Qu’est-ce que le spear phishing (ou hameçonnage)?

Le Spear phishing est une attaque d’ingénierie sociale dans laquelle l’auteur se déguise en individu de confiance, afin d’inciter une cible à cliquer sur un lien dans un e-mail, un SMS ou un message instantané falsifié.

En conséquence, la victime révèle involontairement des informations sensibles comme ses identifiants et passwords, installe des programmes malveillants (comme des trojans) sur son réseau ou exécute la première étape d’une menace persistante avancée (APT), pour ne citer que quelques-unes des conséquences possibles.

Bien que similaire aux attaques de phishing et whaling (nous y reviendrons plus tard dans l’article) le spear phishing est lancé d’une manière unique et ses cibles diffèrent des autres attaques d’ingénierie sociale. Par conséquent, l’attaque mérite une attention particulière lors de l’élaboration de votre stratégie de cyber sécurité.

Exemple de spear phishing

L’exemple suivant illustre la progression d’une attaque de spear-phishing et ses conséquences potentielles :

  • Un e-mail falsifié est envoyé à un utilisateur d’une entreprise par une personne prétendant représenter un service de solution de Fax électronique appelé eFax Solution, un fournisseur de gestion de bases de données. L’e-mail utilise une adresse gmail mais reste au nom de la société.
  • L’e-mail affirme que eFaxSolution.com a un nouveau document sécurisé pour l’utilisateur et qu’il est nécessaire et vital d’y accéder au plus vite.
  • Après avoir cliqué sur le lien, l’utilisateur est redirigé vers une page de connexion ou sur un lien proposant d’ouvrir le fichier (ici, un fichier ZIP contenant un fichier malveillant).
  • Dans le même temps, un agent de commande et de contrôle est installé sur l’ordinateur de la victime, qui peut ensuite être utilisé comme porte dérobée dans le réseau de l’entreprise et ainsi accéder à vos informations les plus sensibles, voir prendre le contrôle total si la victime possède des droits administrateurs sur votre système.

Spear phishing, phishing et “whaling”

Les attaques de harponnage, de phishing et de whaling varient selon leur niveau de sophistication et leurs cibles visées. Leurs différences sont soulignées ci-dessous.

Phishing

Le phishing consiste à envoyer des e-mails malveillants à partir de sources supposées fiables au plus grand nombre de personnes possible, en supposant un faible taux de réponse. Par exemple, un e-mail de phishing peut prétendre provenir de PayPal et demander à un destinataire de vérifier les détails de son compte en cliquant sur un lien ci-joint, ce qui conduit à l’installation de logiciels malveillants sur l’ordinateur de la victime ou au vol de ses identifiants de connexions.

Les e-mails de phishing sont impersonnels, envoyés en masse et contiennent souvent des fautes d’orthographe ou d’autres erreurs révélant leur intention malveillante. Le problème est que tout le monde ne remarque pas ces indices subtils. Des logos de confiance et des liens vers des destinations connues suffisent à inciter de nombreuses personnes à partager leurs coordonnées.

Les e-mails de Spear phishing, en revanche, sont plus difficiles à détecter car ils semblent provenir de sources proches de la cible. Les cybercriminels envoient des e-mails personnalisés à des individus ou à des groupes de personnes ayant quelque chose en commun, comme des employés travaillant dans le même service.

Whaling

Le whaling utilise des e-mails trompeurs ciblant les personnes à haute responsabilité au sein d’une organisation, tels que les PDG, les directeurs financiers et d’autres cadres. Ces personnes ont accès à des informations très précieuses, notamment des secrets commerciaux et des mots de passe pour les comptes administratifs de l’entreprise.

L’attaquant envoie des e-mails sur des questions d’importance commerciale critique, se faisant passer pour un individu ou une organisation disposant d’une autorité légitime. Par exemple, un attaquant peut envoyer un e-mail à un PDG demandant un paiement, se faisant passer pour un client de l’entreprise.

Les attaques de whaling s’adressent toujours personnellement aux individus ciblés, souvent en utilisant leur titre, leur poste et leur numéro de téléphone, qui sont obtenus via les sites Web de l’entreprise, les réseaux sociaux ou la presse.

La différence entre la whaling et le spear phishing est que la whaling cible exclusivement les individus de haut rang au sein d’une organisation, tandis que le spear phishing s’attaque généralement à une catégorie d’individus de profil inférieur.

Comment réduire les risques de spear phishing ?

La nature ciblée des attaques de spear phishing les rend difficiles à détecter. Cependant, plusieurs mesures de prévention des risques peuvent aider, notamment l’authentification à deux facteurs (2FA), les politiques de gestion des mots de passe ainsi que des campagnes de formations continues.

Authentification à deux facteurs

2FA aide à sécuriser la connexion aux applications sensibles en exigeant que les utilisateurs aient deux choses : quelque chose qu’ils connaissent, comme un mot de passe et un nom d’utilisateur, et quelque chose qu’ils ont, comme un smartphone ou un jeton cryptographique. Lorsque 2FA est utilisé, même si un mot de passe est compromis à l’aide d’une technique telle que le spear phishing, il n’est d’aucune utilité pour un attaquant sans l’appareil physique détenu par l’utilisateur réel.

Une gestion des mots de passe sécurisée

Une politique prudente de gestion des mots de passe doit prendre des mesures pour empêcher les employés d’utiliser des mots de passe d’accès d’entreprise sur de faux sites Web externes.

Un exemple d’une telle politique consiste à demander aux employés de toujours saisir un faux mot de passe lorsqu’ils accèdent à un lien fourni par e-mail. Un site Web légitime n’acceptera pas un faux mot de passe, mais un site de phishing le fera. Il existe bien évidemment des solutions logiciels pour protéger votre société; lors de nos audits, nous vous ferons part de nos recommandations les plus efficaces en fonction des spécificités de votre entreprise.

Campagne de formation continue

Au niveau organisationnel, les entreprises peuvent sensibiliser et former activement leurs employés, en soulignant les attaques de spear phishing comme une menace importante. Les supports de formation peuvent présenter des exemples concrets de spear phishing, avec des questions conçues pour tester les connaissances des employés. Les employés qui sont au courant du spear phishing sont moins susceptibles d’être victimes d’une attaque. N’hésitez pas à nous consulter pour en savoir plus sur nos programmes de formation intra-entreprise.