Le phishing est une technique puissante pour amener les gens à révéler des informations. L'attaquant envoie un e-mail qui semble provenir d'une source légitime telle qu'une banque. La victime clique sur ce lien, tente de se connecter à son compte et ses identifiants de connexion sont volés.

Le succès d'une campagne de phishing dépend de son réalisme. Cela nécessite un ensemble de compétences que de nombreux cybercriminels n'ont pas et cela constituait autrefois une barrière importante à l'entrée. Mais le Phishing as a Service est en train de changer cela.

Alors, qu'est-ce que le Phishing as a Service ?

Qu'est-ce que l'hameçonnage en tant que service ?

L'hameçonnage en tant que service (PaaS) fait partie d'une tendance où les cybercriminels deviennent des fournisseurs de services. Plutôt que de mener des cyberattaques par eux-mêmes, ils aident les autres à mener des attaques en échange d'une rémunération.

Il est basé sur le modèle commercial du logiciel en tant que service dans lequel les clients ont accès au logiciel en échange d'un abonnement mensuel.

instagram viewer

Cela fournit aux cybercriminels une nouvelle source de revenus et permet à quiconque de mener des attaques plus professionnelles.

Comment fonctionne le PaaS ?

Les fournisseurs de PaaS annoncent leurs produits comme des kits de phishing. Ils sont principalement vendus sur le dark web, mais certains kits de phishing sont désormais disponibles sur le web de surface (c'est-à-dire l'internet classique).

Un kit de phishing comprend tout le nécessaire pour lancer un attaque de phishing réussie. Ils incluent des modèles d'e-mails pour l'envoi d'e-mails qui semblent provenir d'entreprises légitimes, ainsi que des modèles de sites Web vers lesquels envoyer des victimes. Certains kits de phishing incluent également des listes de cibles potentielles.

Parce que les kits de phishing sont destinés à ceux qui n'ont pas de compétences techniques, ils incluent souvent des instructions détaillées et un support client.

Les kits de phishing sont présentés comme des produits qui permettent à quiconque de gagner de l'argent en réalisant des attaques de phishing, quelles que soient ses compétences. Il s'agit d'un service populaire pour ceux qui veulent s'impliquer dans la cybercriminalité mais qui n'ont pas les connaissances nécessaires.

Qu'advient-il des identifiants volés ?

Après le vol des informations d'identification d'une victime, il existe un certain nombre de possibilités. L'attaquant peut utiliser les informations d'identification lui-même. S'il s'agit d'un compte financier, ils peuvent tenter de transférer des fonds. Ou s'il s'agit d'un accès à un réseau, ils peuvent utiliser cet accès pour lancer une attaque de rançongiciel.

Les identifiants peuvent également être revendus sur le dark web. Cela permet à quelqu'un de profiter des informations d'identification volées même s'il n'en a pas réellement l'utilité.

Certains kits de phishing sont également conçus pour conserver une copie de toutes les informations d'identification volées et les envoyer à l'éditeur du kit de phishing. Cela fournit des revenus potentiels supplémentaires à l'éditeur du kit de phishing. Cela signifie également que les identifiants sont souvent revendus sur le dark web même si la personne qui les a volés avait d'autres intentions.

Pourquoi le PaaS est-il un problème ?

PaaS est un problème car il supprime la barrière à l'entrée du phishing. Normalement, un cybercriminel devrait comprendre le langage HTML pour créer un e-mail efficace. Ils auraient également besoin de comprendre comment créer un site Web qui semble à la fois réaliste et vole des mots de passe. Si quelqu'un achète un kit de phishing, il n'a pas besoin de ces compétences pour mener une attaque.

PaaS rend les personnes qui mènent déjà des attaques de phishing plus efficaces. Le succès d'une campagne est souvent limité par les capacités des auteurs. Si cette personne paie pour un kit de phishing, il est probable que davantage de personnes succomberont à ses attaques.

