Qu'est-ce que le spear phishing (avec des exemples) et comment l'éviter

Les stratagèmes de phishing impliquent généralement qu'une victime soit amenée à divulguer des informations qui pourront ensuite être utilisées dans une sorte d'escroquerie. L'information est souvent recherchée via un email, un appel téléphonique ( phishing vocal ou vishing ), ou un message texte ( Phishing ou smishing par SMS ). Le phishing est un élément très courant dans de nombreux types d’escroqueries sur Internet qui peuvent cibler des milliers de personnes à la fois dans l’espoir d’en tromper une ou deux.

Le spear phishing est un type de phishing plus ciblé.L’agresseur connaît généralement déjà certaines informations sur la cible avant d’agir. Si l’on considère le nombre de détails personnels que quelqu’un pourrait découvrir sur vous sur Internet de nos jours, il n’est vraiment pas si difficile pour quelqu’un de se faire passer pour une partie de confiance et de vous inciter à lui transmettre des informations supplémentaires.

Heureusement, si vous êtes au courant de ces types d’escroqueries et savez à quoi vous méfier,vous pouvez éviter de devenir la prochaine victime. Avant d’entrer dans les détails, voici un bref aperçu, au cas où vous seriez pressé.

En bref:

Qu’est-ce qu’une attaque de spear phishing ?

• Le spear phishing est une forme ciblée d'attaque de phishing qui consiste à inciter un individu ou une entreprise à divulguer des informations pouvant être utilisées dans le cadre d'une escroquerie.
• L'attaquant dispose généralement déjà de certaines informations sur la victime ciblée qu'il peut utiliser pour la tromper et lui faire divulguer des informations plus précieuses, telles que les détails de paiement.

Dans cet article, nous aborderons plus en détail ce qu’est le spear phishing et fournirons quelques exemples de stratagèmes de phishing. Nous vous proposerons ensuite quelques conseils pour vous aider à ne pas vous faire surprendre.

Qu’est-ce que le spear phishing ?

Comme mentionné précédemment, le spear phishing est une forme ciblée de phishing. Presque toutes les escroqueries en ligne commencent par une forme de phishing, mais bon nombre de ces tentatives ciblent au hasard un large public. Par exemple, vous pourriez recevoir un e-mail vous informant que vous êtes sur le point de recevoir de l’argent, mais il vous suffit d’abord de fournir quelques informations personnelles. Il s’agit d’une forme de phishing, mais elle n’est pas ciblée.

Dans une tentative de spear phishing,un agresseur a besoin de connaître certains détails sur la victime. En utilisant ces informations, le fraudeur vise à inspirer confiance à la victime et à aller aussi loin que possible dans l'arnaque. Alors, où trouvent-ils ces détails ? Celles-ci pourraient être obtenues à partir d’une précédente tentative de phishing, d’un compte piraté ou de tout autre endroit où ils pourraient trouver des données personnelles. Les réseaux sociaux, en particulier, constituent une source d’informations concernant à la fois les particuliers et les entreprises.

Les tentatives de spear phishing peuvent prendre de nombreuses formes différentes. Certains essaient de vous faire cliquer sur un lien qui pourrait mener vers un site Web qui télécharge des logiciels malveillants (par exemple, un ransomware), un faux site Web qui demande un mot de passe ou un site contenant des publicités ou des trackers. D'autres tentatives de phishing peuvent vous demander de fournir votre numéro de sécurité sociale, de transmettre des informations de carte de crédit ou bancaires, ou simplement d'envoyer de l'argent.

Attaques contre des individus

Sur le plan personnel, les fraudeurs peuvent se faire passer pour une entreprise en qui vous avez confiance, par exemple une banque ou un magasin dans lequel vous avez fait des achats. Ils pourraient vous proposer des offres intéressantes, vous dire que vous devez ou qu'on vous doit de l'argent, ou qu'un compte est sur le point d'être gelé. Ils pourraient même prétendre être une personne que vous connaissez, directement ou indirectement. Par exemple, vous faire passer pour quelqu'un qui a fréquenté votre ancienne école ou qui est membre de votre groupe religieux pourrait vous inciter à vous ouvrir.

