Qu’est-ce que le spear phishing (harponnage) ?

Le spear phishing, ou harponnage en français, est une forme de phishing très ciblée, conçue pour tromper des individus ou des organisations et les amener à révéler des informations sensibles.

Contrairement au phishing classique, qui est une approche large et non ciblée, le spear phishing est une attaque hautement personnalisée qui vise des personnes, des entreprises ou des rôles spécifiques au sein d’une organisation.

Le spear phisher commence par recueillir des informations détaillées sur la cible visée, souvent à l’aide de techniques d’ingénierie sociale. Il peut s’agir d’informations glanées dans des sources publiques telles que les réseaux sociaux, les sites web d’entreprises ou les publications du secteur.

Les informations peuvent porter sur l’expertise du destinataire, son rôle dans l’organisation, ses centres d’intérêt et les informations relatives à la fiscalité publique et résidentielle.

L’attaquant utilise ensuite ces informations pour élaborer une communication convaincante et apparemment légitime, généralement sous la forme d’un email, qui semble provenir d’une source de confiance, comme un partenaire commercial bien connu, un collègue ou un contact socialement important.

Ces détails spécifiques rendent l’email plus légitime et augmentent les chances que le destinataire clique sur des liens ou télécharge des pièces jointes.

Le spear phishing est une cyberattaque sophistiquée qui se déroule en plusieurs étapes :

1. Sélection de la cible : L’attaquant identifie et choisit une personne ou une organisation comme cible de l’attaque de spear phishing. Des motifs tels qu’un gain financier potentiel ou l’accès à des informations sensibles influencent le choix de la cible.
2. Reconnaissance : L’attaquant fait des recherches sur la cible afin de recueillir autant d’informations que possible. Il peut s’agir de fonctions, de relations de travail, d’intérêts personnels ou d’autres détails qui rendent l’attaque plus convaincante.
3. Création d’emails : À l’aide des informations recueillies, l’attaquant crée un email personnalisé ou un autre type de message qui semble provenir d’une source fiable. Il peut s’agir d’un collègue, d’un responsable ou d’une autre figure d’autorité connue de la cible. Le message contient généralement une raison impérieuse pour laquelle la cible doit agir immédiatement.
4. Appel à l’action : L’objectif principal de l’email de spear phishing est d’inciter la cible à effectuer une action spécifique. Il peut s’agir de cliquer sur un lien malveillant ou de télécharger une pièce jointe malveillante, deux actions qui peuvent conduire à l’installation d’un malware. L’email peut également demander au destinataire de fournir des informations sensibles telles que des identifiants de connexion, des données financières ou d’autres données personnelles.
5. Exploitation : Si la cible tombe dans le panneau et mord à l’hameçon, l’attaquant utilise l’accès ou les informations à des fins malveillantes. Il peut s’agir de voler des données sensibles, de commettre une fraude financière, de lancer d’autres attaques au sein de l’organisation, voire de faire de l’espionnage.
6. Effacer les traces : Après l’attaque, les cybercriminels tentent souvent d’en effacer les traces, comme les emails ou les journaux, afin d’éviter d’être détectés et de prolonger leur accès non autorisé.

La nature élaborée et ciblée des attaques de spear phishing en fait l’une des menaces de cybersécurité les plus efficaces et les plus dangereuses à l’heure actuelle. Les individus et les organisations doivent être conscients de ces tactiques et mettre en œuvre des mesures pour s’en prémunir.

Le spear phishing et le phishing classique présentent des similitudes, mais aussi des différences.

Tous deux incitent les utilisateurs ciblés à divulguer des informations sensibles, mais le spear phishing demande plus d’efforts de la part de l’attaquant. Le spear phishing nécessite une reconnaissance et une compréhension de l’utilisateur ciblé afin que les emails contiennent juste assez d’informations pour donner l’impression qu’ils proviennent d’un expéditeur légitime.

