Phishing, spearphishing, des formes d’attaques de plus en plus sophistiquées !

Le phishing, une méthode qui consiste à tenter de recueillir des informations personnelles en utilisant des moyens trompeurs comme l’email et les sites web. Son but ? Faire croire au destinataire que le message envoyé est souhaité ou nécessaire : une demande de sa banque ou d’un collaborateur de son entreprise, et de cliquer sur un lien ou de télécharger une pièce jointe. Phish se prononce comme fish (poisson, en anglais). L’analogie est celle d’un pêcheur qui lance un hameçon appâté (l’email de phishing) et espère que quelques victimes mordent. Ce qui distingue vraiment le phishing, c’est que les attaquants se présentent comme une entité de confiance, souvent une personne réelle ou vraisemblablement réelle, ou une entreprise avec laquelle la victime pourrait être en contact ; il peut s’agir de votre patron, de votre banque ou d’une entreprise qui vous fournit un logiciel.

Le spearphishing (phishing avec une lance), souvent dissocié du phishing, peut se comparer à un pêcheur qui utilise un harpon pour chasser un grand poisson.  La spécificité de détail que le message arrive à présenter à une potentielle victime distingue ces deux types d’attaques. Alors qu’un message de phishing pur peut être envoyé à des milliers de personnes, sans personnalisation particulière, le spearphishing est beaucoup plus spécifique dans le ciblage proactif des destinataires et dans le contenu du message et est bien plus individualisé. Qui dit moins d’essais, mais bien plus ciblés, dit aussi taux de réussite bien plus haut ! Qu’est-ce qui rend possibles ces attaques (parfois très) précises et personnalisées ? La quantité de données à disposition des attaquants, venant généralement des réseaux sociaux, sites d’entreprise, ou autres sources publiquement accessibles…

L’une des attaques de phishing les plus connues de l’histoire s’est produite en 2016, lorsque des pirates informatiques russes ont réussi à obtenir le mot de passe du compte Gmail personnel du chef de la campagne présidentielle d’Hillary Clinton. La victime a reçu un email l’avertissant que quelqu’un avait son mot de passe et qu’il devait le changer immédiatement ; en cliquant sur le lien contenu dans l’email, il a été dirigé vers une fausse page de connexion où il a saisi ses identifiants.

Comment se familiariser avec les tentatives de phishing ou spearphishing ?

Une façon de se familiariser avec les techniques de phishing les plus communes est d’étudier les types d’emails les plus communs envoyés par les attaquants. Mailinblack vous donne 4 quelques exemples de phishing et spear-phishing :

La personne qui envoie ce message a préalablement trouvé un email de groupe publiquement disponible sur le site de l’entreprise. L’utilisation de cette liste pour cibler le message est assez intelligente. Cependant, le contenu du message révèle souvent un manque de compréhension du fonctionnement des logiciels malveillants de la part de l’attaquant.

Profitant du fait que personne ne veut manquer un bulletin de paie, les messages demandant une réinitialisation du mot de passe visent à tromper les personnes en révélant des données importantes ; souvent un nom d’utilisateur et un mot de passe que l’attaquant peut ensuite utiliser pour infiltrer le système ou le compte utilisateur.

L’escroc compte sur la cupidité et la crédulité du bénéficiaire. Cette thématique commune joue sur la nature humaine. Retenez que, si une offre semble trop belle pour être vraie, elle l’est probablement !

Cet email contient suffisamment d’informations spécifiques à la société ciblée pour faire réfléchir même les destinataires les plus avertis en matière de phishing. La clé pour ne pas se faire prendre au piège : connaître les processus de votre entreprise et être capable de repérer les anomalies.

Pensez à sécurisez votre messagerie des
attaques de phishing & spearphising !

Justine chouchoute la communication de Mailinblack ! Organisation d'événements et management de projets, c'est sa priorité :)