Spear Phishing (hameçonnage ciblé)

Envoyés par milliers, les emails de Phishing permettent aux criminels de se procurer vos données d’accès et mots de passe. La chance que de nombreux utilisateurs ne serait-ce que lisent ces messages falsifiés reste toutefois relativement faible. En revanche, une nouvelle variante d’escroquerie, le spear phishing, procède de manière beaucoup plus ciblée et se solde par de nombreux succès.

Le principe du phishing est relativement simple : les escrocs créent de faux emails, sites Web, voire parfois des SMS en apparence authentique demandant les informations de connexion des utilisateurs. Leur objectif est d’accéder à vos données d’accès de services d’achats en ligne, de réseaux sociaux ou de mémoires de stockage Cloud. Dans le pire des cas, ils peuvent obtenir vos numéros de cartes bancaires et cartes de crédit. Perfides, les criminels savent très bien que de nombreux internautes ne prennent pas la sécurité de leurs mots de passe très au sérieux et utilisent le même pour les services les plus divers et variés. Un simple site Web de phishing leur suffit donc à accumuler d’innombrables données sensibles. Ces informations valent très chères sur le marché noir.

Les escrocs utilisent cette technique pour copier des virus et autres programmes malveillants sur les ordinateurs des victimes et prendre ainsi le contrôle de leurs appareils. Inconsciente du danger, la victime pense avoir ouvert un e-mail inoffensif ou consulté un site Web sécurisé.

En contrôlant précisément les URL et l’expéditeur, vous éviterez de tomber dans le piège : le site Web malveillant ne se trouve pas sur le serveur que l’internaute pense utiliser. En appliquant certains principes de précaution, cela est très facile à détecter. Cependant, tout le monde ne fait pas toujours attention. Pour les criminels, le gain vient de la masse : le spam ne coûte quasiment rien aux expéditeurs.

Le spear phishing fonctionne de manière plus ciblée, définit très précisément ses victimes et élabore une tentative d’escroquerie sur mesure, en fonction des personnes sélectionnées. La plupart du temps, ces attaques s’en prennent à des entreprises et organisations. Bien souvent, les auteurs de ces variantes de phishing se distinguent des escrocs communs. Plutôt que de collecter n’importe quelle information et de la vendre au plus offrant sur le Darknet, ils définissent avec précision un certain type de victimes, dans le but de nuire à une entreprise ou une organisation concernée. Outre le vol de coordonnées bancaires, les scénarios d’attaque varient de l’espionnage industriel aux cyberattaques sur des cibles militaires ou sur l’infrastructure d’une région donnée.

En amont, les escrocs espionnent la cible et accumulent les informations leur permettant d’augmenter leur crédibilité. Ils rédigent ensuite un email sur mesure en veillant à le rendre le plus concret possible. L’expéditeur est alors souvent une personne prétendument en position d’autorité ou un partenaire commercial fictif. Le spear phishing fonctionne particulièrement bien au sein de larges entreprises internationales, dont les employés ne connaissent pas forcément l’organigramme dans son entier. Les victimes sont ainsi incitées à divulguer des données sensibles ou télécharger des logiciels malveillants.

Supposons qu’un escroc prenne pour cible une multinationale. Dans un premier temps, il essaiera d’accumuler le plus d’informations possible sur cette organisation : Quelle est la structure de l’entreprise ? Comment fonctionne la communication entre ses employés ? Dans quels domaines l’entreprise est-elle active ? Une liste de diffusion d’emails est également un élément important pour l’obtention des adresses nécessaires. Ceci dit, l’agresseur n’envoie pas d’email à toute l’entreprise : le risque d’être découvert et d’alerter l’entreprise de son action serait trop grand.

L’escroc envoie donc un email à quelques personnes choisies et s’adresse à elles personnellement. En parallèle, l’agresseur a collecté des informations détaillées sur ces personnes dans les réseaux sociaux. Pour la victime, le message est donc particulièrement réaliste. L’agresseur prétend envoyer l’email de la part d’un employé de rang supérieur d’une autre filiale. Le nom et l’adresse de l’expéditeur sont très faciles à falsifier et, à première vue, rien n’indique que le message provienne de quelqu’un d'autre.

