Obtenez Avast One pour renforcer votre protection contre le phishing et les sites malveillants
- Sécurité
- Confidentialité
- Performances
Vous pensez être capable de repérer les escroqueries ? Le spear phishing peut être extrêmement difficile à détecter. Conçus pour ressembler à des messages tout à fait légitimes, les e-mails envoyés dans le cadre des campagnes de spear phishing sont capables de tromper même les plus vigilants d’entre nous. Lisez cet article pour en savoir plus sur les attaques de spear phishing et comment les éviter, mais aussi comment vous protéger à l’aide d’Avast One, un logiciel antivirus robuste doté de capacités de détection intelligente des menaces.
Le spear phishing, aussi appelé en français harponnage ou encore hameçonnage ciblé, est une forme d’escroquerie par e-mail ou toute autre forme de communication électronique qui vise une personne ou un groupe spécifique dans le but de forcer la victime à divulguer des informations personnelles ou d’infecter son appareil avec un malware. Les attaques de spear phishing sont conçues pour prendre la forme de messages tout à fait légitimes provenant de sources familières ou connues.
Cette article contient :
Après avoir repéré une personne ou un groupe (par exemple une entreprise ou une organisation), le pirate prépare un message et l’envoie, en général par e-mail, en se faisant passer pour une source de confiance.
L’e-mail ou le message est soigneusement conçu de façon à paraître tout à fait légitime et à tromper même les destinataires le plus méfiants. Ce faux e-mail essaie de pousser la victime à révéler des données personnelles. Il contient en général un lien vers un faux site web parfaitement imité qui exige des informations personnelles ou contient des logiciels malveillants.
Voici comment fonctionne une attaque par harponnage ou hameçonnage ciblé :
Un pirate repère une personne ou une information qu’il convoite.
Le pirate fait quelques recherches sur sa victime afin de trouver un moyen de gagner sa confiance ou entrer en contact en se faisant passer pour une personne disposant d’une certaine autorité.
Le pirate « harponne » sa victime, en général via un e-mail, et la convainc de divulguer les informations ou les données ciblées.
Bien que ces deux types d’attaques soient similaires, la différence entre le phishing et le spear phishing (hameçonnage et harponnage) est la façon dont ces deux modes d’attaque ciblent les victimes. Le phishing cible de grands groupes de personnes, avec des escroqueries à grande échelle, souvent assez faciles à détecter. Par contre, les escroqueries par spear phishing ciblent des personnes ou des groupes bien précis dans le cadre d’attaques personnalisées qui peuvent sembler tout à fait authentiques.
En général, dans la bataille spear phishing contre phishing, le premier est plus dangereux, car plus ciblé et plus de nature à induire en erreur. Comme le spear phishing se concentre sur des groupes bien déterminés, la préparation est plus fouillée et l’attaque plus précise, ce qui la rend plus difficile à détecter.
Bien loin des célèbres arnaques du prince nigérian, les cybercriminels ont recours au spear phishing pour mener à bien des attaques très ciblées sur des personnes données afin d’accéder à des informations précises. Un exemple : les arnaques de phishing sur l’Apple ID, qui peuvent être difficiles à détecter.
Dans la même veine que le spear phishing, le whaling, c’est-à-dire la chasse à la baleine, vise des employés haut placés dans une entreprise (exemple le PDG, le directeur financier ou d’autres cadres) afin d’accéder à des informations sensibles présentant une certaine valeur. On parle de chasse à la baleine en raison de l’importance de la prise, c’est-à-dire des employés haut placés ou des personnalités connues.
Une autre pratique particulièrement trompeuse est le pharming. Contrairement aux attaques de phishing, les attaques de pharming manipulent le trafic vers les sites web authentiques pour rediriger les victimes vers des sites frauduleux qui installent des malwares ou volent des informations personnelles sensibles.
Tous ces types d’attaques ciblent les victimes potentielles par le biais de différentes formes d’ingénierie sociale, par exemple en communiquant via de faux e-mails et de faux sites web, en créant de faux profils sur les réseaux sociaux, en se faisant passer pour des personnes respectées ou dépositaires d’une certaine autorité, etc. Comme ces menaces peuvent prendre toutes sortes de formes, une certaine culture numérique est nécessaire pour s’en protéger.
Le phishing vise tout le monde de façon indéterminée, tandis que le spear phishing cible des groupes ou des personnes en particulier.
