Abonnez-vous pour recevoir des notifications sur les nouveaux articles :

Les 50 marques les plus usurpées lors des tentatives de phishing et les nouveaux outils permettant de protéger vos collaborateurs contre cette menace

2023-03-13

Lecture: 4 min.
Cet article est également disponible en English, en Deutsch, en 日本語, en Español et en 简体中文.

Un collaborateur de votre organisation vient peut-être de saisir, sur un site web incorrect, le nom d'utilisateur et le mot de passe d'un administrateur d'un système interne. Cela suffit à permettre à un acteur malveillant d'exfiltrer des données sensibles.

Top 50 most impersonated brands in phishing attacks and new tools you can use to protect your employees from them

Comment est-ce arrivé ? Il a suffi d'un e-mail bien rédigé.

La détection et le blocage des tentatives de phishing, ainsi que l'atténuation des risques liés à celles-ci, constituent sans doute l'un des défis les plus difficiles à relever pour toutes les équipes de sécurité.

À compter d'aujourd'hui, nous proposons un accès à la version bêta de nos nouveaux outils de protection des marques et de protection contre le phishing, directement depuis le tableau de bord du Centre de sécurité de Cloudflare. Vous pouvez désormais intercepter et atténuer les campagnes de phishing ciblant votre organisation avant même qu'elles ne se produisent.

Le défi des tentatives de phishing

Les tentatives de phishing représentent peut-être le vecteur de menace le plus médiatisé au cours de ces derniers mois. Ces attaques très sophistiquées sont difficiles à détecter ; elles deviennent toujours plus fréquentes et peuvent avoir des conséquences dévastatrices pour les entreprises qui en sont victimes.

Parmi les principaux défis liés à la prévention des attaques par phishing figurent leur volume considérable et la difficulté que présente la différenciation des e-mails et des sites web légitimes de leurs contreparties frauduleuses. Même lorsque les utilisateurs se montrent vigilants, il peut s'avérer difficile pour eux de repérer les indices subtils trahissant les imitations, souvent convaincantes, d'e-mails et de sites web utilisés par les acteurs malveillants à l'origine de tentatives de phishing.

À titre d'exemple, en juillet dernier, notre suite de produits Cloudflare One et l'utilisation de clés de sécurité physiques ont permis de déjouer l'attaque par phishing sophistiquée appelée « Oktapus », qui ciblait les employés de Cloudflare. L'auteur de l'attaque « Oktapus », qui a compromis la sécurité de plus d'une centaine d'entreprises, a enregistré le nom de domaine « cloudflare-okta.com » 40 minutes seulement avant d'envoyer le lien à nos employés.

À cette période, nous utilisions notre serveur d'inscriptions sécurisé pour identifier les domaines liés au phishing, mais la réception de la liste des domaines nouvellement enregistrés à des fins de surveillance avait été retardée. Aujourd'hui, en diffusant les domaines nouvellement observés résolus par notre résolveur 1.1.1.1 (ainsi que d'autres résolveurs), nous sommes en mesure de détecter presque immédiatement les domaines liés au phishing. Cela nous donne une longueur d'avance et nous permet de bloquer les tentatives de phishing avant même qu'elles ne soient mises en œuvre.

Pour aider nos clients à relever ce défi de tous les instants, nous voulons, dans un premier temps, leur permettre d'accéder aux outils que nous utilisons nous-mêmes en interne.

Les nouveaux outils de protection des marques et de protection contre le phishing du Centre de sécurité de Cloudflare

Nous étendons les solutions de protection contre le phishing accessibles aux clients de Cloudflare One en identifiant (et en bloquant) automatiquement les domaines « susceptibles d'être confondus ». Les erreurs de saisie courantes (clodflare.com) et les concaténations de services (cloudflare-okta.com) sont souvent enregistrées en tant que noms de domaine par des acteurs malveillants, afin d'inciter des victimes inattentives à saisir des informations privées (par exemple, des mots de passe) ; ces nouveaux outils offrent une protection supplémentaire contre ces tentatives.

