Cette technique frauduleuse est utilisée par des hackers pour obtenir des informations confidentielles telles que des identifiants de connexion à des services financiers ou des coordonnées bancaires, via un courriel d’apparence légitime falsifiant l’identité d’une entité de confiance.
Le Crédit Agricole se hisse ainsi à la 3e place du podium avec 11 668 adresses de site uniques (URL) utilisées pour des tentatives de phishing, suivi par Orange en 4e position. La Banque Postale, SFR, OVH et La Société Générale occupent respectivement les 12e, 15e, 17e et 18e places.
C’est toutefois Facebook qui domine le classement pour la troisième année consécutive. Selon le rapport, 44 548 URL ont usurpé l’identité du géant des réseaux sociaux pour des tentatives de phishing. Une augmentation de 74 % en un an et près d’un quart du total des cas recensés en 2023. De manière générale, les attaques de phishing visant les médias sociaux ont explosé (+ 110 %). Instagram, WhatsApp et LinkedIn sont parmi les plateformes les plus touchées.
Microsoft occupe la 2e place du classement avec 22 851 URL uniques usurpant son identité, suivi par d’autres services cloud et de streaming comme Google (11e) et Netflix (19e). « La popularité de Microsoft et Google auprès des hackers ne se dément pas, à l’image de l’intérêt que suscitent leurs plateformes Microsoft 365 et Google Workspace », note le rapport.
Cependant, les services financiers (en particulier le japonais Softbank mais aussi Bank of America et American Express) restent le secteur le plus visé, représentant 32 % du total des usurpations.
L’étude alerte par ailleurs sur deux tendances préoccupantes. D’une part, la hausse du nombre de marketplaces de Phishing-as-a-Service (PhaaS) qui facilitent l’entrée dans la cybercriminalité aux pirates débutants en leur offrant la possibilité d’automatiser les tâches nécessaires aux cyberattaques. D’autre part, la « hausse alarmante » du « quishing », des liens ou fichiers malveillants dissimulés dans des QR codes. Les analystes ont constaté une augmentation significative de ces attaques depuis le deuxième trimestre 2023, ciblant en particulier les utilisateurs de Microsoft 365. « Au 3e trimestre 2023, pas moins de 20 640 attaques de quishing ont été détectées en moyenne par semaine par les équipes, un record », précise Adrien Gendre, cofondateur de Vade.