Spear phishing

Le spear phishing est une attaque par hameçonnage personnalisée qui cible une entreprise ou une personne en particulier. Ces attaques sont minutieusement orchestrées pour susciter une réponse spécifique d’une cible spécifique. Les pirates prennent le temps de connaître leurs cibles et leurs entreprises d’appartenance afin de préparer un message personnalisé, en usurpant l’identité d’une entité de confiance. Cela donne l’impression au destinataire que le message est fiable. Pour avoir plus de chances d'aboutir, un sentiment d'urgence est souvent associé à ces attaques afin de faire réagir les victimes. Il peut leur être demandé de transférer de l’argent immédiatement, d’ouvrir des pièces jointes malicieuses ou de cliquer sur un lien qui les dirige vers un site malicieux avec une fausse page de connexion.

Les données recueillies peuvent être utilisées pour accéder à des comptes professionnels ou personnels existants, dans l'intention de frauder.

• Le spear phishing implique des attaques personnalisées qui ciblent des personnes ou des organisations spécifiques, en utilisant souvent des informations recherchées pour créer des messages convaincants et fiables.
• Ces attaques exploitent généralement l'urgence ou la curiosité pour amener les victimes à fournir des informations sensibles ou à effectuer des actions qui profitent au pirate.
• Pour une prévention efficace, il faut combiner des protocoles avancés de sécurité des e-mails, une formation continue des utilisateurs et des mesures proactives telles que la segmentation du réseau et les tests de pénétration.

• Compromission de la messagerie en entreprise (BEC) : ces attaques sont également appelées arnaque au président, whaling ou fraude au virement. Dans une attaque BEC, des criminels usurpent l'identité d'un employé, généralement un cadre ou un manager de l'entreprise. En utilisant des informations convaincantes et en donnant des raisons plausibles, ils demandent à leurs cibles, qui sont souvent des employés ayant accès à des informations sur les finances de l'entreprise ou des informations personnelles, de transférer de l'argent ou de transmettre des données sensibles telles que des informations financières sur des clients, des employés ou des partenaires. Ces attaques utilisent l'ingénierie sociale et des comptes piratés, et ne comprennent généralement aucune pièce jointe ou lien malveillants.
• Usurpation d'identité : elle est présente dans un grand nombre d'attaques par spear-phishing qui usurpent l'identité d'une entité de confiance comme une entreprise très connue ou des applications couramment utilisées en entreprise telles que Microsoft 365, Gmail ou DocuSign. Ces attaques peuvent également usurper l'identité d'un collègue de confiance ou d'un partenaire commercial. Elles tentent généralement d'inciter les destinataires à fournir des informations d'identification de compte ou à cliquer sur des liens malveillants. Par exemple, vous pourriez recevoir un e-mail qui vous indique que votre compte a été bloqué et vous fournit un lien pour réinitialiser votre mot de passe. Si vous cliquez sur ce lien, vous serez redirigé vers un faux portail et incité à y saisir vos identifiants, ce qui permettra aux pirates d'avoir désormais un accès sans restriction à votre compte. Ils peuvent alors utiliser cet accès pour voler des données confidentielles, commettre une fraude financière en utilisant votre compte ou encore lancer une attaque plus ciblée au sein de votre entreprise.

La différence entre le whaling, le spear phishing et l'hameçonnage se résume au niveau de l'effort de la cible et de l'attaquant.

Les e-mails d'hameçonnage sont génériques et ciblent un large public avec peu d'effort, tandis que le spear phishing personnalise l'attaque pour des personnes spécifiques avec un effort modéré.

Les attaques de type « whaling » ciblent les cadres de haut niveau avec des e-mails hautement personnalisés et des efforts considérables de la part du pirate. Bien qu'il y ait quelques différences, tous visent à voler des informations sensibles ou à inciter les victimes à agir dans l'intérêt du pirate.

Les attaques par spear-phishing sont connues pour leur planification et leur précision. Contrairement aux tentatives d'hameçonnage classiques qui visent un large réseau, le spear-phishing cible méticuleusement des personnes en particulier. Voici comment se déroule une attaque classique :

• Phase 1 : Reconnaissance et recherche : le pirate agit comme un éclaireur et recueille des informations sur sa cible. Cela peut impliquer de parcourir les profils des réseaux sociaux, les sites Web des entreprises ou même les plateformes de réseautage professionnel. Ils recherchent des informations tels que l'intitulé du poste de la victime, ses projets en cours ou même le nom de ses collègues.
• Phase 2 : Fabrication de l'appât : armé de renseignements, le pirate personnalise son attaque. Ils rédigera un e-mail qui semble provenir d'une source familière, peut-être d'un collègue, d'un fournisseur ou même d'un superviseur. Le contenu des e-mails intégrera intelligemment les informations glanées lors de la phase de recherche, pour le rendre très pertinent et fiable pour la cible. Une tactique courante consiste à exploiter l'urgence ou la curiosité, en incitant la victime à cliquer sur un lien malveillant ou à télécharger une pièce jointe infectée.
• Phase 3 : L'hameçon et la faille potentielle : la véritable attaque se produit si la victime est trompée et clique sur un lien ou une pièce jointe. Un lien peut conduire à une fausse page de connexion conçue pour voler des informations d'identification, tandis qu'une pièce jointe peut contenir un logiciel malveillant qui infecte l'appareil de la victime, permettant potentiellement au pirate d'accéder à des données sensibles ou même de contrôler le système.

