Spear phishing : Qu’est-ce que c’est et comment l’éviter ?

Estimated reading time: 12 minutes

Si vous avez lu nos articles sur les techniques d’ingénierie sociale (phishing, smishing, whaling et vishing), vous savez déjà que de nombreux types d’escroqueries sont dérivés du phishing. Mais il est important d’en savoir plus sur le plus répandu d’entre eux, le spear phishing. Malheureusement, ce type de cyberescroquerie est aussi la plus dangereuse pour les entreprises.

Spear phishing : la porte d'entrée de 91% des cyberattaques

Qu’est-ce que le spear phishing (ou harponnage) ?

Le spear phishing est un type spécifique de phishing dans lequel la victime est ciblée et trompée grâce à des informations personnelles précises recueillies au préalable. Par exemple, le pirate peut utiliser vos données publiques obtenues à partir de vos comptes de médias sociaux pour vous convaincre que son message est légitime.

Imaginons que vous venez d’acheter une maison et que vous avez publié la nouvelle sur Facebook. Grâce à l’un de vos commentaires sur LinkedIn, le hacker découvre le nom et l’agence de votre banquier. A partir de là, il lui suffit de créer une adresse email apparemment digne de confiance en utilisant ces informations et le tour est joué ! Il peut alors vous demander de transférer de l’argent sur un compte particulier en prétendant que vous devez le faire dans le cadre de votre prêt hypothécaire. Si vous n’êtes pas assez prudent, c’est ainsi que vous vous ferez arnaquer.

Parfois, les auteurs de ce type d’escroquerie peuvent être parrainés par un gouvernement. Il peut également s’agir d’hacktivistes, ou de cybercriminels à la recherche d’informations sensibles à vendre à des gouvernements ou à des concurrents.

Quelle est la différence entre le phishing et le spear phishing ?

Comme vous pouvez vous y attendre vu son nom, le spear phishing est en fait une sorte de phishing. Le terme « phishing » englobe toutes les formes de cyberattaques visant à collecter des informations sensibles (numéro de carte de crédit, mots de passe, numéro de sécurité sociale…) par la tromperie, l’usurpation d’identité ou l’imitation.

À quoi ressemble une attaque de spear phishing ?

Les attaques de spear phishing sont généralement lancées sur une grande échelle. Elles visent un grand nombre de victimes potentielles et ne sont pas personnalisées. Dans la plupart des cas, toutes ces personnes sont visées en même temps par un faux email prétendument envoyé par une organisation authentique.

Vous avez probablement déjà été exposé à ce type d’escroquerie. Nous avons tous reçu un de ces messages prétendument envoyés par une personne demandant de l’aide pour déplacer une énorme somme d’argent (généralement plusieurs dizaines de millions de dollars) bloquée dans une banque nigériane et offrant un pourcentage important de cette fortune en échange de notre collaboration. Très souvent, cela implique de partager nos informations personnelles ou bancaires… La plupart du temps, ces escroqueries proviennent du Nigéria, ce qui explique pourquoi elles sont appelées « Nigerian Letters » (lettres nigérianes) ou fraudes « 419 » (419 étant la section du code pénal nigérian interdisant ce type de délit).

Les auteurs de ces attaques de phishing ne font pas beaucoup d’efforts pour rendre leur message crédible. Souvent, leur email est d’une certaine manière approximatif (fautes d’orthographe, erreurs de langue, décalage culturel) et l’arnaque est flagrante. Ils parient simplement que parmi le nombre de personnes qui le recevront, quelqu’un sera assez naïf pour cliquer sur le lien fourni, ou envoyer les informations personnelles demandées.

Quelle est la différence avec une attaque de spear phishing ?

La principale différence entre le phishing et le spear-phishing est que pour ce dernier, les pirates ciblent une victime spécifique, et non une masse de personnes en même temps.

Dans une grande proportion de ces attaques, les victimes sont des cadres ou des employés qui occupent des postes leur donnant accès à certains matériels, logiciels ou privilèges dans l’organisation où ils travaillent. Mais il peut également s’agir de personnes qui ont publié des informations exploitables pour les escrocs (comme dans notre exemple de l’achat d’une maison).

