Si ce n’est pas votre première visite sur ce blog, vous savez probablement déjà ce qu’est le phishing. Si ce n’est pas le cas, jetez un œil à cet article. En résumé, il s’agit d’un type de fraude qui a pour but d’extraire des données personnelles : identifiants de connexion, mots de passe, numéros de portefeuilles, etc. C’est donc de l’ingénierie sociale numérique.
Il existe une variété du phishing appelée le spear phishing. Ce qui distingue le spear phishing des autres types de phishing, c’est qu’il cible une personne spécifique, ou les employés d’une entreprise spécifique.
Ce ciblage rend le spear phishing encore plus dangereux ; les cybercriminels rassemblent des informations sur la victime de manière méticuleuse pour que l' » appât » soit encore plus appétissant. Un e-mail de spear phishing bien fait peut être très difficile à distinguer d’un e-mail authentique. Le spear phishing permet donc de faire marcher la victime plus facilement.
Qui utilise le spear phishing et pourquoi ?
Deux motifs se cachent derrière le spear phishing : voler de l’argent et/ou des secrets. Dans les deux cas, la première chose à faire est d’entrer dans le réseau d’entreprise. L’approche habituelle consiste à envoyer des e-mails avec des documents ou des pièces jointes infectés. C’est par exemple comme cela que le groupe responsable des attaques Silence a opéré.
Un document peut être rendu nocif à l’aide de macros dans Microsoft Word ou de code JavaScript – ce sont de minuscules programmes sans fioritures intégrés dans des fichiers standard dans le seul but de télécharger des logiciels malveillants beaucoup plus sérieux sur l’ordinateur de la victime. Ce malware se répand alors sur le réseau cible ou intercepte simplement toutes les informations qu’il peut obtenir et aide ses créateurs à trouver ce qu’ils recherchent dans le réseau.
Le spear phishing n’est pas destiné aux petits escrocs qui tentent de lancer leur filet le plus loin possible. Ce genre de criminels n’a ni le temps ni les moyens de personnaliser ses armes.
Le spear phishing est un outil pour des attaques majeures contre les grandes entreprises, les banques ou les personnes influentes. Il est déployé dans de grandes campagnes APT comme Carbanak ou BlackEnergy. Le spear phishing a aussi été utilisé lors des attaques Bad Rabbit qui ont commencé par une infection par e-mail.
Qui sont les cibles ?
Les cibles les plus courantes du spear phishing sont soit des employés de haut niveau qui ont accès à des informations potentiellement intéressantes, soit les employés de départements dont le travail consiste à ouvrir un grand nombre de documents provenant de sources externes.
Prenons par exemple les ressources humaines. Ils reçoivent de nombreux CV dans toutes sortes de formats. Pour eux, recevoir des courriels avec des pièces jointes de sources inconnues n’est pas du tout surprenant ou suspect. Les relations publiques et les ventes sont également vulnérables, tout comme de nombreux autres secteurs.
Les services comptables se trouvent dans une zone à risque particulière. Pour commencer, ils sont en contact avec des sous-traitants, des régulateurs et Dieu sait qui d’autre. Et, bien sûr, ils travaillent avec de l’argent et des logiciels bancaires. Pour les hackers à la recherche de fonds, cela représente une tentation irrésistible.
Les espions, quant à eux, s’intéressent aux personnes ayant un accès interne aux systèmes – les administrateurs système et le personnel informatique.
Mais ne vous laissez pas berner en pensant que le spear phishing ne vise que les grandes entreprises. Les PME sont tout aussi intéressantes pour les intrus. Les grandes entreprises sont plus susceptibles d’être espionnées, mais les PME ont plus de risques d’être victimes de vols.
Mesures de protection contre le spear phishing
De manière générale les techniques les plus efficaces pour se prémunir contre le spear phishing sont à peu près les mêmes que pour les autres types de phishing. Lisez notre article avec 10 conseils pour une protection maximale contre cette menace. La seule différence, c’est que le spear phishing exige une approche encore plus précise.
Dans l’idéal, les courriels de phishing ne devraient même pas atterrir dans votre boîte aux lettres. Dans une infrastructure d’entreprise, ces messages devraient être filtrés au niveau du serveur de messagerie de l’entreprise. Des ensembles de logiciels spéciaux peuvent vous aider. Kaspersky Security for Mail Server, par exemple, utilise la technologie du cloud pour bloquer les pièces jointes malveillantes et les liens de phishing.
Cependant, pour de meilleurs résultats, vous devez avoir un système de sécurité à couches multiples. Après tout, il est possible en théorie (et en pratique) que les employés utilisent des services de courrier tiers ou reçoivent des liens de phishing via une messagerie instantanée. Il est donc préférable d’équiper les postes de travail d’une solution capable de détecter les activités malveillantes dans les applications que les attaquants utilisent habituellement. Kaspersky Endpoint Security for Business est l’une de ces solutions.