Attaques contre des entreprises

Le spear phishing est également une forme d’attaque très courante contre les entreprises. Parce qu’il est très ciblé, le spear phishing est sans doute le type d’attaque de phishing le plus dangereux. Selon État du phishing 2020 de Proofpoint (PDF), 65 % des entreprises américaines ont été victimes d'attaques de phishing réussies en 2019. De plus, Rapport d'enquête sur les violations de données 2020 de Verizon a constaté que le phishing est impliqué dans 22 % des violations de données, soit plus que toute autre forme d'action de menace.

UN Rapport 2017 d'IRONSCALES a révélé que le spear phishing est de plus en plus désigné au laser, avec 77 % des e-mails ciblant dix boîtes aux lettres ou moins. De plus, l’étude a révélé queun tiers des attaques ciblaient une seule boîte aux lettres.

Une escroquerie courante par spear phishing dans les entreprises implique que l'escroc se fasse passer pour un dirigeant de l'entreprise et demande à un employé sans méfiance de virer de l'argent sur un compte appartenant au fraudeur. C'est ce qu'on appelle souvent la « chasse à la baleine » et il s'agit d'un type de Fraude au PDG . Alors que les fraudeurs ciblent les entreprises de toutes tailles, les attaques contre les petites entreprises deviennent de plus en plus populaires.

Exemples de spear phishing

Des tentatives de spear phishing ont été utilisées pour escroquer des particuliers et des entreprises de plusieurs millions de dollars. Ils peuvent également causer des dommages dans d’autres domaines, comme voler des informations secrètes à des entreprises ou provoquer un stress émotionnel chez les individus.

Les fraudeurs profitent souvent du climat actuel et des événements récents pour créer leurs leurres de phishing. Par exemple, la pandémie de coronavirus a donné lieu à de nombreux projets centrés sur avantages gouvernementaux et opportunités d'emploi .

Voici quelques exemples d’attaques de spear phishing réussies.

Tentatives de spear phishing ciblant les entreprises

Les fraudeurs ciblent constamment les entreprises, mais voici quelques exemples d’attaques très médiatisées.

Réseaux Ubiquiti Inc.

En 2015, cette entreprise remis plus de 40 millions de dollars dans une escroquerie de spear phishing impliquant une fraude au PDG. Des courriels apparemment envoyés par des cadres supérieurs incitaient les employés à envoyer des fonds depuis une filiale de Hong Kong vers des comptes appartenant à des tiers. Les emails provenaient en réalité des fraudeurs et les comptes tiers leur appartenaient.

Franklin, Massachusetts

Lors d'une récente arnaque, la ville de Franklin, Massachusetts, victime à une attaque de phishing et a perdu plus de 500 000 $ à cause d'escrocs. Les fraudeurs ont persuadé un employé de la ville de fournir des informations de connexion sécurisées. Les criminels ont ensuite pu utiliser ces informations pour voler les fonds.

Épsilon

Cette société de marketing en ligne a été ciblée en 2011 dans le cadre d'une système pour récolter les informations d'identification des clients , éventuellement pour être utilisé dans d'autres tentatives de spear phishing.

Les rapports indiquent que les e-mails de spear phishing pourraient contenir un lien vers un site téléchargeant des logiciels malveillants, qui à leur tour désactivaient le logiciel antivirus, fournissaient un accès au système à distance et pouvaient être utilisés pour voler des mots de passe. Ces e-mails étaient envoyés à différentes sociétés de marketing, mais ciblaient toujours les employés responsables des opérations de messagerie.

Fondation Frontière Electronique

En 2015, les escrocs ont utilisé le couvert de confiance de l'Electronic Frontier Foundation (EFF) pour diriger les victimes vers un faux site (Electronicfrontierfoundation.org). Il a été utilisé pour distribuer des enregistreurs de frappe et d'autres logiciels malveillants, mais l'EFF a depuis pris le contrôle du domaine .

Il redirige désormais simplement vers un article de blog EFF détaillant l’arnaque.

RSA

La société de sécurité RSA était ciblé par un spear phishing réussi tentative début 2011. Deux groupes au sein de l’entreprise ont reçu des courriels de spear phishing simplement intitulés « Plan de recrutement 2011 ». Bien que les e-mails aient été marqués comme courrier indésirable, un employé a ouvert une pièce jointe à un e-mail, ce qui a finalement conduit à l'installation d'une forme de logiciel malveillant sur l'ordinateur. Le malware a donné à l'attaquant un accès à distance et la possibilité de voler des données sensibles.