En général, les campagnes de phishing standard n’ont pas de cible spécifique. Dans la plupart des cas, un attaquant ratisse large en envoyant des milliers d’emails de phishing à une liste de contacts email.

Dans certaines attaques, le nom de domaine utilisé pour envoyer les messages malveillants ressemble au nom de domaine officiel. Par exemple, un pirate peut enregistrer le domaine « payypal.com » et l’utiliser pour faire passer l’expéditeur pour un officiel. Une autre stratégie de phishing utilise l’usurpation d’adresse email. L’usurpation utilise des serveurs de messagerie ouverts pour manipuler le domaine de l’expéditeur en « paypal.com », même si le message n’émane pas d’un employé légitime de PayPal.

Alors que le phishing standard est efficace pour les petits paiements, le spear phishing adopte une approche plus ciblée pour des gains plus importants. Il vise normalement les utilisateurs organisationnels à haut privilège, tels que les comptables, les employés des ressources humaines et les cadres de haut niveau.

Ces attaques nécessitent des recherches beaucoup plus approfondies sur l’organisation ou la personne ciblée afin de comprendre quels messages seront efficaces. Le phishing peut également être combiné à l’ingénierie sociale pour être plus efficace.

Le phishing utilise des messages beaucoup plus convaincants que les attaques standard. Par exemple, les attaquants qui prétendent être le PDG peuvent inciter les responsables financiers à envoyer de l’argent sur leurs comptes bancaires.

L’utilisation de fausses factures peut inciter les employés chargés des comptes fournisseurs à envoyer de l’argent à l’auteur de l’attaque. Pour voler des informations d’identification, un attaquant peut créer des messages qui donnent l’impression que les services informatiques demandent des informations.

Pour tromper les utilisateurs, les messages doivent sembler provenir d’une personne légitime que le destinataire connaît, c’est pourquoi l’ingénierie sociale peut également être utilisée.

Le spear phishing étant beaucoup plus ciblé, moins d’utilisateurs reçoivent les messages. Souvent, un attaquant fait des recherches sur l’organisation et crée des messages pour les quelques utilisateurs privilégiés sélectionnés comme cibles.

Les utilisateurs choisis sont généralement ceux qui figurent dans les organigrammes du site web de l’organisation ou dans les informations fournies par LinkedIn.

Une attaque de spear-phishing cible des personnes spécifiques, tandis que le « whaling », également connu sous le nom de fraude au PDG, fait référence à un attaquant qui cible un ou plusieurs cadres de niveau C.

Le terme « whaling » est un jeu de mots sur le mot « phishing » et a pour but d’évoquer la nature « gros poisson » des autorisations de compte à privilèges élevés d’un cadre. Ces attaques sont généralement plus élaborées, car les enjeux sont beaucoup plus importants.

Les cadres sont beaucoup plus susceptibles d’être victimes d’une attaque de spear phishing, et c’est donc une entreprise lucrative pour un acteur de la menace qui procède à une reconnaissance approfondie.

Les attaques de type whaling et spear phishing sont toutes deux plus adaptées et plus fouillées que les tentatives de phishing de masse non ciblées. La principale différence réside dans la cible de chaque type d’attaque.

Alors que le whaling cible des personnes très en vue comme les PDG, les directeurs financiers ou d’autres cadres d’entreprise, les petites et grandes entreprises peuvent être des cibles pour les acteurs de la menace et le spear phishing.

Les stratégies de whaling peuvent également faire appel à une ingénierie sociale sophistiquée dans le cadre d’attaques de grande envergure.

Par exemple, l’attaquant peut travailler avec un partenaire qui contacte le dirigeant pour rendre la menace plus convaincante pour l’utilisateur ciblé. Home Depot, Anthem, Target et JP Morgan ont tous été la cible d’attaques de type « whaling » et « spear phishing ». Epsilon a perdu 4 milliards de dollars à la suite d’une attaque de phishing ciblant les fournisseurs d’email.