Les nouveaux outils de protection des marques et de protection contre le phishing se trouvent dans le Centre de sécurité de Cloudflare, et offrent encore plus de contrôles (par exemple, les chaînes personnalisées à surveiller, une liste consultable de domaines historiques, etc.) à nos clients. Les utilisateurs ayant souscrit une offre Cloudflare One peuvent y accéder, le niveau de contrôle, de visibilité et d'automatisation étant variable selon l'offre souscrite.

Nouvelles fonctionnalités d'alerte et de correspondance de marques et de domaines

Our new brand protection interface

Notre nouvelle fonctionnalité de protection des marques est fondée sur notre capacité à détecter les noms d'hôtes créés spécifiquement pour lancer des attaques par phishing contre des marques légitimes. Nous commençons par surveiller la première utilisation d'un domaine ou d'un sous-domaine ; pour cela, nous scrutons les billions de requêtes DNS adressées quotidiennement à 1.1.1.1, le résolveur DNS public de Cloudflare, afin de compiler une liste de noms d'hôtes utilisés pour la première fois « en milieu naturel ».

Nous utilisons cette liste pour établir, en temps réel, une « correspondance floue », une technique utilisée pour associer deux chaînes de caractères, dont le sens ou l'orthographe sont similaires, aux modèles enregistrés par nos utilisateurs. Nous comparons les chaînes et calculons un score de similarité en fonction de différents facteurs (phonétique, distance, correspondance des sous-chaînes). Ces modèles enregistrés, qui peuvent être des chaînes avec des distances d'édition, permettent à notre système de générer des alertes chaque fois que nous détectons une correspondance avec l'un des domaines présents dans la liste.

Bien que nos utilisateurs doivent actuellement créer et enregistrer ces requêtes, nous introduirons, à l'avenir, un système de correspondance automatisé. Ce système simplifiera le processus de détection de correspondances pour nos utilisateurs ; toutefois, des chaînes personnalisées seront toujours disponibles pour les équipes de sécurité surveillant des modèles plus complexes.

Historique des recherches

Brand protection alerts

En plus de la surveillance en temps réel, nous proposons un historique des recherches (requêtes enregistrées) et des alertes pour les domaines nouvellement observés au cours des 30 derniers jours. Lorsqu'un nouveau modèle est créé, nous affichons les résultats de recherche des 30 derniers jours, afin d'identifier les correspondances potentielles. Ceci permet aux équipes de sécurité d'évaluer rapidement le niveau de menace potentiel d'un nouveau domaine et de prendre les dispositions nécessaires.

Par ailleurs, ce mécanisme de recherche peut également être utilisé pour la recherche de domaines ad hoc, offrant davantage de flexibilité aux équipes de sécurité qui souhaitent enquêter sur des domaines ou des modèles spécifiques.

Observations « en milieu naturel » : les marques les plus ciblées par le phishing

Lors du développement de ces nouveaux outils de protection des marques, nous avons voulu tester nos fonctionnalités avec un large éventail de marques fréquemment ciblées par des tentatives de phishing. À cette fin, nous avons examiné la fréquence à laquelle notre résolveur 1.1.1.1 a résolu des domaines contenant des URL liées à des campagnes de phishing. Tous les domaines utilisés dans le cadre de services partagés (à l'image des plateformes d'hébergement de sites Google, Amazon, GoDaddy) dont le lien avec une tentative de phishing n'a pas pu être vérifié ont été supprimés de l'ensemble de données.

Vous pouvez retrouver la liste des 50 marques que nous avons identifiées comme étant les plus fréquemment ciblées dans le tableau ci-dessous.

.tg {border-collapse:collapse;border-color:#ccc;border-spacing:0;} .tg td{background-color:#fff;border-color:#ccc;border-style:solid;border-width:1px;color:#333; font-family:Arial, sans-serif;font-size:14px;overflow:hidden;padding:10px 5px;word-break:normal;} .tg th{background-color:#f0f0f0;border-color:#ccc;border-style:solid;border-width:1px;color:#333; font-family:Arial, sans-serif;font-size:14px;font-weight:normal;overflow:hidden;padding:10px 5px;word-break:normal;} .tg .tg-1wig{font-weight:bold;text-align:left;vertical-align:top} .tg .tg-lqy6{text-align:right;vertical-align:top} .tg .tg-0lax{text-align:left;vertical-align:top}