Alcoa

L'armée chinoise a été accusé de plusieurs spear phishing tentatives visant à voler des secrets commerciaux à des entreprises américaines. L’une d’entre elles visait l’entreprise d’aluminium Alcoa. En 2008, on soupçonne que des pirates informatiques ont contacté 19 cadres supérieurs d’Alcoa par courrier électronique, se faisant passer pour un membre du conseil d’administration de l’entreprise. Une fois ouvert, le courrier installait des logiciels malveillants sur les ordinateurs des destinataires, entraînant le vol de près de 3 000 e-mails et plus de 800 pièces jointes.

Tentatives de spear phishing ciblant des individus

Même si les entreprises subissent d’énormes pertes dues à ces attaques, tant directement qu’indirectement, l’impact sur un individu peut être encore plus grave. Prenez, par exemple, l’histoire troublante d’un utilisateur de Reddit que nous avons interviewé pour un article précédent.

Elle était ciblé par un criminel qui a utilisé l'ingénierie sociale pour lui faire transmettre un mot de passe à un compte de messagerie. Cela a finalement conduit l'escroc à s'emparer de plusieurs comptes de réseaux sociaux et de messagerie électronique et à faire chanter la victime avec le contenu.

Cette arnaque a été particulièrement préjudiciable sur le plan émotionnel, alors que d’autres sont purement motivées par des raisons financières. Certains programmes de spear phishing à plus grande échelle frappent les utilisateurs de grandes entreprises, comme ceux ci-dessous :

Pay Pal

Les utilisateurs de PayPal semblent être la cible d'innombrables tentatives de phishing générales . Le grand nombre d’utilisateurs signifie que les e-mails généraux de masse auront plus de chances de succès. Cependant, certains utilisateurs de PayPal ont été touchés par des e-mails de spear phishing plus ciblés. Ceux-ci en fait s'adresser au client par son nom , ce qui les rend plus légitimes que votre e-mail de phishing standard.

Amazone

Amazon est une autre entreprise qui compte tellement d’utilisateurs que les chances d’en attraper un via une tentative de phishing générale en valent la peine. Mais les utilisateurs d’Amazon doivent également se méfier des attaques de spear phishing. UN énorme attaque ciblée s'est produit en 2015 lorsque jusqu'à 100 millions d'e-mails ont été envoyés aux clients Amazon ayant récemment passé une commande.

Les e-mails semblaient réels, avec le titre « Votre commande Amazon.com a été expédiée », suivi d'un code de commande. Mais au lieu d’un message, l’e-mail ne contenait qu’une pièce jointe. L'ouverture de la pièce jointe a finalement conduit certains destinataires à installer Rançongiciel Locky , qui impliquait une rançon Bitcoin.

Autres exemples courants d’escroquerie par spear phishing

Outre ces cas spécifiques, voici quelques exemples de scénarios plus généraux que vous pourriez rencontrer. Cestous utilisent des informations qui pourraient être glanées dans les publications sur les réseaux sociaux, surtout si vous avez tendance à divulguer des informations sur l'endroit où vous magasinez, mangez, effectuez vos opérations bancaires, etc.

• Un e-mail provenant d'une boutique en ligne concernant un achat récent. Il peut inclure un lien vers une page de connexion sur laquelle l'escroc récupère simplement vos informations d'identification.
• Un appel téléphonique automatisé ou un SMS de votre banque indiquant que votre compte a peut-être été piraté. Il vous indique d'appeler un numéro ou de suivre un lien et de fournir des informations pour confirmer que vous êtes le véritable titulaire du compte.
• Un e-mail indiquant que votre compte a été désactivé ou est sur le point d'expirer et que vous devez cliquer sur un lien et fournir vos informations d'identification. Cas impliquant Pomme et Netflix était récent des exemples sophistiqués de ce type d’arnaque.
• Un e-mail demandant des dons à un groupe religieux ou à un organisme de bienfaisance associé à quelque chose dans votre vie personnelle.

Lorsque l’on réfléchit à la quantité d’informations que l’on peut trouver sur les réseaux sociaux, il est facile de comprendre comment quelqu’un pourrait rapidement gagner votre confiance en énonçant simplement un intérêt commun ou en se faisant passer pour une entreprise avec laquelle vous avez une histoire.

