EVEIL DIGITAL

Acteur de votre transformation numérique

Cyberattaque : Les attaques phishing et spear phishing

L’hameçonnage consiste à envoyer des e-mails qui semblent provenir de sources fiables dans le but d’obtenir des informations personnelles ou d’inciter les utilisateurs à faire quelque chose. Cette technique combine ingénierie sociale et stratagème technique. Elle peut impliquer une pièce jointe à un e-mail, qui charge un logiciel malveillant sur votre ordinateur. Elle peut également utiliser un lien pointant vers un site Web illégitime qui vous incite à télécharger des logiciels malveillants ou à transmettre vos renseignements personnels.

Voici un exemple concret de ce type d’attaque :  

Le Harponnage : attention aux clonages de sites fiables

Le harponnage (spear phishing) est un hameçonnage très ciblé. Les attaquants prennent le temps de mener des recherches sur leurs cibles et de créer des messages personnels et pertinents. Pour cette raison, le harponnage peut être très difficile à identifier et encore plus difficile à combattre. L’un des moyens les plus simples pour un pirate de mener une attaque de harponnage est d’usurper une adresse électronique, c’est-à-dire de falsifier la section « De » d’un e-mail, pour vous donner l’impression que le message a été envoyé par une personne que vous connaissez, par exemple votre supérieur ou une entreprise partenaire. Une autre technique que des escrocs utilisent pour ajouter de la crédibilité à leur histoire est le clonage de sites Web : ils imitent des sites Web légitimes pour vous inciter à entrer des informations personnelles identifiables ou des identifiants de connexion.

Nous pouvons prendre l’exemple de l’assurance maladie qui est victime de ce genre d’arnaques : 

Source : francebleu.fr

Suite à ces agissements, l’assurance maladie a souhaité mettre en garde les internautes en mettant en place une page dédiée à la prévention de ces actes : 

https://www.ameli.fr/rhone/assure/droits-demarches/principes/attention-appels-courriels-frauduleux

Combien de personnes sont réellement capables de repérer des emails de phishing ou de spear phishing et connaissent les différences subtiles qui les distinguent ? Ces deux menaces ont beau être similaires, elles comportent suffisamment de différences pour être considérées comme deux modes d’attaque distincts. Comme nous aimons à le dire, l’hypervigilance est la clé de la cybersécurité.

Qu’est-ce que le phishing ?

Commençons par étudier cette étrange orthographe. Le terme « phishing » a été utilisé pour la première fois par des admirateurs des « phone phreaks », les premiers hackers, célèbres dans les années 60 et 70. Les pionniers du piratage informatique suivaient une technique simplissime : ils utilisaient un sifflet trouvé dans une boîte de céréales « Captain Crunch » pour tromper l’ordinateur de l’opérateur téléphonique en imitant une tonalité, ce qui leur permettait alors de téléphoner gratuitement. Une telle technique peut nous sembler ridicule aujourd’hui, mais il s’agissait d’une véritable innovation à l’époque. Elle exploitait en effet une vulnérabilité des commutateurs de routage des appels liée à la signalisation intrabande et a inspiré toute une génération de pirates.

Source : theatlantic.com

Le phishing est une technique de piratage qui est l’équivalent numérique de la « pêche au filet ». Plus particulièrement, il s’agit d’envoyer des emails conçus pour inciter un utilisateur à cliquer sur une URL liée à un formulaire Web d’une page qui semble provenir d’une marque connue, par exemple Microsoft. Ce formulaire Web permet de récupérer des informations personnelles, comme des identifiants. Les emails de phishing les plus courants prétendent par exemple que votre compte est verrouillé, que vous devez mettre à jour votre mot de passe ou encore que vous deviez actualiser vos informations de compte bancaire.

Exemple de mail frauduleux La Banque postale

Voici le type d'arnaque que vous pouvez retrouver dans vos mails.

Dans certains cas, ces formulaires Web sont extrêmement difficiles à distinguer des originaux. En revanche, les URL peuvent trahir leurs intentions. Par exemple, une URL semblant venir de Bank of America peut vous rediriger vers le domaine « www.bankofamericaincu.co » (le véritable domaine de la banque étant www.bofa.com). Sur ce site, vous pourriez indiquer vos informations d’identification, votre numéro de sécurité sociale ou d’autres données personnelles, immédiatement récupérées par le criminel à l’origine de l’attaque.

Les hackers ont également fréquemment recours au phishing pour voler des informations d’identification sur des applications dans le Cloud comme Office 365. Ils envoient un email invitant un utilisateur à se connecter à son compte Office 365 sous différents prétextes : il peut devoir réactiver son accès à la plateforme, récupérer un fichier partagé ou encore mettre à jour ses informations de compte. Lorsque l’utilisateur clique sur l’URL, il est redirigé vers une fausse page Web Microsoft qui récupère ses identifiants, à la manière de l’exemple de Bank of America décrit ci-dessus.