Les dégâts ont été si importants que le coût de la réparation des dommages et des poursuites judiciaires en a fait l’un des plus gros paiements de cyber-attaque à ce jour.

Les attaques de spear phishing sont personnalisées et sophistiquées, exploitant les intérêts ou les habitudes d’une cible. Voici quelques exemples et tactiques à surveiller :

1. Intérêts communs : Un attaquant peut envoyer un email basé sur les intérêts publiquement connus de la cible. Par exemple, si Wade est un amateur de vin connu et qu’il est ami avec Bob, qui partage la même passion, un spear phisher pourrait envoyer un email suggérant de visiter la boutique en ligne du Domaine Maleficent, un site web usurpé ou compromis, en citant l’expérience positive de Bob. La capacité de l’attaquant à personnaliser l’email en fonction des centres d’intérêt du destinataire distingue le spear phishing des attaques de phishing génériques.
2. L’usurpation d’identité d’entreprises connues : Les cybercriminels se font souvent passer pour des entreprises connues telles que PayPal, Amazon, Google et Microsoft afin d’inspirer confiance. Ces marques ont des millions de clients qui peuvent être amenés à cliquer sur des liens malveillants contenus dans un email.
3. Arnaques à la loterie : Dans un autre cas, le pirate peut se faire passer pour Google ou Microsoft et prétendre que le destinataire a gagné à la loterie. L’email demande au destinataire d’envoyer une petite somme pour couvrir les frais d’envoi afin de recevoir le prix. Gmail filtre bien ces messages, mais les utilisateurs y répondent parfois à partir de leur boîte de réception de spam. Ces messages doivent être mis en quarantaine dans un environnement professionnel.

Certaines stratégies de spear-phishing populaires impliquent :

• Plaintes des clients : Le client peut se plaindre d’un achat récent, et le pirate se faisant passer pour un agent du service clientèle dirigera le destinataire vers un site web qui imite la page officielle de l’entreprise et l’invite à s’authentifier.
• Alertes de sécurité : Un faux message texte ou un email d’alerte concernant un compte bancaire compromis, encourageant le destinataire à cliquer sur un lien qui mène à une fausse page demandant une authentification.
• Usurpation d’identité d’un fournisseur : Le pirate se fait passer pour un vendeur légitime et informe le destinataire que son compte est sur le point d’expirer et qu’il doit cliquer sur un lien et s’authentifier.
• Demandes de charité : Les emails demandant de faire un don ou d’envoyer de l’argent à un groupe spécifique peuvent également être des tentatives de phishing.

Toute organisation, quelle que soit sa taille, peut être la cible d’un spear phishing. Les cybercriminels savent que les petites entreprises ont souvent moins de ressources en matière de cybersécurité, ce qui en fait des cibles attrayantes.

Dans de nombreuses tentatives de spear phishing, l’attaquant cible le service financier. Des attaquants ont ciblé une société américaine de technologie de réseau nommée Ubiquiti Networks et ont réussi à voler 46,7 millions de dollars en utilisant le spear phishing. Les attaquants se sont fait passer pour des cadres et ont convaincu le service financier de transférer de l’argent sur un compte bancaire offshore.

Dans un autre cas coûteux de spear phishing, le groupe cinématographique français Pathé a perdu 19,2 millions d’euros (environ 22 millions de dollars) dans un système de fraude électronique où de nombreux emails ont été envoyés depuis le compte personnel du PDG Marc Lacan. L’attaque a été menée après que des pirates ont réussi à utiliser un système de compromission d’emails professionnels pour cibler l’organisation.

Être un pionnier de la cybersécurité ne signifie pas que l’on soit à l’abri du spear phishing. RSA Security a été victime d’une attaque de spear phishing lorsqu’un employé a ouvert une feuille de calcul Excel contenant un objet Adobe Flash. L’objet Flash malveillant tirait parti d’une vulnérabilité Flash de type « zero-day » et installait une porte dérobée sur les ordinateurs locaux. Cette porte dérobée a permis aux attaquants d’accéder à des informations d’identification et a menacé la sécurité de contrats de défense tels que Lockheed Martin et Northrop Grumman.

