Subscribe to receive notifications of new posts:

Les 50 marques les plus usurpées lors des tentatives de phishing et les nouveaux outils permettant de protéger vos collaborateurs contre cette menace

03/13/2023

8 min read
Top 50 most impersonated brands in phishing attacks and new tools you can use to protect your employees from them

Un collaborateur de votre organisation vient peut-être de saisir, sur un site web incorrect, le nom d'utilisateur et le mot de passe d'un administrateur d'un système interne. Cela suffit à permettre à un acteur malveillant d'exfiltrer des données sensibles.

Comment est-ce arrivé ? Il a suffi d'un e-mail bien rédigé.

La détection et le blocage des tentatives de phishing, ainsi que l'atténuation des risques liés à celles-ci, constituent sans doute l'un des défis les plus difficiles à relever pour toutes les équipes de sécurité.

À compter d'aujourd'hui, nous proposons un accès à la version bêta de nos nouveaux outils de protection des marques et de protection contre le phishing, directement depuis le tableau de bord du Centre de sécurité de Cloudflare. Vous pouvez désormais intercepter et atténuer les campagnes de phishing ciblant votre organisation avant même qu'elles ne se produisent.

Le défi des tentatives de phishing

Les tentatives de phishing représentent peut-être le vecteur de menace le plus médiatisé au cours de ces derniers mois. Ces attaques très sophistiquées sont difficiles à détecter ; elles deviennent toujours plus fréquentes et peuvent avoir des conséquences dévastatrices pour les entreprises qui en sont victimes.

Parmi les principaux défis liés à la prévention des attaques par phishing figurent leur volume considérable et la difficulté que présente la différenciation des e-mails et des sites web légitimes de leurs contreparties frauduleuses. Même lorsque les utilisateurs se montrent vigilants, il peut s'avérer difficile pour eux de repérer les indices subtils trahissant les imitations, souvent convaincantes, d'e-mails et de sites web utilisés par les acteurs malveillants à l'origine de tentatives de phishing.

À titre d'exemple, en juillet dernier, notre suite de produits Cloudflare One et l'utilisation de clés de sécurité physiques ont permis de déjouer l'attaque par phishing sophistiquée appelée « Oktapus », qui ciblait les employés de Cloudflare. L'auteur de l'attaque « Oktapus », qui a compromis la sécurité de plus d'une centaine d'entreprises, a enregistré le nom de domaine « cloudflare-okta.com » 40 minutes seulement avant d'envoyer le lien à nos employés.

À cette période, nous utilisions notre serveur d'inscriptions sécurisé pour identifier les domaines liés au phishing, mais la réception de la liste des domaines nouvellement enregistrés à des fins de surveillance avait été retardée. Aujourd'hui, en diffusant les domaines nouvellement observés résolus par notre résolveur 1.1.1.1 (ainsi que d'autres résolveurs), nous sommes en mesure de détecter presque immédiatement les domaines liés au phishing. Cela nous donne une longueur d'avance et nous permet de bloquer les tentatives de phishing avant même qu'elles ne soient mises en œuvre.

Pour aider nos clients à relever ce défi de tous les instants, nous voulons, dans un premier temps, leur permettre d'accéder aux outils que nous utilisons nous-mêmes en interne.

Les nouveaux outils de protection des marques et de protection contre le phishing du Centre de sécurité de Cloudflare

Nous étendons les solutions de protection contre le phishing accessibles aux clients de Cloudflare One en identifiant (et en bloquant) automatiquement les domaines « susceptibles d'être confondus ». Les erreurs de saisie courantes (clodflare.com) et les concaténations de services (cloudflare-okta.com) sont souvent enregistrées en tant que noms de domaine par des acteurs malveillants, afin d'inciter des victimes inattentives à saisir des informations privées (par exemple, des mots de passe) ; ces nouveaux outils offrent une protection supplémentaire contre ces tentatives.

