFA, sans jamais utiliser de mot de passe. La biométrie du client (facteur d’hérédité) déverrouille une clé privée (facteur de possession), qui signe le défi d’authentification. À l’autre bout, la clé publique vérifie une correspondance. Les données biométriques et les clés privées des clients sont impossibles à hameçonner car elles ne quittent jamais l’appareil de l’utilisateur. Seul le défi signé, dépourvu de données privées, est envoyé sur le web.

Toutes les solutions sans mot de passe n’éliminent pas complètement les mots de passe, car la plupart exigent que les clients utilisent un mot de passe pour s’inscrire, récupérer un compte ou lier un nouvel appareil. La MFA sans mot de passe de Transmit Security est unique en offrant une prise en charge multi-appareils et de véritables expériences omnicanales. Avec Transmit Security, les clients ne s’inscrivent qu’une seule fois pour passer d’un canal ou d’un appareil à l’autre avec une identité unique et unifiée.

Pourquoi la solution anti-phishing de Transmit Security est unique

Il y a plusieurs raisons pour lesquelles Transmit Security est meilleure que d’autres solutions anti-phishing:

1. Précision : L’IA, le ML et la détection multi-méthodes améliorent notre précision de détection :
   • Réduit les faux positifs et les faux négatifs de 90%
   • Améliore la précision de l’empreinte numérique des appareils à 99,7% ou mieux
   • Réduit les frictions, les CAPTCHA et les défis MFA de 80%
   • Réduit la complexité et les coûts avec une solution unifiée pour les risques, la confiance, la fraude, les bots et le comportement
2. Visibilité et contrôle : Contrairement à la plupart des solutions anti-fraude basées sur des modèles d’IA propriétaires et opaques, Transmit Security offre une transparence totale sur les données télémétriques brutes. Notre nouvel outil d’analyse conversationnelle utilise l’IA générative pour effectuer des requêtes en langage naturel et fournir des informations exploitables basées sur les données collectées. Les équipes de sécurité peuvent même influencer les algorithmes si elles le souhaitent.
3. Automatisation : Les clients n’ont pas besoin de configurer manuellement la détection des anomalies de domaine. Transmit Security suit automatiquement vos domaines et sous-domaines et repère instantanément les variations.
4. Facilité d’utilisation et ROI : La facilité de gestion, la visibilité et l’automatisation contribuent à réduire les coûts généraux, minimisant ainsi le coût total de possession (TCO).

Il est temps de prévenir le phishing avant que les attaquants ne puissent prendre le contrôle des comptes et vider les actifs. Découvrez à quel point il est facile de bloquer le phishing dès qu’il commence