Depuis 2020, les rapports sur le phishing et le spear phishing ont considérablement augmenté. Le Data Breach Investigations Report (DBIR) 2021 de Verizon indique que 74 % des organisations aux États-Unis ont subi une attaque de phishing réussie. 96 % de ces attaques ont été délivrées par email, ce qui fait de l’email le vecteur le plus courant du spear phishing.

Un rapport a souligné que le spear phishing était l’attaque la plus populaire parmi les acteurs de la menace, utilisée par 65 % de tous les groupes connus. Une étude de Norton a révélé qu’environ 88 % des organisations sont confrontées à des attaques de spear phishing au cours d’une année, ce qui indique que les entreprises sont ciblées par ces attaques presque tous les jours.

Le spear phishing est beaucoup plus ciblé, de sorte que des groupes actifs d’attaquants s’appuient sur lui pour le vol d’informations d’identification, les ransomwares et d’autres formes de gains financiers.

Ces groupes ont eu recours au spear phishing dans 65 % des cas. D’autres rapports suggèrent que le spear phishing devient rapidement plus populaire que le phishing standard. Des rapports de Proofpoint indiquent que 64 % des professionnels de la sécurité et 88 % des organisations ont subi une attaque de spear phishing sophistiquée. Bon nombre de ces attaques visaient la compromission de comptes, les malwares (par exemple, les ransomwares) et le vol de données.

Pour contrer efficacement les menaces de spear phishing, les entreprises doivent adopter une approche globale comprenant des solutions technologiques de pointe, une formation continue et une posture de sécurité proactive.

Voici un guide sur la manière de structurer ces stratégies et de prévenir les attaques de spear phishing :

1. Déployer des solutions avancées de protection des emails : Optez pour des solutions d’ analyse dynamique des malwares et de protection des emails qui utilisent l’analytique pour détecter les emails suspects. Ces solutions analysent activement les sites web de destination à la recherche d’activités malveillantes et simulent un système d’utilisateur réel, ce qui oblige les malwares à se révéler dans un environnement sandboxé. En effectuant un sandboxing lorsqu’un email suspect est délivré ou lorsque les utilisateurs cliquent sur une URL, vous pouvez améliorer la détection de ces menaces très ciblées.
2. Mettre en œuvre des programmes de formation à la sensibilisation à la sécurité : Comme le souligne une enquête d’Osterman Research, la plupart des décideurs en matière de sécurité préconisent une combinaison de formations de sensibilisation à la sécurité et de solutions technologiques. L’enquête a révélé que 37 % d’entre eux estiment que les solutions de phishing passent avant tout par une formation renforcée par la technologie, tandis que 44 % estiment que la formation et la technologie sont tout aussi importantes l’une que l’autre. Les meilleures simulations de formation imitent les techniques d’attaque du monde réel, en s’appuyant sur les tendances actuelles et les dernières informations sur les menaces.
3. Adopter une posture de sécurité centrée sur les personnes : Les attaquants ne considèrent pas votre organisation comme un diagramme de réseau. Déployez une solution qui permet de savoir qui est attaqué, comment il est attaqué et s’il a été victime de l’attaque. Prenez en compte le risque individuel de chaque utilisateur, notamment la manière dont il est ciblé, les données auxquelles il peut accéder et sa vulnérabilité aux attaques.
4. Mettre en œuvre la formation des utilisateurs et le signalement : Formez régulièrement les utilisateurs à repérer et à signaler les emails malveillants. Les simulations d’attaques de phishing permettent non seulement d’arrêter de nombreuses attaques, mais aussi d’identifier les personnes particulièrement vulnérables.
5. Investir dans des mesures de défense proactives : Partez du principe que les utilisateurs peuvent occasionnellement tomber dans le piège des tentatives de phishing. Investissez donc dans une solution capable d’identifier et de bloquer les menaces liées aux emails entrants avant qu’elles n’atteignent la boîte de réception de l’utilisateur.
6. Mise en œuvre des règles DMARC : Pour les administrateurs, la mise en place de règles DMARC (Domain-based Message Authentication, Reporting & Conformance) sur le serveur email peut empêcher les messages de phishing d’atteindre leurs destinataires.
7. Établir des procédures de vérification : Tout message demandant une transaction financière doit être vérifié, même si l’expéditeur semble être un employé ou un fournisseur légitime. Encouragez les employés à taper le domaine dans un navigateur et à s’authentifier à partir du site web officiel au lieu de cliquer sur les liens contenus dans un email.
8. Évitez de partager vos informations d’identification : Demandez aux utilisateurs de ne jamais communiquer leurs informations d’identification lors d’appels téléphoniques, de même que les administrateurs de réseau ne devraient jamais demander de mots de passe à leurs employés. Cette pratique est essentielle car l’ingénierie sociale est fréquemment utilisée dans les attaques de spear-phishing et de whaling.

