Pourquoi le Spear Phishing est-il si efficace ?

91 % des cyberattaques commencent par un e-mail – autrement dit par la technique dite du « phishing ». Et la tendance est malheureusement à la hausse. Parmi les techniques de phishing, le spear phishing est moins connu mais beaucoup plus ciblé et efficace. Ce type d’attaque est à craindre par tous les types d’entreprises. Grandes, petites, connues ou plus confidentielles, les attaquants n’ont pas de limite et peuvent cibler n’importe quelle structure.

91 % des cyberattaques commencent par un phishing

Phishing/spear phishing, de quoi parle-t-on exactement ? Le phishing est une attaque de masse, par e-mail, visant des personnes non ciblées et dans l’objectif de voler leurs données personnelles. A l’inverse, le spear phishing est un type d’attaque ne visant qu’une personne en particulier, dont la position hiérarchique au sein d’une entreprise, ou l’exposition en font une cible de choix. Le spear phishing est une variante de l’hameçonnage épaulée par des techniques d’ingénierie sociale. L’attaquant, après une première phase d’enquête, va usurper l’identité d’une personne clé et extorquer de l’argent en son nom auprès de sa cible (RH ou comptables par exemple).

Quelle est la méthodologie utilisée dans le cadre d’un spear phishing ? Est-il possible de s’en protéger ? Si oui, comment ? Peut-on récupérer les fonds après avoir payé ? Tour d’horizon des indispensables à savoir à ce sujet. Si les cyberattaques par spear phishing sont moins nombreuses que celles par phishing, les enjeux financiers sont, quant à eux, beaucoup plus importants.

Contactez-nous

Spear Phishing : principe et cibles

 

Télétravail et nomadisme : un contexte favorable aux cyberattaques

spear phishing hacker

L’ANSSI estime que, à périmètre constant, les cyberattaques ont été multipliées par 3 ou 4 en un an entre 2019 et 2020. S’agissant des phishing et spear phishing, le télétravail expose davantage les collaborateurs. Ces derniers se retrouvent isolés physiquement et communiquent de manière moins fluide avec leurs collègues. Les règles de vigilance passent donc moins facilement. De la même manière, les conversations informelles n’existant plus ou presque, ce sont autant d’opportunités en moins de faire des vérifications croisées suite aux e-mails échangés.

Le nomadisme se développe également de plus en plus dans les usages professionnels. L’expérience montre notamment que les e-mails consultés sur des écrans plus petits (mobile, tablette, Apple Watch…) sont moins lisibles et font baisser le niveau de vigilance. Par exemple, l’adresse e-mail de l’expéditeur n’est pas forcément suffisamment voyante pour éveiller la vigilance du lecteur. Les études montrent d’ailleurs que les utilisateurs sont plus enclins à cliquer sur des liens depuis leurs smartphones.

L’extorsion de fonds n’est pas le seul objectif

 

Si l’extorsion de fonds reste l’objectif premier d’un spear phishing, elle n’est malheureusement pas le seul. En effet, une fois son arnaque réussie, le hacker peut chercher à élever ses privilèges en tant qu’administrateur. Il pourra ainsi rebondir et s’installer sur les postes de travail et serveur de l’entreprise ciblée pour y voler des données sensibles. On parle également de « propagation latérale ». Pour voler les données, l’attaquant va tâcher de rester sous les radars en se faisant le plus discret possible, on parle « d’exfiltration ». Ce vol peut se faire en une seule fois, le plus souvent lorsque le système est le moins surveillé (la nuit, en période de vacances …), ou alors de façon progressive. Il effacera ensuite toutes traces de son passage.

 

Phishing/spear phishing : quelle différence ?

 

Le phishing est un type de cyberattaque menée par des hackers dans le but de voler des données personnelles. On parle de « credentials » ou « creds », autrement dit de mots de passe et de login associés. Ces données obtenues illégalement sont ensuite revendues au marché noir et peuvent servir à d’autres types d’attaques, comme les ransomwares par exemple. Le phishing est en réalité un e-mail frauduleux dans lequel le hacker usurpe l’identité d’une marque dans le but d’arnaquer ses victimes et de les conduire à révéler des informations personnelles. Des marques comme Amazon ou Google sont souvent usurpées. Ainsi, des milliers de personnes reçoivent un e-mail provenant soi-disant de ces enseignes et leur demandant de s’identifier pour une raison inventée. La page d’authentification dispose en réalité d’un code qui récupère les données de connexions. Le phishing peut également se faire via des SMS, avec le même objectif final.

