En règle générale, les cybercriminels cherchent à localiser des cibles de grande valeur, qu’il s’agisse d’un élément d’infrastructure ou d’une personne ayant accès à des renseignements privilégiés, tout en déployant le moins d’effort possible. Et dans la plupart des exemples d’attaques de harponnage (spear phishing), le criminel lance des attaques ciblées par courriel contre plusieurs utilisateurs.
Dans ces courriels, l’attaquant use de manipulations pour faire pression sur sa cible et l’amener à dévoiler des informations personnelles. La cible est alors amenée à télécharger d’un logiciel malveillant, d’un rançongiciel ou d’un logiciel espion fourni en pièce jointe, ou un lien vers un site d’hameçonnage.
Une étude démontre d’ailleurs qu’en 2021, 83 % des organisations ont été victimes d’une attaque d’hameçonnage par courriel réussie. Il suffit qu’un utilisateur clique sur un lien frauduleux, télécharge un logiciel malveillant, partage ses authentifiants ou effectue un virement bancaire.
Dans cet article, découvrez 5 exemples de harponnage ainsi que des conseils à l’attention des responsables de la cybersécurité pour augmenter le niveau de sensibilisation de leurs employés.
Comment le harponnage fonctionne-t-il ?
Une attaque de harponnage survient lorsque le cybercriminel envoie un courriel, un message texte ou un message vocal conçu pour manipuler sa cible et la convaincre de partager des données d’accès, des renseignements personnels, ou de transférer de l’argent.
Ce type d’arnaque est très efficace puisque les attaquants se font normalement passer pour une personne de confiance tels que le patron du destinataire, un collègue, un ami, un membre de la famille, une banque ou une boutique en ligne populaire. Bien souvent, la victime accepte alors de partager des informations sensibles.
Dans de nombreux cas, les fraudeurs laissent entendre, voir menace, que si l’individu n’agit pas immédiatement, il y aura des répercussions négatives, comme la fermeture d’un compte, des frais juridiques ou d’autres pénalités financières.
Beaucoup de personnes croient que ces arnaques sont faciles à identifier. En réalité, n’importe qui peut être victime d’une attaque de harponnage, à moins de suivre des formations régulières pour apprendre à repérer les techniques utilisées par les pirates.
5 exemples de harponnage
Voici quelques-uns des exemples les plus communs de menaces de harponnage :
1. Faux sites Web
Un cybercriminel rédige avec soin un courriel d’hameçonnage comprenant un lien vers une fausse version d’un site Web connu. Ce site Web imite la disposition du site Web original pour encourager la victime à saisir ses données d’accès.
2. Fraude du président
L’attaquant prend le contrôle d’une adresse courriel connue de l’employé, comme celle du président de l’entreprise, du gestionnaire des ressources humaines ou de l’administrateur des TI. Il se fait ensuite passer pour cette personne et demande à l’employé d’effectuer une tâche urgente, comme transférer des fonds, mettre à jour ses informations personnelles ou installer une nouvelle application.
3. Logiciel malveillant
Dans ce type d’attaque d’hameçonnage, le cybercriminel tente de convaincre un employé de cliquer sur la pièce jointe d’un courriel malveillant. Habituellement, l’attaquant utilise une fausse facture ou un faux avis de livraison.
4. Hameçonnage par message texte
Cette attaque consiste en l’envoi d’un message texte par le pirate afin de demander au destinataire de cliquer sur un lien menant à un site Web d’hameçonnage afin de mettre à jour ses informations ou changer son mot de passe.
5. Hameçonnage vocal
Le cybercriminel appelle la victime en utilisant un numéro masqué. En se faisant passer pour un employé d’une entreprise de confiance, il laisse un message demandant à la victime de le rappeler pour lui donner des informations personnelles.
Exemples de harponnage : attaques contre un individu vs une entreprise
Lorsqu’on examine les attaques de harponnage, il est important de relever qu’elles peuvent être menées autant contre des individus que contre des entreprises. Lors d’une attaque de harponnage contre un individu, le cybercriminel prétend faire partie d’une organisation de confiance, comme une banque ou une marque bien connue comme Amazon. Il affirme vouloir envoyer une « confirmation de transaction » ou un « avis d’expédition » par courriel à la victime.