Avant de les contacter, les pirates auront fait des recherches sur eux afin d’en apprendre le plus possible sur l’organisation pour laquelle ils travaillent, le poste qu’ils occupent, la façon dont ils sont appelés (par exemple, l’utilisation de surnoms), le nom de leur directeur ou CEO, le nom d’une banque où leur organisation a un compte, etc.

Ces informations sont ensuite utilisées pour élaborer un message simulant un email authentique de cette organisation ou d’une autre entité avec laquelle elle est en contact. Les escrocs veillent à rendre le message aussi crédible que possible. Ils ajouteront des détails qui renforceront l’illusion (adresses électroniques très similaires, noms de vrais responsables, copie du logo, copie des mentions habituellement incluses dans les e-mails de cette organisation) afin que le message semble légitime pour gagner la confiance de son destinataire.

Ils peuvent inclure une URL pour inviter le destinataire à visiter un faux site web qui aura préalablement été créé pour collecter les informations sensibles demandées (mots de passe, numéro de sécurité sociale, numéros de compte bancaire ou de carte de crédit, etc.) Dans certains cas, ils auront pris soin de générer du trafic vers ce faux site web pour valider le nom de domaine et déjouer les logiciels anti-virus de l’organisation.

D’autres fois, ils peuvent se faire passer pour un ami, prétendant être en détresse et ayant besoin d’une somme d’argent, ou demandant l’accès à des photos spécifiques publiées sur les réseaux sociaux.

Une troisième forme de spear phishing utilise une pièce jointe simulant une facture, ou un document quelconque (fichier pdf, Word ou Excel) contenant en fait un logiciel malveillant, une macro ou un code (par exemple un keylogger). Il peut également s’agir d’un ransomware, un logiciel capable de bloquer le système informatique de l’organisation, l’obligeant à payer une rançon pour le débloquer.

Les pirates expliquent souvent que leur demande d’informations sensibles est urgente. Ils diront aux victimes qu’elles doivent changer un mot de passe qui est sur le point d’expirer, ou qu’elles doivent prendre connaissance de changements concernant une livraison décrite dans un document joint, par exemple.

Ils peuvent également se faire passer pour un haut responsable de l’organisation (généralement le CEO ou un responsable des transactions de paiement, par exemple) et demander un transfert urgent vers un nouveau fournisseur. Parfois, cette urgence sera combinée à la nécessité de maintenir une stricte confidentialité ou d’enfreindre des procédures particulières, comme l’obtention de l’approbation d’un responsable.

Enfin, il peut également jouer sur les émotions et tenter d’utiliser l’empathie pour obtenir l’obéissance de sa victime.

Tous ces stratagèmes visent à obtenir une action rapide de la cible, afin d’éviter qu’elle ne réfléchisse trop…

Lorsqu’ils parviennent à leurs fins, les pirates se font passer pour leurs victimes grâce aux données personnelles qu’ils sont parvenus à extorquer pour réaliser des opérations spécifiques (transfert d’argent, vol de données personnelles, vol de propriété intellectuelle, publication indésirable de messages haineux en leur nom, etc.) Dans d’autres cas, ils amèneront leurs cibles à cliquer sur un lien pour déclencher le téléchargement d’un logiciel malveillant à leur insu. Ou encore, ils obtiendront un transfert d’argent ou une action spécifique de la part de leur victime.

Qui peut être ciblé ?

Tout employé d’une organisation peut être concerné par une attaque de spear-phishing. Cependant, certaines de ces escroqueries visent plus particulièrement les cadres de haut niveau. Elles sont appelées « attaques de whaling ». Dans la plupart d’entre elles, les pirates se font passer pour le CEO ou pour tout autre membre haut placé de l’organisation afin d’imposer un ordre incontestable à la victime.

De façon remarquable, les études suggèrent que les cadres sont non seulement plus susceptibles d’être ciblés, mais aussi plus enclins à se faire avoir que les autres membres du personnel. Cela s’explique par le fait qu’ils sont souvent très occupés et ne disposent pas du temps nécessaire pour consacrer une attention critique à leurs emails. Parfois, ils sous-estiment aussi la menace.

D’un autre côté, il est plus gratifiant pour un pirate de les choisir, en raison de leurs accès plus étendus et de leur autorité.