A l’inverse, le spear phishing est une attaque par mail mais extrêmement ciblée. Il peut s’agir d’une personne dont la position hiérarchique revêt un intérêt pour le hacker. Le principe est le même que pour le phishing : l’arnaque et l’usurpation d’identité. Néanmoins, l’objectif du hacker diffèrera d’un phishing puisque dans le cadre d’un spear phishing, ce n’est pas le vol de données qui est visé, mais l’extorsion d’argent. Ainsi, l’expéditeur de l’e-mail frauduleux se fera passer pour une personne dont la position hiérarchique est suffisamment stratégique pour demander un virement ou un changement de RIB fournisseur par exemple. Les cibles principales sont souvent les DAF, les DRH ou encore les Présidents.

Spear phishing : une cyberattaque ultra ciblée

 

Les hackers procèdent par ingénierie sociale. Autrement dit, des enquêtes minutieuses et parfois longues sont menées afin d’en savoir plus sur sa victime. Quand et où part elle en vacances ? Quelle est sa position au sein de l’entreprise ? Qui sont ses interlocuteurs habituels ? Quels sont ses centres d’intérêts ? Cela permet au hacker de personnaliser au maximum l’e-mail frauduleux.

Par exemple, Pauline est Directrice Marketing. Le hacker a réussi à obtenir la date de ses prochains congés et trouvé son interlocuteur paie (Alexia) au sein de l’entreprise. Au cours de ses vacances, et à une date proche de la paie, le hacker envoie le mail suivant :

Bonjour Alexia,

J’ai oublié de t’envoyer mon nouveau RIB avant de partir en vacances, le voici en PJ. Serait-il possible de le prendre en compte pour le paiement du salaire de novembre ? Mon ancien compte est en cours de fermeture et cela me rendrait vraiment service.

Merci,

Pauline

Mail phishing

Un autre exemple très courant de spear phishing implique une demande de virement urgente, demandée par le Président en personne (Jean-Philippe) au Chef Comptable (Ludovic) :

Bonjour Ludovic,

Nous venons d’élargir le périmètre d’action de notre fournisseur de consommables informatiques. Afin de bénéficier des conditions tarifaires négociées au contrat, il faudrait que les fonds soient débloqués sous 24h. Je compte sur toi pour faire réaliser le virement dans les délais. Tu trouveras en PJ tous les éléments nécessaires :

  • Avenant au contrat
  • RIB

Merci et bonne journée,

Jean-Philippe

Le mail est ainsi personnalisé au maximum. Le hacker donne des éléments personnels, issus de l’enquête menée sur la cible afin de rendre l’arnaque la plus crédible possible. La notion d’urgence est également souvent invoquée et permet de limiter la capacité de recul du destinataire. La position hiérarchique joue également en faveur de l’attaquant qui s’en sert pour intimider son interlocuteur.

Dans un premier temps, l’attaquant va donc pratiquer par ingénierie sociale de manière à rassembler un maximum d’éléments sur sa victime. Plus il y a de données publiques sur cette personne, plus cette « enquête » est facile et documentée. Ensuite, il va élaborer un scenario crédible permettant de piéger son interlocuteur. La notion d’urgence et de hiérarchie sont des éléments assez communs du spear phishing. Contrairement à d’autres types d’attaques type ransomware, le spear phishing, a des conséquences irréversibles. En effet, une fois le virement parti sur le mauvais compte, l’argent sera difficilement récupérable. Par ailleurs, lorsqu’un spear phishing réussi, il est extrêmement difficile de retrouver l’auteur de la cyberattaque.

