Les premières heures de la vie d’une page sont les plus dangereuses pour les utilisateurs, selon les dernières découvertes de Kaspersky. C’est le moment où une vaste gamme de liens de phishing se propage avant que le site ne soit détecté et entré dans les bases de données par les moteurs anti-phishing.
Les menaces sont nombreuses, mais éphémères
Les chercheurs ont analysé 5 307 exemples de pages de phishing, et ont constaté que près de 2 000 liens avaient cessé d’être actifs après le premier jour de surveillance.
Ci-dessous une vidéo parlant de ces attaques :
De nombreuses pages ont cessé d’exister dans les premières heures, ce qui signifie que dès 13 heures après la surveillance, un quart de toutes les pages étaient inactives. La moitié des pages n’ont pas vécu plus de 94 heures.
Les tactiques de phishing avancées peuvent être arrêtées
Les hameçonneurs opportunistes souhaitent diffuser des liens vers des pages de phishing dès leur création, afin d’assurer la plus large portée possible aux victimes potentielles dans les premières heures alors que leurs sites sont encore actifs. Dès que les administrateurs du site voient une page de phishing, ils la suppriment et elle peut être enregistrée dans les bases de données anti-phishing.
Même si des hameçonneurs ont déployé leur propre serveur sur le domaine acheté et sont soupçonnés d’activités frauduleuses, les bureaux d’enregistrement peuvent priver les hameçonneurs du droit d’héberger les données sur celui-ci. Bien plus souvent, les attaquants choisissent de créer une nouvelle page au lieu de modifier une page existante. Une autre tactique consiste à créer des éléments de code générés de manière aléatoire qui ne sont pas visibles pour l’utilisateur, mais qui empêchent toujours les moteurs anti-hameçonnage de les bloquer pendant une durée incertaine. Kaspersky affirme que son moteur anti-hameçonnage contourne habilement de telles astuces.