Les objectifs les plus courants de ces attaques sont les suivants :

• Demander un virement bancaire
• Demander des informations sensibles ou confidentielles
• Diffuser des malwares ou des ransomwares
• Voler les informations de connexion d'un compte
• Usurper des comptes professionnels

La sécurité des e-mails est habituellement assurée sur la base d'analyses de réputation, de listes de blocage et de la reconnaissance des signatures des pièces jointes et des URL malveillantes. Les attaques par spear-phishing sont soigneusement conçues pour échapper à ces contrôles et passer inaperçues. Bien souvent, ces attaques ne contiennent pas de charge malveillante détectable par les techniques classiques de sécurité ; elles sont aussi généralement envoyées depuis des domaines d'expéditeurs bénéficiant d'une excellente réputation ou depuis des comptes déjà piratés.

Voici quelques moyens utiles pour identifier ces attaques et les empêcher de causer des dégâts :

• Examinez les informations de l’expéditeur : ne vous contentez pas de survoler le nom de l’expéditeur. Regardez attentivement l’adresse e-mail elle-même. Les attaquants par spear-fishing peuvent utiliser des adresses contenant de légères variations orthographiques d’une source légitime, d’un poste, d’un titre ou d’un autre contenu de l’e-mail.
• Méfiez-vous des messages d'accueil génériques : les entreprises légitimes s'adressent généralement à vous par votre nom. Des formules de politesse génériques telles que « Cher client » ou « Cher utilisateur » peuvent être des signes révélateurs.
• Pièces jointes et liens suspects : méfiez-vous des pièces jointes non sollicitées, en particulier celles dont vous n'avez pas l'habitude (noms génériques ou extensions de fichier inhabituels, par exemple, « .exe » dans un document). Prenez toujours toutes les mesures de cybersécurité possibles, vérifiez auprès de l'expéditeur ou de votre équipe informatique avant de cliquer sur un lien ou de télécharger un fichier joint à un e-mail.
• Urgence extrême ou menaces : les e-mails d'hameçonnage ou de spear phishing tentent souvent de vous pousser à agir rapidement sans réfléchir. Méfiez-vous des e-mails exigeant une action immédiate ou utilisant des tactiques alarmistes.
• Demande inhabituelle : si un e-mail vous demande d'entreprendre une action inhabituelle, comme mettre à jour votre mot de passe ou transférer des fonds sur un nouveau compte, vérifiez la demande auprès d'un canal de confiance avant d'agir. Par exemple, vous pouvez appeler l'entreprise que le pirate potentiel prétend représenter pour vérifier si la demande est légitime.
• Incohérences de ton ou de langage : lisez attentivement le contenu de l'e-mail. Le style d’écriture semble-t-il incompatible avec l’expéditeur supposé ? Des fautes de grammaire ou une formulation maladroite peuvent être le signe d'un faux e-mail.
• Vérifiez par d'autres moyens : si vous avez des doutes sur un e-mail, surtout s'il semble urgent, contactez l'expéditeur directement par un canal de confiance (appel téléphonique sur un numéro connu) pour confirmer sa légitimité.

Pour se protéger efficacement contre les attaques par spear-phishing, il est nécessaire d'adopter de nouvelles approches et des programmes de formation avancée des utilisateurs afin d'améliorer en permanence la sensibilisation à la sécurité au sein de votre entreprise. Voici quelques stratégies populaires et pratiques pour prévenir le spear phishing :

• Mise en place des protocoles d’authentification des e-mails : ces protocoles, tels que le Sender Policy Framework (SPF), le DKIM (DomainKeys Identified Mail) et le BIMI (Brand Indicators for Message Identification), vérifient la légitimité des adresses e-mail des expéditeurs. Il est donc plus difficile pour les pirates d'usurper de vraies adresses.
• Mise en place des passerelles de messagerie sécurisées (SEG) : les SEG servent de points de contrôle de sécurité pour votre courrier électronique, en analysant les messages entrants à la recherche de contenu, de liens et de pièces jointes suspects avant qu'ils n'arrivent dans votre boîte de réception. Cela permet de bloquer les e-mails malveillants même s'ils contournent les mesures de sensibilisation individuelles.
• Utilisation de solutions de sécurisation des e-mails basées sur le cloud : ces solutions basées sur le cloud s’intègrent directement à votre fournisseur de messagerie et offrent une protection en temps réel contre l’évolution des tactiques de spear phishing. Elles peuvent analyser le contenu des e-mails, les pièces jointes et le comportement de l’expéditeur à la recherche d’activités suspectes, ce qui constitue un niveau de défense supplémentaire.
• Activation du désarmement et de la reconstruction du contenu (CDR) : cette technologie permet d'éliminer les menaces potentielles des pièces jointes avant qu'elles n'arrivent dans votre boîte de réception. En rendant la pièce jointe inoffensive, elle élimine le risque d'infection par un logiciel malveillant, même si l'utilisateur clique sur une pièce jointe malveillante.
• Conduction régulière de tests de pénétration : les tests de pénétration, également connus sous le nom de « pen testing », simulent des cyberattaques afin d'identifier les vulnérabilités de votre système de messagerie et de votre dispositif de sécurité. Cette approche proactive peut aider à découvrir les faiblesses que les pirates pourraient exploiter pour des tentatives d'attaque par spear-phishing.
• Segmentation du réseau : la segmentation du réseau crée des zones isolées, ce qui rend plus difficile l'accès des pirates aux données sensibles, même s'ils pénètrent un seul point. Cela peut limiter les dommages potentiels causés par une attaque par spear-phishing réussie.