Qu’est-ce que le harponnage?

what-is-spear-phishing

Le harponnage (spear phishing) est un type de cyberattaque utilisant les courriels pour cibler des individus et des entreprises. Les criminels appliquent des tactiques habiles pour recueillir des données personnelles sur leurs cibles et leur envoyer des courriels qui semblent familiers et dignes de confiance.

En général, ces courriels contiennent une pièce jointe qui comporte un lien malveillant vers un maliciel, un rançongiciel ou un logiciel espion et le message mentionne une action urgente à réaliser par le destinataire telle que le transfert d’une somme d’argent ou l’envoi de données personnelles comme un mot de passe bancaire.

Comme ces courriels sont rédigés dans un langage familier et qu’ils réfèrent à des données personnelles concernant le destinataire, les victimes commettent l’erreur de croire qu’ils connaissent l’expéditeur et procèdent malheureusement à l’action demandée.

Les individus sont aussi ciblés que les entreprises :

Attaque contre un individu

Dans le cas d’attaques de harponnage contre un individu, les cybercriminels auront tendance à se faire passer pour une entreprise qui bénéficie de la confiance de la victime, par exemple sa banque ou un site Web connu comme Amazon. Le courriel peut alors prendre la forme d’une confirmation de transaction ou d’un avis d’expédition. L’objectif ici est d’amener l’individu à ouvrir le courriel et à cliquer sur le lien malveillant ou à envoyer de l’information confidentielle qui pourra être utilisée pour commettre d’autres cybercrimes.

Attaque contre une entreprise

Ici, les cybercriminels ciblent deux ou trois employés au sein d’une entreprise. Le courriel semble provenir du gestionnaire des employés et leur demande de transférer de l’argent, fournir des mots de passe ou d’autres informations confidentielles sur l’entreprise. Le ton est urgent, ce qui amène la victime à croire que l’entreprise pourrait être en péril si elle n’agit pas rapidement.

Did you know?Saviez-vous que

Le harponnage est une forme d’ingénierie sociale utilisée par les cybercriminels pour infecter les ordinateurs, infiltrer les réseaux des entreprises et voler des données.

Quelle est la différence entre le harponnage et l’hameçonnage?

La différence entre le harponnage et l’hameçonnage réside dans l’approche utilisée. L’hameçonnage consiste à envoyer massivement des courriels dans l’espoir de convaincre au moins une personne de partager des informations confidentielles. Le harponnage quant à lui est une forme ciblée et personnalisée d’hameçonnage.

En général, les courriels d’hameçonnage ne sont pas aussi bien rédigés que les courriels de harponnage et ne contiennent pas d’informations personnelles. La nature même des courriels d’hameçonnage les rend donc plus faciles à déjouer. Toutefois, beaucoup de gens sont encore enclins à cliquer sur les pièces jointes sans avoir vérifié soigneusement l’adresse courriel de l’expéditeur au préalable.

La clé pour renforcer la prise de conscience face aux dangers que peuvent représenter les courriels et la boîte de réception passe par la formation en sensibilisation à la cybersécurité et la simulation d’hameçonnage.

Comment le harponnage se produit-il?

Le harponnage survient lorsqu’une victime répond positivement à la demande d’un courriel frauduleux tel que fournir des mots de passe ou des informations sur la carte de crédit, cliquer sur un lien pour confirmer une information de livraison ou transférer de l’argent.

Ces courriels frauduleux semblent réels puisque les cybercriminels ont auparavant pris la peine de recueillir des informations personnelles sur le destinataire. Des informations utilisées pour faire croire à la victime que le courriel est légitime. De plus, ces courriels, semblant provenir d’une personne ou d’un service de confiance, sont rédigés de façon à susciter un sentiment d’urgence, encourageant le destinataire à agir rapidement pour prévenir des pertes importantes, des accusations criminelles ou la fermeture d’un compte.

Les victimes sont souvent embarrassées d’admettre qu’ils ont été dupés par un courriel de harponnage, croyant qu’ils auraient dû faire preuve de plus de jugement. Dans les faits, il est très facile pour un cybercriminel de convaincre les gens de partager des informations confidentielles. Les attaques de harponnage reposent sur le facteur humain. Les victimes sont occupées, confiantes et cliquent aveuglément sur des liens d’où l’importance pour l’ensemble des employés de suivre une formation en sensibilisation à la sécurité mettant l’emphase sur cette réalité.

