Vous avez peut-être entendu parler du phishing, mais connaissez-vous le spear phishing ? Si ça n’est pas le cas, vous êtes au bon endroit. Dans cet article, nous vous expliquons en détail ce qu’est le spear phishing et comment vous protéger contre ce type de cyberattaques.
Qu’est-ce que le spear fishing ? Définition !
Le spear phishing est une escroquerie par courriel ou par communication électronique visant une personne, une organisation ou une entreprise spécifique. Bien qu’il soit souvent destiné à voler des données à des fins malveillantes, les cybercriminels peuvent également avoir l’intention d’installer un logiciel malveillant sur l’ordinateur d’un utilisateur ciblé.
Quel est le nom français utilisé pour le spear phishing ?
Cet usage est relativement rare, mais en bon français, le spear phishing est désigné par le terme hameçonnage ciblé.
Comment fonctionne le Spear Phishing ?
Un courriel arrive, provenant apparemment d’une source fiable. Mais il conduit le destinataire ignorant vers un faux site web rempli de logiciels malveillants. Ces courriels utilisent souvent des tactiques astucieuses pour attirer l’attention des victimes. Par exemple, le FBI a mis en garde contre des escroqueries par harponnage dans lesquelles les courriels semblaient provenir du National Center for Missing and Exploited Children.
Souvent, ce sont des hackers et des hacktivistes parrainés par des gouvernements qui sont à l’origine de ces attaques. Les cybercriminels font de même dans l’intention de revendre des données confidentielles aux gouvernements et aux entreprises privées.
Ces cybercriminels utilisent des approches conçues individuellement et des techniques d’ingénierie sociale pour personnaliser efficacement les messages et les sites web. En conséquence, même les cibles de haut rang au sein des organisations, comme les cadres supérieurs, peuvent se retrouver à ouvrir des courriels qu’ils pensaient sûrs. Ce faux pas permet aux hackers de voler les données dont ils ont besoin pour attaquer leurs réseaux.
Comment se protéger du Spear Phishing ou Harponnage ?
La sécurité traditionnelle ne permet souvent pas d’arrêter ces attaques ; car elles sont si habilement personnalisées. Par conséquent, elles sont de plus en plus difficiles à détecter. Une seule erreur d’un employé peut avoir de graves conséquences pour les entreprises, les gouvernements et même les organisations à but non lucratif.
Avec des données volées, les fraudeurs peuvent révéler des informations commercialement sensibles, manipuler le cours des actions ou commettre divers actes d’espionnage. En outre, les attaques de spear phishing peuvent déployer des logiciels malveillants pour détourner des ordinateurs. Les organisant en énormes réseaux appelés botnets qui peuvent être utilisés pour des attaques par déni de service.
Formation, compréhension et protection contre le spear phishing
Pour lutter contre les escroqueries par spear phishing, les employés doivent être conscients des menaces ; telles que la possibilité que de faux e-mails atterrissent dans leur boîte de réception. Outre l’éducation, une technologie axée sur la sécurité des e-mails est nécessaire.
Plus globalement une sensibilisation à la cybersécurité devient plus que nécessaire, pour ne pas dire indispensable, au sein des entreprises aujourd’hui.
Enfin, vous pouvez également mettre en place une fausse campagne de phishing pour tester les bons réflexes de vos collaborateurs.
Quels sont les techniques et types de phishing ?
Quelle est la différence entre le phishing et le spear phishing ?
Les attaques de phishing privilégient la quantité. Les messages contenus dans les e-mails, les textes ou les appels téléphoniques de phishing sont génériques et envoyés à un grand nombre de personnes ou d’organisations dans l’espoir d’augmenter les chances d’ « attraper » une victime. Les attaques de phishing par téléphone sont souvent appelées vishing (hameçonnage vocal). Les attaques par SMS sont appelées smishing ou SMS-phishing. Nous en reparlerons ci-dessous.
Les campagnes de spear-phishing privilégient la qualité. Les e-mails, les textes ou les appels téléphoniques de spear-phishing sont hautement personnalisés pour une organisation ou un individu spécifique. Les attaques de spear-phishing sont plus susceptibles de tromper les victimes potentielles en raison de la quantité de recherche et du temps passé à personnaliser les messages qui semblent provenir d’expéditeurs légitimes.
Le whaling
Une attaque de type « whaling » donne la priorité aux cibles de niveau « C ». Le whaling utilise la même stratégie personnalisée que les attaques de spear-phishing ; sauf que les attaquants ciblent spécifiquement les cadres supérieurs pour exposer des informations financières et confidentielles. Les attaques de type « whaling » espèrent obtenir des informations classifiées plus précieuses en s’attaquant à des cibles importantes, ce qui peut amplifier les dommages infligés à une organisation.