Rank Brand Sample domain used to phish brand[1]
1 AT&T Inc. att-rsshelp[.]com
2 PayPal paypal-opladen[.]be
3 Microsoft login[.]microsoftonline.ccisystems[.]us
4 DHL dhlinfos[.]link
5 Meta facebookztv[.]com
6 Internal Revenue Service irs-contact-payments[.]com
7 Verizon loginnnaolcccom[.]weebly[.]com
8 Mitsubishi UFJ NICOS Co., Ltd. cufjaj[.]id
9 Adobe adobe-pdf-sick-alley[.]surge[.]sh
10 Amazon login-amazon-account[.]com
11 Apple apple-grx-support-online[.]com
12 Wells Fargo & Company connect-secure-wellsfargo-com.herokuapp[.]com
13 eBay, Inc. www[.]ebay8[.]bar
14 Swiss Post www[.]swiss-post-ch[.]com
15 Naver uzzmuqwv[.]naveicoipa[.]tech
16 Instagram (Meta) instagram-com-p[.]proxy.webtoppings[.]bar
17 WhatsApp (Meta) joingrub-whatsapp-pistol90[.]duckdns[.]org
18 Rakuten rakutentk[.]com
19 East Japan Railway Company www[.]jreast[.]co[.]jp[.]card[.]servicelist[].bcens[.]net
20 American Express Company www[.]webcome-aexp[.]com
21 KDDI aupay[.]kddi-fshruyrt[.]com
22 Office365 (Microsoft) office365loginonlinemicrosoft[.]weebly[.]com
23 Chase Bank safemailschaseonlineserviceupgrade09[.]weebly[.]com
24 AEON aeon-ver1fy[.]shop
25 Singtel Optus Pty Limited myoptus[.]mobi
26 Coinbase Global, Inc. supp0rt-coinbase[.]com
27 Banco Bradesco S.A. portalbradesco-acesso[.]com
28 Caixa Econômica Federal lnternetbanklng-caixa[.]com
29 JCB Co., Ltd. www[.]jcb-co-jp[.]ascaceeccea[.]ioukrg[.]top
30 ING Group ing-ingdirect-movil[.]com
31 HSBC Holdings plc hsbc-bm-online[.]com
32 Netflix Inc renew-netflix[.]com
33 Sumitomo Mitsui Banking Corporation smbc[.]co[.]jp[.]xazee[.]com
34 Nubank nuvip2[.]ru
35 Bank Millennium SA www[.]bankmillenium-pl[.]com
36 National Police Agency Japan sun[.]pollice[.]xyz
37 Allegro powiadomienieallegro[.]net
38 InPost www.inpost-polska-lox.order9512951[.]info
39 Correos correosa[.]online
40 FedEx fedexpress-couriers[.]com
41 LinkedIn (Microsoft) linkkedin-2[.]weebly[.]com
42 United States Postal Service uspstrack-7518276417-addressredelivery-itemnumber.netlify[.]app
43 Alphabet www[.]googlecom[.]vn10000[.]cc
44 The Bank of America Corporation baanofamericase8[.]hostfree[.]pw
45 Deutscher Paketdienst dpd-info[.]net
46 Banco Itaú Unibanco S.A. silly-itauu[.]netlify[.]app
47 Steam gift-steam-discord[.]com
48 Swisscom AG swiss-comch[.]duckdns[.]org
49 LexisNexis mexce[.]live
50 Orange S.A. orange-france24[.]yolasite[.]com

Classement

Marque

Exemple de domaine utilisé pour lancer une attaque par phishing contre la marque[1]

Example of a DNS policy rule to block confusable domains

1

AT&T Inc.

att-rsshelp[.]com

2

PayPal

paypal-opladen[.]be

3

Microsoft

login[.]microsoftonline.ccisystems[.]us

4

DHL

dhlinfos[.]link

5

Meta

facebookztv[.]com

6

Internal Revenue Service

irs-contact-payments[.]com

7

Verizon

loginnnaolcccom[.]weebly[.]com

8

Mitsubishi UFJ NICOS Co., Ltd.