Qu’est-ce que le spear phishing ?

Dans sa forme générique, le phishing implique une distribution massive, un lancer de filet gigantesque. Les campagnes de phishing ne visent pas une personne en particulier, mais des centaines, voire des milliers de destinataires. A contrario, le spear phishing est une attaque très ciblée, qui ne vise qu’une seule personne. Pour la mettre en œuvre, les hackers prétendent vous connaître. Cette attaque est extrêmement personnelle.

Retrouvez ci-dessous une représentation de cette menace : 

Le hacker a un objectif précis. Ce type d’attaque prend souvent la forme d’une stratégie de type Business Email Compromise, qui consiste pour le cybercriminel à se faire passer pour un employé haut placé afin de demander des virements bancaires (vers des sociétés frauduleuses), de réaliser des fraudes au dépôt direct ou encore de modifier des informations bancaires. Pour être convaincant, il va procéder à de l’ingénierie sociale afin d’usurper l’identité d’une personne que vous connaissez, par exemple un collègue ou une relation professionnelle. L’attaquant se renseigne ainsi sur vous via le Web et les médias sociaux, ou récolte des informations vous concernant provenant de violations de données et diffusées à l’aide de protocoles P2P comme BitTorrent.

Voici un exemple type : 

Source : login-securite.com

Si vous n’êtes pas suffisamment vigilant, vous risquez de tomber dans le panneau. Ce type d’attaque se produit plus souvent que vous pourriez le penser. Même les personnes formées spécifiquement pour ne pas céder à ce genre de demande ont du mal à résister lorsque leur « PDG » leur intime d’accomplir une tâche en urgence. Après tout, il s’agit de Jean-Philippe et pas d’un parfait inconnu… Du moins c’est ce que vous vous dites.

Pourquoi est-il important de connaître le fonctionnement du phishing et du spear phishing ?

Les attaques de spear phishing sont à la base de nombreuses violations de données massives et coûteuses. D’après le rapport de 2018 du FBI sur la cybercriminalité, elles ont coûté cette même année près de 1,2 milliard de dollars aux entreprises américaines. Le phishing aurait quant à lui coûté plus de 48 millions de dollars.

Les filtres de messagerie peuvent bloquer les emails de phishing envoyés en masse qui contiennent des URL connues. Il en va de même pour les emails contenant une pièce jointe dont la signature est connue. En revanche, si vous recevez une URL inconnue ou un email personnalisé de Bob ne contenant ni URL ni pièce jointe, ils passeront invariablement entre les mailles du filet.

Le phishing, et surtout le spear phishing, sont ainsi des vecteurs d’attaque dangereux et très efficaces. Il est toutefois possible de s’en prémunir. La sensibilisation et la formation des utilisateurs finaux peuvent faciliter la détection des emails de phishing ou de spear phishing. De plus, des solutions comme Vade Secure utilisent des techniques d’intelligence artificielle, notamment l’apprentissage automatique, pour identifier les emails, URL et pièces jointes malveillants, ainsi que les tentatives d’usurpation de l’identité de collègues ou de relations professionnelles.

Comment réduire le risque d’être victime d’un hameçonnage ?

Pour réduire le risque d’être victime d’un hameçonnage, vous pouvez utiliser les techniques suivantes :

Esprit critique

Ne prenez pas un e-mail pour argent comptant simplement parce que vous êtes occupé ou stressé ou que vous avez 150 autres messages non lus dans votre boîte de réception. Faites une petite pause et analysez cet e-mail.

Passer le curseur sur les liens

Déplacez votre curseur de souris sur les liens, mais sans cliquer ! Il s’agit seulement de voir où ces liens vous emmèneraient. Faites preuve d’esprit critique en déchiffrant l’URL.

Analyse des en-têtes des e-mails

Les en-têtes des e-mails indiquent comment un e-mail est arrivé à votre adresse. Les paramètres « Répondre à » et « Chemin de retour » doivent conduire au même domaine que celui indiqué dans l’e-mail.

Sandboxing

Vous pouvez tester le contenu d’un e-mail dans un environnement sandbox, en enregistrant l’activité qui suit l’ouverture de la pièce jointe ou les clics sur les liens de l’e-mail.

EVEIL DIGITAL est une entreprise de formation, coaching, et de conseil, spécialisé dans l’accompagnement de toute entreprise en France qui souhaite faire évoluer leur informatique pour mieux se développer.

Adresses et coordonnées

  • Bureau : 22 route de Lyon, 69530 BRIGNAIS

  • Siège : 8 chemin de la mouille, 69530 BRIGNAIS

  • Téléphone standard : 04 81 13 23 35

Nous suivre

Facebook Linkedin Instagram

© 2021 Tous droits réservés