Il faut également souligner que ces cyberattaques sont aussi fréquemment lancées contre des employés ou des cadres travaillant dans des processus impliquant des paiements, comme la paie ou la facturation.

Enfin, notez que même les particuliers peuvent être victimes de cette forme d’escroquerie : un pirate peut se faire passer pour l’un de vos amis et vous inviter à cliquer sur un site web ou une vidéo sympa… cachant un ransomware qui pourrait verrouiller votre smartphone.

Comment détecter ce type d’arnaque ?

La plupart du temps, les emails de spear phishing sont très bien imités, c’est pourquoi il est très difficile de détecter l’intention malveillante. Même les outils utilisés pour détecter préventivement cette forme d’escroquerie au sein des organisations peuvent échouer à identifier les messages d’attaques de spear phishing.

C’est aussi la raison pour laquelle elles sont devenues monnaie courante (on estime qu’elles représentent aujourd’hui 91 % de toutes les cyberattaques), et qu’elles causent tant de dégâts.

Quelques conseils pour vous aider à repérer un email de spear-phishing

  1. Vérifiez toujours soigneusement chaque élément d’information, en particulier les coordonnées de l’expéditeur. Vous ne verrez peut-être que le nom de l’expéditeur, mais faites également attention à l’adresse électronique. Il est très peu probable que votre banquier vous envoie un email provenant d’une adresse du type « nomdubanquier.nomdelabanque@gmail.com ». Vérifiez avec précaution l’adresse électronique fournie, même si elle semble provenir d’une organisation de confiance. Recherchez un chiffre 0 tapé à la place d’un « o », ou un « ш » russe usurpant un « w ».
  2. Un détail vous semble-t-il inhabituel ? Faites attention aux différences de format. La signature est-elle différente, même légèrement ? Le mail est truffé de fautes d’orthographe, alors qu’il ne l’est jamais avec cette personne en particulier ? La façon dont elle s’adresse à vous ne vous est pas familière ? Tous ces détails sont des signaux d’alarme qui vous invitent à vous méfier. Certaines caractéristiques spécifiques peuvent ne pas être connues des pirates et c’est là que vous pouvez repérer le spear phishing.
  3. Tout comme vous vérifiez l’adresse e-mail, vérifiez tout lien qui vous est envoyé. L’URL réelle n’est pas la même que le lien sur lequel on vous demande de cliquer ? Il y a peut-être lieu de s’en inquiéter.
  4. Faites également attention à la formulation et au jargon. Une mention inhabituelle ou une expression jamais entendue au sein de votre organisation doit vous rendre méfiant. Vérifiez également les formules de politesse et les salutations à la fin du message. S’agit-il généralement d’un « merci », d’un « salutations » ou d’autre chose ?
  5. Enfin, si un clic sur un fichier joint déclenche l’ouverture d’une fenêtre indiquant qu’il contient une macro, méfiez-vous !
  6. En cas de doute, n’hésitez jamais à confirmer le contenu d’un email par téléphone. Un appel rapide peut vous éviter bien des ennuis ! Mieux vaut prévenir que guérir.

Comment lutter contre le spear phishing ?

Les pirates informatiques peuvent utiliser plusieurs astuces pour obtenir des informations sur leurs victimes. Par exemple, ils peuvent utiliser les messages-types adressés en cas d’absence pour découvrir à quoi ressemblent les emails des membres du personnel d’une organisation. D’autres utiliseront les médias sociaux et d’autres sources accessibles au public pour recueillir des informations.

Quelques conseils pour vous aider à éviter ces attaques

En plus d’être prudent, vous avez d’autres options pour prévenir le spear phishing. Les pirates peuvent être rusés, mais être victime d’une escroquerie n’est pas une fatalité et vous pouvez réellement vous protéger, vous et vos données personnelles, en prenant les mesures suivantes :