Comment éviter les escroqueries par spear phishing

Certaines statistiques plutôt inquiétantes ont émergé d'une étude Intel de 2015, qui a révélé 97 pour cent des gens étaient incapables pour identifier les e-mails de phishing. En effet, dans le secteur de la cybersécurité, le principal conseil pour prévenir les tentatives réussies de spear phishing est l’éducation.

Dans cette section, nous vous proposerons des conseils pouraider les particuliers et les entreprisesse protéger contre ces escroqueries. Nous y reviendrons plus en détail ci-dessous, mais vous trouverez ci-dessous une liste de mesures concrètes que vous pouvez prendre pour lutter contre les tentatives réussies de spear phishing.

Voici comment prévenir les attaques de spear phishing :

1. Accroître la sensibilisation
2. Utiliser des outils de défense
3. Attention aux faux e-mails
4. Évitez de cliquer sur les liens et les pièces jointes
5. Méfiez-vous des sites de phishing
6. Évitez d'envoyer des informations personnelles
7. Vérifier les demandes suspectes
8. Utilisez des mots de passe forts et un gestionnaire de mots de passe

Examinons maintenant de plus près chacune de ces étapes.

1. Augmenter la sensibilisation

Comme pour toute arnaque, l’un des meilleurs moyens de l’éviter est de prendre conscience de la manière dont l’arnaque se déroule. Partager ces informations avec vos amis, votre famille et vos collègues peut les empêcher de devenir également des victimes.

Vous pouvez vous tenir au courant de ces sujets en lisant des blogs comme le nôtre ainsi que ceux des principaux fournisseurs de logiciels de sécurité, tels que McAfee et Norton.

Si vous êtes propriétaire d'une entreprise, c'estcrucial pour garantir que vos employés sont forméssur le thème des attaques de phishing, en particulier du spear phishing.

Pour les entreprises, vous pouvez effectivement faites un test gratuit àvoyez à quel point vos employés sont « sujets au phishing ». Sur la base de ces résultats, vous pouvez décider de la meilleure marche à suivre pour améliorer la formation et empêcher les tentatives de phishing réussies.

Des sociétés comme Cofense, KnowBe4 et Webroot fournissent formation de sensibilisation à la sécurité pour aider à prévenir de telles attaques. En fait, les entreprises dépensent au total plus d'un milliard de dollars chaque année sur ce type de formation.

2. Utiliser des outils de défense

Même si l'éducation et la sensibilisation comptent parmi les meilleures défenses disponibles, les outilssontdisponible pour vous aider à vous défendre contre les attaques de phishing. Ceux-ci sont particulièrement utiles pour les entreprises où les enjeux sont importants en cas de succès. L'un des outils utiles disponibles est Cofense (anciennement PhishMe) .

Pour les particuliers, les principaux fournisseurs de messagerie intensifient leur jeu en matière de tactiques anti-phishing. Avec l'aide detechniques d'apprentissage automatique, Gmail prétend bloquer 99,9% de spams.

3. Faites attention aux faux e-mails

Nous avons tout un article dédié au repérage des emails de phishing , mais voici les principaux points à retenir :

• Ne faites pas confiance aux noms affichés car ceux-ci peuvent être tout ce qu’un escroc veut qu’ils soient.
• Recherchez les faux domaines de messagerie ; ce seront souvent des versions légèrement différentes de la réalité.
• Regardez le logo et d'autres images ; les images basse résolution peuvent être révélatrices.
• Examinez attentivement les liens en survolant le texte du lien (sans cliquer). Un lien différent de celui contenu dans le texte du lien est le signe d’un lien malveillant.
• Attention aux mauvaises orthographes et grammaires , car cela peut être un signe révélateur qu’il ne s’agit pas d’un message légitime.

Les e-mails et les messages de spear phishing sont très ciblés. Cela vaut donc la peine de la part du criminel de passer du temps à les faire passer pour de vrais. Ils deviennent donc de plus en plus sophistiqués et difficiles à repérer. Vous devrez peut-être effectuer plusieurs vérifications et même dans ce cas, toutes les bases pourraient être couvertes.

4. Évitez de cliquer sur les liens et les pièces jointes

Comme mentionné précédemment, les liens peuvent mener vers des sites Web contenant des logiciels malveillants, des publicités spammées et des trackers. De même, une pièce jointe peut contenir des virus ou des logiciels malveillants et ne doit jamais être ouverte à moins que vous ne soyez absolument sûr de la source.

