Des chercheurs en sécurité analysant des campagnes de phishing ciblant le United States Postal Service (USPS) ont constaté que le trafic vers les faux domaines est généralement similaire à ce que le site légitime enregistre et qu’il est encore plus élevé pendant les vacances.

Les opérations de phishing ciblent généralement les informations sensibles des personnes (informations d’identification du compte, détails de la carte) ou tentent d’inciter les utilisateurs à effectuer des paiements à des magasins frauduleux ou à couvrir les frais supposés nécessaires pour effacer les articles qui ont été mis en attente pour diverses raisons.

Hameçonnage USPS
Pendant la période des fêtes de fin d’année 2023, Akamai Technologies a observé un volume important de requêtes DNS allant vers des domaines « combosquatting » qui usurpent l’identité du service USPS.

« La quantité de trafic vers les domaines illégitimes était presque égale à la quantité de trafic vers les domaines légitimes un jour normal — et dépassait largement le trafic légitime pendant les vacances. »- Akamaï
Akamai a commencé à enquêter sur le phishing sur le thème de l’USPS en octobre 2023 après qu’un employé a reçu un SMS suspect redirigeant vers un site contenant du code JavaScript malveillant.

SMS d’hameçonnage

Ensuite, les analystes ont compilé une liste de tous les domaines utilisant le même fichier JS des cinq derniers mois et n’ont conservé que ceux avec la chaîne USPS dans leur nom.

La conception de ces pages est très convaincante et apparaît comme des répliques exactes du site USPS authentique avec des pages de suivi réalistes pour les mises à jour de statut.

Site de phishing USPS fournissant de fausses informations de suivi

Dans un cas, les acteurs du phishing ont mis en place ce qui ressemble à un magasin d’articles postaux dédié, qui a commencé à attirer un trafic important fin novembre, alors que les consommateurs cherchaient à acheter des cadeaux et des objets de collection pour les Fêtes de fin d’année.

Boutique de faux timbres USPS

D’octobre 2023 à février 2024, les domaines malveillants les plus populaires découverts par Akamai ont reçu près d’un demi-million de requêtes, dont deux dépassant 150 000 chacune.

Domaines malveillants générant le plus de trafic

Les domaines de premier niveau (TLD) les plus populaires associés aux domaines sur le thème de l’hameçonnage USPS étaient:

  1. .com – 4459 domaines et 271 278 requêtes
  2. .top-3 063 domaines et 274 257 requêtes
  3. .shop  – 566 domaines et 58 194 requêtes
  4. .xyz-397 domaines et 30 870 requêtes
  5. .org-352 domaines et 16 391 requêtes
  6. .info – 257 domaines et 7 597 requêtes

Le nombre total de requêtes générées par tous les sites Web malveillants découverts par les recherches d’Akamai au cours de la période examinée est supérieur à 1 128 146, soit un peu moins que les 1 181 235 requêtes enregistrées pour le site USPS légitime.

Comparaison du nombre total de requêtes entre les domaines légitimes (à gauche) et malveillants (à droite)

Cependant, les statistiques montrent que le trafic vers des domaines malveillants entre novembre et décembre était plus élevé que celui légitime, indiquant une augmentation des activités malveillantes pendant la saison des vacances d’hiver.

Génération de trafic au fil du temps

Akamai n’a concentré cette recherche que sur USPS, de sorte que l’ampleur réelle de ces campagnes de squat combo qui englobent potentiellement de nombreuses autres marques est probablement plus grande.

Les consommateurs doivent faire preuve de prudence et être sceptiques quant à tout SMS ou e-mail concernant les envois de colis.

Pour vérifier la légitimité de ces communications, il est conseillé d’utiliser le site officiel (en le chargeant manuellement dans le navigateur) pour vérifier l’état de livraison d’un produit.

Cliquer sur les liens inclus dans les messages pour suivre les colis peut conduire à des emplacements malveillants.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *