Les escroqueries par usurpation d'identité sur les sites Web sont devenues un problème croissant, même si de nombreuses entreprises ne sont pas satisfaites des outils dont elles disposent pour y remédier.

Une étude publiée mardi par Memcyco, société de solutions de protection contre les risques numériques, a révélé que près des trois quarts des entreprises ont déployé une solution de protection contre l'usurpation d'identité numérique pour éviter les escroqueries en ligne, mais que 6 % de ces organisations sont satisfaites du fait qu'elle les protège, elles et leurs clients. « C'est vraiment choquant », a déclaré le directeur marketing de Memcyco, Eran Tsur, à Technews.fr.

Selon l'étude, plus des deux tiers des entreprises (68 %) savent que leurs sites Web sont usurpés, et près de la moitié (44 %) savent que cela a un impact direct sur leurs clients. L'étude est basée sur une enquête menée auprès de 200 employés à temps plein de niveau directeur à C dans les secteurs de la sécurité, de la fraude, du numérique et du Web aux États-Unis et au Royaume-Uni.

« Un site Web usurpé peut entraîner des pertes financières importantes pour les clients s'ils sont amenés à fournir des identifiants de connexion ou des informations personnelles sensibles », a déclaré Matthew Corwin, directeur général de Guidepost Solutions, une société mondiale de sécurité, de conformité et d'enquêtes.

« La réputation de la marque peut être gravement endommagée si les clients sont victimes d'escroqueries perpétrées via un site Web usurpé, érodant ainsi la confiance dans l'entreprise », a-t-il déclaré à Technews.fr.

Une usurpation d’identité sur un site Web peut nuire à bien plus que la réputation d’une entreprise. « Il peut également y avoir des pertes financières directes dues à la fraude, ainsi que des coûts indirects liés aux mesures correctives, aux frais juridiques et éventuellement à une certaine indemnisation des clients », a déclaré à Technews.fr Ted Miracco, PDG d'Approov Mobile Security, une société mondiale de sécurité des applications mobiles.

S'appuyer sur les rapports clients pour la détection

L'étude a également révélé que la manière la plus courante pour les deux tiers (66 %) des entreprises interrogées d'avoir connaissance d'attaques d'usurpation d'identité sur des sites Web était de signaler des incidents émanant des clients concernés. « C'est incroyable », a déclaré Tsur. « Non seulement les solutions déployées ne protègent pas ou n’empêchent pas ces attaques, mais les organisations n’ont aucune idée si ces attaques ont eu lieu ou non. »

Corwin de Guidepost Solutions a noté que les entreprises qui dépendent principalement des rapports des clients pour détecter les escroqueries par usurpation d'identité pourraient passer à côté d'alertes précoces cruciales et de l'opportunité de se défendre de manière proactive contre les menaces émergentes. « Une approche réactive fait peser une charge sur les clients, ce qui peut nuire aux relations et à la confiance avec eux », a-t-il déclaré.

« En étant informé des escroqueries par les clients, cela signifie que l'attaque a déjà touché des individus, causant des dommages avant même que l'atténuation ne commence », a ajouté Miracco d'Approov. « Des analyses régulières sont la seule alternative permettant de supprimer les faux sites Web imitant une marque, mais cela constitue un défi, car il faut anticiper les événements avant qu’ils ne se produisent. »

« Travailler à partir des rapports clients est une approche réactive et non proactive », a-t-il déclaré. Je ne suis pas sûr qu'il existe encore une défense adéquate, les utilisateurs doivent donc être informés et plus prudents avant de répondre à des e-mails qui semblent légitimes.

Un résultat encore plus inquiétant de l'étude est que plus de 37 % des entreprises déclarent qu'elles prennent conscience pour la première fois de l'existence de faux sites Web lorsque les clients touchés par des escroqueries liées au phishing font connaître leur expérience sur les réseaux sociaux, une pratique connue sous le nom de « brand shaming ».

L’étude s’interroge sur la durée pendant laquelle les entreprises peuvent se permettre de compter sur leurs clients comme principale source de renseignements sur les menaces, avec l’IA et les kits de phishing de plus en plus disponibles dans le commerce.

« Avec ces kits, tout est entièrement automatisé », a observé Tsur de Memcyco. « Vous pouvez le lancer et l'oublier. »

Le pire cauchemar de la cybersécurité

Corwin a expliqué que l'accessibilité des outils basés sur l'IA et des kits de phishing préemballés signifie que même les personnes les moins compétentes techniquement peuvent exécuter des attaques d'usurpation d'identité convaincantes. « Les outils de phishing améliorés par l'IA peuvent imiter plus précisément les sites Web légitimes, trompant même les utilisateurs les plus vigilants et amplifiant le paysage des menaces », a-t-il déclaré.