Le PaaS rend également plus difficile la poursuite des attaques de phishing.

Cela permet aux personnes qui sont douées pour concevoir des kits de phishing de profiter de l'activité sans mener elles-mêmes d'attaques de phishing. Si la personne qui utilise un kit de phishing est prise, la personne qui a fourni le kit de phishing est susceptible d'éviter les poursuites. Ils peuvent alors continuer à vendre à d'autres.

Qui est ciblé par le phishing ?

Les attaques de phishing visent aussi bien les entreprises que les particuliers. Si un particulier est ciblé, les identifiants de connexion de ses comptes financiers et personnels peuvent être volés.

Une attaque de phishing réussie contre une entreprise peut donner lieu à d'autres cyberattaques. Si l'attaquant vole les informations d'identification d'un réseau, les informations privées des clients peuvent être volées ou un rançongiciel peut être installé.

Comment éviter l'hameçonnage

Bien que PaaS rende les attaques de phishing plus difficiles à détecter, elles peuvent toujours être évitées si vous comprenez ce qu'il faut rechercher.

Vérifier l'expéditeur

Les e-mails de phishing reposent sur le fait que le destinataire ne regarde pas correctement le nom de l'expéditeur. L'expéditeur peut utiliser l'usurpation d'e-mail pour paraître légitime, mais il est impossible d'éviter des variations orthographiques mineures.

Recherchez les erreurs de formatage

Les produits PaaS incluent souvent des e-mails très réalistes, mais ils ne sont toujours pas aussi professionnels que les vrais. Recherchez les erreurs de formatage et de langage utilisé.

Quel que soit l'expéditeur, vous devez ne cliquez jamais sur un lien dans un e-mail. Vous ne devez également jamais télécharger une pièce jointe à un e-mail à moins d'être certain de ce qu'elle contient.

Méfiez-vous des demandes d'informations

Tous les e-mails de phishing vous demandent de faire quelque chose. Vous devez vous méfier de tout e-mail vous demandant de fournir des informations ou de vous connecter à un compte.

Les entreprises devraient former leurs employés

Les attaques de phishing contre les entreprises ciblent principalement les employés. Afin d'atténuer cette menace, tous les employés doivent être formés en conséquence.

Les entreprises peuvent utiliser un logiciel anti-hameçonnage

Des logiciels sont largement disponibles pour détecter les e-mails de phishing et les empêcher d'atteindre les boîtes de réception des employés. Bien que ce logiciel ne soit pas une alternative adéquate à la formation des employés, il peut réduire l'ampleur de la menace à laquelle les employés sont confrontés.

Le PaaS fait du phishing une menace plus importante

Le phishing est une menace importante tant pour les particuliers que pour les entreprises. Cela conduit à des piratages de comptes sur des particuliers et à des intrusions sur le réseau des entreprises. Le PaaS ajoute à cette menace en permettant à quiconque de mener de telles attaques, quelles que soient ses compétences.

L'introduction du PaaS augmente non seulement le taux de phishing, mais rend également chaque attaque potentiellement plus efficace. Bien que les e-mails de phishing soient souvent évidents, toute personne utilisant un kit de phishing payant peut être en mesure de voler beaucoup plus d'informations d'identification.

Votre compte Netflix peut-il être piraté ?

Lire la suite

PartagerTweeterPartagerE-mail

Rubriques connexes

  • Sécurité
  • Hameçonnage
  • Escroqueries
  • Sécurité en ligne
  • La cyber-sécurité

A propos de l'auteur

Elliot Nesbo (101 articles publiés)

Elliot est un rédacteur technique indépendant. Il écrit principalement sur la fintech et la cybersécurité.

Plus de Elliot Nesbo

Abonnez-vous à notre newsletter

Rejoignez notre newsletter pour des conseils techniques, des critiques, des ebooks gratuits et des offres exclusives !

Cliquez ici pour vous abonner