Le spear phishing est une forme sophistiquée de cyberattaque dans laquelle les attaquants ciblent des personnes ou des organisations spécifiques, en utilisant souvent des informations personnalisées pour augmenter leurs chances de succès. Contrairement aux tentatives d’hameçonnage génériques, qui ratissent large, le spear phishing est très ciblé et adapté, ce qui le rend plus dangereux. Les attaquants peuvent se faire passer pour des contacts de confiance ou utiliser un langage familier pour tromper les victimes et les amener à révéler des informations sensibles, telles que des mots de passe ou des données financières. Il est essentiel de comprendre les tactiques employées dans le spear phishing et de mettre en œuvre des mesures préventives pour préserver la sécurité personnelle et organisationnelle.

Qu’est-ce que le Spear Phishing ? Tout comme le phishing, mais un peu plus direct

Nous avons tous entendu parler du terme  » phishing  » et de son fonctionnement : un courriel générique est envoyé avec une URL ou une pièce jointe cryptée et lorsque vous cliquez dessus, « BOOM »… vous vous êtes fait avoir. Mais nous assistons aujourd’hui à une recrudescence du spear phishing.

Le spear phishing est techniquement la même chose, mais avec une approche plus directe et plus ciblée. Les pirates passent du temps à étudier la vie, les intérêts et les fonctions d’une personne ou d’un petit groupe de personnes et créent un courrier électronique qui semble légitime et intéressant, suffisamment intéressant pour que l’on clique dessus. Et si cette personne clique et active le logiciel malveillant, celui-ci peut se propager et causer des dommages au sein de l’entreprise
.

Le Federal Bureau of Investigation a mené des recherches approfondies sur le spear phishing et a indiqué que la plupart des opérations de spear phishing visent les entreprises qui utilisent « les virements électroniques comme méthode courante de transfert de fonds à des fins commerciales ». Ce type d’escroquerie est également connu sous le nom d’escroquerie BEC, définie comme une « …escroquerie sophistiquée ciblant les entreprises travaillant avec des fournisseurs étrangers et/ou les entreprises qui effectuent régulièrement des paiements par virement bancaire. L’escroquerie consiste à compromettre des comptes de courrier électronique professionnels légitimes au moyen de techniques d’ingénierie sociale ou d’intrusion informatique afin d’effectuer des transferts de fonds non autorisés ».

Voici un aperçu de la manière dont les « pêcheurs au harpon » ciblent et attrapent les poissons.

Spear Phishing sur Facebook

Vos mises à jour peuvent en dire long sur votre personnalité. Vos habitudes de consommation, le nom de votre chien, une photo de vous en vacances en Grèce ou l’achat de votre nouvelle voiture. Les hameçonneurs peuvent créer un courriel crédible vous demandant de revoir vos récentes vacances ou d’acheter de la nourriture pour chiens à prix réduit portant le nom de votre chien, ce qui inclurait un lien rempli de logiciels malveillants. Nous ne disons pas que vous ne devez plus jamais mettre à jour quoi que ce soit, mais soyez attentif et réfléchissez avant de poster ou de cliquer !

Spear Phishing sur Twitter

Votre Twitter est rempli de hashtags, #sister #bestfriend #family… auxquels sont généralement associés des noms de personnes, des lieux et même des images. Il est donc facile pour les hameçonneurs de créer un personnage « derrière lequel se cacher ». Si vous receviez un courriel portant le nom de votre sœur, vous penseriez automatiquement que c’est normal et vous ne penseriez jamais qu’il s’agit d’un courriel d’hameçonnage, mais malheureusement, c’est parfois le cas.

Spear Phishing sur LinkedIn

Vous avez votre image, le titre de votre entreprise, le nom de l’entreprise, tous les employés connectés et tout ce qui vous intéresse est visible. Les hameçonneurs peuvent utiliser cela contre vous et vous manipuler à l’adresse
. N’est-ce pas une idée effrayante ? Tout ce que vous faites en ligne et ce avec quoi vous interagissez sont des éléments de base pour votre propre attaque de spear phishing.
En combinant ces éléments, vous devenez la cible privilégiée d’un scandale de spear phishing qui, s’il est cliqué, peut être envoyé à vos collègues, ce qui a un effet boule de neige. Soyez prudent et ne déclenchez pas la boule de neige
.

Qu'est-ce que le Spear Phishing ? Tout comme le phishing, mais un peu plus direct

Spear Phishing : Comment éviter et réduire les risques d’en être victime ?

1) Comment éviter le Spear Phishing ? Soyez attentif

Toutes vos données étant désormais disponibles en ligne, il est très facile d’obtenir et d’utiliser vos informations. N’en donnez pas trop et ne publiez jamais d’informations personnelles telles que votre adresse, votre numéro de téléphone ou vos coordonnées bancaires. Profitez-en tout de même, postez des photos amusantes, dites à vos amis que vous avez passé la meilleure journée à la plage avec votre famille, et même dites à tout le monde que vous avez mangé un burrito à midi… mais soyez prudent. Si vous recevez un courriel concernant un « burrito gratuit » de votre plat à emporter préféré au bord de la mer, ce n’est probablement pas une coïncidence ! Soyez attentif et restez vigilant.

2) Comment éviter le Spear Phishing ? Vérifiez les liens

Les courriels de spear phishing contiennent généralement des liens qui vous invitent à cliquer pour modifier un mot de passe, vérifier des détails ou vous inscrire à quelque chose de nouveau et d’exclusif. Mais avant de cliquer, la meilleure chose à faire est de vérifier l’URL en survolant le lien. S’il s’agit d’une escroquerie par hameçonnage, vous pouvez être sûr que l’URL sera quelque chose qui n’a rien à voir avec l’e-mail et qu’elle sera parfois suivie d’une ligne de chiffres et de nombres aléatoires.

3) Comment éviter le Spear Phishing ? Faites preuve de logique

Pourquoi votre collègue de travail voudrait-il connaître vos coordonnées bancaires ? Pourquoi votre patron vous enverrait-il un lien vous invitant à cliquer sur un lien pour consulter votre facture de téléphone ? En cas de doute, contactez directement cette personne et vérifiez qu’elle a bien envoyé l’e-mail. Et si vous recevez un courriel d’hameçonnage, supprimez-le immédiatement ! Mieux vaut prévenir que guérir.

Comment éviter le Spear Phishing ? MetaCompliance

Découvrez-en plus sur la protection de vos employés contre le Spear Phishing

Améliorez votre sensibilisation à la cybersécurité grâce aux programmes de formation de MetaCompliance, en particulier MetaPhish, notre plateforme avancée de simulation d’hameçonnage.