EU-PI, a European Union - anti-Phishing Initiative

mardi 31 mars 2015

EU-PI, French chapter: 1st semester report

We release today the first report summarizing the actions led by Phishing-Initiative France since the launch of the EU-PI project in August 2014.

You will find our report in French and in English. It details the suspicious URLs and confirmed phishing cases that were submitted to us during the last 6 months. We also analyse some trends noticed regarding phishing attacks against French-speaking Internet users.

The executive summary of this document can be found below:

===
-->
In the framework of the European EU-PI project, the Phishing-Initiative France association was founded by Microsoft, PayPal and LEXSI in 2011. Over the past 6 months (August 2014 - January 2015), suspicious Web addresses have been gathered, verified and been blocked. These URLs have been sent by thousands of French Internet users, victims of phishing attempts, as well as from the main right holders whose identity is being misappropriated during these attacks.

More than 40,000 unique URLs have been submitted and confirmed as fraudulent by CERT-LEXSI experts. On average, this process was completed in less than 30 minutes.
After investigation, it has been confirmed that more than 60% of these suspicious addresses did actually pertain to phishing campaigns. They have been sent over to solution vendors in charge of operating the blacklists included by default in the major latest Web browsers (Internet Explorer, Chrome, Safari and Firefox). The SmartScreen Filter blacklist has then been activated by default in Internet Explorer version 8.

Over this period, more than 25,000 distinct addresses, active when our analysis was performed, have been detected. It however remains hard to assess the exact number of distinct phishing campaigns actually launched, considering different (upward but also downward) factors to be taken into account in the calculation method.

Most of the confirmed URLs were HTTP addresses, with only 3.5% HTTPS pages. In this case, half of the compromised websites were configured with an SSL certificate. Only a few dozen fraudulent certificates have effectively been identified.

5% of the URLs had no host name, but are directly contacted via an IP address. 13,000 different host names have however been identified and the resolution of these hosts sent back more than 7,000 different IP addresses used to host these contents. Half of these IP addresses were associated with address ranges mostly belonging to hosting service providers (essentially US-based). Less than 5% of the cases were hosted on an IP address declared as “French”.

Naturally, the most significant volumes of raw URLs are concentrated at the largest hosting providers. However, there are considerable discrepancies when the ratio of incriminated URLs is brought to the number of IP addresses announced by each service provider. The efficiency of the providers in fighting phishing may then widely vary.

The exploited domain names were also filed in 190 different extensions, yet, nearly half of the times, on a “.com” domain, way before “.fr” domains (7%). For now, New generic Top Level Domains (NgTLD) that have been authorised by the ICANN since October 2013 only account for a very small proportion of the domains used in detected addresses (roughly 1/1,000).

Identified fraudulent addresses were mainly using compromised legitimate websites, though the number of domains especially registered by fraudsters is increasing.



Internet user’s awareness of phishing issues remains insufficient: phishing attack still affect thousands of victims each year, and hackers are making changes to their strategies. Considering the part played by trust in the digital economy in France, and in the entire European Union, a need to mitigate the financial and social impact of phishing still prevails.

The European Commission supports our “EU-PI” initiative, promoting Internet users’ civic mobilisation and fast notification of suspicious content likely related to phishing schemes. This project also aims at streamlining coordination between different public and private organisations (software vendors and cybersecurity services providers, Internet Service Providers, right holders, law enforcement, etc.), able and willing to fight the phishing phenomenon.

lundi 23 mars 2015

Phishing-Initiative Luxembourg (bêta) is out

The EU-PI project members are proud to announce our phishing reporting platform dedicated to Luxembourgish citizens and organizations is now accessible from phishing-initiative.lu.

Every submitted address will indeed be reviewed by the CERT-LEXSI anti-phishing experts and, if confirmed being part of a fraudulent phishing attempt, directly sent to our partners. This will contribute to have the addresses blocked in the 2 participating browsers blacklists managed by Microsoft and Google, thus protecting most Internet users.



This platform is using the same idea and structure as the French one launched in 2011 by Microsoft, PayPal and Lexsi. But it does include our new visual identity and the new Google CAPTCHA.

It does not yet provides the advanced features and languages the users will soon benefit from inside the application. These will include the ability to register, in order to ease and quicken the reporting process and follow the suspicious URL they send us. In the coming weeks, we will also allow users to receive an alert when we've analyzed and determined the dangerousness of the submitted web pag.

Stay tuned and help us fight phishing!




jeudi 5 mars 2015

URLAbuse released by CIRCL.lu

Our EU-PI partner CIRCL.lu (National CERT of Luxembourg, part of SMILE) releases today the source code of a new tool to help fight fraudulent URLs.
(Press release can be read here).

This online tool called URLAbuse enables anyone to report a suspicious URL and have it analyzed and checked against various blacklists in order to estimate its dangerousness.

Learn more about it here. The code is directly available from the CIRCL GitHub account.
Well done guys!

EU-PI team

===

mercredi 25 février 2015

Project Home Page

The EU-PI project website is now available at: www.phishing-initiative.eu.

