Qu’est-ce que le spear phishing ?

Le spear phishing, également appelé harponnage ou rançon ciblé est un acte de cybercriminalité visant, au moyen d’e-mails, des personnes et des entreprises. Les cybercriminels ont recours à des tactiques élaborées pour recueillir des données personnelles sur leurs cibles et leur envoyer des e-mails leur paraissant familiers et dignes de confiance.

En général, ces e-mails contiennent une pièce jointe qui comporte un lien vers un logiciel malveillant (malware), un rançongiciel (ransomware) ou un logiciel espion. De plus, une action urgente sera exigée de la part du destinataire, telle que le transfert d’une certaine somme d’argent ou l’envoi de données personnelles, comme le mot de passe d’accès à un compte bancaire.

Comme ces messages sont rédigés sur un ton très familier et qu’ils font référence à des données personnelles concernant le destinataire, les victimes sont dupés en pensant connaître l’expéditeur et lui faire confiance, ce qui les amènent à répondre à la demande.

Le spear phishing vise aussi bien les personnes que les entreprises :

Attaque par spear phishing contre une personne

Les cybercriminels se font passer pour une entreprise qui bénéficie de la confiance de la victime, par exemple, sa banque ou un site Web réputé comme Amazon. Ils envoient un e-mail dont l’objet peut être la confirmation d’une transaction ou un avis d’expédition. L’objectif est d’amener la personne à ouvrir le message et à cliquer sur le lien malveillant ou à envoyer des informations confidentielles qui pourront être utilisées pour commettre d’autres actes de cybercriminalité.

Attaque par spear phishing contre une entreprise

En général, les cybercriminels ciblent deux ou trois employés au sein d’une entreprise. Ils leur envoient un e-mail semblant provenir de leur manager et leur demandent de transférer de l’argent ou de fournir des mots de passe ou d’autres informations confidentielles sur l’entreprise. Le ton du message est urgent, ce qui amène la victime à croire que l’entreprise pourrait être en péril si elle n’agit pas rapidement.

Le saviez-vous ?

Le spear phishing (hameçonnage ciblé) est une forme de social engineering (ingénierie sociale) utilisée par les cybercriminels pour infecter les ordinateurs, infiltrer les réseaux d’entreprises et voler des données.

Quelle est la différence entre le spear phishing et le phishing ?

La différence entre le spear phishing et le phishing réside dans l’approche utilisée. Dans le premier cas, une ou plusieurs victimes en particulier sont visées par l’attaque.

Les attaques par e-mail de phishing constituent une approche plus large, consistant en l’envoi massif de messages électroniques dans l’espoir de convaincre au moins une personne de divulguer des informations confidentielles.
En général, ces messages ne sont pas aussi soigneusement rédigés que les e-mails de spear phishing et ne contiennent pas d’informations personnelles.

La nature même des e-mails de phishing, envoyés en masse, les rend plus faciles à déjouer. Toutefois, beaucoup de gens sont enclins à cliquer sur les pièces jointes sans avoir pris le soin de vérifier l’adresse électronique de l’expéditeur avant de répondre.
La formation de cybersécurité et les simulations de phishing sont essentielles pour renforcer l’adoption de comportements vigilants concernant les e-mails et la boîte de réception.

Comment se produisent les attaques par spear phishing ?

Le spear phishing se produit lorsqu’une victime innocente répond positivement à une demande d’action émanant d’un e-mail frauduleux. Cette action peut être la communication de mots de passe ou de coordonnées bancaires, un clic sur un lien pour confirmer une information de livraison ou un transfert d’argent.

Ces e-mails de spear phishing semblent plausibles dans la mesure où le cyberdélinquant s’est procuré des données personnelles clés à propos du destinataire, dont il peut se servir pour faire croire à la victime que le e-mail est légitime.
Le plus souvent, ces courriers électroniques semblent provenir du manager du destinataire, d’un collègue, d’un ami, d’un membre de la famille, d’une banque ou d’une boutique en ligne connue. Ils sont rédigés sur un ton et en des termes urgents qui poussent le destinataire à agir immédiatement pour éviter des pertes importantes, des poursuites en justice ou la fermeture d’un compte.

Beaucoup de gens sont embarrassés d’admettre qu’ils ont été dupés par un e-mail spear phishing, convaincus qu’ils auraient dû faire preuve de plus de discernement.

Dans les faits, il est très facile pour un cybercriminel de convaincre les gens de partager des informations confidentielles. Il est donc essentiel que tout le monde reçoive une formation de sensibilisation à la sécurité qui mette l’accent sur cette réalité.

Les exemples suivants soulignent la facilité avec laquelle tout un chacun peut être victime de spear phishing .

Il est important de se rappeler que les attaques par spear phishing ciblé exploitent le facteur humain : les gens sont occupés, confiants et cliquent aveuglément sur des liens sans y réfléchir à deux fois.