La simulation d’hameçonnage vous permet notamment d’identifier les employés vulnérables aux attaques de harponnage et d’hameçonnage et de démontrer la facilité avec laquelle ces stratagèmes peuvent réussir.

Le harponnage est-il commun?

Selon le rapport de Verizon sur les enquêtes relatives aux violations de données, 36 % des violations de données ont impliqué une attaque d’hameçonnage, soit 11 % de plus que l’année précédente. Dans le même ordre d’idées, le rapport révèle que, sur plus de 5 200 brèches confirmées citées, 85 % d’entre elles étaient centrées sur l’élément humain.

En bref, le harponnage est l’une des cybermenaces les plus courantes du fait de sa facilité de mise en œuvre et de son efficacité. En utilisant l’information disponible gratuitement sur les médias sociaux, dans les journaux et sur les sites Web des entreprises, les criminels peuvent recueillir suffisamment d’information pour envoyer des courriels personnalisés et crédibles à leurs victimes.

C’est une façon ingénieuse d’amener les gens à révéler des informations qui pourtant devraient demeurer confidentielles. Le harponnage autant que l’ingénierie sociale comptent sur cette tendance naturelle des individus à faire confiance aux autres. Ainsi, lorsque les gens reçoivent un courriel de ceux qu’ils croient être leur gestionnaire, leur fournisseur de service ou leur banque leur demandant d’effectuer rapidement une action, ils ne se posent pas de questions. Puisqu’ils reconnaissent la source, ils croient agir dans le meilleur intérêt de tous.

7 façons de prévenir le harponnage

1.

Informez vos employés sur le harponnage. Profitez des outils gratuits de simulation d’hameçonnage pour identifier les personnes à risque et les sensibiliser.

2.

Utilisez des plateformes éprouvées de formation en sensibilisation à la cybersécurité et de simulation d’hameçonnage afin que les employés gardent toujours à l’esprit les risques de harponnage et l’ingénierie sociale. À l’interne, formez des héros dont la principale motivation est de garder l’organisation en sécurité.

3.

Rappelez à vos responsables de la sécurité et héros de la cybersécurité de contrôler régulièrement le degré de sensibilisation de vos employés au harponnage à l’aide d’outils de simulation. Utilisez les modules de microapprentissage pour éduquer, former et changer les comportements des utilisateurs.

4.

Effectuez des communications et des campagnes en continu sur la cybersécurité, le harponnage et l’ingénierie sociale. Profitez-en pour élaborer des politiques de mots de passe forts et rappelez à vos employés les risques liés aux pièces jointes, aux courriels et aux URL.

5.

Établissez des règles d’accès au réseau qui limitent l’utilisation d’appareils personnels et le partage d’information à l’extérieur de votre entreprise.

6.

Assurez-vous que tous les logiciels internes, outils réseau, systèmes d’exploitation et applications soient à jour et sécurisés. Installez des logiciels de protection contre les maliciels et les pourriels.

7.

Intégrez les campagnes de sensibilisation à la cybersécurité, l’éducation, la gestion de projet, le soutien et la formation à votre culture d’entreprise.

Qu’est-ce qu’une simulation de harponnage?

Une simulation de harponnage est la meilleure façon de sensibiliser les utilisateurs sur les risques et d’identifier les employés les plus susceptibles de se faire prendre au piège.

La simulation de harponnage permet de facilement intégrer la sensibilisation à la cybersécurité dans votre organisation de façon interactive et informative.

Les participants constatent d’eux-mêmes comment des courriels personnalisés et semblant provenir d’une source fiable sont utilisés pour voler des données personnelles et corporatives. Les simulations de harponnage en temps réel constituent une façon accessible d’éduquer les utilisateurs et ainsi d’accroître la vigilance face aux attaques et aux techniques de harponnage.

Quels sont les 10 principaux avantages des simulations de harponnage?

1. Mesurer le degré de vulnérabilité de l’entreprise et des employés

2. Éliminer les risques représentés par les cybermenaces

3. Accroître la vigilance des utilisateurs face aux risques de harponnage

4. Instiller une culture de cybersécurité et former des héros de la cybersécurité

5. Changer les comportements pour éliminer les réflexes de confiance automatique

6. Déployer des solutions anti-harponnage

7. Protéger les données corporatives et personnelles

8. Répondre aux exigences de l’industrie en matière de conformité

9. Évaluer les impacts de la formation en sensibilisation à la cybersécurité

10. Segmenter la simulation de harponnage