You will find information on the 7 public and private partners

The links to the country-specific Web reporting platforms will be added from the home page whenever they become available.

Stay tuned and be safe!

EU-PI team
(European Union anti-Phishing Initiative)

vendredi 1 août 2014

EU-PI [yu-pi] c'est parti !

Le projet EU-PI (dont la page d'accueil sera à terme accessible depuis www.phishing-initiative.eu) démarre officiellement ce jour pour une durée de 2 ans.


Nous avons le plaisir de vous annoncer que la Commission Européenne, via la Direction Générale Affaires Intérieures et plus particulièrement les programmes de financement ISEC ont accordé une aide à notre projet. 
Le consortium bénéficiaire de ce financement, mené par Lexsi, aura pour objectif de développer les fonctionnalités existantes, et surtout de déployer l'initiative au sein de deux autres pays membres de l'Union Européenne, sous le nom de projet "EU-PI, a EUropean anti-Phishing Initiative project".

Ce projet n'aurait pu voir le jour sans le soutien de nos partenaires publics et privés au Luxembourg et en Hollande, et en particulier :
CIRCL (SMILE)

Nous allons ainsi créer une plateforme Web permettant aux citoyens dans chacun de ces 3 pays (France, Luxembourg, Hollande) de soumettre en ligne les adresses de sites suspectés d'héberger un cas de phishing. Ceux-ci seront toujours vérifiés par les analystes expert de notre membre partenaire et fondateur LEXSI.
Chaque page confirmée comme frauduleuse sera transmise à nos partenaires techniques dont Microsoft pour blocage au sein des navigateurs participants.
Nous publierons également plus fréquemment des rapports présentant les tendances en terme de phishing, basées sur une analyse statistique des soumissions reçues.


Merci à nos partenaires, à la Commission Européenne et de votre soutien et vos contributions depuis 2011 !

===

The EU-PI project (home page will be accessible from www.phishing-initiative.eu) is officially launched today and will last for 2 years.

Thanks to our partners, to the European Commission and to you for the strong support and the numerous reports you provided since 2011!

Stay tuned for more information


====

vendredi 30 mai 2014

Nouveau cas pour le Hall of Shame

On mentionne régulièrement sur ce blog ou dans les médias spécialisés que les campagnes de phishing s'améliorent, se professionnalisent, etc.

Le phishing demeure cependant une activité délictuelle pratiquée par un nombre de plus en plus important d'individus qui ne font généralement que peu d'efforts pour tromper les internautes. Ces malveillances sont en effet à la portée de tout un chacun, y compris d'individus très jeunes et/ou d'un niveau de connaissances techniques en informatique extrêmement faible.

Nous tombons régulièrement sur des phishing peu crédibles qui finissent dans notre "Hall of Shame".
Ci-dessous un exemple récent :



Un petit tour sur Google ou Wikipedia aurait pu aider l'auteur à présenter une adresse IP un poil plus crédible...
A moins que ce ne soit qu'un jeu entre phishers ou un souhait de faire référence au chiffre du diable (un premier cas de phisher satanique ? ;-)

A noter que le choix du pays ("Maroc") associé dans le spam à cette adresse IP fantaisiste n'est pas forcément anodin, et peut-être un pied de nez ironique aux autorités (françaises en particulier). En effet, près de 80% des cas de phishing ciblant la France seraient selon nous issus d'individus basés au Maroc ou ayant la nationalité marocaine.




lundi 7 avril 2014

100 000 !

Nous avons franchi un cap en décembre 2013 avec plus de 150 000 URLs reçues, dont 100 000 distinctes, en tout juste 3 ans d'existence de notre association. Ces adresses suspectes ont toutes été analysées et qualifiées par les experts du Cert-Lexsi. Il en ressort que le phishing continue de progresser, mais un peu plus doucement que les années précédentes. Par ailleurs, deux tiers des soumissions ont effectivement permis d'identifier des sites de phishing (environ 65 000 sur la période).

En 2013, c'est ainsi plus de 28 000 cas qui ont été identifiés et confirmés. Près de 80 sites frauduleux différents ont donc été mis en ligne chaque jour pour tromper les internautes francophones. En plus, de ces remontées effectuées par les internautes, d'autres autre cas sont identifiés et signalés à Phishing-Initiative par ailleurs par Lexsi.
C'est donc plus de 36 000 adresses de phishings confirmés qui ont touché la France en 2013, soit pratiquement 100 par jour. Grâce à nos partenaires, ces adresses ont été rapidement bloqués dans les navigateurs participants protégeant ainsi un grand nombre d'internautes de ces attaques.

Certaines attaques n'ont pu être détectées ou confirmées, ce qui laisse penser que plus de 40.000 sites frauduleux différents auraient visé les internautes français l'an dernier, soit plus de 110 jour.

Un communiqué de presse sur le sujet a été diffusé aujourd'hui aux médias. Nous poursuivons grâce à vous notre lutte contre cette forme d'escroquerie en ligne particulièrement développée et de sensibiliser le plus grand nombre aux risques liés au phishing.

Merci de contribuer à la lutte !