« Souvent, poursuit-il, les cybercriminels exploitent également des noms de domaine qui ressemblent presque à l'adresse légitime d'une entreprise ou d'une marque mais contiennent de légères variations ou erreurs, appelées « combosquatting » ou « typosquatting ».

« L'IA est très dangereuse », a ajouté Miracco. « Ces outils sont si faciles à utiliser, même pour des personnes n'ayant aucune compétence technique, qu'ils permettent à pratiquement n'importe qui de créer des campagnes de phishing sophistiquées. C’est notre pire cauchemar en matière de cybersécurité devenu réalité – livré en main propre par des entreprises qui vantent à quel point l’IA sera merveilleuse. Malheureusement, les premiers à avoir adopté la plupart des technologies sont de mauvais acteurs. »

Patrick Harr, PDG de SlashNext, une société de sécurité réseau basée à Pleasanton, en Californie, a souligné que les usurpations d'identité sur des sites Web existent depuis la naissance du Web.

«Ceux-ci étaient généralement faciles à repérer par presque tous les utilisateurs», a-t-il déclaré. « Ce qui a changé récemment, ce sont deux choses : les phishers squattent des domaines légitimes, et les phishers utilisent des kits de phishing et l'IA pour générer des pages de sites Web presque parfaites. »

« Sans les contre-mesures de vision par ordinateur de l’IA, celles-ci sont très difficiles à discerner et rendront les acteurs de la menace plus efficaces, et non moins », a-t-il affirmé.

Stratégies pour lutter contre les escroqueries par usurpation d’identité sur les sites Web

Roger Grimes, évangéliste de la défense pour KnowBe4, un fournisseur de formation de sensibilisation à la sécurité à Clearwater, en Floride, a recommandé à chaque entreprise envoyant des e-mails de mettre en œuvre DMARC, SPF et DKIM, qui sont des normes mondiales anti-hameçonnage. « Ils tentent de vaincre les e-mails malveillants et les liens prétendant provenir du domaine d'envoi légitime », a-t-il déclaré à Technews.fr.

« Par exemple », a-t-il expliqué, « si je reçois un e-mail prétendant provenir de Microsoft, le serveur/client de messagerie du destinataire peut utiliser DMARC, SPF et DKIM pour voir si l'e-mail provient réellement de Microsoft. »

Miracco a recommandé que les sites Web des entreprises veillent à ce que tout le trafic Web soit crypté avec des certificats SSL/TLS afin de rendre plus difficile l'interception et l'usurpation des communications par les attaquants.

Il a ajouté que les applications mobiles devraient mettre en œuvre des mécanismes d'attestation pour vérifier leur intégrité et garantir que les interactions avec les API backend proviennent uniquement d'instances légitimes et non modifiées de l'application. Ils devraient également faire appel à des services de renseignement sur les menaces capables de surveiller les kits de phishing, les faux domaines et d’autres indicateurs d’usurpation d’identité.

Pour contrer des tactiques telles que le typosquatting, Corwin a noté que les entreprises peuvent enregistrer des variations évidentes ou des fautes d'orthographe probables de domaines existants, y compris des noms avec trait d'union, d'autres extensions de domaine populaires et des caractères légèrement dans le désordre.

« Il existe des services de surveillance des marques qui surveillent les sites de phishing et les nouveaux domaines contenant la propriété intellectuelle de l'entreprise, et certains aideront même avec des services de suppression automatisée de domaines », a-t-il déclaré. « Cela peut aider certaines entreprises, mais malheureusement, étant donné qu'il existe de nombreuses variantes potentielles de noms de domaine et que les outils actuels facilitent la création de ces sites de phishing, le risque est susceptible de persister. »

Miracco a ajouté que les entreprises devraient non seulement se concentrer sur les défenses technologiques, mais également favoriser une culture de sensibilisation à la sécurité parmi les employés et les clients.

« Les escroqueries par usurpation d’identité sur les sites Web constituent une menace en évolution rapide qui nécessite une approche à multiples facettes », a-t-il déclaré. L’IA a permis de résoudre ce problème et, espérons-le, dans un avenir proche, nous déploierons des solutions basées sur l’IA qui pourront empêcher les utilisateurs de commettre des erreurs coûteuses avec un faux site.