Les annonceurs dépensent des fortunes dans leurs campagnes marketing dans le but de bâtir une réputation... qui peut être mise à terre en quelques heures par un cybercriminel usurpant leur identité. Retour sur cette menace avec Didier Colombani de Return Path lors du salon E-marketing.
L'hameçonnage - phishing en anglais, le filoutage pour certains - est utilisé par des fraudeurs pour obtenir des renseignements personnels comme les coordonnées de carte bancaire. Usurpant l'identité de services en ligne comme des Webmails, des banques ou des e-commerçants, ils finissent par porter préjudice à leur image de marque en décrédibilisant leurs campagnes marketing.
Selon Return Path, ce genre de menace a triplé ces trois dernières années en France, et a atteint les 450 000 attaques en 2012. Un chiffre largement sous-évalué selon Didier Colombani, directeur Europe du spécialiste de la délivrabilité e-mail. « Nous pensons qu'il faut multiplier ce chiffre par dix pour être plus proche de la réalité. Ce ne sont plus seulement les banques qui sont visées mais tous les secteurs », affirme l'expert sur ce sujet.
Si la technique n'est pas nouvelle, elle revêt de nouvelles formes. « Les cybercriminels se sont structurés en groupes internationaux organisés et aux moyens financiers très importants, et déploient des campagnes massives au niveau mondial », souligne le responsable régional de Return Path. Un autre phénomène a émargé, observe-t-il, ce sont des individus indépendants qui achètent des kits sur Internet pour 250 dollars et font des coups isolés. Comme le phishing est plus lucratif que le spam, leurs moyens augmentent vite.
La société rappelle que chaque minute, un site dédié au phishing voit le jour. Et que chaque personne reçoit en moyenne un e-mail de hameçonnage par jour dans sa boîte aux lettres. Plus inquiétant, la moitié de ces personnes ouvrent cet e-mail, « ce qui donne une idée du retour sur investissement de ces campagnes. Les équipes marketing qui ont des taux d'ouverture deux fois inférieurs se demandent comment ils font ».
Une personnalisation plus poussée qu'en marketing
Didier Colombani attribue le succès de ces campagnes à leur haut degré de personnalisation, les fraudeurs n'hésitant plus à utiliser les données des réseaux sociaux en plus de données personnelles toujours plus fournies. « Les fraudeurs vont plus loin que les annonceurs dans la personnalisation », estime-t-il. Et cite un exemple d'une personne victime d'un e-mail de phishing où figurait la véritable date d'expiration du service usurpé. Tout était exact dans ce message d'ailleurs, ce qui a failli tromper cette personne pourtant avertie.
Dans le top dix des pays hébergeant des sites de ce genre, la France se situe à la septième position, derrière le Royaume-Uni, quatrième, les Etats-Unis, deuxièmes, et la Chine, en tête. Mais l'Hexagone occupe le deuxième rang en ce qui concerne les attaques ! Pour usurper une marque, les fraudeurs utilisent trois fois sur dix les domaines exacts de marques mais non usités. Il s'agit de domaines enregistrés à des fins préventives ou de concurrence dans des secteurs critiques. Mais la plupart des temps, les fraudeurs ont recours à des domaines « cousins » ou ressemblants, orthographiés différemment mais subtilement.
Un autre moyen de duper un internaute se trouve sur mobile. « La plupart du temps le domaine d'envoi de l'expéditeur n'apparaît pas dans la boîte mail sur mobile et quand on sait que la moitié des gens consultent leurs messages électroniques sur ce canal, cela donne une idée de l'ampleur du risque », note l'expert.
Exemple d'un e-mail de hameçonnage raté.
Pour se prémunir de ce genre d'avarie, il existe quatre dispositifs principaux : le filtrage du FAI et du Webmail, les logiciels de sécurité, l'évidente éducation des internautes et la fermeture du site frauduleux qui intervient en moyenne au bout de 40 heures, alors que le gros de ces campagnes a lieu les 10 premières heures. Le problème de ces méthodes selon Didier Colombani c'est qu'elles arrivent après la bataille...
Pour cerner ces menaces, Return Patch conseille d'adopter une « vision en 3D », en identifiant leur nature (récupération de données personnelles, faux jeux concours, etc.), leur ampleur, dans le but de quantifier le risque, de pouvoir justifier des dépenses pour les contenir et de mesurer son retour sur investissement, et enfin de déterminer leur niveau d'efficacité afin de dimensionner sa réaction en matière de sécurisation.
Coût financier important et dégradation de l'image
Le coût d'une attaque de phishing peut être important. Lorsqu'une banque est visée, elle doit rembourser ses clients en raison de la législation. Alerter sa base client par e-mail demande de mobiliser des équipes de communication ce qui a un coût non négligeable également. Dès qu'une attaque survient, il se peut aussi que ces personnes se ruent vers le service client, auquel cas cela peut faire saturer les centres d'appel.
Return Path cite l'exemple d'un service en ligne qui a fait face à 70 000 appels en moins de 10 heures suite à une attaque d'hameçonnage. Avec un coût d'appel entre 10 et 15 euros, cela donne une idée du préjudice. En sus, faire « tomber » un site de phishing en appelant un prestataire est une opération aussi onéreuse.
« Le paradoxe est que souvent ce sont les équipes informatiques et le juridique qui montent au front alors qu'il s'agit aussi et même surtout d'une question marketing. C'est le marketing qui subit le gros de l'impact, le RSSI n'a aucune vision sur les conséquences en termes d'image de marque », observe Didier Colombani. Selon lui c'est la réputation du site qui a le plus à perdre. « Un de nos clients avait lancé une campagne e-mail deux jours après une attaque de phishing. Résultat : les gens n'ont pas fait la différence. Les FAI et Webmails les ont passé en spams et personne ne les a ouverts », illustre le responsable de Return Path.
Didier Colombani cite l'exemple d'un e-commerçant français majeur qui, en novembre 2013, a été victime de phishing. Son taux de remise en boîte aux lettres, habituellement de 90%, a chuté à 58% en moins de deux jours. Lorsque Gmail a catégorisé ses e-mails dans les spams, ce site a perdu 17 000 euros par jour...
« La confiance entre un client et un annonceur met du temps à se bâtir mais peut être rapidement mise à terre par une campagne d'hameçonnage de seulement quelques heures », prévient-il. Chiffre à l'appui, il souligne que 42% des internautes français affirment que leur confiance serait durablement affectée vis-à-vis d'une marque utilisée à des fins de phishing. Pour Meetic, la plus grosse préoccupation liée au phishing d'après lui est que ses clients finissent par croire que le site de rencontres monétise leurs données.
Parmi les pistes pour minimiser les risques, Didier Colombani conseille de rapprocher la direction marketing du responsable de la sécurité des systèmes d'informations et du juridique, afin qu'ils travaillent ensemble sur ce sujet. Et d'adopter les protocoles d'authentification SPF (Sender Policy Framework), DKIM (Domain Keys Identified Mail) et DMARC (Domain-based Message Authentication, Reporting and Conformance).
Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre
passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur
expertise quotidiennement.