Spear Phishing : RH & comptables, des cibles de choix

 

Les cibles du spear phishing sont en effet, dans la majorité des personnes ayant accès aux comptes de l’entreprise et pouvant effectuer des virements ou changer des RIB. Le profil usurpé est souvent celui du Président ou CEO, Directeur Financier ou DAF, ou dans une moindre mesure le service RH. Les personnes bénéficiant d’une forte exposition peuvent également être ciblées sous réserve qu’elles représentent un intérêt financier potentiel.

En revanche, toutes les tailles d’entreprises sont visées. Le scenario le plus fréquent reste celui du changement de RIB. Le patron d’une société sous-traitante envoie un mail à la personne en charge de la comptabilité lui demandant de changer son RIB. Ou alors le Président d’une société demande urgemment un virement à son chef comptable.

Par exemple, Pauline est Directrice Marketing. Le hacker a réussi à obtenir la date de ses prochains congés et trouvé son interlocuteur paie (Alexia) au sein de l’entreprise. Au cours de ses vacances, et à une date proche de la paie, le hacker envoie le mail suivant :

Spear phishing : protection et recours possibles

Les méthodes classiques utilisées contre le phishing s’appliquent également au spear phishing mais ne suffisent pas.

Quels recours possibles en cas d’attaque réussie ?

spear phishing : prévenir sa banque

En cas d’attaque par spear phishing réussie, la première chose à faire est de contacter votre banque. Les virements sont en effet réalisés avec un certain délai et il est parfois possible de les bloquer, et donc, de récupérer les fonds. Si le virement a déjà été réalisé par votre banque, vous pouvez également demander un « retour de fonds », dans certains cas, celui-ci sera possible. Enfin, si le virement a été fait vers un compte étranger situé dans la zone euro, cette procédure s’applique également, compte tenu de la norme SEPA.

spear phishing : porter plainte

Ensuite, vous devrez porter plainte auprès des forces de l’ordre et signaler l’escroquerie sur ce site : www.internet-signalement.gouv.fr. Pensez à bien rassembler et garder toutes les pièces possibles liées au spear phishing (SMS, mails, messages vocaux, …).

les assurances contre le spear phishing

La CNIL publie un certain nombre de contenus relatifs au spear phishing mais n’est pas compétente dans ce domaine. Vous pouvez aussi consulter la plateforme cybermalveillance.gouv.fr pour y trouver des conseils supplémentaires ou contacter Info Escroqueries au 0.805.805.817 (prix d’un appel local depuis un poste fixe ; 0,06 euros/minute depuis un téléphone mobile, ouvert du lundi au vendredi de 9h à 18h).

Enfin, il existe des assurances couvrant les cyber-risques. Néanmoins, et comme toutes les assurances, le contrat doit être en cours de validité et couvrir ce type d’attaque au moment des faits.

La vigilance des utilisateurs : facteur clé de succès qu’il s’agisse de phishing ou de spear phishing

 

C’est sans doute le facteur numéro 1 en matière de protection. Aucun outil, en tous cas au moment où cet article est écrit, ne peut remplacer la vigilance, voire même l’hyper vigilance de tous les collaborateurs d’une société. Rien ne remplace une expérience réelle du phishing. Il existe aujourd’hui des solutions de fausses campagnes d’e-mails dont l’objectif est de simuler un mail de phishing et d’en faire un bilan post-attaque. De cette manière, et par des données chiffrées et individuelles, l’ensemble des équipes prennent conscience des enjeux et se mobilisent pour être plus vigilantes. L’effort de sensibilisation doit être plus important sur les populations potentiellement ciblées par les attaques par spear phishing.

 

Renforcer les procédures sur les fonctions à risques

 

Du côté des métiers, et afin de lutter contre le spear phishing, des procédures renforcées peuvent être mises en place. Par exemple, des processus prévoyant des doubles vérifications par différents canaux sont également un bon moyen de se prémunir des cyberattaques par spear phishing. Toutes les actions relatives à des mouvements financiers doivent être sécurisées au moyen de procédures renforcées. Ainsi, un changement de RIB, que ce soit au niveau comptabilité ou RH doit être demandé par mail et confirmé par téléphone. Ou encore une demande de virement peut être demandée par mail et confirmée par double signature du demandeur et du DAF. Il existe autant de processus que d’entreprises mais ces règles internes ont leur intérêt et permettent d’échapper aux techniques des hackers visant à mettre sous pression leurs interlocuteurs.

