Le phishing se présente sous différentes formes, mais le spear phishing est sans doute le type d’attaque le plus dangereux et le plus difficile à détecter.

Traditionnel Les attaques par hameçonnage ont tendance à fonctionner de manière dispersée, elles se font souvent passer pour une entreprise de confiance et ciblent un grand nombre de personnes en même temps. En revanche, le spear phishing est très personnalisé et ciblé.

L’élaboration minutieuse d’une attaque de spear phishing demande beaucoup de réflexion et de recherche. Les attaquants tentent d’obtenir autant d’informations personnelles que possible sur leur victime afin que les courriels paraissent aussi authentiques que possible.

Afin de créer un sentiment de familiarité, les spear phishers parcourent souvent les sites de médias sociaux et les moteurs de recherche pour se faire une meilleure idée de leur victime. Une fois qu’ils ont obtenu toutes les informations dont ils ont besoin, les attaquants essaient de se faire passer pour un ami ou un collègue de confiance, puis tentent d’obtenir des informations sensibles par le biais d’un courrier électronique.

Par exemple, un employé peu méfiant reçoit un courriel des RH l’informant d’un nouveau régime de retraite mis en place par l’entreprise. Il clique sur la pièce jointe et, sans même s’en rendre compte, déclenche un virus qui pourrait mettre l’entreprise à genoux.

Cela peut sembler tiré par les cheveux, mais c’est exactement le type d’attaque de spear phishing dont les entreprises du monde entier font l’objet quotidiennement.

Selon la dernière édition du rapport de Symantec sur les menaces pesant sur la sécurité Internet, les courriels de spear phishing sont devenus la méthode d’attaque la plus répandue, employée par 71 % des groupes criminels de cybercriminalité dans le monde.

Le spear phishing peut permettre aux cybercriminels de réaliser des profits considérables. En juin 2015, l’entreprise technologique Ubiquiti Networks a perdu plus de 40 millions de dollars à la suite d’une attaque ciblée de spear phishing.  Le groupe de cybercriminels Carbanak a réussi à dérober plus d’un milliard de dollars à des banques du monde entier en introduisant un logiciel malveillant par le biais d’un courriel de harponnage.

Les efforts déployés pour rechercher des cibles potentielles valent la peine si les escrocs parviennent à engranger les profits qu’ils réalisent actuellement. Les attaques de spear phishing sont extrêmement difficiles à détecter et requièrent une vigilance accrue de la part du personnel pour s’assurer qu’il n’en est pas victime.

Techniques de lutte contre l’hameçonnage pour prévenir les attaques de type Spear Phishing

Ne partagez pas trop d’informations sur les médias sociaux

Spear Phishing

La croissance massive des médias sociaux a facilité la tâche d’un « spear phisher » qui peut ainsi établir le profil de sa victime et glaner de nombreuses informations personnelles qui peuvent être utilisées dans une attaque. À partir d’un simple balayage en ligne, les escrocs peuvent être en mesure de découvrir votre fonction, votre lieu de travail, votre adresse électronique, les événements auxquels vous avez participé et bien d’autres informations précieuses qui peuvent être utilisées pour rendre leur escroquerie aussi convaincante que possible. Vous devriez régulièrement vérifier et ajuster vos paramètres de confidentialité afin de limiter ce que les gens peuvent ou ne peuvent pas voir sur vos profils de médias sociaux.

Questionner toute demande d’information confidentielle

Questionner toute demande d'information confidentielle

Si un collègue vous demande de lui envoyer des informations confidentielles par courrier électronique, n’accédez pas automatiquement à sa requête. Une tactique couramment utilisée par les « spear phishers » consiste à se procurer une liste de cadres supérieurs d’une entreprise, puis à envoyer des courriels en se faisant passer pour ces cadres afin d’inciter le personnel à révéler des informations sensibles. Si vous recevez à l’improviste un courriel vous demandant des informations telles que des mots de passe, des informations bancaires d’entreprise ou des fichiers sensibles, vous devez toujours remettre en question la demande, quelle qu’en soit l’origine, et vérifier personnellement auprès de l’expéditeur si elle est légitime.

