Il n’y a pas si longtemps, la plupart des entreprises dont les marques étaient victimes d’escroqueries par hameçonnage concentraient leurs efforts principalement sur la fermeture des sites contrefaits le plus rapidement possible. De nos jours, un nombre croissant de marques de phishing non seulement désactivent les sites, mais saisissent également l’opportunité d’enseigner aux victimes potentielles comment repérer les futures escroqueries.
Au lieu de simplement démanteler un site de phishing et de laisser les victimes potentielles de phishing avec une erreur « Site introuvable », certaines cibles fréquentes des sites de phishing mettent en place des redirections vers des pages d’éducation au phishing.
Depuis 20 mois, Jason Hongmaître de conférences en informatique à L’université de Carnegie Mellonc’est Institut d’interaction homme-machinea mesuré les renvois des sites d’hameçonnage vers une page éducation mis en place par le Groupe de travail anti-hameçonnage (APWG), un consortium industriel. Hong a déclaré que le site reçoit désormais près de 25 000 références par mois provenant de sites de phishing que les propriétaires de marques ont modifiés.
Le processus de redirection fonctionne comme ceci : le propriétaire de la marque ou l’entreprise dont les clients sont ciblés par le site de phishing vérifie qu’il s’agit d’un site frauduleux, puis le FAI, le fournisseur d’hébergement ou le registraire de domaine du site redirigera le site de phishing vers la page d’éducation APWG.
De septembre 2008 à avril 2010, Hong a suivi 1,16 million de visites à partir d’environ 15 000 URL redirigées uniques. Pour filtrer les victimes probables d’autres trafics « bruits » – tels que les robots d’exploration Web aléatoires et les personnes testant les pages de destination – CMU a effacé les données des visites qui n’identifiaient pas le site de phishing d’origine, ainsi que celles qui semblaient être à tester uniquement (adresses Internet qui rencontrent plusieurs URL de phishing par jour, par exemple).
Après avoir filtré les résultats, Hong a déclaré que son équipe avait trouvé environ 200 000 visites sur 1 285 URL – soit environ 156 visites par URL – qui étaient très probablement des clics de personnes qui auraient donné des données financières et/ou des mots de passe sur des sites Web de phishing. était actif à l’époque. Cela peut sembler beaucoup de victimes par site de phishing, mais alors que le nombre moyen de visites filtrées par URL était de 100 à 300 par mois, la médiane est assez faible, de 2 à 7 par mois.
Cela signifie qu’il existe des attaques de phishing vraiment « réussies » sur lesquelles de nombreuses personnes cliquent, probablement parce qu’un grand nombre de spams annonçant ce faux site ont été envoyés, ou parce que les e-mails de phishing étaient particulièrement convaincants. Cependant, la majorité des campagnes de phishing semblent être assez infructueuses, en ce sens qu’elles n’accrochent pas beaucoup de gens, a déclaré Hong.
« Il y a quelques sites qui ont beaucoup de visites, et beaucoup de sites qui ont très peu de visites », a-t-il déclaré. « Cela signifie qu’il y a un très longue queue de phishing.
Ces chiffres sont probablement conservateurs. D’une part, les chercheurs n’avaient aucun moyen de mesurer le nombre de personnes ayant cliqué sur le site de phishing avant sa fermeture et les visites ultérieures ont été redirigées vers la page d’éducation de l’APWG. De plus, la plupart des navigateurs Web incluent désormais une technologie anti-hameçonnage qui empêche les utilisateurs de visiter des sites Web d’hameçonnage connus, généralement dans les heures qui suivent la mise en ligne des sites frauduleux.
Pourtant, cela peut toujours valoir la peine même pour les hameçonneurs qui n’attirent qu’une poignée de victimes par attaque, car les coûts de démarrage des escroqueries par hameçonnage sont souvent presque nuls (le spam est souvent acheminé via des machines piratées, et l’APWG estime qu’entre 75 et 80 % des sites de phishing sont des sites légitimes qui ont été piratés et semés avec des kits de phishing). Je n’ai pas trouvé de statistiques récentes et fiables sur les pertes moyennes par hameçonnage, mais si nous supposons pour le moment que les personnes qui se font hameçonner perdent en moyenne 500 $, il ne faut pas trop de victimes pour en faire une entreprise rentable.