Les nouveaux outils de protection des marques et de protection contre le phishing se trouvent dans le Centre de sécurité de Cloudflare, et offrent encore plus de contrôles (par exemple, les chaînes personnalisées à surveiller, une liste consultable de domaines historiques, etc.) à nos clients. Les utilisateurs ayant souscrit une offre Cloudflare One peuvent y accéder, le niveau de contrôle, de visibilité et d'automatisation étant variable selon l'offre souscrite.

Notre nouvelle interface de protection des marques

Nouvelles fonctionnalités d'alerte et de correspondance de marques et de domaines

Notre nouvelle fonctionnalité de protection des marques est fondée sur notre capacité à détecter les noms d'hôtes créés spécifiquement pour lancer des attaques par phishing contre des marques légitimes. Nous commençons par surveiller la première utilisation d'un domaine ou d'un sous-domaine ; pour cela, nous scrutons les billions de requêtes DNS adressées quotidiennement à 1.1.1.1, le résolveur DNS public de Cloudflare, afin de compiler une liste de noms d'hôtes utilisés pour la première fois « en milieu naturel ».

Nous utilisons cette liste pour établir, en temps réel, une « correspondance floue », une technique utilisée pour associer deux chaînes de caractères, dont le sens ou l'orthographe sont similaires, aux modèles enregistrés par nos utilisateurs. Nous comparons les chaînes et calculons un score de similarité en fonction de différents facteurs (phonétique, distance, correspondance des sous-chaînes). Ces modèles enregistrés, qui peuvent être des chaînes avec des distances d'édition, permettent à notre système de générer des alertes chaque fois que nous détectons une correspondance avec l'un des domaines présents dans la liste.

Bien que nos utilisateurs doivent actuellement créer et enregistrer ces requêtes, nous introduirons, à l'avenir, un système de correspondance automatisé. Ce système simplifiera le processus de détection de correspondances pour nos utilisateurs ; toutefois, des chaînes personnalisées seront toujours disponibles pour les équipes de sécurité surveillant des modèles plus complexes.

Alertes de protection des marques

Historique des recherches

En plus de la surveillance en temps réel, nous proposons un historique des recherches (requêtes enregistrées) et des alertes pour les domaines nouvellement observés au cours des 30 derniers jours. Lorsqu'un nouveau modèle est créé, nous affichons les résultats de recherche des 30 derniers jours, afin d'identifier les correspondances potentielles. Ceci permet aux équipes de sécurité d'évaluer rapidement le niveau de menace potentiel d'un nouveau domaine et de prendre les dispositions nécessaires.

Par ailleurs, ce mécanisme de recherche peut également être utilisé pour la recherche de domaines ad hoc, offrant davantage de flexibilité aux équipes de sécurité qui souhaitent enquêter sur des domaines ou des modèles spécifiques.

Observations « en milieu naturel » : les marques les plus ciblées par le phishing

Lors du développement de ces nouveaux outils de protection des marques, nous avons voulu tester nos fonctionnalités avec un large éventail de marques fréquemment ciblées par des tentatives de phishing. À cette fin, nous avons examiné la fréquence à laquelle notre résolveur 1.1.1.1 a résolu des domaines contenant des URL liées à des campagnes de phishing. Tous les domaines utilisés dans le cadre de services partagés (à l'image des plateformes d'hébergement de sites Google, Amazon, GoDaddy) dont le lien avec une tentative de phishing n'a pas pu être vérifié ont été supprimés de l'ensemble de données.

Vous pouvez retrouver la liste des 50 marques que nous avons identifiées comme étant les plus fréquemment ciblées dans le tableau ci-dessous.

Classement Marque Exemple de domaine utilisé pour lancer une attaque par phishing contre la marque[1]
1 AT&T Inc. att-rsshelp[.]com
2 PayPal paypal-opladen[.]be
3 Microsoft login[.]microsoftonline.ccisystems[.]us
4 DHL dhlinfos[.]link
5 Meta facebookztv[.]com
6 Internal Revenue Service irs-contact-payments[.]com
7 Verizon loginnnaolcccom[.]weebly[.]com
8 Mitsubishi UFJ NICOS Co., Ltd. cufjaj[.]id
9 Adobe adobe-pdf-sick-alley[.]surge[.]sh
10 Amazon login-amazon-account[.]com
11 Apple apple-grx-support-online[.]com
12 Wells Fargo & Company connect-secure-wellsfargo-com.herokuapp[.]com
13 eBay, Inc. www[.]ebay8[.]bar
14 Swiss Post www[.]swiss-post-ch[.]com
15 Naver uzzmuqwv[.]naveicoipa[.]tech
16 Instagram (Meta) instagram-com-p[.]proxy.webtoppings[.]bar
17 WhatsApp (Meta) joingrub-whatsapp-pistol90[.]duckdns[.]org
18 Rakuten rakutentk[.]com
19 East Japan Railway Company www[.]jreast[.]co[.]jp[.]card[.]servicelist[].bcens[.]net
20 American Express Company www[.]webcome-aexp[.]com
21 KDDI aupay[.]kddi-fshruyrt[.]com
22 Office365 (Microsoft) office365loginonlinemicrosoft[.]weebly[.]com
23 Chase Bank safemailschaseonlineserviceupgrade09[.]weebly[.]com
24 AEON aeon-ver1fy[.]shop
25 Singtel Optus Pty Limited myoptus[.]mobi
26 Coinbase Global, Inc. supp0rt-coinbase[.]com
27 Banco Bradesco S.A. portalbradesco-acesso[.]com
28 Caixa Econômica Federal lnternetbanklng-caixa[.]com
29 JCB Co., Ltd. www[.]jcb-co-jp[.]ascaceeccea[.]ioukrg[.]top
30 ING Group ing-ingdirect-movil[.]com
31 HSBC Holdings plc hsbc-bm-online[.]com
32 Netflix Inc renew-netflix[.]com
33 Sumitomo Mitsui Banking Corporation smbc[.]co[.]jp[.]xazee[.]com
34 Nubank nuvip2[.]ru
35 Bank Millennium SA www[.]bankmillenium-pl[.]com
36 National Police Agency Japan sun[.]pollice[.]xyz
37 Allegro powiadomienieallegro[.]net
38 InPost www.inpost-polska-lox.order9512951[.]info
39 Correos correosa[.]online
40 FedEx fedexpress-couriers[.]com
41 LinkedIn (Microsoft) linkkedin-2[.]weebly[.]com
42 United States Postal Service uspstrack-7518276417-addressredelivery-itemnumber.netlify[.]app
43 Alphabet www[.]googlecom[.]vn10000[.]cc
44 The Bank of America Corporation baanofamericase8[.]hostfree[.]pw
45 Deutscher Paketdienst dpd-info[.]net
46 Banco Itaú Unibanco S.A. silly-itauu[.]netlify[.]app
47 Steam gift-steam-discord[.]com
48 Swisscom AG swiss-comch[.]duckdns[.]org
49 LexisNexis mexce[.]live
50 Orange S.A. orange-france24[.]yolasite[.]com

[1] Les sites de phishing sont généralement servis avec une URL spécifique, plutôt qu'à la racine (par exemple, hxxp://example.com/login.html, plutôt que hxxp://example.com/). Les URL complètes ne sont pas fournies ici.

Réunir les fonctionnalités de notre système d'informations sur les menaces et l'application de la sécurité Zero Trust

Les nouvelles fonctionnalités s'avèrent beaucoup plus efficaces pour les clients utilisant notre suite de produits Zero Trust. Vous pouvez facilement bloquer tout domaine susceptible d'être confondu dès sa détection, en créant des règles dans Cloudflare Gateway ou des règles de politique DNS. Cela empêche immédiatement vos utilisateurs de résoudre ou de consulter des sites potentiellement malveillants, vous permettant ainsi de déjouer les attaques avant même qu'elles n'aient lieu.

Exemple d'une règle de politique DNS visant à bloquer des domaines susceptibles d'être confondus

Améliorations futures

Ces nouvelles fonctionnalités ne sont que les premières dispositions de notre portefeuille étendu de solutions de sécurité contre le phishing et les atteintes aux marques.