Comme les attaques de spear phishing sont adaptées aux personnes et aux groupes visés, elles sont pensées pour faire croire qu’elles proviennent de sources dignes de confiance. Tout comme les agents doubles dans les films d’espionnage, avec déguisements et faux passeports, les attaques de spear phishing exigent beaucoup de travail en amont. Voici comment fonctionne une attaque par harponnage ou hameçonnage ciblé :
Le pirate repère sa victime et recherche les informations la concernant : comme les attaques de spear phishing sont très ciblées, elles nécessitent des recherches en amont afin d’identifier les victimes potentielles et créer un système de fraude efficace. Comme dans le cas des autres formes de vol d’identité, les réseaux sociaux servent souvent à repérer les victimes, à collecter des coordonnées et à créer une fraude basée sur ces informations.
Un message personnalisé est créé afin de tromper la victime : plus ce message est personnalisé, plus il sera convaincant. Les cybercriminels ont aussi recours à l’usurpation et à d’autres outils pour tromper la victime potentielle, en fonction des résultats de leurs recherches. Les pirates sont capables de créer de faux e-mails imitant parfaitement l’apparence de ceux émanant des vrais expéditeurs. Et comme ces attaques sont conçues à partir d’informations clés concernant la victime, elles connaissent un meilleur taux de réussite.
Une fois que la confiance est établie, la victime est ferrée (harponnée) : il est assez facile de se laisser prendre par les attaques de spear phishing, le degré de précision des e-mails suscitant un sentiment de confiance. Lorsqu’elles sont trop faciles à repérer, les arnaques échouent la plupart du temps. Mais, en raison de l’aspect personnalisé des attaques de spear phishing, les victimes se laissent souvent tromper. Une fois ferrées, elles suivent les liens qui les redirigent vers des sites web frauduleux où elles vont divulguer des informations personnelles ou télécharger des programmes malveillants, par exemple un enregistreur de frappe.
Pour créer ces escroqueries basées sur les attaques de spear phishing, les pirates peuvent acheter des informations sur la victime potentielle sur le Dark Web. On retrouve souvent des informations personnelles en vente sur le Dark Web, et elles peuvent être achetées pour commettre un vol d’identité.
Quelques grands noms de la technologie, de la politique et du divertissement ont été victimes de spear phishing, avec parfois de sérieuses conséquences. Voyons ensemble quelques exemples connus de spear phishing.
Est-ce qu’un tweet de Jeff Bezos, le créateur d’Amazon, promettant de vous envoyer des bitcoins ne vous paraît pas un peu trop beau pour être vrai ? Et un tweet du même genre d’Elon Musk ou de Kanye West ? En 2020, Twitter a admis que des pirates avaient pris le contrôle de 45 comptes Twitter de personnalités pour mener des campagnes de spear phishing.
Pendant plusieurs heures, les pirates ont utilisé ces comptes pour diffuser sur Twitter une arnaque au Bitcoin très simple : les victimes se voyaient promettre le double du nombre de bitcoins qu’elles envoyaient au portefeuille spécifié dans les tweets. Et comme cette arnaque provenait de comptes certifiés de personnes influentes, elle a connu une certaine réussite.
Cette attaque de spear phishing a réussi à tromper Jeff Bezos.
Un communiqué de presse publié par Twitter suite à cette attaque expliquait que les pirates avaient eu recours à des techniques de « spear phishing au téléphone » pour se faire passer pour des employés des services informatiques afin de pousser les employés de Twitter à divulguer des informations d’identification donnant aux pirates l’accès à un outil interne à l’entreprise. Cet outil leur a ensuite permis de réinitialiser les mots de passe et l’authentification à deux facteurs des comptes visés.
Les femmes et les hommes politiques sont souvent accompagnés d’une équipe chargée de leur sécurité qui les suit partout, mais cela n’arrête pas pour autant les cybercriminels. 2016 a été une année noire pour le parti démocrate aux États-Unis : juste avant de perdre la course à la présidence, il a été victime d’une campagne de spear phishing visant des personnalités haut placées.
Suite à cette attaque, des milliers d’e-mails d’employés du parti démocrate ont fuité, avec des informations personnelles concernant les figures les plus en vue du parti comme Hillary Clinton et Bernie Sanders. Ces e-mails renfermaient des données sensibles qui ont ensuite été utilisées contre ces personnes, aussi bien par leurs opposants politiques que par les médias. Certains estiment que cet épisode a eu un impact sur le résultat de l’élection.
Les pirates ont mené à bien cette attaque en envoyant depuis un faux compte Gmail des messages expliquant que des activités inhabituelles avaient été constatées sur le réseau et invitant les employés à changer de mot de passe en cliquant sur le lien qui se trouvait dans le message. La suite appartient à l’histoire de la politique.
