Nous connaissons tous le phishing, la pratique très connu par laquelle les hackers tentent d’extraire des données sensibles en se faisant passer pour des entités dignes de confiance. C’est un concept qui est aujourd’hui relativement bien entré dans la conscience commune, malgré tout elle reste très/trop efficace ! Mais avez-vous déjà entendu parler du spear phishing ? Pour faire suite à mon guide du piratage éthique, et parce que mieux renseigné = mieux protégé, découvrons cette attaque qui est en forte augmentation.
Le spear phishing, comme le phishing traditionnel, repose sur la tromperie pour amener les victimes à révéler des informations sensibles. Cependant, alors que les attaques de phishing ciblent un large public, tentant de tromper tout utilisateur qui tombe sur l’arnaque, le spear phishing est très ciblé. En effet, ce type d’attaque de phishing cible une personne ou une organisation spécifique et c’est tout. L’attaquant fera souvent des recherches sur sa cible pour personnaliser l’attaque et augmenter la probabilité que la cible tombe dans le piège. Cela peut inclure l’utilisation du nom, de l’entreprise ou d’autres informations personnelles de la cible dans l’e-mail de phishing.
Mais alors comment marche le Spear Phishing ?
Les attaques de spear phishing commencent généralement par un e-mail qui semble provenir d’une source légitime. L’e-mail peut contenir un lien ou une pièce jointe qui, lorsqu’il est cliqué ou ouvert, installe un logiciel malveillant sur l’ordinateur de la victime. Le logiciel malveillant peut ensuite être utilisé pour voler les informations personnelles de la victime, telles que les mots de passe, les numéros de carte de crédit ou d’autres données sensibles. Jusque là, ce pourrait être la définition du Phishing classique !
La grande différence vient du fait que les attaquants mènent des recherches minutieuses sur leurs victimes, cherchant souvent des informations sur les réseaux sociaux, les archives publiques ou d’autres sources en ligne. Grâce aux informations récoltées, ils adaptent leur attaque spécifiquement à l’individu/l’organisation, créant une arnaque personnalisée qui semble authentique, augmentant ainsi la probabilité que la victime tombe dans le piège. La plupart du temps, l’attaquant se fait souvent passer pour un collègue, un supérieur ou un ami pour rendre l’escroquerie beaucoup plus convaincante. Bref, c’est un phishing personnalisé et la plupart du temps très compliqué à repérer !
L’objectif des attaques de spear phishing peut aller du vol de données personnelles ou financières à l’installation de logiciels malveillants sur l’ordinateur de la victime. Ils sont bien plus dangereux que les escroqueries par hameçonnage classiques en raison de leur nature ciblée et de la précision avec laquelle ils sont exécutés. Il existe différents types d’attaques dans la catégorie des spear phishing comme par exemple :
- Whaling (Chasse à la baleine) : ce type d’attaque vise les cadres supérieurs ou d’autres personnes importantes. L’attaquant se fera souvent passer pour le patron de la victime ou une autre personne de confiance afin d’inciter la victime à cliquer sur un lien malveillant ou à ouvrir une pièce jointe.
- Fraude au PDG : ce type d’attaque est similaire à la chasse à la baleine, mais l’attaquant se fera passer pour le PDG de l’entreprise de la victime. L’attaquant enverra souvent un e-mail prétendant provenir du PDG et demandant à la victime de virer de l’argent sur un compte spécifique.
- Attaques de la chaîne d’approvisionnement : ces attaques ciblent les entreprises qui s’appuient sur des fournisseurs tiers. L’attaquant enverra souvent un e-mail à un fournisseur qui semble appartenir à l’entreprise pour laquelle il travaille. L’e-mail contiendra un lien malveillant ou une pièce jointe qui, une fois cliqué ou ouvert, installera un logiciel malveillant sur l’ordinateur du fournisseur.
Un exemple illustratif
Alors on va essayer de ce projeter dans un scénario hypothétique pour bien comprendre. Imaginez que vous êtes un employé d’une grande entreprise. Vous venez de rentrer d’un salon professionnel dans une autre ville, que vous avez partagé avec enthousiasme avec vos abonnés sur LinkedIn.
Quelques jours plus tard, vous recevez un courriel qui semble provenir de votre superviseur direct. L’e-mail fait référence au salon auquel vous venez de participer et demande un rapport sur l’événement. Attaché à l’e-mail est un document intitulé « itinéraire du salon.docx ». Croyant qu’il s’agit d’une demande légitime de votre patron, vous téléchargez le document. Une fois que vous avez ouvert le document, une invite apparaît en vous demandant d’activer les macros pour afficher le contenu. Obligatoirement, vous les activez, mais au lieu d’afficher le contenu attendu, votre action provoque l’installation d’un malware sur votre ordinateur. Ce logiciel malveillant peut permettre à l’attaquant de prendre le contrôle de votre système, de capturer des frappes au clavier, d’accéder à des données sensibles ou d’utiliser votre ordinateur comme un botnet.
Vous venez d’être piégé, car l’attaquant se basant sur des faits que vous avez vécu récemment (ici le déplacement au salon), il a réussi à vous rendre moins attentif !
Quels sont les techniques pour ne pas se faire avoir ?
On va pas se le cacher, c’est très compliqué de se protéger des attaques de spear phishing ! Malgré tout, il existe des mesures que vous pouvez prendre pour vous protéger et protéger votre organisation. En voici quelques-uns :
- Soyez très très méfiant : quelle que soit la personne qui semble avoir envoyé l’e-mail, même si l’e-mail semble provenir d’une source légitime, soyez toujours sceptique face aux demandes inattendues d’informations sensibles ou de téléchargement de fichiers ou d’activation de macros. Pour pousser la sécurité à l’extrême, ne cliquez sur aucun lien et n’ouvrez aucune pièce jointe avant d’avoir validé la véracité du mail avec l’expéditeur.
- Utiliser l’authentification multifacteur (MFA) : On y reviendra dans un futur article, mais la mise en œuvre de la MFA peut ajouter une couche de protection supplémentaire. Même si vos informations d’identification sont compromises, un attaquant aurait toujours besoin d’accéder à votre méthode d’authentification secondaire.
- Restez informé des dernières escroqueries par hameçonnage : Il existe de nombreux sites Web et ressources qui gardent une trace des dernières escroqueries par hameçonnage. Par exemple, l’ANSSI organisme français vous tiens informé sur ces sujets !
- Formez-vous : étant donné que le spear phishing cible des individus, il est essentiel d’éduquer tout le monde dans votre organisation à propos de ces attaques. Une formation régulière peut les aider à identifier et à répondre correctement aux menaces potentielles.
- Gardez votre logiciel à jour : les mises à jour logicielles incluent souvent des correctifs de sécurité qui peuvent vous protéger contre les logiciels malveillants. Assurez-vous d’installer les mises à jour logicielles dès qu’elles sont disponibles.
Les attaques de spear phishing sont une menace à prendre au sérieux. Il existe des bonnes pratiques pour se prémunir de ce genre d’attaque, mais pas de solution miracle. Vous venez déjà de faire un premier pas pour vous protéger en comprenant la nature de ces attaques 👌. À l’ère du numérique, le savoir est indispensable. Il est donc essentiel de comprendre le spear phishing et ses différences avec le phishing traditionnel pour protéger vos données. À mesure que la technologie continue d’évoluer, les tactiques employées par les hackers évolueront également. Alors, restons informés !
Si l’article vous a plu et si vous aimez mon travail, vous pouvez faire un don en suivant ce lien :
Pour soutenir mon travail, n’hésitez pas aussi à me suivre sur les réseaux et à partager :