L’activité de phishing liée à la période annuelle de ventes a fortement augmenté, selon de nouvelles conclusions de KnowBe4 Threat Labs . L’entreprise a examiné 27 061 courriels de phishing liés au Black Friday et a rapporté des signes clairs que les acteurs malveillants avaient préparé leurs campagnes plus tôt que prévu. La première hausse significative est apparue le 1er novembre, lorsque les courriels liés au Black Friday ont atteint environ 8 % de tous les messages collectés pour l’étude. Bien que le niveau ait baissé après la première sautée, il est resté supérieur à la normale durant la première moitié de novembre, avec une moyenne comprise entre 4 % et 5 %. Cette tendance suggère une approche rythmée plutôt qu’une seule poussée d’activité. Le schéma montre également que les attaquants se concentrent sur les utilisateurs qui commencent à chercher des réductions anticipées avant le début des promotions officielles.
Les chercheurs de KnowBe4 ont noté que le contenu des emails de phishing suivait des thèmes prévisibles. De nombreux messages reposaient sur des promesses de réductions importantes ou des offres urgentes destinées à pousser les clients vers de fausses pages. Les chercheurs ont déclaré que les acteurs malveillants tentent d’atteindre les consommateurs avant que les détaillants légitimes ne commencent à annoncer de grandes ventes. L’activité précoce donne aux criminels plus de temps pour affiner les modèles, faire pivoter les domaines, tester les formats des messages et s’adapter aux systèmes de filtrage. L’objectif est de garantir que les sites frauduleux restent actifs pendant le pic des achats en ligne, lorsque les victimes sont moins susceptibles d’examiner les liens.
Activité précoce et schémas régionaux
L’analyse a montré que 84 % des emails liés au Black Friday se faisaient passer pour un site de suivi des affaires bien connu plutôt qu’un détaillant spécifique. Parmi les campagnes qui usurpaient des entreprises individuelles, Amazon apparaissait dans 52 % des cas, et Costco dans 13 %. La sélection des marques cibles variait selon les pays. En France et sur le marché du Benelux, l’activité de phishing a commencé vers le 1er au 3 novembre. Aux États-Unis, en Allemagne et aux Pays-Bas, les campagnes commencèrent entre le 5 et le 12 novembre. Au Royaume-Uni et en Afrique du Sud, ces courriels prétendaient fréquemment provenir d’Amazon. En France et dans la région du Benelux, Lidl était une cible fréquente d’usurpation d’identité. En Allemagne, la majorité des activités de phishing liées au commerce de détail se faisaient passer pour IKEA. Ces variations reflètent les habitudes d’achat et la familiarité de marque des consommateurs dans chaque région, que les attaquants semblent étudier de près lors de la construction de leurs messages.
Les chercheurs ont observé que les criminels investissent de plus en plus dans la qualité de faux sites de vente liés à des courriels de phishing. Les sites reflètent désormais souvent la mise en page et le branding des grands détaillants avec plus de précision qu’auparavant. Beaucoup incluent des fonctionnalités dynamiques telles que des minuteurs de compte à rebours ou des widgets de support client qui imitent des fonctions légitimes. KnowBe4 a déclaré que les outils génératifs récents permettent aux criminels de créer des interfaces propres et visuellement convaincantes qui réduisent la suspicion des acheteurs pressés.
Techniques de fausses vitrines et risques persistants
Les criminels ne se concentrent plus uniquement sur le vol rapide de petits paiements. Au contraire, de nombreuses campagnes visent à capturer l’accès aux comptes ou les identifiants de paiement qui peuvent générer un profit à plus long terme. Certains sites demandent des identifiants liés aux comptes des détaillants, tandis que d’autres demandent aux victimes d’entrer les informations complètes de la carte de paiement avant d’afficher un message d’erreur affirmant que l’achat n’a pas été effectué.
Les chercheurs ont également souligné le rôle des publicités payantes pour orienter les utilisateurs vers ces sites. Les publicités frauduleuses placées sur des plateformes telles qu’Instagram et Facebook ressemblent à de véritables promotions et visent souvent des publics ayant déjà consulté des articles similaires. Cette méthode augmente la probabilité que les victimes cliquent sans questionner la source. Une fois sur la fausse page, l’utilisateur se retrouve face à une mise en page qui correspond étroitement au site légitime, réduisant ainsi le risque d’identifier des incohérences.
KnowBe4 a conseillé aux acheteurs d’aborder les liens non sollicités avec prudence tout au long de la période de vente. Des vérifications simples, comme confirmer le nom de domaine, se rendre directement chez les commerçants et éviter des remises exceptionnellement importantes, peuvent réduire les risques. Les acheteurs doivent rester attentifs même lorsque les offres semblent attrayantes et éviter de finaliser des achats sur des pages qui demandent des informations personnelles qui ne sont normalement pas requises.