Certains e-mails ne contiendront qu’un lien ou une pièce jointe sans autre message, ciblant éventuellement la curiosité du lecteur pour l’inciter à cliquer.

Le meilleur conseil ? Ne cliquez simplement pas sur les liens ou les pièces jointes si vous avez des soupçons.

5. Méfiez-vous des sites de phishing

Si vous cliquez sur un lien dans un e-mail et que vous finissez par accéder à un site Web, vous pouvez effectuer quelques vérifications pour détecter un imposteur. Encore une fois, nous avons tout un article dédié à la détection des faux sites Web , mais voici les principaux indicateurs :

• Vérifiez l'URL pour voir si cela correspond à ce qui est sur la page.
• Rechercher un certificat SSL/TLS (un symbole de cadenas vert et/ou « https » dans la barre d'adresse).
• Recherchez une page de navigation ou un pied de page , y compris une page « À propos », une politique de confidentialité, des conditions d'utilisation ou de service et des coordonnées.
• Vérifiez l'orthographe et la grammaire ; comme pour les e-mails, une mauvaise rédaction peut être le signe d’un faux site.
• Méfiez-vous des affirmations « trop belles pour être vraies » ; ils ne sont souvent que cela.
• Rechercher des avis ailleurs sur des entreprises inconnues.
• Vérifiez les droits d'auteur est à jour; sinon, c'est probablement un faux site.

Dans d'autres cas, cliquer sur un lien peut simplement vous amener à une page vierge. Si vous avez cliqué sur un lien et soupçonnez qu'un logiciel malveillant a peut-être été téléchargé, divers outils peut le détecter et le supprimer.

6. Évitez d'envoyer des informations personnelles

Les entreprises légitimes demandent très rarement des informations personnelles par courrier électronique. Si vous recevez un e-mail ou un SMS vous demandant de fournir des détails tels que votre adresse, votre numéro de sécurité sociale ou vos informations bancaires dans le corps de l'e-mail ou du SMS, il s'agit très probablement d'une tentative de phishing.

Un véritable e-mail fournira généralement l'adresse d'un site auquel accéder (sans lien), un lien sur lequel cliquer ou un numéro à appeler. Garder à l'esprit,tous ces scénarios pourraient également être des tactiques de phishing plus sophistiquées, cela devrait donc être vérifié (plus de détails ci-dessous).

7. Vérifiez les demandes suspectes

Si vous avez des soupçons concernant un e-mail ou un autre message, ne visitez pas le site et n’appelez pas le numéro fourni. Si vous pensez qu’il peut être authentique mais n’en êtes pas sûr, vous pouvez d’abord essayer de le vérifier.

Une façon de procéder consiste simplement à lancer une recherche sur l’e-mail ou le numéro de téléphone fourni. S’il s’agit d’une arnaque connue, il y a de fortes chances que vous voyiez des résultats le dire.

Une autre méthode de vérification, plus fiable, consiste simplement à appeler ou à envoyer un e-mail à l’entreprise pour vérifier s’il s’agit d’une demande réelle. Cependant, vous devriezcontacter l'entreprise via un numéro de téléphone ou un e-mail depuis son site Web actuel,pasles coordonnées trouvées dans le courriel.

8. Utilisez des mots de passe forts et un gestionnaire de mots de passe

Si vous pensez avoir été victime d'une tentative de phishing ou si vous en êtes informé (par une source définitivement fiable), vous devriez alors envisager de changer votre mot de passe. Utiliser un un mot de passe fort est important car cela peut aider à prévenir d'autres attaques telles que attaques par force brute .

Si la mémorisation des mots de passe semble trop difficile, un gestionnaire de mots de passe peut vous aider. Un autre avantage de ces outils est qu'ilspeut vous aider à détecter un site de phishing par défaut. Les gestionnaires de mots de passe fonctionnent en remplissant automatiquement vos informations sur les sites connus, ils ne fonctionneront donc pas sur des domaines inconnus (y compris faux). Ce n’est pas quelque chose sur lequel il faut s’appuyer, mais cela peut servir de sauvegarde.

Si jamais on vous demande de modifier un mot de passe, ne suivez jamais le lien contenu dans l’e-mail ou le SMS. Accédez directement au site Web et modifiez-le ici. De cette façon, vous savez si le message est légitime ou non.

Voir également:

• Liste de plus de 70 escroqueries courantes
• Escroqueries par phishing courantes