Ce courriel est conçu pour avoir l’air important afin de convaincre le destinataire de l’ouvrir et de cliquer sur un lien malveillant, ou de partager des informations confidentielles qui pourront être utilisées par le pirate pour commettre d’autres crimes.
Dans le cas d’une attaque de harponnage contre une entreprise, le pirate cible deux ou trois employés d’une entreprise. En se faisant passer pour leur patron, il leur envoie des messages leur demandant de transférer de l’argent, de fournir leurs données d’accès ou d’autres informations confidentielles.
Les attaquants utilisent un langage urgent pour faire comprendre à leurs victimes que si elles n’agissent pas rapidement, l’entreprise subira des pertes financières.
Pourquoi intégrer des simulations de harponnage dans votre formation en sensibilisation à la sécurité
Testez vos employés avec des simulations réalistes, vous permettra de mesurer la capacité de vos employés à détecter les menaces d’hameçonnage. Une simulation d’hameçonnage axée sur les tactiques de harponnage peut vous aider à accroître la sensibilisation de vos employés aux risques de manipulation par les cybercriminels.
Les utilisateurs qui échouent aux tests peuvent alors être appuyés avec du matériel de formation juste à temps additionnel afin d’accroître leur compréhension et leur confiance dans l’identification de courriels malveillants et ainsi améliorer la sécurité de l’organisation.
Compte tenu du nombre élevé de cybercriminels qui tentent de manipuler des utilisateurs, les simulations d’hameçonnage constituent des outils précieux pour permettre à vos employés de se protéger et de protéger l’entreprise.
Comment prévenir le harponnage
Les leaders en sécurité doivent mettre en place une stratégie pour se protéger des menaces de harponnage. Dans le cas contraire, les informations sensibles de l’organisation sont vulnérables. Voici six façons de prévenir le harponnage :
1. Éduquez vos employés
Commencez à éduquer les employés sur les menaces de harponnage. Tirer profit des outils gratuits de simulation d’hameçonnage pour enseigner aux employés comment identifier les risques liés à ce type d’attaque.
2. Utilisez la formation en sensibilisation à la sécurité
Offrez aux employés une formation en sensibilisation à la cybersécurité et des plateformes de simulation d’hameçonnage éprouvées pour que les risques de harponnage et d’ingénierie sociale demeurent en tête des priorités. Formez des héros de la cybersécurité à l’interne, engagés à garder votre organisation en cybersécurité.
3. Surveillez la sensibilisation des employés au harponnage
Encouragez les leaders en sécurité et les héros de la cybersécurité à faire un suivi régulier de la sensibilisation des employés au harponnage grâce à des outils de simulation d’hameçonnage. Utiliser les modules de microapprentissage sur l’hameçonnage pour éduquer, former et changer les comportements.
4. Produisez des communications et des campagnes en continu
Prévoyez des communications et des campagnes en continu sur la cybersécurité, le harponnage et l’ingénierie sociale. Établir des politiques solides sur les mots de passe et rappeler aux employés les risques liés aux URL et aux pièces jointes.
5. Créez des règles d’accès au réseau
Établir des règles d’accès au réseau afin de limiter l’utilisation d’appareils personnels et prévenir le partage d’informations à l’extérieur de votre réseau d’entreprise.
6. Assurez-vous que votre environnement est à jour
S’assurer que tous les systèmes d’exploitation, outils réseau, applications et logiciels internes sont à jour et sécurisés. Installer un logiciel de protection contre les programmes malveillants et les pourriels.
Résumé
Pour vous assurer que vos employés sont équipés pour arrêter les attaques de harponnage, vous devez les informer sur les techniques utilisées par les attaquants. Bien qu’il soit possible d’éduquer les employés avec de la documentation écrite, les simulations d’hameçonnage leur fournissent des exemples concrets sur la façon dont les pirates mènent leurs attaques.
Vous souhaitez découvrir comment la formation en sensibilisation à la sécurité peut aider vos employés à repérer les menaces d’hameçonnage?
Voyez la plateforme de sensibilisation à la sécurité en action!