L’attaque de vishing
Le vishing a le même objectif que les autres types d’attaques de phishing. Les attaquants cherchent toujours à obtenir vos informations personnelles ou professionnelles sensibles. Cette attaque est réalisée par le biais d’un appel vocal. D’où le « v » plutôt que le « ph » dans le nom.
Une attaque de vishing courante consiste à recevoir un appel d’une personne prétendant être un représentant de Microsoft. Cette personne vous informe qu’elle a détecté un virus sur votre poste de travail ; créant un sentiment d’urgence. On vous demande alors de fournir vos identifiants de connexion et les numéros de votre carte de crédit pour que l’attaquant puisse installer les correctifs de sécurité sur votre ordinateur. L’attaquant dispose maintenant des informations relatives à votre carte de crédit et vous avez probablement installé un logiciel malveillant sur votre ordinateur.
Ce logiciel malveillant peut contenir n’importe quoi ; depuis un cheval de Troie bancaire jusqu’à un bot (abréviation de robot). Le cheval de Troie bancaire surveille votre activité en ligne pour vous dérober davantage de détails. Souvent les informations relatives à votre compte bancaire, y compris votre mot de passe.
Un robot est un logiciel conçu pour effectuer les tâches que le pirate souhaite lui confier. Il est contrôlé par un système de commande et de contrôle (C&C) pour extraire des bitcoins, envoyer des spams ou lancer une attaque dans le cadre d’une attaque par déni de service distribué (DDoS).
Le smishing ou phishing par message
Ensuite, le smishing est une attaque qui utilise la messagerie texte ou le service de messages courts (SMS) pour exécuter l’attaque. Une technique de smishing courante consiste à envoyer par SMS un message à un téléphone portable contenant un lien cliquable ou un numéro de téléphone de retour.
Un exemple courant d’attaque par smishing est un message SMS qui semble provenir de votre institution bancaire. Il vous indique que votre compte a été compromis et que vous devez réagir immédiatement. Dans le corps du message, l’attaquant vous demande de vérifier votre numéro de compte bancaire, votre SSN, etc. Une fois que l’attaquant a reçu les informations, il a le contrôle de votre compte bancaire.
Search engine phishing ou hameçonnage des moteurs de recherche
Enfin, le hameçonnage des moteurs de recherche, également connu sous le nom d’empoisonnement du référencement ou de chevaux de Troie du référencement, consiste pour les pirates à devenir le premier résultat d’une recherche effectuée à l’aide d’un moteur de recherche. En cliquant sur le lien vers un site affiché dans le moteur de recherche, vous accédez au site web du pirate. À partir de là, les acteurs de la menace peuvent voler vos informations lorsque vous interagissez avec le site ; et/ou saisissez des données personnelles sensibles. Les sites pirates peuvent se faire passer pour n’importe quel type de site web. Mais les principaux candidats sont les banques, les sites de transfert d’argent, les médias sociaux et les sites d’achat.
Exemples de Spear Phishing
Terminons cet article sur le spear phishing avec quelques exemples concrets.
Fraude au PDG par mail – Groupe Pathé
Le groupe français Pathé, leader du cinéma, a perdu 19,2 millions d’euros lorsque plusieurs emails ont été envoyés depuis le compte personnel du PDG Marc Lacan. Les courriels des malfaiteurs demandaient de transférer la somme dans quatre ranchs à Towering Stars General Trading LLC à Dubaï. L’incident a été suivi par la démission de Marc Lacan de son poste.
Attaque de Spear Phishing – Gouvernement de Porto Rico
Ensuite, en 2019, des hackers ont piraté l’ordinateur d’un employé du département des finances et ont envoyé des courriels à plusieurs agences gouvernementales ; alléguant un changement de compte bancaire. Deux agences ont donné suite à la demande, sur laquelle l’une a perdu 63 000 dollars en décembre et plus de 2,6 millions de dollars en janvier. L’autre a envoyé 1,5 million de dollars en janvier.
Scam Business Email Compromise (BEC) – Google et Facebook
Enfin, entre 2013 et 2015, Evaldas Rimasauskas s’est fait passer pour un fournisseur de matériel informatique taïwanais, Quanta computer, dont les services étaient utilisés par deux géants de la technologie ; Google et Facebook. Il a envoyé de fausses factures d’une valeur de 122 millions de dollars (99 millions et 23 millions à Google et Facebook, respectivement) à ces entreprises pendant près de trois ans ; jusqu’à ce qu’il soit arrêté et emprisonné pour 30 ans.
Recevez votre devis personnalisé dans la journée
Dites-nous ce qu'il vous faut, on s'occupe de tout !