Les attaques de spear phishing sont efficaces, car à l’inverse des autres arnaques simples et génériques, elles sont très ciblées et font l’objet de nombreuses recherches en amont. Ces attaques s’appuient sur des informations personnelles des victimes pour créer des escroqueries convaincantes.
Les attaques de spear phishing exploitent nos émotions. Le message présente presque toujours un sentiment d’urgence, incitant la victime à « agir avant qu’il ne soit trop tard ».
Dans ce genre d’attaques, les pirates exploitent toutes les informations qui peuvent donner encore plus de crédibilité à leur action. Nous laissons énormément de traces en ligne, des adresses e-mail, des titres de poste et nos réseaux professionnels ou personnels. Tout cela peut être exploité pour créer une escroquerie extrêmement convaincante.
Le spear phishing est extrêmement efficace, mais vous pouvez en limiter les conséquences en protégeant vos données et en prenant des précautions afin de vous protéger du vol d’identité.
Un autre moyen d’échapper aux pirates qui emploient ce genre de tactiques est de recourir à un logiciel antivirus suffisamment puissant et sûr. Avast One offre six couches de protection très efficaces contre les menaces, même les plus dangereuses. De plus, ce logiciel gratuit est doté d’un système antivirus intelligent qui détecte et bloque les attaques de phishing, mais aussi les virus, les logiciels espions, les ransomwares et bien d’autres formes de malwares.
La prévention est la meilleure des armes face à ce genre d’attaques. Les pirates comptent sur le fait que la victime n’est pas suffisamment attentive aux détails. Le simple fait de repérer ce genre de tentative suffit donc à neutraliser les menaces. Vous pouvez aussi assurer votre sécurité en mettant en place quelques stratégies pour renforcer votre cybersécurité.
Voici comment éviter une attaque de spear phishing :
Formation et information. Respectez quelques bonnes habitudes en ne cliquant pas sur les liens qui vous paraissent étranges, en ne divulguant jamais vos mots de passe, en ne partageant pas trop d’informations sur les réseaux sociaux et en apprenant à repérer les e-mails suspects.
Les logiciels de sécurité des e-mails. Complétez ce que vous savez déjà en protégeant vos appareils avec un logiciel de sécurité. Les meilleurs logiciels antivirus peuvent détecter et bloquer les attaques de phishing, mais aussi toute une palette de cybermenaces comme les pièces jointes malveillantes, les logiciels espions et les ransomwares.
Utilisez des mots de passe complexes. Les mots de passe protègent aussi bien nos comptes bancaires que nos comptes sur les réseaux sociaux ou encore nos e-mails. Le simple fait que ces mots de passe soient volés ou fassent l’objet d’une fuite peut être à l’origine de graves problèmes. Utilisez des mots de passe forts et complexes. Et utilisez un gestionnaire de mots de passe pour créer des mots de passe indéchiffrables pour chacun de vos comptes.
Faites des sauvegardes. Quelle que soit la prudence dont vous faites preuve, vous risquez quand même d’être victime d’un piratage. Si vous devez restaurer l’ensemble de votre système, prévoyez de cloner votre disque dur ou faites une sauvegarde de tous vos fichiers sur un lecteur USB, un disque dur externe ou dans le cloud.
Mettez à jour vos logiciels. Les pirates affinent en permanence leurs méthodes et utilisent de nouvelles technologies. Il est donc très important de régulièrement mettre à jour vos logiciels et d’appliquer les correctifs de sécurité afin de corriger les vulnérabilités et de bloquer les exploits.
Vérifiez les e-mails. Si vous recevez un e-mail suspect, vérifiez l’adresse à l’aide d’un outil en ligne de vérification des e-mails. Il existe différentes solutions, mais comme pour tout ce que vous téléchargez, vérifiez que ce que vous recevez ne risque pas de poser de problèmes. Utilisez aussi une authentification multifacteur pour vos e-mails et vos comptes sur les réseaux sociaux afin de bénéficier d’une couche de protection supplémentaire.
Les attaques de spear phishing sont subtiles et même les experts peuvent tomber dans le piège. La meilleure stratégie de prévention reste de garder un œil attentif sur tous vos e-mails et autres communications.
Mais pour bloquer les menaces qui échappent à votre vigilance, un logiciel antivirus robuste comme Avast One est essentiel. La fonctionnalité d’antivirus intelligent détecte et bloque les tentatives de phishing, ainsi que d’autres cybermenaces. Ce logiciel s’appuie sur l’un des plus grands réseaux de détection des menaces au monde, pour vous protéger aussi des menaces le plus récentes.
Avec cette protection aussi puissante que complète et une interface simplifiée, Avast One est l’outil idéal !