Identifier et prévenir les attaques de Spear Phishing
Publié le: 27 Sep 2022
Dernière modification le: 24 Juil 2025
Le spear phishing est une menace sérieuse pour les organisations du monde entier, mais ce type d’hameçonnage très ciblé peut être difficile à prévenir.
Un rapport de la société de sécurité Ivanti met en évidence le taux de réussite du spear phishing : près des trois quarts (73 %) des organisations ont déclaré à Ivanti que le personnel informatique était ciblé par le spear phishing, et près de la moitié des tentatives (47 %) sont couronnées de succès.
Qu’est-ce que le Spear Phishing ?
Le spear phishing est une forme très ciblée d’hameçonnage. Une campagne de phishing envoie généralement un courriel de masse à de nombreuses personnes, alors que les campagnes de spear phishing se concentrent sur une ou quelques personnes ; ces personnes travaillent généralement pour une organisation spécifique ou y sont associées.
Le spear phishing se présente souvent sous la forme d’un courrier électronique, mais il peut également s’agir d’un phishing téléphonique (Vishing) ou d’un phishing par message mobile (SMShing).
Le spear phishing utilise des tactiques d’ingénierie sociale avancées pour élaborer une campagne de spear phishing efficace basée sur les informations recueillies sur une cible. Les informations nécessaires à l’élaboration d’un courriel de spear phishing sont collectées par n’importe quel moyen, y compris des messages sur les médias sociaux, des sites web d’entreprises, des comptes en ligne piratés, etc.
Les cybercriminels sont même connus pour établir une relation avec leur cible par courriel ou par téléphone, en gagnant la confiance de l’employé et en l’encourageant à partager ses données personnelles ou celles de l’entreprise. Une fois que le cybercriminel dispose de suffisamment d’informations sur la cible, il crée un courriel personnalisé qui semble légitime.
L’objectif d’une tentative de spear phishing est généralement de voler les identifiants de connexion. Ces identifiants peuvent ensuite être utilisés pour accéder au réseau de l’entreprise. Le résultat de l’ingénierie sociale d’un employé est une infection par un logiciel malveillant, y compris un ransomware, et un vol de données, Business Email Compromise (BEC), et d’autres formes de cyber-attaques.
Si l’utilisation de l’authentification multi-facteurs (MFA) peut contribuer à réduire le risque d’attaque, elle n’est pas une garantie : une récente campagne de phishing ciblant les utilisateurs d’Office 365 a été en mesure de contourner toute MFA utilisée par les employés.
Comment les cybercriminels utilisent les attaques de Spear Phishing
Les cybercriminels utilisent le spear phishing pour concentrer leurs attaques sur une entreprise spécifique. Ces campagnes peuvent viser directement (un employé) ou indirectement, c’est-à-dire se concentrer sur un fournisseur de la chaîne d’approvisionnement pour attaquer une organisation située plus haut dans la chaîne d’approvisionnement.
Souvent, les attaques de spear phishing font partie d’un cycle d’attaques où les données, y compris les mots de passe, sont volées ; cela conduit à l’infection par des logiciels malveillants, à d’autres vols d’informations d’identification et à des données volées. Le processus commence par un courriel, un Vishing ou un SMShing. Le spear phishing implique souvent une planification stratégique de haut niveau, qui peut nécessiter plusieurs étapes chorégraphiées pour atteindre l’objectif du pirate.
Exemples d’attaques de type Spear Phishing
Spear Vishing: un L’attaque de phishing sur Twitter en 2020 a fait les gros titres lorsque les pirates ont réussi à envoyer des tweets à partir de plusieurs comptes de haut niveau, dont Joe Biden, Barack Obama, Bill Gates et Elon Musk. L’attaque de Twitter était centrée sur un appel téléphonique d’hameçonnage (Vishing) à des employés ciblés, jusqu’à ce que l’un d’entre eux donne aux attaquants les identifiants de connexion à des outils internes. Ces identifiants ont ensuite été utilisés pour élever les privilèges à un niveau supérieur.
