Les tactiques d’attaque sont différentes mais les défenses communes

Extrêmement ciblées, les attaques de harponnage (spear phishing) peuvent s’avérer encore plus dangereuses que le traditionnel hameçonnage (phishing). Les façons de se défendre contre ces deux types de cyberattaques présentent toutefois des fondements similaires. 

Les amateurs de pêche aiment à dire qu’une mauvaise journée de pêche à l’hameçon est mieux qu’une bonne journée au travail. Dans le monde de la cybersécurité, toute forme phishing peut ruiner une journée de travail, ou pire encore.

Au fil des ans, les attaques par phishing sont devenues les préférées des cybercriminels, et leurs auteurs malintentionnés utilisent des courriels, sites web et textos trompeurs pour mettre la main sur de l’information personnelle ou d’entreprise.

Récemment, le spear phishing a élevé d’un cran le niveau de danger de phishing en raffinant sa technique.

Comprendre les attaques de phishing conventionnelles

Qu’en est-il exactement du spear phishing, et comment se compare-t-il à un « simple » phishing?

Les attaques conventionnelles de phishing se fondent sur une approche plus large, utilisant un envoi massif de courriels dans l’espoir de faire tomber au moins une personne dans le piège. Ces types de messages d’hameçonnage sont souvent composés rapidement et n’incluent généralement pas d’information personnelle au sujet du destinataire.

Puisqu’ils ne sont pas personnalisés (et souvent mal rédigés, ce qui peut les trahir), les messages de phishing envoyés en masse peuvent être rapidement identifiés comme tels, et supprimés sans délai. Malgré tout, plusieurs personnes moins attentives sont encore portées à cliquer sur les pièces jointes et à répondre au courriel sans avoir vérifié soigneusement l’adresse courriel de l’expéditeur. C’est pourquoi la formation en sensibilisation à la cybersécurité avec simulation de phishing constitue une excellente façon d’éduquer et de renforcer l’importance de la cybervigilance avec les courriels.

Comment le spear phishing se compare au phishing par envoi massif

Le spear phishing est beaucoup plus sophistiqué et raffiné que la technique des envois massifs de courriels de phishing consistant à « mettre plusieurs lignes à l’eau et espérer ».

Les criminels habiles utilisent le spear phishing pour cibler très précisément leurs attaques sur des individus et des entreprises, en recueillant soigneusement des données à leur sujet pour leur adresser des courriels qui semblent familiers et dignes de confiance.

Contrairement au courriel de phishing général qui a souvent l’air d’une fraude à première vue, le courriel de spear phishing semble crédible parce que le cybercriminel a soigneusement recueilli de l’information exacte sur le destinataire, comme ses coordonnées, son rôle et ses intérêts. Cette information vise à faire croire à la victime que le courriel est légitime.

De plus, les courriels de spear phishing ont un ton convaincant comme s’ils provenaient d’une personne que le destinataire connaît et à qui il fait confiance. Le ton et le langage utilisés évoquent l’urgence pour pousser le destinataire à agir immédiatement pour éviter des pertes importantes, des accusations criminelles ou la fermeture d’un compte.

Ces messages bien rédigés incluent souvent des liens vers des sites web falsifiés ou des fichiers infectés avec un maliciel, un rançongiciel ou un logiciel espion. Il arrive qu’il n’y ait aucun fichier joint ou hyperlien malveillant, mais simplement des directives pour le destinataire, ce qui les rend encore plus difficiles à détecter avec des filtres de sécurité de courriels.

En misant sur la tendance humaine à faire naturellement confiance, le courriel de spear phishing commande une action urgente, comme de transférer un montant spécifique ou de divulguer des informations personnelles, tel un mot de passe associé à un compte bancaire.

Malgré l’embarras de plusieurs à admettre qu’ils ont été dupés par un courriel de spear phishing, rien ne peut changer la dure réalité que ce type d’ingénierie sociale fonctionne.

Les menaces croissantes du spear phishing coincent autant les individus que les entreprises 

En fait, selon un rapport publié en juillet par le groupe international en assurances AIG (en anglais), la compromission de courriers professionnels (Business Email Compromise – BEC), une autre forme de spear phishing, a déclassé le rançongiciel comme principale cause des cyber réclamations du groupe AIG en EMEO. Un second rapport publié en 2018 par le fournisseur américain de logiciels de cybersécurité Symantec (en anglais) révélait que plus de 70 % des attaques ciblées utilisaient des courriels de spear phishing.

Les cybercriminels semblent réussir à compromettre autant les individus que les entreprises.

