Les campagnes de phishing s’industrialisent via des outils “prêts à l’emploi” vendus sur des marchés clandestins. Une étude publiée en janvier 2026 analyse plus de 8 600 échanges et chiffre les marques et techniques les plus usurpées.
Les campagnes de phishing s’appuient de plus en plus sur des outils “prêts à l’emploi” vendus et loués sur des canaux clandestins, avec une logique proche d’un catalogue de services. Dans son rapport The Phishing Kits Economy in Cybercrime Markets, publié le 22 janvier 2026, Flare (éditeur spécialisé en Threat Exposure Management) décrit cette industrialisation et la relie à la montée en puissance des attaques multi-marques : un même déploiement peut imiter plusieurs services et multiplier les opportunités de fraude.
Pour documenter ce basculement, l’étude s’appuie sur l’analyse de plus de 8 600 échanges repérés sur des forums clandestins, le deep web, le dark web et des plateformes de messagerie. Elle quantifie les cibles les plus fréquemment usurpées et met en avant des techniques conçues pour contourner des protections courantes, y compris l’authentification multifacteur (MFA), en capturant des sessions actives plutôt que de voler uniquement un mot de passe.
43,8 % des attaques s’appuient sur des packs multi-marques prêts à l’emploi
Parmi les occurrences étudiées, 43,8 % reposent sur des ensembles de phishing multi-marques, capables d’usurper simultanément plusieurs services. L’intérêt pour les attaquants est immédiat : un même outillage peut être réutilisé sur plusieurs campagnes, avec des adaptations limitées, tout en augmentant les possibilités de revente ou d’exploitation des comptes compromis.
81,9 % des ensembles multi-cibles imitent des services bancaires, 76,4 % des plateformes de e-commerce et 75,1 % PayPal
Dans ce modèle, la fraude grand public reste le socle principal. Les usurpations se concentrent sur une “trinité” de marques : 81,9 % des ensembles multi-cibles imitent des services bancaires, 76,4 % des plateformes de e-commerce et 75,1 % PayPal. Ce trio constitue une base efficace pour capter des identifiants, déclencher des transactions frauduleuses ou alimenter des filières de revente de comptes.
Reverse-proxy : des attaques capables de contourner la MFA et de voler des sessions actives
Le phishing “moderne” ne repose pas uniquement sur des identifiants volés. Les outils dominants s’appuient de plus en plus sur des techniques de type reverse-proxy, souvent décrites comme “adversary-in-the-middle”. Le principe : l’attaquant intercepte la connexion entre l’utilisateur et le service légitime, afin de récupérer non seulement le mot de passe, mais aussi des éléments de session actifs.
Dans les faits, cette approche peut permettre de contourner certaines MFA basées sur des OTP (One-Time Password, codes à usage unique), en capturant les jetons ou cookies de session valides. Pour les équipes sécurité, cela implique de considérer que l’activation de la MFA ne suffit plus, à elle seule, à neutraliser le risque. Cela renforce l’intérêt des mécanismes de détection comportementale et de surveillance des sessions, capables d’identifier des connexions atypiques, des changements de contexte ou des détournements de session.
Phishing-as-a-Service : 2 outils reviennent massivement dans les discussions clandestines
Cette industrialisation s’appuie aussi sur des plateformes commercialisées comme du phishing-as-a-service (PhaaS), avec documentation, support et modèles prêts à l’emploi. Deux noms reviennent massivement : EvilProxy, mentionné 334 fois, et Typhoon 2FA, 240 fois. Ces outils concentrent une part importante des offres récentes observées.
Les campagnes mono-cible visent en priorité les cryptomonnaies (53,9 %) et Microsoft/O365 (21,4 %)
Le rapport met également en évidence une logique de rentabilité rapide. Les campagnes mono-cible visent en priorité les cryptomonnaies (53,9 %) et Microsoft/O365 (21,4 %). Dans ce second cas, l’objectif peut être l’accès à des boîtes mail, à des données internes ou à des environnements Microsoft 365, qui servent ensuite de point d’entrée à d’autres attaques (fraude au président, compromission de comptes, rebond vers d’autres services).
« Le phishing peut sembler chaotique, mais lorsqu’il est mené à grande échelle, il obéit à des structures claires et à des logiques économiques bien définies. L’analyse d’un volume important d’activités permet d’identifier les méthodes qui fonctionnent réellement, celles qui échouent, et la manière dont les attaquants optimisent leurs pratiques au fil du temps. Autant d’enseignements concrets pour les équipes de défense. » résume Assaf Morag, chercheur en cybersécurité chez Flare
Source : https://flare.io/learn/resources/phishing-kits-economy-cybercrime/
