Le spear phishing? On pourrait penser qu’il s’agit d’un sport extrême ou d’un passe-temps de l’âge d’or. Rien de cela.
En fait, le spear phishing est une technique d’ingénierie sociale de plus en plus populaire – une forme de manipulation psychologique destinée à inciter les utilisateurs en ligne à commettre des erreurs de sécurité.
Mais n’ayez crainte ! Dans ce blog, nous allons couvrir tout ce que vous devez savoir sur le spear phishing. Comment vous en protéger, vous ou vos clients, ainsi que tout ce que vous devez savoir !
Commençons par le commencement :
Qu’est-ce que le phishing ?
Les attaques de phishing (traduit par “hameçonnage”) font partie des attaques d’ingénierie sociale les plus courantes.
Le phishing consiste à manipuler des courriels ou des messages texte avec un grand groupe de victimes, dans le but de les inciter à partager des données ou des informations, ou à ouvrir des pièces jointes infectées par des logiciels malveillants.
Un autre type d’attaque par hameçonnage est appelé “vishing”. Il s’agit du même type d’attaque, mais par téléphone.
Qu’est-ce que le spear phishing ?
Le spear phishing (littéralement “hameçonnage par harponnage”) est un type d’attaque par hameçonnage, mais qui est plus adapté à sa victime, ce qui le rend plus difficile à repérer et à protéger.
Au lieu d’un groupe de victimes aléatoires, le coupable identifie et cible délibérément ses victimes spécifiques – souvent des employés d’une même entreprise – et adapte son e-mail en y ajoutant des détails destinés à renforcer la crédibilité et à réduire les soupçons.
À quoi ressemblent les e-mails de phishing ?
Il n’existe pas de modèle d’e-mail spécifique auquel tous les e-mails de phishing se conforment, sinon ils seraient très faciles à repérer.
Cependant, les courriels de phishing semblent souvent provenir d’une personne qui travaille dans votre entreprise, ce qui vous permet de ne pas douter de leur crédibilité.
Si ce n’est pas l’entreprise dans laquelle vous travaillez, c’est une entreprise que vous connaissez et à laquelle vous faites confiance, et dont il ne serait pas étrange de recevoir un e-mail. Les e-mails de spear phishing semblent souvent provenir de votre banque, d’une plateforme de réseaux sociaux, d’une application de paiement en ligne ou d’autres sites Web utilisés par une grande partie de la population.
Exemple de spear phishing
Un exemple de spear phishing peut être un courriel conçu pour donner l’impression qu’il a été envoyé par l’équipe informatique de votre entreprise ou un collègue, vous demandant d’effectuer une action, comme réinitialiser un mot de passe, scanner un QR code ou cliquer sur un lien.
L’e-mail de spear phishing sera souvent envoyé à partir d’un email qui pourrait passer pour légitime si vous n’y prêtez pas attention. L’adresse électronique peut comporter un zéro au lieu d’un “1”, une petite faute d’orthographe ou se terminer par .co au lieu de .com.
Dans l’exemple ci-dessous, vous pouvez voir que l’e-mail provient de “[email protected]”, un e-mail qui pourrait sembler légitime. Il indique également qu’”un collègue” souhaite partager un document, sans mentionner le nom du collègue, ce qui est un indice de suspicion.
L’e-mail rappelle également de ne pas partager d’informations sensibles, ce qui pourrait être courant pour les types d’expéditeurs que les pirates tentent d’imiter. Cependant, il indique “en dehors de l’organisation” au lieu de mentionner le nom de l’entreprise.
Les auteurs du spear phishing ont signé l’email en tant que “The Security Team” au lieu du nom d’un collègue ou du nom de l’entreprise, ce qui constitue un autre indice potentiel qu’il ne s’agit pas réellement d’un e-mail d’un collègue.
Quelles sont les différences entre le spear phishing et le phishing ?
En termes simples, le spear phishing est un type spécifique d’attaque par hameçonnage.
L’hameçonnage désigne un vaste type d’attaque qui consiste généralement à envoyer des courriels génériques en masse à un très grand nombre de contacts peu méfiants, dans l’espoir qu’une petite partie d’entre eux cliqueront sur le lien malveillant ou téléchargeront la pièce jointe nuisible.
Le spear phishing, quant à lui, s’adresse à des cibles beaucoup plus spécifiques que les attaques de phishing générique. Le spear phishing utilise des informations qui différencient des individus spécifiques de la population générale – comme le lieu de travail de la personne – pour paraître plus convaincant et officiel.
En d’autres termes, toutes les attaques de spear phishing sont aussi des attaques de phishing, mais toutes les attaques de phishing ne sont pas aussi des attaques de spear phishing.
Quels sont les différents types de phishing ?
Il existe plusieurs types d’attaques de phishing, dont les plus courantes sont le spear phishing, le whaling, le vishing et le smishing.
• Spear phising
• Whaling : traduit par “chasse à la baleine”, ce type d’attaque est similaire au spear phishing, mais au lieu de se concentrer sur le “menu fretin”, comme la plupart des employés, les attaques whaling ciblent les “gros poissons” comme les PDG, les directeurs d’exploitation ou d’autres c
• Vishing : contrairement aux autres attaques de cette liste, les attaques par vishing sont verbales et non écrites. Le vishing consiste à passer des appels ou à laisser des messages vocaux en se faisant passer pour la banque ou la société de cartes de crédit de la personne, dans le but de manipuler la victime pour qu’elle donne des informations confidentielles ou des données sensibles, comme son numéro de compte bancaire ou son numéro de sécurité sociale.
• Smishing : ce phishing est également connu sous le nom de SMS phishing. Il s’agit d’un type d’attaque par hameçonnage où les auteurs utilisent des plateformes de messagerie textuelle, notamment les SMS ou des applications comme Viber ou Whatsapp, pour tromper leurs victimes.
Qui est la cible du spear phishing ?
L’augmentation des cyberattaques a pour conséquence que presque tout le monde peut en être la cible, et le spear phishing n’est pas différent.
Cela étant dit, le spear phishing vise généralement le commun des mortels, par exemple un employé d’une entreprise, mais pas son directeur, ou toute personne ayant un compte bancaire dans une certaine banque.
Les personnes qui disposent d’informations personnelles facilement accessibles en ligne – comme un profil LinkedIn indiquant leur lieu de travail ou l’adresse de leurs magasins sur les médias sociaux – sont plus susceptibles d’être la cible d’attaques de spear phishing, car il est plus facile de créer des messages personnalisés à leur intention.
Comment protéger facilement votre équipe et vos clients contre le phishing ?
Bien qu’il semble y avoir de plus en plus de types de pirates qui cherchent à accéder à nos données sensibles, il existe également de plus en plus de moyens de se protéger contre ces mêmes pirates.
En plus d’apprendre à vos clients ou à votre équipe à être attentifs aux signes révélateurs de courriels frauduleux, il existe des logiciels de pointe et intuitifs qui peuvent aider à détecter les courriels d’hameçonnage qui échappent aux défenses traditionnelles.
Grâce à l’intégration transparente d’Atera avec Ironscales, vous pouvez disposer d’un tableau de bord unique qui surveille en permanence les pièces jointes et les liens pour détecter et corriger instantanément toute attaque présumée.
De plus, Ironscales s’intègre également à toutes les plateformes de messagerie que vous utilisez, y compris Microsoft Office 365, Google Workspace, Microsoft Teams, etc.
Alors, qu’attendez-vous ? Essayez gratuitement Atera, les 30 premiers jours sont gratuits !
