Blog

Le phishing, un excellent moyen de devenir millionnaire

Return Path | 24 juillet, 2013

Une collaboration des départements Marketing et Sécurité s’impose face aux experts enphishing et en usurpation d’identité actuels, toujours plus rusés et déployant un arsenal de meilleures pratiques qui vise à rendre leurs emails sans cesse plus attrayants et crédibles. Preuve en est l’email ci-dessous, en provenance de la prétendue société Yorkshire Building Society (YBS).

fr_yorkshire_building_society_phishing_email (1)

Ce message est très efficace pour les raisons suivantes :

  • Son objet est préoccupant (surtout si vous êtes vraiment client de YBS).
  • La forme « conviviale » de l’adresse est crédible (cf. l’encadré).
  • Le domaine de l’expéditeur est correct (car le véritable expéditeur l’a usurpé)
  • L’image de marque est proche du vrai site Web de YBS
  • Le texte du message est correctement formulé, dans un style professionnel, et il n’y a aucune faute d’orthographe
  • Il comporte un appel à l’action visible et interpellant : « Click My Account Activity » (Cliquez sur Activités de mon compte)
  • La clause de non-responsabilité et les informations de contact semblent totalement correctes.

Après analyse de cet email à l’aide de l’outil de validation de rendu et de contenu Inbox Preview de Return Path, des résultats alarmants ressortent :

  • Le message a généré un score SpamAssassin tout à fait honorable (seulement 1.5)
  • Il n’a identifié qu’un seul mot susceptible de déclencher un filtre antispam : « Disclaimer » (Clause de non-responsabilité)
  • Le rendu était même tout à fait correct sur la plupart des principaux terminaux mobiles

Pire encore pour YBS, il ne s’agissait pas là d’une occurrence isolée et ponctuelle : la société était clairement la cible d’une attaque concertée. Les solutions anti-phishing Secure. EQ de Return Path ont permis de déterminer que le volume d’emails suspects envoyés par l’intermédiaire de ce domaine avait augmenté de 500 % au cours des 30 derniers jours. Compte tenu de la rapidité du déploiement de telles attaques, il est capital pour les propriétaires de marques de bénéficier d’un accès en temps réel aux informations qui leur permettront d’identifier les attaques, de les bloquer de façon proactive et de faire mettre l’expéditeur hors d’état de nuire.

Nous nous sommes ensuite demandés quels étaient les taux de réponse obtenus par ces emails. Dans cette optique, nous avons fait appel à l’outil d’analyse des performances Inbox Insight de Return Path pour déterminer le niveau d’engagement obtenu par ces messages. Les données ci-dessous représentent l’activité détectée au cours des 90 derniers jours :

fr_yorkshire_building_society_inbox_insight_data

Que pouvons-nous en conclure ?

  • Près de 1 email sur 20 a réussi à contourner les filtres antispam et à atteindre la boîte de réception des destinataires
  • Le taux de lecture moyen de ces messages s’élève à 3,66 %. Cette observation est particulièrement surprenante pour plusieurs raisons :
  1. YBS est un acteur relativement insignifiant sur le marché britannique puisqu’il ne détient qu’1 % de part de marché environ. En supposant que les destinataires non clients de YBS ont probablement ignoré ces emails puisqu’ils ne présentaient aucun intérêt pour eux, on peut en déduire que les taux de lecture pour le reste sont en réalité beaucoup plus élevés.
  2. Dans un certain nombre de cas, le taux de lecture est supérieur au taux de messages non filtrés. Un tel résultat sous-entend que les destinataires vont rechercher les messages dans leur dossier Courriers indésirables et qu’ils y répondent !
  • Un rapport de référence publié par Cisco Systems révèle qu’en moyenne, 99 % des emails de phishing sont interceptés tandis que le reste génère un taux d’ouverture de 3 %. Cela laisse supposer que ceux qui ont été envoyés illégitimement au nom d’YBS sont extrêmement efficaces, puisqu’ils affichent un taux 6 fois supérieur au taux de référence établi par Cisco.
  • Toujours selon l’étude de Cisco, l’impact commercial d’une attaque de phishing s’élève à250 dollars (soit 190 €) par destinataire compromis. En se basant sur le taux de réactivité moyen de 5 % indiqué dans l’étude et sur le fait que 50 % des destinataires qui cliquent sur un lien fournissent des informations personnelles, il est possible d’extrapoler les données fournies par Inbox Insight pour en déduire un impact commercial au Royaume-Uni estimé à plus de 1 million de livres pour cette seule arnaque !

A présent, penchons-nous sur des sociétés majeures du secteur des services financiers britanniques, telles que HSBC, Santander et Lloyds TSB. L’ampleur des attaques lancées contre ces institutions est jusqu’à 30 fois supérieure à celle de l’attaque visant YBS. Les exemples suivants confirment la crédulité de nombreux destinataires d’emails et font comprendre pourquoi les arnaques de phishing remportent un tel succès auprès des cybercriminels :

fr_phishing_example_lloyds_tsb

  •  Marque usurpée : Lloyds TSB
  • Date de la détection : 29 décembre 2012
  • Objet : « Your account benefits all in one place » (Tous les bénéfices de votre compte en un seul emplacement)
  • Taux de lecture : 17,39 %

fr_phishing_example_hsbc

  • Marque usurpée : HSBC
  • Date de la détection : 13 janvier 2013
  • Objet : « HSBC BANK- YOUR ACCOUNT ALERT » (BANQUE HSBC – ALERTE COMPTE BANCAIRE)
  • Taux de lecture : 5,08 %

fr_phishing_example_santander_tsb

  • Marque usurpée : Santander
  • Date de la détection : 10/11 janvier 2013
  • Objet : « Funds Was Transferred to Your Account Online » (Transfert de fonds vers votre compte en ligne)
  • Taux de lecture : 5,63 %

Qui plus est, certaines attaques de phishing moins bien conçues (qui devraient donc logiquement être moins efficaces) génèrent des taux de réponse très élevés. Prenez le message suivant : son taux de lecture est supérieur à 3 % en dépit de la faute d’orthographe flagrante dans l’objet !

fr_phishing_example_hsbc_spelling_mistake

Your browser is out of date.
For a better Return Path experience, click a link below to get the latest version.