Note d'information sur les menaces à l'intention des RSSI : Garder une longueur d'avance sur l'économie industrialisée du phishing

Par Flare Research

Le phishing a discrètement franchi un cap stratégique. Ce qui n'était au départ qu'une ingénierie sociale simple s'est transformé en une économie souterraine entièrement industrialisée, dotée d'outils modulaires, d'abonnements, d'un service client, de programmes d'affiliation et de cycles d'innovation rapides. 

En 2026, les kits de phishing et les plateformes de phishing-as-a-service (PhaaS) dominent le marché de la cybercriminalité, avec un objectif clair : contourner l'authentification multifacteur, détourner les sessions en direct et monétiser l'accès à grande échelle.

Aliments Une étudeUne étude basée sur 8 627 publications clandestines distinctes montre que le phishing n’est plus une menace banale que l’on peut atténuer par la seule formation des utilisateurs et l’authentification multifacteur de base. Il est devenu une chaîne d’approvisionnement reproductible pour l’usurpation d’identité, qui s’adapte plus rapidement que la plupart des contrôles d’entreprise.

Pour les experts en sécurité et les RSSI, le constat est sans appel : l’usurpation d’identité est désormais le principal vecteur d’intrusion, et les organisations qui s’en sortiront seront celles qui sauront déceler les campagnes d’hameçonnage en cours de formation. avant Ils inondent les boîtes de réception et les perturbent. avant Les comptes sont repris.

C’est là que le renseignement sur les menaces externes, et plus particulièrement la visibilité en temps réel sur l’écosystème de la cybercriminalité, devient un élément opérationnel décisif.

Poursuivez votre lecture pour découvrir les points saillants, et consultez le rapport complet. L'économie des trousses d'hameçonnage de marchés cybercriminels, ici.

Pourquoi les kits de phishing sont importants (au-delà du simple constat « le phishing est une mauvaise pratique »)

La plupart des responsables de la sécurité savent déjà que le phishing est une pratique courante. Ce qui a changé, c'est la fiabilité et l'ampleur du phénomène.

Nos résultats montrent :

• Les kits de phishing sont abondants, et non rares.
• Le contournement de l'authentification multifacteur est désormais une fonctionnalité standard, et non plus une option avancée.
• Des attaquants peu qualifiés peuvent mener des campagnes à fort impact grâce à des outils clés en main.
• Les kits hybrides évoluent plus vite que la détection par signature ne peut suivre.

Cela remet fondamentalement en cause plusieurs hypothèses établies de longue date dans le cadre des rapports aux conseils d'administration :

• « Nous avons l’authentification multifacteur, ce qui réduit le risque de vol d’identifiants. »
• « La formation des utilisateurs à la sensibilisation réduit considérablement le risque d'hameçonnage. »
• « Nous verrons des indices sur le dark web après une brèche de sécurité. »

En réalité, le marché de la cybercriminalité fonctionne désormais comme un Écosystème SaaS, où les techniques performantes sont rapidement commercialisées, perfectionnées et redéployées à l'échelle mondiale.

À quoi ressemble réellement l'économie souterraine ?

Un boom des kits de phishing porté par PhaaS

Plus de 54 % du contenu analysé portait sur des kits de phishing ou des plateformes PhaaS. Plus important encore, 36 % des publications ont été classées comme des menaces réelles à haut risque, avec des détails opérationnels concrets tels que les prix, des captures d'écran, des descriptions d'infrastructure et des campagnes en cours.

Ce n'est pas du bruit. C'est un marché qui fonctionne.

Les plateformes comme EvilProxy, Tycoon2FA et les solutions hybrides émergentes dominent les discussions car elles fonctionnent – ​​interceptant de manière fiable les identifiants, les jetons MFA et les cookies de session en temps réel.

Emporter: Les attaquants n'ont pas besoin d'innovation. Ils la louent.

Les forums du Dark Web et Telegram constituent le système d'alerte précoce.

La majorité de l'activité provient de :

• Forums fermés du dark web (58.8%)
• Chaînes et groupes Telegram (14.1%)

Il existe des marchés du dark web basés sur Tor, mais ils sont pas C’est là que la plupart des innovations en matière d’hameçonnage apparaissent en premier. En réalité, les nouveaux kits, les mises à jour et la coordination des campagnes émergent dans des écosystèmes semi-fermés bien avant que les victimes ne voient les courriels.

C’est là qu’intervient la gestion de l’exposition aux menaces, qui permet de surveiller en continu ces environnements et de corréler les acteurs, les outils, les campagnes et les mentions de la marque. Elle fournit ainsi des indicateurs précoces que les SOC et les passerelles de messagerie ne peuvent tout simplement pas détecter.

Les attaquants ciblent d'abord l'argent, puis l'identité.

L'analyse ciblée révèle un écosystème rationnel et axé sur le profit :

Campagnes à cible unique

• Chiffres : 54%
• Microsoft (O365 / identité d'entreprise) : 21 %

Kits combinés multicibles

• Secteur bancaire : 82 %
• Amazone : 76 %
• Paypal : 75%

Les fournisseurs d'identité (Microsoft, Google, Apple) apparaissent le plus souvent comme des facilitateurs, et non comme des objectifs finaux, utilisés pour réinitialiser les mots de passe, contourner les flux de récupération et maintenir l'accès.

