Phishing : augmentation inquiétante du nombre de sites frauduleux
Selon l’APWG, le nombre de campagnes de phishing par e-mail a baissé en décembre 2005. Mais les sites Web qui servent aux escroqueries est en forte progression.
Si le nombre de campagnes de phishing a sensiblement baissé en décembre 2005, le nombre de faux sites liés aux pratiques du hameçonnage ont explosé sur la même période. C’est ce qui ressort du nouveau rapport de l’Anti-Phishing Working Group (APWG), une association internationale de lutte contre les tentatives d’escroqueries par e-mail.
Rappelons que le phishing est une forme d’attaque informatique qui consiste à attirer les internautes vers des sites de confiance en apparence mais totalement frauduleux pour récupérer des informations confidentielles (mots de passe, numéro de carte de crédit, etc.).
En décembre 2005, l’APWG a ainsi dénombré 15 244 campagnes de courriers électroniques frauduleux. Contre 16 882 en novembre 2005. Soit une différence de moins de 10 % qui n’est pas forcément significative d’une tendance à la baisse. D’autant que le nombre des sites web d’hameçonnage est, lui, passé de 4 630 à 7 179. C’est une augmentation de plus de 55 % en un mois (+321 % de progression en un an).
Prolifération des outils de phishing
Cette augmentation phénoménale pourrait s’expliquer par la prolifération sur Internet des outils de développement de sites frauduleux. La société de sécurité Websense Security Labs recense une recrudescence de ses outils qui permettent aux moins dégourdis des escrocs de créer rapidement des sites de phishing.
Le prestataire « constate une augmentation du nombre de kits de phishing exploités pour cibler plusieurs marques derrière un serveur unique et déployé du code malicieux sur plusieurs machine ». Le plus populaire outil de ce type du moment porte le nom de Rock Phish Kit. « L’outil est apparu en novembre 2005 et la fréquence de son usage augmente », soutient la société.
Le nombre de marques ou institutions exploités pour tromper les internautes est lui aussi en croissance, constate l’APWG. Il est passé de 93 en novembre à 121 en décembre 2005. Les noms des institutions financières, eBay ou PayPal sont généralement les plus exploitées dans les campagnes d’hameçonnage. Mais nombre de fournisseurs d’accès et même les réseaux peer-to-peer entrent dans la boucle. Ainsi que des entreprises plus traditionnelles comme la chaîne de supermarché Wal-Mart.
Les Etats-Unis restent la principale zone d’hébergement du phishing avec 34,67 % de sites frauduleux. Suivi de la République de Corée (9,83 % des sites) et de la Chine (8,98 %). Avec 1,96 % des sites frauduleux, la France se place au même niveau que la Roumanie, derrière l’Allemagne (3,78 %) et l’Angleterre (3,4 %) mais devant le Canada (1,83 %).