En adoptant ces méthodes, vous pouvez établir une ligne de défense solide contre les attaques de phishing et protéger votre organisation contre les failles de sécurité potentielles.

Proofpoint propose une suite complète de produits et de services conçus pour aider les entreprises à se protéger contre les menaces de phishing.

• Proofpoint Email Protection : Cette solution peut aider à détecter, bloquer et répondre aux menaces dans les emails entrants. Elle fournit des défenses multicouches contre une variété de menaces, y compris le phishing et les malwares. Elle permet également de savoir qui est attaqué et comment, ce qui fournit des informations précieuses pour mieux comprendre et contrer les menaces.
• Proofpoint Advanced Threat Protection (ATP) : Ce service intègre plusieurs solutions de lutte contre les menaces avancées afin de fournir une protection efficace. Il s’appuie sur une approche de défense en profondeur combinant plusieurs mesures de sécurité pour prévenir, détecter et répondre aux attaques de phishing. La protection contre les menaces avancées de Proofpoint comprend, entre autres, le renseignement sur les menaces, le sandboxing et l’analyse prédictive.
• Proofpoint Targeted Attack Protection (TAP) : Cette solution innovante utilise des technologies avancées, notamment l’apprentissage automatique, pour détecter et bloquer les emails malveillants qui pourraient autrement échapper aux défenses traditionnelles. TAP offre une protection en temps réel contre les attaques ciblées, notamment le phishing et les ransomwares.
• Formation de sensibilisation à la sécurité de Proofpoint : Proofpoint croit en une approche de la cybersécurité centrée sur les personnes. Sa formation de sensibilisation à la sécurité sensibilise les employés aux dernières tendances en matière de menaces, y compris les simulations de spear-phishing, en les aidant à reconnaître et à signaler ces menaces. Un contenu régulier et attrayant permet aux utilisateurs de se tenir au courant de l’évolution du paysage des menaces.
• Simulation de phishing de Proofpoint : Les simulations de phishing de Proofpoint émulent les techniques d’attaque du monde réel, offrant une expérience pratique et concrète aux utilisateurs. Ces simulations aident à identifier les vulnérabilités potentielles au sein de votre organisation et constituent la base d’une formation ciblée, permettant aux utilisateurs de reconnaître et de signaler les tentatives de phishing.

En tirant parti de ces services et produits, les entreprises peuvent améliorer considérablement leur résilience face au phishing et à d’autres cybermenaces avancées.

Les solutions complètes et intégrées de Proofpoint offrent des défenses solides et visent à permettre aux entreprises de conserver une longueur d’avance sur les cybercriminels. Pour plus d’informations, contactez Proofpoint.