cufjaj[.]id

9

Adobe

adobe-pdf-sick-alley[.]surge[.]sh

10

Amazon

login-amazon-account[.]com

11

Apple

apple-grx-support-online[.]com

12

Wells Fargo & Company

connect-secure-wellsfargo-com.herokuapp[.]com

13

eBay, Inc.

www[.]ebay8[.]bar

14

Swiss Post

www[.]swiss-post-ch[.]com

15

Naver

uzzmuqwv[.]naveicoipa[.]tech

16

Instagram (Meta)

instagram-com-p[.]proxy.webtoppings[.]bar

17

WhatsApp (Meta)

joingrub-whatsapp-pistol90[.]duckdns[.]org

18

Rakuten

rakutentk[.]com

19

East Japan Railway Company

www[.]jreast[.]co[.]jp[.]card[.]servicelist[].bcens[.]net

20

American Express Company

www[.]webcome-aexp[.]com

21

KDDI

aupay[.]kddi-fshruyrt[.]com

22

Office365 (Microsoft)

office365loginonlinemicrosoft[.]weebly[.]com

23

Chase Bank

safemailschaseonlineserviceupgrade09[.]weebly[.]com

24

AEON

aeon-ver1fy[.]shop

25

Singtel Optus Pty Limited

myoptus[.]mobi

26

Coinbase Global, Inc.

supp0rt-coinbase[.]com

27

Banco Bradesco S.A.

portalbradesco-acesso[.]com

28

Caixa Econômica Federal

lnternetbanklng-caixa[.]com

29

JCB Co., Ltd.

www[.]jcb-co-jp[.]ascaceeccea[.]ioukrg[.]top

30

ING Group

ing-ingdirect-movil[.]com

31

HSBC Holdings plc

hsbc-bm-online[.]com

32

Netflix Inc

renew-netflix[.]com

33

Sumitomo Mitsui Banking Corporation

smbc[.]co[.]jp[.]xazee[.]com

34

Nubank

nuvip2[.]ru

35

Bank Millennium SA

www[.]bankmillenium-pl[.]com

36

National Police Agency Japan

sun[.]pollice[.]xyz

37

Allegro

powiadomienieallegro[.]net

38

InPost

www.inpost-polska-lox.order9512951\[.\]info

39

Correos

correosa[.]online

40

FedEx

fedexpress-couriers[.]com

41

LinkedIn (Microsoft)

linkkedin-2[.]weebly[.]com

42

United States Postal Service

uspstrack-7518276417-addressredelivery-itemnumber.netlify[.]app

43

Alphabet

www[.]googlecom[.]vn10000[.]cc

44

The Bank of America Corporation

baanofamericase8[.]hostfree[.]pw

45

Deutscher Paketdienst

dpd-info[.]net

46

Banco Itaú Unibanco S.A.

silly-itauu[.]netlify[.]app

47

Steam

gift-steam-discord[.]com

48

Swisscom AG

swiss-comch[.]duckdns[.]org

49

LexisNexis

mexce[.]live

50

Orange S.A.

orange-france24[.]yolasite[.]com

[1] Les sites de phishing sont généralement servis avec une URL spécifique, plutôt qu'à la racine (par exemple, hxxp://example.com/login.html, plutôt que hxxp://example.com/). Les URL complètes ne sont pas fournies ici.

Réunir les fonctionnalités de notre système d'informations sur les menaces et l'application de la sécurité Zero Trust

Les nouvelles fonctionnalités s'avèrent beaucoup plus efficaces pour les clients utilisant notre suite de produits Zero Trust. Vous pouvez facilement bloquer tout domaine susceptible d'être confondu dès sa détection, en créant des règles dans Cloudflare Gateway ou des règles de politique DNS. Cela empêche immédiatement vos utilisateurs de résoudre ou de consulter des sites potentiellement malveillants, vous permettant ainsi de déjouer les attaques avant même qu'elles n'aient lieu.

Améliorations futures

Ces nouvelles fonctionnalités ne sont que les premières dispositions de notre portefeuille étendu de solutions de sécurité contre le phishing et les atteintes aux marques.

