La firme américaine de sécurité des réseaux Barracuda révèle avoir constaté plus d’un million d’attaques de Phishing-as-a-Service (PhaaS) rien qu’au cours des deux premiers mois de cette année.
La prudence est de mise pour les entreprises et organisations du monde entier, car début 2025, un nombre important d’attaques PhaaS ont été observées. En outre, les cybercriminels proposent des attaques de phishing (hameçonnage) sous forme de service – souvent à des fins de plus grande échelle. C’est ainsi que Tycoon 2FA – une entreprise illégale qui propose des cyberattaques – représente pas moins de 89 pour cent des cyberattaques. Ses concurrentes EvilProxy et Sneaky 2FA possèdent une part plus modeste avec respectivement huit et trois pour cent. La dernière citée est d’ailleurs un nouvel acteur dans le monde du phishing.
De plus en plus difficile à détecter
A la mi-février, des analystes de Barracuda ont remarqué une épidémie d’attaques utilisant Tycoon 2FA. Des recherches plus poussées ont montré que cette plateforme mal famée continue d’évoluer et de s’améliorer, la rendant encore plus difficile à détecter. L’avantage d’EvilProxy est de nécessiter une expertise technique minimale, ce qui rend les attaques de phishing sophistiquées accessibles à un plus large éventail de cybercriminels. Cela permet d’attaquer des services couramment utilisés tels que Microsoft 365, Google et d’autres plateformes cloud, souvent via des courriels d’hameçonnage et des liens malveillants.
‘Adversary-in-the-middle’
Le dernier acteur en date, Sneaky 2FA, est un système qui effectue des attaques dites ‘adversary-in-the-middle’ ciblant les comptes Microsoft 365. Les victimes reçoivent un e-mail contenant un lien qui les oriente vers une fausse page de connexion Microsoft, où leur adresse e-mail est déjà préremplie et semble donc légitime. Au fait, Sneaky 2FA porte bien son nom, puisque le collectif de hackers est capable de contourner l’authentification à deux facteurs.
Une page de connexion avec un domaine ‘ru.’ et votre adresse e-mail dans l’URL pourrait indiquer une attaque Tycoon2FA. Si vous remarquez que la page de connexion ou l’URL de votre compte Microsoft et Google est légèrement différente de ce qu’elle est habituellement, vous êtes peut-être confronté à une attaque EvilProxy. Vous pouvez reconnaître une attaque Sneaky 2FA à l’URL. Si elle contient une chaîne de 150 caractères alphanumériques suivie de /verify, /index ou /validate à la fin, il est préférable de l’éviter.