Ne cliquez pas sur les liens contenus dans les courriels

Ne cliquez pas sur les liens contenus dans les courriels

Les attaques de spear phishing ont toujours une accroche convaincante pour inciter l’utilisateur à cliquer sur le lien, et si l’e-mail provient d’une source fiable, il semblera encore plus crédible. Arrêtez-vous toujours et réfléchissez avant de prendre une décision hâtive. Passez votre souris sur le lien pour voir l’URL de destination, et si quelque chose ne vous semble pas correct, ne cliquez pas.

Utilisez des mots de passe intelligents

Les pirates sophistiqués devinent les mots de passe et utilisent des logiciels spécialisés pour tester des milliers de combinaisons possibles de noms d’utilisateur et de mots de passe. Pour réduire leurs chances de réussite, il est essentiel d’utiliser les outils suivants  des mots de passe complexes. L’une des meilleures façons d’y parvenir est de créer une phrase de passe qui vous est propre. Les phrases de passe sont plus longues, plus complexes et plus faciles à retenir que les mots de passe traditionnels. Une phrase de passe est une combinaison de mots, de lettres, de chiffres, d’espaces et de signes de ponctuation. La première lettre de chaque mot constitue la base de votre mot de passe, et les lettres peuvent être remplacées par des symboles et des chiffres pour rendre le mot de passe plus difficile à déchiffrer.

Formation régulière à la cybersécurité

Formation régulière à la cybersécurité

Pour que les organisations soient protégées contre les attaques ciblées de spear phishing, il est essentiel que le personnel reçoive régulièrement des informations sur la manière dont il est protégé. Formation de sensibilisation à la cybersécurité. Les attaques de type « spear phishing » ont tendance à être beaucoup plus difficiles à détecter qu’une attaque de type « phishing » classique. Pour s’assurer que le personnel est équipé pour faire face à ces menaces en constante évolution, il doit recevoir une formation régulière sur la manière d’identifier une attaque et se familiariser avec les différentes méthodes qui peuvent être utilisées pour les manipuler et les amener à divulguer des informations sensibles.

Mettez régulièrement à jour les logiciels

Les chercheurs en sécurité mettent continuellement à jour leurs les antivirus et les logiciels de sécurité afin qu’ils correspondent aux attaques les plus récentes et qu’ils corrigent toutes les vulnérabilités qui ont été détectées. Ces vulnérabilités sont souvent exploitées par les pirates informatiques pour voler des données sensibles, bloquer les utilisateurs ou demander une rançon. Des mises à jour régulières des logiciels vous permettront de disposer des versions les plus récentes publiées par le fabricant, réduisant ainsi les risques d’attaque.

Utilisez l’authentification multifactorielle

En ajoutant une couche supplémentaire d’authentification, il sera beaucoup plus difficile pour un pirate d’accéder aux données sensibles de l’entreprise. L’authentification multifactorielle est utilisée pour vérifier l’identité d’un utilisateur lorsqu’il accède à une application. Outre le mot de passe, l’authentification multifactorielle requiert une deuxième ou une troisième information pour confirmer l’identité de l’utilisateur. Il est ainsi beaucoup plus difficile pour un spear phisher de compromettre un compte et d’accéder à des informations sensibles.

Pour plus d’informations sur le phishing et les différentes formes qu’il prend, consultez notre site web Guide ultime de l’hameçonnage. Malgré la sophistication croissante des attaques par hameçonnage, vous pouvez vous protéger en ligne de plusieurs façons.  MetaPhish a été spécialement conçu pour protéger les entreprises contre les attaques de phishing et de ransomware et constitue la première ligne de défense dans la lutte contre la cybercriminalité. Prenez contact avec nous pour obtenir de plus amples informations sur la manière dont nous pouvons  aider votre entreprise.