Emporter: L'usurpation de votre marque est moins importante que l'utilisation abusive de l'identité de vos employés pour accéder à des plateformes financières, SaaS et cloud.

Pourquoi les défenses traditionnelles échouent

1. L'AMF n'est plus un point d'arrêt.

Les kits de phishing modernes ne volent pas les mots de passe ; ils utilisent des proxys pour les sessions, rejouent les jetons et contournent complètement l’authentification multifacteur (MFA) basée sur les mots de passe à usage unique (OTP). Dans les discussions sur la cybercriminalité, la MFA est considérée comme une contrainte de conception, et non comme un obstacle.

2. Le navigateur intégré au navigateur va à l'encontre de l'intuition de l'utilisateur.

Les techniques BitB permettent de falsifier de manière convaincante l'intégralité des fenêtres de navigateur, y compris les barres d'adresse. Demander aux utilisateurs de « vérifier l'URL » est désormais inefficace face à une tromperie d'une précision au pixel près.

3. Les kits hybrides échappent à la détection statique

L'exemple hybride Tycoon2FA–Salty2FA illustre comment les attaquants fusionnent les infrastructures pour contourner les signatures spécifiques à chaque kit. Les règles de détection optimisées pour une lignée donnée deviennent silencieusement inefficaces à mesure que les outils évoluent.

Emporter: Si votre système de détection du phishing repose sur des URL connues, des indicateurs de compromission statiques ou des empreintes digitales de kits, votre déficit de visibilité s'accroît au lieu de se réduire.

Ce que votre équipe de sécurité peut faire maintenant

• Partant du principe que l'authentification multifacteur peut être contournée : privilégier une authentification multifacteur résistante au phishing pour les administrateurs, les services financiers, les informaticiens et les développeurs.
• Analysez le comportement d'identité des instruments, et pas seulement les points de terminaison : corrélez les journaux IdP, l'utilisation des jetons, la posture des appareils et les anomalies de session.
• Considérez le vol de session comme un signe avant-coureur d'une violation de données : incluez la révocation de session, les audits OAuth et la recherche de règles de boîte aux lettres dans les playbooks de réponse aux incidents.
• Utilisez les renseignements externes comme source de contrôle : des plateformes comme Flare fournissent des signaux que vous ne pouvez pas générer en interne, permettant ainsi une défense proactive.
• Moderniser la sensibilisation à la sécurité : former les utilisateurs à l’AiTM, au BitB, au phishing par QR code et aux fausses invites d’authentification multifacteur – et pas seulement aux courriels suspects.

Comment vous pouvez changer la donne avec Flare

Poursuivez votre lecture pour découvrir comment Flare peut vous aider à atténuer les risques pour votre organisation :

1. Êtes-vous une cible ?Savez-vous si quelqu'un vend ou achète un kit de phishing ciblant votre organisation ?

Moniteurs de fusées éclairantes :

• Outils open-source
• Web profond
• Web sombre
• Plateformes de messagerie instantanée
• De nombreux autres sites et chaînes

Détection de la fusée éclairante :

• Des rumeurs d'usurpation de marque circulent avant la distribution à grande échelle
• Collaboration d'acteurs autour d'entreprises spécifiques
• Discussions sur la planification de la campagne

2. Êtes-vous parfaitement au courant de l'évolution des menaces ? Avec Flare, vous ne vous contentez pas de signaler les tentatives d'hameçonnage. Vous cartographiez en continu l'économie de l'hameçonnage.

Détection de la fusée éclairante :

• Nouveaux kits de phishing et mises à jour des fonctionnalités
• Discussions sur la planification de la campagne
• Collaboration entre acteurs et achats de matériel
• Des rumeurs d'usurpation de marque circulent avant la distribution à grande échelle

3. Vous ne voulez pas être submergé par le bruit ? Les alertes prioritaires vous donnent un délai d'anticipation, et pas seulement des alertes.

Au lieu d'inonder les équipes de mentions, Flare :

• Scores d'authenticité et de confiance
• Relie les acteurs aux outils, aux cibles et à l'infrastructure
• Permet de distinguer les menaces réelles des arnaques et des fausses alertes.

4. Avez-vous accès à des données de renseignement sur les menaces de haute qualité ? : Donner les moyens à votre équipe de sécurité est une vision stratégique essentielle pour un leadership en matière de sécurité.

Flare aide les professionnels de la sécurité à répondre à des questions comme :

• Quelles sont les techniques de phishing que les attaquants utilisent actuellement ?
• Quelles marques et quels processus seront ciblés ensuite ?
• Sommes-nous confrontés à une fraude de masse ou à une usurpation d'identité ciblée ?

Cela fait passer la sécurité d'une défense réactive à une gestion des risques éclairée.

Pour mieux comprendre l'économie des kits de phishing, consultez le rapport complet. L'économie des trousses d'hameçonnage de marchés cybercriminels, ici.