La simulation de phishing vous permet d’identifier les employés vulnérables aux attaques de phishing, ciblé ou en masse, et de démontrer à quel point il est facile de se faire duper.

Le spear phishing est-il fréquent ?

Le spear phishing (harponnage ou hameçonnage ciblé) est tellement fréquent que, selon Trend Micro, 91 % des cyberattaques et des violations de données qui en découlent ont commencé par un e-mail de spear phishing.

Le spear phishing est une tactique fréquemment utilisée par les cybercriminels car elle est extrêmement efficace.

En se servant des données librement accessibles sur les réseaux sociaux et les sites Web d’entreprises, les cybercriminels peuvent recueillir suffisamment d’informations pour envoyer des e-mails personnalisés et crédibles aux victimes.

Le social engineering (ingénierie sociale) est un stratagème utilisé pour amener les gens à révéler des codes d’accès, détails et autres informations qui devraient pourtant demeurer confidentiels. Le social engineering, tout comme le spear phishing, vise à exploiter la tendance naturelle des gens à faire confiance aux autres.

Lorsque les gens reçoivent un e-mail de leur manager ou de leur banque leur demandant d’effectuer rapidement un transfert d’argent ou de mettre à jour leur mot de passe, ils ne se posent pas de questions, puisqu’ils reconnaissent la source et pensent agir dans l’intérêt de tous.

Sept façons de prévenir le spear phishing

1.

Informez vos employés sur le spear phishing. Tirez parti des outils gratuits de simulation de phishing pour les sensibiliser et identifier les personnes à risque.

2.

Utilisez des plateformes éprouvées de formation en cybersécurité et de simulation de phishing afin que vos employés demeurent constamment vigilants quant aux risques de spear phishing et de social engineering. En interne, formez des champions de la cybersécurité dédiés à la protection de votre organisation.

3.

Rappelez à vos responsables de la sécurité et champions de la cybersécurité de contrôler régulièrement le degré de sensibilisation de vos employés aux risques de spear phishing à l’aide d’outils de simulation. Utilisez les modules de microapprentissage sur le spear phishing pour informer et former, et changer les comportements.

4.

Assurez une communication et une sensibilisation continues concernant la cybersécurité, le spear phishing et le social engineering. Cela passe par la mise en place de politiques de mots de passe forts et par le rappel constant à vos employés des risques liés aux pièces jointes, aux e-mails et aux adresses URL.

5.

Établissez des règles d’accès au réseau qui limitent l’utilisation d’appareils personnels et le partage d’informations à l’extérieur de votre réseau d’entreprise.

6.

Assurez-vous que tous les logiciels internes, outils réseau, systèmes d’exploitation et applications sont à jour et sécurisés. Installez des logiciels de protection contre les logiciels malveillants et les pourriels.

7.

Intégrez les campagnes de sensibilisation à la cybersécurité, l’éducation, la gestion de projet, le soutien et la formation à votre culture d’entreprise..

Qu’est-ce qu’une simulation de spear phishing?

Une simulation de spear phishing est la meilleure façon de sensibiliser les utilisateurs sur les risques et d’identifier les employés les plus vulnérables aux attaques par hameçonnage ciblé ou en masse.

C’est un moyen d’intégrer facilement la sensibilisation à la cybersécurité au sein de votre organisation sous une forme interactive et informative.

Les participants constatent par eux-mêmes comment des e-mails personnalisés et semblant provenir d’une source fiable sont utilisés pour voler des données personnelles et d’entreprise. Les simulations de spear phishing en temps réel sont un moyen accessible pour toute organisation de former les collaborateurs et de renforcer leur vigilance face aux attaques et aux techniques d’hameçonnage ciblé.

Quels sont les dix principaux avantages des simulations de spear phishing ?

1. Mesurer le degré de vulnérabilité de l’entreprise et des employés

2. Éliminer le niveau de risque de cybermenace

3. Renforcer la vigilance des utilisateurs face aux risques relatifs au spear phishing

4. Instaurer une culture de cybersécurité et former des champions de la cybersécurité

5. Changer les comportements afin d’éliminer les réflexes de confiance automatique

6. Déployer des solutions contre le spear phishing

7. Protéger vos précieuses données d’entreprise et personnelles

8. Répondre aux obligations de conformité du secteur

9. Évaluer les impacts des formations de sensibilisation à la cybersécurité

10. Segmenter les simulations de spear phishing

Pour en savoir plus sur le spear phishing et apprendre comment assurer la cybersécurité de votre entreprise, tirez parti de ces excellentes ressources de formation sur la sensibilisation à la sécurité, accessibles gratuitement :

Contactez nous au 1-866-889-5806 ou sur [email protected] pour en savoir plus sur les moyens de protéger votre organisation contre le spear phishing.

Terranova Security s’engage à fournir des formations centrées sur la personne pour vous aider à améliorer la sensibilisation à la cybersécurité dans votre entreprise.