  1. Gardez à l’esprit que toute information (nom, photo, …) publiée sur les médias sociaux peut être utilisée à des fins malveillantes. Si possible, rendez vos comptes privés et évitez de publier trop d’informations sur vos responsabilités, vos fournisseurs, vos clients, vos processus ou les aspects opérationnels de votre entreprise dans vos profils LinkedIn.
  2. Évitez également de publier trop d’informations sur votre personnel sur votre site web. Ne fournissez pas leur adresse électronique, utilisez plutôt un formulaire pour inviter les visiteurs à demander des informations.
  3. Prêtez attention aux offres d’emploi publiées par votre organisation pour pourvoir des postes dans le service informatique. Veillez à ce qu’elles ne soient jamais trop précises lorsqu’elles mentionnent des détails sur les logiciels et les systèmes de cybersécurité utilisés par votre organisation.
  4. Recherchez aussi ces informations sur Internet également, et supprimez-les lorsque c’est possible.
  5. Utilisez toujours un système de sécurité hébergé pour le courrier électronique et une protection antispam pour arrêter tout email nuisible.
  6. Dans tous les cas, n’envoyez jamais d’informations sensibles comme des identifiants et des mots de passe à quiconque. Lorsque des pièces jointes vous sont envoyées, analysez-les avec votre antivirus avant de les ouvrir.
  7. Maintenez tous vos logiciels constamment à jour pour éviter tout abus d’une faille de sécurité.
  8. La connaissance et la sensibilisation sont essentielles. Tenez-vous informé des dernières tendances en matière de phishing.
  9. Les organisations doivent former leur personnel et organiser des simulations d’attaques de spear phishing. De cette manière, elles peuvent développer une sensibilisation à cette menace et identifier les employés les plus vulnérables à ce type d’escroquerie.
  10. Formez votre personnel à signaler tout email suspect au service informatique et à éviter de cliquer sur les URL contenues dans les emails. Ils doivent au contraire se connecter directement au site Web réel.
  11. Méfiez-vous des emails inhabituels et inattendus, surtout s’ils prétendent être urgents.
  12. Si votre organisation dispose de bonnes compétences dans son service informatique, il peut être utile de lui demander de marquer tous les emails externes afin de les distinguer facilement des emails internes.
  13. Établissez des règles strictes concernant l’utilisation des mots de passe. Interdisez à votre personnel de réutiliser un mot de passe, ou d’utiliser des mots de passe trop faciles à craquer.
  14. Mettez en place des processus de paiement impliquant de nombreuses autorisations de la part des dirigeants.
  15. Évitez toute politique de « BYOD » et l’utilisation de logiciels, de plates-formes ou d’applications externes non expressément autorisés par votre service informatique.
  16. La prévention compte également, surtout pour les cibles potentielles plus fragiles comme les utilisateurs âgés ou jeunes. Si quelqu’un de votre entourage peut être une cible facile, prévenez-le du spear phishing. Si vous le pouvez, essayez de garder un œil sur sa boîte email.
  17. Informez votre personnel, vos amis et les membres de votre famille des risques encourus lors du partage de données personnelles sur les médias sociaux.
  18. Certains outils ont été spécialement créés pour lutter contre le phishing. Voici une sélection que vous pouvez utiliser pour contrôler toute URL avant de cliquer dessus : Where Goes, Redirect Detective et Redirect Check.
  19. Last but not least : utilisez un fournisseur d’email sécurisé comme Mailfence pour garantir la sécurité et la confidentialité des emails.

La lutte contre le spear phishing est essentielle pour assurer la sécurité de vos données personnelles. Si vous ne prenez pas quelques mesures minimales pour éviter ce scénario, vous pouvez vous attendre à ce que votre email soit piraté. Lisez nos conseils pour savoir quoi faire dans ce cas, et contactez-nous si vous avez des questions sur la sécurité et la confidentialité.

Mailfence est une suite d’outils de collaboration intégrée qui offre de nombreuses fonctionnalités pour protéger vos données personnelles. Si vous avez déjà un compte, vous le savez déjà. Sinon, qu’est-ce que vous attendez ? Ouvrez un compte gratuit dès à présent.

Obtenez votre messagerie securisée

Tenez-vous informé de nos derniers articles en nous suivant sur Twitter et Reddit. Pour plus d’informations sur la suite de messagerie sécurisée Mailfence, n’hésitez pas à nous contacter à l’adresse support@mailfence.com.

– L’Équipe Mailfence

Vous aimerez aussi...