Les dernières tendances en matière d’attaques par spear phishing sont extrêmement inquiétantes. Commençons par une définition du spear phishing. Selon Kaspersky, il s’agit d’une escroquerie ciblée via un email dont le seul but est d’obtenir un accès non autorisé à des données sensibles.
Désormais, les pirates préfèrent abandonner le phishing de masse car le spear phishing est beaucoup plus rentable. Les équipes de l’entreprise Fireeye ont comparé le coût des emails de masse avec celui du spear phishing. Ils ont constaté que même si le spear phishing coûte 20 fois plus cher par victime, son rendement moyen est 40 fois plus élevé. Cela explique pourquoi ces attaques s’intensifient.
En janvier 2016, SC Magazine UK a rapporté que 42% des professionnels de la sécurité considéraient le spear phishing comme l’un des trois principaux problèmes de sécurité : voici pourquoi.
Les cybercriminels affinent de plus en plus leur façon de procéder, ce qui rend leurs attaques très difficile à détecter. Plus de 90% de ces attaques utilisent le spear phishing à un moment donné.
Même si les dépenses consacrées à la prévention contre le spear phishing ont grimpé en flèche au cours de l’année dernière, une étude réalisé par le magazine CSO et publiée en janvier 2016 a évoqué que 28% des attaques sont réussies.
Le spear phishing est davantage basé sur l’ingénierie sociale (social engineering) que sur une technologie intelligente, de sorte que la protection exige plus qu’une solution technologique.
Pour qu’une attaque par spear phishing soit crédible, l’attaquant doit en apprendre le plus possible sur sa victime et sur son entreprise. Il peut avoir votre adresse email en le recherchant sur internet, en l’achetant auprès d’une source louche, en pénétrant dans votre réseau ou en persuadant un de vos collègues de le lui fournir.
L’attaquant façonne soigneusement l’email qu’il vous envoie pour donner l’impression qu’il provient d’une source avec laquelle vous aviez déjà fait affaire, comme une entreprise de livraison, un magasin en ligne, un fournisseur de divertissement ou une institution financière. Souvent, l’email contient un logo qui ressemble beaucoup à celui de votre entreprise.
Voler de l’argent
Que veulent réellement les attaquants par spear phishing ? En effet, ils ciblent régulièrement les clients des institutions financières, des banques, des coopératives de crédit, des compagnies d’assurance et des entreprises en ligne telles que Paypal et Amazon.
Au lieu d’utiliser une pièce jointe à un email, de nombreux messages contiennent un document ou des données sous format HTML. Par exemple, vous recevez un email d’une institution financière vous demandant de cliquer sur un lien pour changer votre mot de passe. Vous serez alors redirigé à votre insu vers un site qui collecte votre ancien mot de passe. L’attaquant peut donc se connecter à votre compte et voler votre argent.
Les entreprises sont aussi des victimes potentielles des pirates. Selon le Federal Bureau of Investigation, ce genre d’escroquerie ciblée a permis à ces derniers de gagner 520 millions de livres sterling provenant de 7000 entreprises aux États-Unis entre l’été 2013 et 2015.
Prenons l’exemple d’une campagne récente rapportée par le FBI. Un email ou un appel téléphonique a été émis de la part des fraudeurs qui s’identifiaient comme des avocats s’occupant de questions confidentielles ou urgentes. Le bénéficiaire a subi des pressions pour qu’il agisse rapidement ou secrètement et pour qu’il transfère des fonds. Ce genre d’escroquerie se produit souvent à la fin d’un jour ouvrable ou d’une semaine de travail. Dans la plupart du temps, il coïncide également avec la fermeture des bureaux des institutions financières internationales.
Piggybacking d’événements d’intérêt
Pendant la saison des impôts, les victimes des attaques ciblées peuvent recevoir un email qui semble être envoyé par les « autorités fiscales ». Il demande des informations financières ou fournit des « reçus » d’impôt. Pourtant, les pièces qui y sont jointes ne sont que des malwares déguisés.
Aux États-Unis, il existe actuellement une campagne de ce genre qui cible les professionnels de la sécurité et la gestion des services informatiques dans les entreprises techniques. L’email provient d’une adresse comme assupport@gov.com ou support@link2.gov. La pièce jointe contient un script VBA malveillant qui s’exécute automatiquement dès que la victime l’ouvre.
Même les attaques terroristes ont été utilisées par les attaquants par spear phishing comme une occasion de tirer profit des événements d’un grand intérêt pour le public.
Vol de données
Les atteintes à la protection des données commencent souvent par une attaque par spear phishing. En août 2015, la désastreuse effraction des données au sein de l’entrepôt de Carphone Warehouse a commencé par des emails de spear phishing.
Les attaques par spear phishing sont difficiles à détecter et il est ainsi difficile de s’en protéger. Étant donné qu’elles reposent sur l’ingénierie sociale, la formation des utilisateurs quant au repérage des emails malveillants est donc essentielle.
Protection contre le spear phishing
Les attaquants changent constamment de tactique. C’est pour cette raison qu’il est important d’utiliser plusieurs défenses, à savoir :
- Une approche multicouche de la sécurité
- Des passerelles de messagerie sécurisées
- Des moteurs antivirus multiples
- Des filtres antispam puissants
- Une protection avancée contre les malwares
- Une meilleure surveillance et gestion de vos équipements informatiques.
Une faille dans les défenses
La protection évoquée ci-dessus est, bien entendu, installée dans l’environnement de l’entreprise.
Mais imaginons qu’un employé utilise un équipement personnel de communication (BYOD). Que se passe-t-il lorsqu’il ouvre un email malveillant en dehors du réseau de l’entreprise, ou bien lorsqu’il clique sur un lien malveillant via un compte de messagerie personnel comme Gmail ?
Les employés doivent savoir que ces actions peuvent compromettre l’ensemble du réseau de leur entreprise.
Les experts estiment que le spear phishing poursuivra sa croissance fulgurante et il y aura de plus en plus de variantes nécessitant des technologies avancées pour pouvoir les repousser. Les attaques impliqueront également des tactiques d’ingénierie sociale encore plus intelligentes.
Ainsi, la meilleure défense globale consiste à sensibiliser les utilisateurs. Ils doivent être vigilants et réfléchir à deux fois avant de révéler des informations, de cliquer sur des liens dans un email ou d’ouvrir une pièce jointe.