Alors que certaines escroqueries par phishing sont envoyées à des millions de personnes dans l'espoir que quelqu'un morde à l'hameçon, une attaque par spear phishing se concentre sur une seule cible et peut être très convaincante.
Cet article s'articule autour des points suivants :
Contenu associé
Attaque de phishing
Qu'est ce qu'une menace interne ?
Sécurité Zero Trust
Qu'est-ce que l'lAM ?
Authentification à deux facteurs
Abonnez-vous à theNET, le récapitulatif mensuel de Cloudflare des idées les plus populaires concernant Internet !
Copier le lien de l'article
Alors que phishing est un terme général désignant les attaques qui visent à inciter une victime à partager des informations sensibles, le spear phishing est une attaque de phishing qui s'en prend à une seule cible, qui peut être un individu, une organisation ou une entreprise.
Les attaques de spear phishing sont particulièrement efficaces car l'attaquant peut utiliser des informations sur la victime, souvent des informations publiques trouvées en ligne, pour créer une ruse convaincante.
Une tactique courante de spear phishing consiste pour l'attaquant à se faire passer pour une personne en position d'autorité, car les gens sont beaucoup plus susceptibles de répondre à une figure d'autorité.
Voici un exemple :
Joe est l'assistant de direction d'une PDG nommée Mary. Un jour, alors que Mary est en vacances à l'étranger, Joe reçoit un e-mail urgent de sa part. L'e-mail indique que ses bagages et son téléphone ont été volés. Elle dit qu'elle n'a ni argent ni passeport et qu'elle a besoin qu'il lui envoie ses identifiants PayPal le plus rapidement possible afin qu'elle puisse réserver un hôtel et acheter un vol de retour. Joe pourrait voir ce message déchirant de son employeur et envoyer immédiatement les informations demandées.
Ce genre de "Je suis en difficulté et j'ai besoin d'argent" demande d'un supérieur est un script de spear phishing courant. L'attaquant peut usurper l'adresse électronique de Mary et envoyer l'e-mail à des dizaines de combinaisons différentes du nom et des initiales de Joe dans l'espoir de trouver la bonne. L'attaquant peut également avoir appris les projets de vacances de Marie en la suivant sur Twitter. En combinant tous ces outils, l'attaquant peut concevoir une escroquerie très convaincante.
Un exemple concret notable de cette s'est produit en 2016, lorsqu'un attaquant s'est fait passer pour le PDG de Snapchat et a réussi à convaincre un employé de remettre des informations confidentielles sur la paie.
Les attaques de spear phishing peuvent également exploiter les informations provenant de violations de données. Autre exemple :
Steve achète un ordinateur auprès d'une grande enseigne d'e-commerce. Quelques semaines plus tard, cette dernière est victime d'une violation de données. Les données sensibles, comme les numéros de cartes de paiement et les mots de passe, ont été protégées par un hachage, mais les adresses e-mail des clients et l'historique des commandes ont été divulgués.
Quelques jours plus tard, Steve reçoit un courriel du fabricant de son nouvel ordinateur lui annonçant que son modèle fait l'objet d'un rappel et lui fournissant un lien pour se faire rembourser. Le lien renvoie Steve vers une fausse version du site Web du fabricant et lui propose un formulaire où il doit saisir son numéro de carte de crédit pour obtenir le remboursement. L'attaquant a utilisé des données relativement inoffensives pour gagner la confiance de Steve et l'inciter à communiquer ses informations financières.
Le "whaling" est une attaque de spear phishing qui cible une victime très en vue, généralement un cadre supérieur d'une entreprise ou une célébrité. Les attaques de type "whaling" ont tendance à être plus sophistiquées et, dans de nombreux cas, les attaquants commencent par mener des attaques de spear phishing sur des cibles plus petites, comme les employés de la baleine ",", afin d'accéder à leur victime finale.
Par exemple :
Pendant ses vacances, Marie, PDG, reçoit un e-mail ou un appel d'une personne qu'elle connaît au sein de son équipe informatique, l'informant qu'une cyberattaque est en cours et demandant l'accès à son ordinateur de travail et à ses comptes afin de sécuriser les données de l'entreprise. Il est possible qu'un attaquant ait compromis son équipe informatique afin de gagner la confiance de Mary, dans l'espoir de la convaincre de transmettre ses informations d'identification.
Étant donné que le spear phishing fait appel à l'ingénierie sociale , il n'existe pas de moyen infaillible de se protéger contre ce type d'attaque. Cependant, un certain nombre de précautions peuvent être prises pour prévenir et atténuer les tentatives de spear phishing. Il s'agit notamment des mesures suivantes