 

Eduquer les collaborateurs à la protection de leurs données privées

 

Les collaborateurs, dans leur ensemble, doivent être vigilants quant à leur vie privée sur internet. Certaines informations peuvent sembler anodines et pourtant elles représentent une valeur importante pour le hacker. Attention donc à bien rester vigilant sur le web :

  • en remplissant un formulaire, il vaut mieux ne remplir que les champs strictement obligatoires. Par exemple, si le site internet sur lequel le formulaire est rempli est piraté, alors le hacker est en mesure de récupérer les données personnelles remplies. Ces informations crédibiliseront d’autant plus son attaque par spear phishing.
  • éviter d’indiquer sur les réseaux sociaux ses lieux et dates de vacances. En effet, dans le cadre d’une attaque de spear phishing, le hacker pourrait se servir de cette information pour contextualiser sa demande, voire même la rendre légitime. L’absence physique du bureau peut également aider le cyberattaquant dans son arnaque puisqu’une vérification in situ est alors impossible.

De manière générale, il est recommandé de rester au maximum discret sur sa vie privée. En effet, moins on en dit sur soi, plus il sera difficile de collecter des informations personnelles pour les hackers.

La checklist à partager avec vos collaborateurs !

checklist spear phishing

Les 5 réflexes à avoir quand vous recevez un mail :

  1. Vérifier le nom de l’expéditeur. En matière de messagerie électronique, il n’y a pas d’expéditeur a priori de confiance. Incohérence de forme, de mise en page, … tout est à scruter, en particulier lorsqu’il y a une pièce jointe ou un lien.
  2. Gare aux pièces jointes ! Ces dernières peuvent en effet être porteuses de virus ou d’espiogiciels. N’ouvrez jamais une pièce jointe en cas de doute sur l’expéditeur. Pour cela, un anti-virus à jour et une bonne vigilance sont de bons moyens de limiter les risques.
  3. Ne jamais répondre à des demandes d’informations confidentielles. Ces dernières, quand elles sont légitimes, ne se font jamais par mail. En cas de doute, l’ANSSI recommande la double vérification. Autrement dit, et via un autre canal de communication, vérifier la légitimité du mail auprès de l’interlocuteur habituel.
  4. Survoler les liens avec sa souris pour vérifier qu’il s’agit du bon site internet. De cette manière, il est possible de vérifier que l’url affichée dans le mail et l’url de destination sont les mêmes ! Si l’adresse est différente, la méfiance est de rigueur et mieux vaut ne pas cliquer.
  5. Bien paramétrer son logiciel de messagerie. L’ANSSI donne pour cela différentes consignes :
  • Maintenir à jour les logiciels
  • Désactiver la prévisualisation automatique des e-mails
  • Interdire l’exécution automatique des ActiveX et des plugs in, ainsi que des téléchargements
  • Lire tous les messages au format texte brut, pour les organisations dont l’activité est la plus sensible.

Télécharger la checklist de vérification pour les e-mails.

Découvrez comment reconnaître un mail de phishing 

    Autres articles

    Posted by Thomas Bordet | 8 janvier 2021
    [Webinar] Ransomware : méthode d’auto-évaluation pour mesurer votre risque I Le 4 février 2021 à 10h
    Jeudi 4 février à 10h (durée 45 minutes) Le ransomware, la bête noire de tout DSI. Vous arrivez un matin...
    Posted by Thomas Bordet | 23 novembre 2020
    [INFOGRAPHIE] Pentest de A à Z : méthodologie et bonnes pratiques
    Le pentest, test de vulnérabilité ou encore piratage éthique, consiste à attaquer le SI d'une entreprise, à sa demande, afin...
    Posted by Thomas Bordet | 9 novembre 2020
    [Webinar] Gestion de vulnérabilités : comment faire gagner du temps aux opérationnels ? I Le 4 décembre 2020 à 10h
    Vendredi 4 décembre à 10h (durée 45 minutes) 80% des attaques informatiques réussies utilisent des vulnérabilités connues. Source : Gartner...
    shares