Correspondance avec les certificats SSL/TLS

En plus de la correspondance avec les domaines, nous prévoyons également de proposer la correspondance avec les nouveaux certificats SSL/TLS enregistrés dans Nimbus, notre référentiel de transparence des certificats. En analysant les journaux de transparence des certificats, nous pouvons identifier les certificats potentiellement frauduleux, susceptibles d'être utilisés pour mettre en œuvre des tentatives de phishing. Cette capacité est utile, car les certificats sont généralement créés peu de temps après l'enregistrement d'un domaine, afin d'accroître la légitimité du site de phishing grâce à la prise en charge du protocole HTTPS.

Renseignement automatique des listes gérées

Bien qu'aujourd'hui, les clients puissent exécuter des scripts de mise à jour des listes personnalisées référencées par une règle de blocage Zero Trust, comme nous l'avons évoqué ci-dessus, nous avons l'intention d'ajouter automatiquement des domaines à des listes mises à jour de manière dynamique. En outre, nous ajouterons automatiquement les domaines correspondants à des listes pouvant être utilisées dans les règles de notre solution Zero Trust, par exemple, le blocage depuis Gateway.

Changements de propriétaire de domaines et modifications d'autres métadonnées

Enfin, nous prévoyons d'offrir la possibilité de surveiller les changements de propriétaire ou les modifications d'autres métadonnées liées aux domaines, telles que le titulaire, les serveurs de noms ou les adresses IP résolues. Ceci permettrait aux clients de suivre l'évolution des informations essentielles concernant leurs domaines et de prendre les dispositions nécessaires, le cas échéant.

Premiers pas

Si vous êtes client de l'offre Enterprise, inscrivez-vous pour accéder dès maintenant à la version bêta de la solution de protection des marques et bénéficier de l'analyse privée de vos domaines, de l'enregistrement de vos requêtes et de la configuration d'alertes de correspondance de domaines.

Nous protégeons des réseaux d'entreprise entiers, aidons nos clients à développer efficacement des applications à l'échelle d'Internet, accélérons tous les sites web ou applications Internet, repoussons les attaques DDoS, tenons les pirates informatiques à distance et pouvons vous accompagner dans votre parcours d'adoption de l'architecture Zero Trust.

Accédez à 1.1.1.1 depuis n'importe quel appareil pour commencer à utiliser notre application gratuite, qui rend votre navigation Internet plus rapide et plus sûre.

Pour en apprendre davantage sur notre mission, à savoir contribuer à bâtir un Internet meilleur, cliquez ici. Si vous cherchez de nouvelles perspectives professionnelles, consultez nos postes vacants.
Security WeekPhishingNouveautés produits

Suivre sur X

Alexandra Moraru|@alexandramoraru
Patrick R. Donahue|@prdonahue
Cloudflare|@cloudflare

Publications associées

08 octobre 2024 à 13:00

Cloudflare acquires Kivera to add simple, preventive cloud security to Cloudflare One

The acquisition and integration of Kivera broadens the scope of Cloudflare’s SASE platform beyond just apps, incorporating increased cloud security through proactive configuration management of cloud services. ...

27 septembre 2024 à 13:00

AI Everywhere with the WAF Rule Builder Assistant, Cloudflare Radar AI Insights, and updated AI bot protection

This year for Cloudflare’s birthday, we’ve extended our AI Assistant capabilities to help you build new WAF rules, added new AI bot & crawler traffic insights to Radar, and given customers new AI bot blocking capabilities...

26 septembre 2024 à 13:00

Zero-latency SQLite storage in every Durable Object

Traditional cloud storage is inherently slow because it is accessed over a network and must synchronize many clients. But what if we could instead put your application code deep into the storage layer, such that your code runs where the data is stored? Durable Objects with SQLite do just that. ...

26 septembre 2024 à 13:00

Making Workers AI faster and more efficient: Performance optimization with KV cache compression and speculative decoding

With a new generation of data center accelerator hardware and using optimization techniques such as KV cache compression and speculative decoding, we’ve made large language model (LLM) inference lightning-fast on the Cloudflare Workers AI platform....