Accueil Cybersécurité Phishing : le « as a service » profite aussi aux cybercriminels

Phishing : le « as a service » profite aussi aux cybercriminels

phishing
Campagne de phishing avec un PDF Adobe à ouvrir

Une campagne de phishing établit sur le modèle as a Service (PhaaS) reviendrait quatre fois moins cher et serait deux fois plus rentable qu’une campagne de phishing classique.

Les chercheurs d’Imperva ont parcouru le marché noir online afin d’estimer le coût des campagnes de phishing… Résultat ? Il est possible d’acheter bon marché des campagnes toutes faites (PhaaS, ou Phishing as a Service), qui réduisent significativement les coûts par rapport à des campagnes classiques, qui réclament beaucoup de compétences et de main-d’œuvre. Ces nouveaux services « tout inclus » apparus sur le marché noir russe offrent des solutions prêtes à l’emploi pour le débutant, incluant la page de phishing (scam page), la page de destination (landing page) et la base de données finale pour sauvegarder les informations d’identification volées. Le cybercriminel, une fois connecté à son compte sur cette « boutique en ligne », n’a plus qu’à choisir sa fausse page de scam (voir ci-dessous)– certaines étant gratuites d’autres payantes avec un compte VIP. Une broutille : le coût par mois le plus élevé pour un compte VIP étant de 270 roubles, soit 4,276 $. Une fois cette page sélectionnée, la boutique génère un lien à envoyer à une victime donnée. Les informations d’identification sont stockées sur le tableau de bord de l’escroc.

Au mois de septembre 2016, le store russe de Phishing as a Service analysé par les chercheurs comprenait 67 116 utilisateurs. En un seul jour, il a été responsable de 1 696 comptes volés.

fausses pages de phshing
Exemples de pages de phishing proposées