Dans l’email, l’agresseur intègre un bouton conduisant la victime, en un clic, sur un site également falsifié. L’objectif réel de cette manipulation est masqué. Dès que l’utilisateur accède à ce site, le téléchargement d’un logiciel malveillant peut être lancé en arrière-plan. À mesure que celui-ci se propage sur l’ordinateur de la victime, l’escroc peut, dans certaines circonstances, espionner la totalité du réseau de l’entreprise.

À ce moment-là, la victime pense toujours avoir accédé à un site normal et y a peut-être déjà participé à un sondage. C’est ainsi que le virus peut se propager de manière inaperçue dans le réseau de l’entreprise et que l’agresseur en obtient l’accès sans affecter les processus critiques de l’entreprise.

Au mieux, les utilisateurs peuvent se protéger du spear phishing en appliquant une bonne dose de scepticisme. En n’ouvrant ni lien inconnu ni pièce jointe inattendue, vous évitez de devenir victime de ce genre d’attaques. Cependant, le problème reste que, à l’inverse d’emails d’hameçonnage classiques, ces agressions sont très bien faites. Alors que les spams habituels sont facilement reconnaissables à leurs fautes d’orthographe, leurs affirmations insensées en provenance de personnalités douteuses, les messages de spear phishing sont élaborés avec minutie. Ils sont sérieux et semblent réels.

Ce genre d’attaque exploite les faiblesses humaines, dont notamment la curiosité et la peur. La peur de manquer ou d’omettre quelque chose d’important nous fait parfois mettre notre scepticisme de côté et nous fait tomber dans le piège. C’est pourquoi les messages de spear phishing contiennent souvent des informations promettant des promotions ou dont le ton autoritaire laisse craindre des conséquences sévères en cas de non-respect.

Le spear phishing fonctionne uniquement lorsque l’agresseur trouve suffisamment d’informations sur sa victime. Les réseaux sociaux représentent des sources d’informations privilégiées. Il est donc important de ne pas trop y divulguer d’informations professionnelles. Les escrocs tentent d’obtenir des informations supplémentaires par ingénierie sociale. Il convient ici aussi de se montrer prudent : que votre interlocuteur semble digne de confiance ne suffit pas, vous ne devriez jamais divulguer de données sensibles à des inconnus.

Il est possible de détecter directement l’envoi de messages de personnes illégitimes. Dans le cas d’emails, il vaut la peine de bien observer l’adresse de l’expéditeur. En effet, le nom et l’adresse d’expédition prétendus peuvent avoir été falsifiés, mais l’adresse réelle se trouvera dans le protocole d’expédition de l’e-mail. De nombreux clients d’e-mails modernes, tels qu’Outlook, masquent la source au profit du nom d'affichage. Il reste cependant possible d’accéder (plus ou moins facilement) à l’en-tête de l’email. Si vous y découvrez une différence entre la source et les coordonnées de l’expéditeur supposé, le risque d’escroquerie est élevé.

Une autre mesure de sécurité dans le cadre d’échanges d’emails est de ne pas cliquer sur les liens HTML ni d’autoriser le téléchargement automatique d’images. Cela permet de prévenir l’accès de programmes malveillants à l’ordinateur de la victime lors de l’ouverture d’un message.

Il ne faut pas ouvrir de pièces jointes en provenance d’expéditeurs inconnus. Il est important de toujours contrôler l’identité de l’expéditeur. Même lorsque l’expéditeur semble sérieux, il ne faut jamais ouvrir les pièces jointes sans avoir, au préalable, communiqué avec lui. Même s’il vous semble connaître l’expéditeur, si ce dernier ne vous a pas prévenu de l’envoi de pièces jointes, ne les ouvrez pas. En effet, son ordinateur pourrait déjà avoir été infecté par un programme malveillant. En cas de doute, contactez l’expéditeur pour confirmer l’envoi de pièces jointes.

Il faut également se montrer méfiant envers les adresses de liens. Avant de cliquer sur un hyperlien, vous pouvez en détecter tout élément inhabituel. Les agresseurs peuvent déguiser une adresse de domaine par spoofing (usurpation d’URL). Avec un peu d'attention, cette ruse peut toutefois facilement être démasquée. Les adresses abrégées et, de ce fait, voilées, doivent être affichées dans leur forme initiale ou ignorées.