Aux yeux de l’individu sans méfiance, une attaque de spear phishing apparaît comme un courriel semblant provenir de sa banque ou d’une entreprise renommée, comme Amazon. Le message peut ressembler à une note concernant un achat ou une demande de confirmation de transaction incitant le lecteur à cliquer sur un lien malveillant, ou à fournir de l’information personnelle confidentielle que le cybercriminel utilisera pour commettre d’autres fraudes.

Les criminels astucieux s’attaquent aussi aux entreprises, souvent en ciblant deux ou trois employés d’une compagnie. Un courriel d’apparence légitime est envoyé aux employés, semblant provenir de leur gestionnaire ou d’un dirigeant de l’entreprise, leur demandant de transférer de l’argent, de divulguer un mot de passe ou une information d’entreprise confidentielle. Typiquement, ce courriel utilisera un ton urgent pour faire penser à ses victimes que l’entreprise est en danger sauf si l’employé pose rapidement l’action qui lui est demandée.

Sept façons de protéger votre organisation contre le spear phishing

Bien que le danger du spear phishing soit très réel et complexe, il existe plusieurs façons pour les organisations de limiter le risque.

Prenez connaissance des sept façons pratiques de prévenir les attaques par spear phishing.

  1. Éduquez, éduquez, éduquez. Tout commence avec l’éducation. Éduquez vos employés au sujet du spear phishing. Profitez des outils de simulations d’attaques de phishing pour les former à identifier les menaces de spear phishing.
  2. Utilisez des programmes éprouvés en sensibilisation à la sécurité et créez des cyber héros. Allez au-delà des outils disponibles gratuitement et utilisez des plateformes ayant fait leurs preuves dans la formation en sensibilisation à la sécurité et les simulations d’attaques par phishing. Ceci incitera toute l’entreprise à accorder une attention prioritaire aux risques du spear phishing et de l’ingénierie sociale. Utilisez les modules de microlearning sur le harponnage, faciles à implanter et conçus pour capter l’attention des employés. À l’interne, formez des cyberhéros motivés pour préserver la sécurité de votre organisation.
  3. Suivez et mesurez les résultats. Responsabilisez les leaders en sécurité et les cyberhéros de votre organisation et encouragez-les à vérifier régulièrement le niveau de sensibilisation des employés envers le spear phishing avec des outils de simulation de phishing. Définissez des indicateurs pour mesurer à quel point vos initiatives éducatives suscitent les changements de comportements.
  4. Passez le mot. Déployez une campagne de sensibilisation dans votre entreprise pour donner de l’information en continu sur la cybersécurité, le spear phishing et l’ingénierie sociale. Élaborez des politiques de mots de passe forts et rappelez à vos employés les risques pouvant s’insinuer sous forme de pièces jointes, de courriels et d’URL.
  5. Limitez les accès. La nouvelle ère du PAP (prenez vos appareils personnels) exige l’établissement de règles d’accès aux réseaux pour limiter l’usage des appareils personnels et le partage d’information hors de votre réseau d’entreprise.
  6. Maintenez à jour les correctifs et utilisez les dernières versions. Assurez-vous que tous les logiciels internes, outils réseau, systèmes d’exploitation et applications sont à jour et sécurisés. Installez des logiciels de protection contre les maliciels et les pourriels.
  7. Instaurez une culture de sécurité. Intégrez à votre culture d’entreprise des politiques, des procédures et des pratiques à suivre, un processus de sensibilisation des dirigeants, de gestion du changement et de soutien.

Somme toute, malgré les différences fondamentales entre le spear phishing et le phishing, la solution aux deux problèmes comporte des éléments communs.

Une simulation de spear phishing est le meilleur outil de sensibilisation aux risques et il permet d’identifier les employés les plus vulnérables aux pièges du harponnage et du phishing. Ces simulations permettent d’implanter facilement une formation de sensibilisation en cybersécurité au sein des organisations, dans un format interactif et informatif.

Les employés voient concrètement comment des courriels personnalisés, d’apparence légitime, sont utilisés pour voler l’information personnelle et d’entreprise. La formation juste à temps pour compléter la simulation de phishing est une façon efficace pour toute organisation d’éduquer ses employés et de rehausser les niveaux de vigilance envers les attaques de spear phishing et leurs techniques.

À terme, implanter le bon programme de formation en sensibilisation à la sécurité, complété par des exercices de simulations de phishing, crée une défense efficace contre la menace en croissance du spear phishing.

 

 

Comment se compare votre taux réel de clics?

Le rapport de référence du tournoi Gone Phishing Tournament ™ 2019 sera bientôt publié.

Réservez votre rapport dès maintenant et comparez votre taux de clics avec d’autres organisations selon l’industrie, la taille organisationnelle et l’emplacement géographique.

 

RÉSERVER MON RAPPORT

 


 

Harold Walker
CISSP, Global Channel Manager & Cyber Security Evangelist

Connecter sur LinkedIn