Email de spear phishing : un email de spear phishing a usurpé l’identité du Département du travail américain (DoL) pour cibler plusieurs organisations. L’objectif de cet email était de voler les identifiants de connexion à Office 365. L’email était basé sur des domaines habilement déguisés pour faire croire qu’il provenait légitimement du DoL.
En outre, l’e-mail prétendait provenir d’un employé senior du DoL invitant l’organisation destinataire à soumettre une offre pour un projet gouvernemental. En cliquant sur le « bouton de soumission », l’employé était dirigé vers un site de phishing où ses identifiants de connexion à Office 365 étaient volés.
Comment repérer un courriel d’hameçonnage (Spear Phishing)
Ces courriels sont notoirement difficiles à repérer, simplement parce que leur création a nécessité beaucoup de travail. Cependant, il existe quelques points à vérifier qui peuvent aider les employés à identifier les signes révélateurs.
- Souvent, les courriels de spear phishing s’appuient sur des positions d’autorité, par exemple le support informatique, pour forcer un employé à agir, par exemple à saisir un mot de passe dans une page web falsifiée. Vérifiez l’adresse électronique de l’expéditeur. Elle peut ressembler à la vraie, mais avec quelques différences subtiles.
- Le format du courriel correspond-il à ce à quoi vous êtes habitué ? Par exemple, si le courriel est censé provenir de l’assistance informatique, la façon dont il est rédigé et formaté reflète-t-elle les courriels précédents de l’assistance informatique ?
- Le courriel exige-t-il la saisie d’un trop grand nombre de données ou d’informations qui semblent inutiles ? Par exemple, vous demande-t-on de vous connecter à une application en nuage de l’entreprise après avoir cliqué sur un lien dans un courriel sans raison impérieuse – cela vous semble-t-il suspect ?
Une autre mesure peu technique que vous pouvez prendre pour éviter un incident de spear phishing consiste à vérifier auprès de l’expéditeur supposé du courrier électronique : appelez-le pour vous assurer que le courrier électronique provient bien de lui.
Se protéger d’une attaque
Les couches de protection sont le meilleur moyen de faire face à la menace du spear phishing. Voici les six principales façons de vous protéger, vous et votre entreprise, contre une attaque :
Ne partagez pas trop sur les médias sociaux
Les cybercriminels recueillent les informations nécessaires pour créer des courriels crédibles à partir de nombreuses sources, y compris les médias sociaux. Mettez donc en place une politique expliquant les dangers d’un partage excessif de données sur les médias sociaux.
Ne cliquez pas sur les liens suspects contenus dans les courriels d’hameçonnage
Cela devrait devenir le mantra de tous les lieux de travail. Même si un employé n’entre pas ses données d’identification après avoir cliqué sur un lien malveillant, le pirate informatique disposera probablement d’une liste des personnes qui ont cliqué et continuera à envoyer des courriels d’hameçonnage de plus en plus sophistiqués à l’organisation concernée.
Utiliser une authentification robuste
Bien qu’elle ne soit pas infaillible, une authentification solide permet d’adopter une approche à plusieurs niveaux pour lutter contre le phishing. Créez des mots de passe forts et uniques et ajoutez l’authentification multifonctionnelle lorsqu’elle est prise en charge.
Ne partagez jamais d’informations sensibles en ligne
Il va sans dire que le partage d’informations personnelles ou d’entreprise sensibles ne doit pas se faire publiquement et en ligne, car ces informations seront recueillies et utilisées pour hameçonner les employés ou les fournisseurs de la chaîne d’approvisionnement associés.
Soyez prudent et vigilant
Formez tous les membres du personnel et les associés aux tactiques utilisées par les cybercriminels. Veillez à ce que cette formation soit dispensée régulièrement et utilisez une plateforme de simulation d’hameçonnage pour envoyer des messages de simulation d’hameçonnage aux employés les plus exposés.
Encourager les employés à signaler les incidents
Une fois que vous avez formé le personnel à repérer les signes révélateurs de l’hameçonnage, encouragez les employés à signaler les incidents. Cela contribue à renforcer la cyber-résilience, à maintenir la conformité réglementaire et à fournir les informations nécessaires pour agir rapidement avant qu’un incident ne devienne une cyber-attaque à part entière.