Correspondance avec les certificats SSL/TLS

En plus de la correspondance avec les domaines, nous prévoyons également de proposer la correspondance avec les nouveaux certificats SSL/TLS enregistrés dans Nimbus, notre référentiel de transparence des certificats. En analysant les journaux de transparence des certificats, nous pouvons identifier les certificats potentiellement frauduleux, susceptibles d'être utilisés pour mettre en œuvre des tentatives de phishing. Cette capacité est utile, car les certificats sont généralement créés peu de temps après l'enregistrement d'un domaine, afin d'accroître la légitimité du site de phishing grâce à la prise en charge du protocole HTTPS.

Renseignement automatique des listes gérées

Bien qu'aujourd'hui, les clients puissent exécuter des scripts de mise à jour des listes personnalisées référencées par une règle de blocage Zero Trust, comme nous l'avons évoqué ci-dessus, nous avons l'intention d'ajouter automatiquement des domaines à des listes mises à jour de manière dynamique. En outre, nous ajouterons automatiquement les domaines correspondants à des listes pouvant être utilisées dans les règles de notre solution Zero Trust, par exemple, le blocage depuis Gateway.

Changements de propriétaire de domaines et modifications d'autres métadonnées

Enfin, nous prévoyons d'offrir la possibilité de surveiller les changements de propriétaire ou les modifications d'autres métadonnées liées aux domaines, telles que le titulaire, les serveurs de noms ou les adresses IP résolues. Ceci permettrait aux clients de suivre l'évolution des informations essentielles concernant leurs domaines et de prendre les dispositions nécessaires, le cas échéant.

Premiers pas

Si vous êtes client de l'offre Enterprise, inscrivez-vous pour accéder dès maintenant à la version bêta de la solution de protection des marques et bénéficier de l'analyse privée de vos domaines, de l'enregistrement de vos requêtes et de la configuration d'alertes de correspondance de domaines.

We protect entire corporate networks, help customers build Internet-scale applications efficiently, accelerate any website or Internet application, ward off DDoS attacks, keep hackers at bay, and can help you on your journey to Zero Trust.

Visit 1.1.1.1 from any device to get started with our free app that makes your Internet faster and safer.

To learn more about our mission to help build a better Internet, start here. If you're looking for a new career direction, check out our open positions.
Security Week (FR)Phishing (FR)Brand (FR)Confusables (FR)FrançaisProduct News (FR)

Follow on X

Alexandra Moraru|@alexandramoraru
Patrick R. Donahue|@prdonahue
Cloudflare|@cloudflare

Related posts

March 05, 2024 2:02 PM

Sécurisez vos actifs non protégés avec le Centre de sécurité : aperçu rapide pour les RSSI

Aujourd'hui, nous sommes ravis de présenter un nouvel ensemble de fonctionnalités pour le Centre de sécurité, permettant de relever directement un défi commun : garantir un déploiement complet sur l'ensemble de votre infrastructure. Bénéficiez d'informations précises sur la manière d'optimiser...

March 04, 2024 2:00 PM

Cloudflare lance un assistant IA pour Security Analytics

Découvrez l'assistant IA pour la solution Security Analytics. Bénéficiez de précieuses informations sur votre sécurité web, désormais bien plus faciles que jamais à obtenir. Utilisez la nouvelle interface d'interrogation en langage courant intégrée afin d'explorer la solution Security Analytics...

March 03, 2024 6:00 PM

Bienvenue dans la Security Week 2024

Pour inaugurer la Security Week 2024, le Chief Security Officer de Cloudflare partage des informations sur les menaces et incidents de sécurité observés durant l'année écoulée et présente les priorités et préoccupations essentielles des responsables de la sécurité informatique à travers le monde...

March 20, 2023 1:00 PM

Tout ce que vous pouvez avoir manqué au cours de la Security Week 2023

Grâce à ce récapitulatif de la Security Week 2023, vous découvrirez de quelle manière Cloudflare a facilité le passage d'un modèle de protection des applications à un modèle de protection des collaborateurs, tout en s'assurant qu'ils restent protégés partout dans le monde...