Les nouvelles sont pleines de rapports sur les «attaques de spear-phishing» utilisées contre les gouvernements, les grandes entreprises et les militants politiques. Selon de nombreux rapports, les attaques de spear-phishing sont désormais le moyen le plus courant de compromettre les réseaux d’entreprise.
Le harponnage est une forme de phishing plus récente et plus dangereuse. Au lieu de lancer un large filet dans l’espoir d’attraper quoi que ce soit, le spear-phisher lance une attaque prudente et la vise à des personnes individuelles ou à un département spécifique.
Phishing expliqué
Le phishing consiste à se faire passer pour une personne de confiance pour essayer d’acquérir vos informations. Par exemple, un hameçonnage peut envoyer des spams prétendant provenir de Bank of America vous demandant de cliquer sur un lien, de visiter un faux site Web de Bank of America (un site d’hameçonnage) et de saisir vos coordonnées bancaires.
Le phishing ne se limite cependant pas aux e-mails. Un phisher peut enregistrer un nom de chat comme «Skype Support» sur Skype et vous contacter via des messages Skype, en disant que votre compte a été compromis et qu’il a besoin de votre mot de passe ou de votre numéro de carte de crédit pour vérifier votre identité. Cela a également été fait dans les jeux en ligne, où les escrocs se font passer pour des administrateurs de jeux et envoient des messages demandant votre mot de passe, qu’ils utiliseraient pour voler votre compte. Le phishing peut également se produire par téléphone. Dans le passé, vous avez peut-être reçu des appels téléphoniques prétendant être de Microsoft et disant que vous aviez un virus que vous devez payer pour le supprimer.
Les hameçonneurs lancent généralement un filet très large. Un e-mail de hameçonnage de Bank of America peut être envoyé à des millions de personnes, même à des personnes qui n’ont pas de compte Bank of America. Pour cette raison, le phishing est souvent assez facile à repérer. Si vous n’avez pas de relation avec Bank of America et recevez un e-mail prétendant être de leur part, il devrait être très clair que l’e-mail est une arnaque. Les hameçonneurs dépendent du fait que, s’ils contactent suffisamment de personnes, quelqu’un finira par tomber dans le piège de leur arnaque. C’est la même raison pour laquelle nous avons toujours des spams – quelqu’un doit tomber amoureux d’eux ou ils ne seraient pas rentables.
Jetez un œil à l’anatomie d’un e-mail de phishing pour plus d’informations.
En quoi le Spear Phishing est différent
Si le phishing traditionnel consiste à jeter un large filet dans l’espoir d’attraper quelque chose, le spear phishing consiste à cibler soigneusement une personne ou une organisation spécifique et à adapter l’attaque à lui personnellement.
Bien que la plupart des e-mails de phishing ne soient pas très spécifiques, une attaque de spear-phishing utilise des informations personnelles pour donner l’impression que l’arnaque est réelle. Par exemple, plutôt que de lire « Cher Monsieur, veuillez cliquer sur ce lien pour une richesse et une richesse fabuleuses », l’e-mail peut dire « Bonjour Bob, veuillez lire ce plan d’affaires que nous avons rédigé lors de la réunion de mardi et dites-nous ce que vous en pensez. » L’e-mail peut sembler provenir d’une personne que vous connaissez (éventuellement avec une adresse e-mail falsifiée, mais éventuellement avec une adresse e-mail réelle après que la personne a été compromise dans une attaque de phishing) plutôt que de quelqu’un que vous ne connaissez pas. La demande est rédigée avec plus de soin et semble être légitime. L’e-mail peut faire référence à une personne que vous connaissez, à un achat que vous avez effectué ou à une autre information personnelle.
