MtoM Mag - Le journal de l'MtoM.

Flare, leader du Threat Exposure Management, publie une nouvelle étude « The Phishing Kits Economy in Cybercrime Markets ». Elle met en lumière l’évolution du phishing moderne, désormais structuré comme une véritable économie souterraine de services. Les résultats montrent que les kits, conçus pour usurper simultanément plusieurs services au sein d’un même déploiement, sont devenus le moteur principal du phishing actuel. Selon Flare, 43,8 % des occurrences analysées reposent sur ces kits préconfigurés (prepackaged sets of phishing tools), permettant une mise à l’échelle massive : un seul kit, de multiples victimes et de nombreux leviers de monétisation.

Basée sur l’analyse de plus de 8 600 discussions issues des forums clandestins, du deep web, du dark web et de plateformes de messagerie, l’étude de Flare révèle comment les kits de phishing et les plateformes de phishing-as-a-service (PhaaS) sont conçus pour maximiser rapidité, rentabilité et efficacité. Ces outils permettent même à des acteurs peu expérimentés de contourner l’authentification multifacteur (MFA), de détourner des sessions actives et de prendre le contrôle de comptes avec une efficacité préoccupante. Le rapport souligne également que les opérations de phishing ne connaissent plus de frontières : développés dans une région, vendus dans une autre et déployés à l’échelle mondiale, ces kits peuvent être opérationnels en quelques heures.

« Le phishing peut sembler chaotique, mais lorsqu’il est mené à grande échelle, il obéit à des structures claires et à des logiques économiques bien définies. L’analyse d’un volume important d’activités permet d’identifier les méthodes qui fonctionnent réellement, celles qui échouent, et la manière dont les attaquants optimisent leurs pratiques au fil du temps. Autant d’enseignements concrets pour les équipes de défense. » explique Assaf Morag, chercheur en cybersécurité chez Flare

Principaux enseignements du rapport

 La “trinité de la fraude” domine les kits de phishing : parmi les kits multi-cibles, 81,9 % usurpent des marques bancaires, 76,4 % ciblent de grandes plateformes de e-commerce et 75,1 % PayPal, constituant l’ossature de la fraude de masse à destination des consommateurs.

 Les combo kits sont devenus la norme : 43,8 % des entrées analysées mentionnent des panneaux de phishing multi-marques, permettant de viser plusieurs services avec un seul déploiement.

 Deux kits largement dominants : EvilProxy (334 occurrences) et Typhoon 2FA (240 occurrences) concentrent l’essentiel des incidents récents de PhaaS.

 Les cybercriminels ne sont pas les seuls acteurs : près de 48 % des profils impliqués ne correspondent pas à des acteurs malveillants « classiques ». On y retrouve des chercheurs, des bots, des développeurs de malwares, des courtiers, des vendeurs, des acheteurs ou encore des acteurs non identifiés.

 Le phishing devient une économie de services : les outils dominants ne se limitent plus à de simples fausses pages de connexion, mais reposent sur des plateformes de type reverse-proxy ou “adversary-in-the-middle”, capables de contourner les MFA basées sur des OTP et de voler des cookies de session actifs.

 La rapidité du gain financier est prioritaire : les campagnes mono-cible visent principalement les cryptomonnaies (53,9 %) et Microsoft/O365 (21,4 %), tandis que les kits multi-cibles se concentrent sur l’écosystème financier grand public.

 Un écosystème mondial mais concentré : l’anglais domine largement les échanges clandestins liés au phishing (environ 77 %), tandis qu’un segment russophone plus restreint (environ 5 %) exerce une influence disproportionnée sur les techniques à forte valeur ajoutée.

Face à la sophistication croissante et à la diffusion massive des kits de phishing, les équipes de sécurité doivent faire évoluer leurs stratégies : dépasser les défenses ponctuelles pour adopter une approche systémique. Cela implique de partir du principe que le contournement de la MFA est possible, de privilégier la détection comportementale, de surveiller les acteurs clés et les communautés clandestines, d’élargir la veille au-delà des sources anglophones et d’exploiter l’OSINT pour enrichir les signaux issus des environnements souterrains. En parallèle, les programmes de sensibilisation des utilisateurs doivent aller au-delà de la simple vérification des URL, afin de refléter des techniques de phishing capables d’imiter de manière crédible les navigateurs et les parcours d’authentification. Ensemble, ces actions permettent aux organisations de passer d’une posture réactive à une réduction proactive du risque phishing à grande échelle.

Le rapport complet propose une analyse approfondie de la conception, de la commercialisation et de l’exploitation des kits de phishing, ainsi qu’une immersion dans des infrastructures de phishing actives et les leviers dont disposent les défenseurs pour perturber les opérations des attaquants.