E-réputation - Spear-phishing : ne mordez pas à l’hameçon ! - 24 juin 2013

Spear-phishing : ne mordez pas à l’hameçon !

Jean Larock Auteur

Vous êtes dirigeant ou cadre de votre entreprise ? Vous êtes marketer et vous traitez beaucoup de données pour vos clients ? Vous avez accès à des informations confidentielles ? Vous travaillez pour une administration publique ? Vous êtes un activiste ou militant ? Si vous répondez par l’affirmative à l’une de ces questions, alors vous êtes la cible idéale du Spear Phishing

A la différence du phishing classique (envoi massif de mails contenant des liens ou du code malicieux), le Spear Phishing vise des personnes identifiées et sélectionnées en fonctions de critères précis, à savoir leur position dans une organisation qui détient certains biens ou informations qui intéressent l’auteur du phishing.

Job&Co'm

Il s’agit d’une attaque ciblée, avec un but précis, qui se déroule le plus souvent par étapes successives.

Le scénario classique

Le « Spear Phisher » va d’abord se renseigner sur sa cible et son intérêt potentiel en consultant l’organigramme de votre société ou bien en posant des questions « innocentes » à vos collègues ou connaissances. Il pourra de la même manière récupérer votre adresse e-mail (d’autant plus facilement, si votre adresse est publiée sur Internet).

A partir des informations personnelles et professionnelles qu’il aura pu récupérer, le « Spear Phisher », pourra vous envoyer un mail parfaitement personnalisé contenant un fichier joint avec du code malicieux (logiciel malveillant) ou un lien vers un site compromis.

La plupart du temps, il s’agira d’installer des programmes espions permettant au pirate de rassembler des informations afin de préparer une attaque ultérieure.

Le Spear Phishing n’a donc pas forcément d’effet immédiat, et on peut avoir l’impression que l’e-mail en question est inoffensif, malgré qu’il soit étrange. Si vous avez déjà ouvert un fichier suspect ou cliqué sur un lien corrompu, faites nettoyer votre PC avant de continuer à l’utiliser.

Comment se protéger ?

Les protections habituelles de type firewall ou filtre anti-spam ne parviennent déjà pas à bloquer tous les codes malicieux et les spams qui circulent. A fortiori, ils n’auront aucune efficacité contre le Spear Phishing qui est une forme d’ingénierie sociale. La vigilance est donc de mise dès l’instant où vous constituez une cible privilégiée.

Si vous recevez un mail personnel inattendu de la part d’un expéditeur qui semble vous connaître et vous demande de cliquer sur un lien ou d’ouvrir un fichier joint, méfiez-vous. Il se peut même que l’e-mail provienne apparemment d’un collègue, dont l’attaquant aura réussi à usurper l’identité. En cas de doute, demandez confirmation à l’expéditeur du message qu’il en est bien l’auteur, en utilisant un autre canal de communication.

Astuce :

Pour sécuriser vos communications avec vos collègues, vous pouvez utiliser un code qui signalera que vous êtes effectivement l’auteur du message.  Ce code devra être utilisé pour tout message ‘sensible’, c’est-à-dire contenant des pièces jointes, des liens ou des demandes particulières.

Par ailleurs, il est intéressant de connaître vos informations professionnelles et personnelles qui sont facilement accessibles sur le web. Faites le test en tapant votre « Prénom Nom » sur Google et Facebook. Vous aurez de cette manière un aperçu des informations publiques qui sont les plus faciles à obtenir sur votre personne.

Si votre date de naissance figure sur un réseau social, et que vos fonctions figurent sur le site web de votre entreprise, il sera facile pour le « spear phisher » de vous envoyer un mail personnalisé en vous proposant un cadeau d’anniversaire… qui se trouve derrière un lien corrompu.

Logo Cases

Faits et chiffres

  • 94 % des emails ciblés (Spear Phishing) utilisent des fichiers joints ;
  • Le format de ces fichiers est varié : rtf, xls, zip, rar, pdf, doc… ;
  • Dans certains cas, des fichiers exécutables sont dissimulés en documents avec de fausses icônes ;
  • Les cibles du Spear Phishing sont dans 76 % des cas des entreprises ou des administrations ;
  • 75 % des victimes du Spear Phishing avaient une adresse mail facile à trouver sur Internet (soit par une recherche sur Google, soit en utilisant le nom de domaine de leur entreprise).