Les attaques de spear-phishing sur des cibles de grande valeur peuvent être combinées avec un exploit zero-day pour un maximum de dégâts. Par exemple, un escroc pourrait envoyer un e-mail à une personne d’une entreprise en particulier en lui disant «Bonjour Bob, pourriez-vous jeter un œil à ce rapport d’activité? Jane a dit que vous voudriez nous faire part de vos commentaires. » avec une adresse e-mail d’apparence légitime. Le lien peut aller vers une page Web avec du contenu Java ou Flash intégré qui profite du jour zéro pour compromettre l’ordinateur. (Java est particulièrement dangereux, car la plupart des gens ont installé des plug-ins Java obsolètes et vulnérables.) Une fois l’ordinateur compromis, l’attaquant pourrait accéder à son réseau d’entreprise ou utiliser son adresse e-mail pour lancer des attaques ciblées de spear-phishing contre d’autres personnes dans le organisation.
Un escroc peut également joindre un fichier dangereux déguisé pour ressembler à un fichier inoffensif. Par exemple, un e-mail de spear-phishing peut contenir un fichier PDF qui est en fait un fichier .exe en pièce jointe.
Qui a vraiment besoin de s’inquiéter
Des attaques de spear-phishing sont utilisées contre de grandes entreprises et des gouvernements pour accéder à leurs réseaux internes. Nous ne connaissons pas toutes les entreprises ou tous les gouvernements qui ont été compromis par des attaques réussies de spear-phishing. Les organisations ne divulguent souvent pas le type exact d’attaque qui les a compromises. Ils n’aiment même pas admettre qu’ils ont été piratés du tout.
Une recherche rapide révèle que des organisations telles que la Maison Blanche, Facebook, Apple, le département américain de la Défense, le New York Times, le Wall Street Journal et Twitter ont probablement toutes été compromises par des attaques de spear-phishing. Ce ne sont là que quelques-unes des organisations dont nous savons qu’elles ont été compromises – l’ampleur du problème est probablement beaucoup plus grande.
Si un attaquant veut vraiment compromettre une cible de grande valeur, une attaque de spear-phishing – peut-être combinée à un nouvel exploit zero-day acheté sur le marché noir – est souvent un moyen très efficace de le faire. Les attaques de spear-phishing sont souvent mentionnées comme la cause de la violation d’une cible de grande valeur.
Protégez-vous contre le Spear Phishing
En tant qu’individu, vous êtes moins susceptible d’être la cible d’une attaque aussi sophistiquée que les gouvernements et les grandes entreprises. Cependant, les attaquants peuvent toujours tenter d’utiliser des tactiques de spear-phishing contre vous en incorporant des informations personnelles dans des e-mails de phishing. Il est important de comprendre que les attaques de phishing sont de plus en plus sophistiquées.
En matière de phishing, vous devez être vigilant. Gardez votre logiciel à jour afin d’être mieux protégé contre les risques de compromission si vous cliquez sur des liens dans les e-mails. Soyez très prudent lorsque vous ouvrez des fichiers joints à des e-mails. Méfiez-vous des demandes inhabituelles d’informations personnelles, même celles qui semblent légitimes. Ne réutilisez pas les mots de passe sur différents sites Web, juste au cas où votre mot de passe sortirait.
Les attaques de phishing tentent souvent de faire des choses que les entreprises légitimes ne feraient jamais. Votre banque ne vous enverra jamais de courrier électronique et ne vous demandera jamais votre mot de passe, une entreprise auprès de laquelle vous avez acheté des produits ne vous enverra jamais de courrier électronique et ne vous demandera jamais votre numéro de carte de crédit, et vous ne recevrez jamais de message instantané d’une organisation légitime vous demandant votre mot de passe ou d’autres informations sensibles. Ne cliquez pas sur les liens dans les e-mails et ne donnez pas d’informations personnelles sensibles, aussi convaincantes que soient les e-mails de phishing et le site de phishing.
Comme toutes les formes de phishing, le spear-phishing est une forme d’attaque d’ingénierie sociale contre laquelle il est particulièrement difficile de se défendre. Tout ce qu’il faut, c’est qu’une personne commette une erreur et les attaquants auront établi un pied-à-terre dans votre réseau.
Crédit d’image: Florida Fish and Wildlife sur Flickr