Spear phishing : définition et particularités

Sans aucun lien avec la pêche, le spear phishing est une cyberattaque ciblée sur un individu ou une organisation spécifique, visant à obtenir des informations confidentielles à des fins frauduleuses.

Comme son nom l'indique, il s'agit d'une forme de phishing, ou hameçonnage, très répandue. Bien entendu, pour bien comprendre le spear phishing, il faut d'abord comprendre le phishing lui-même. Voici un aperçu des différences entre phishing et spear phishing, y compris une définition de ce dernier, ainsi que les moyens à votre disposition pour vous protéger.

Qu'est-ce que le spear phishing ?

Le spear phishing est une méthode de phishing ultra-ciblé permettant aux cybercriminels, ou spear phishers, de convaincre leurs victimes de divulguer des données confidentielles ou personnelles, ou autres informations sensibles. Le cybercriminel utilisera ensuite ces informations à des fins malveillantes, notamment l'usurpation d'identité ou la violation de données.

Les spécialistes du spear phishing s'attaquent souvent à leurs victimes par le biais d'e-mails ciblés, des réseaux sociaux, d'applications de messagerie directe et d'autres plateformes en ligne. La force de ces cyberattaques réside dans le fait qu'elles sont conçues sur mesure et qu'elles privilégient la qualité à la quantité.

En effet, les spécialistes du phishing font beaucoup de reconnaissance, c'est-à-dire de recherches préalables, pour pouvoir passer pour une source digne de confiance. C'est là l'une des principales différences entre phishing traditionnel et spear phishing.

Spear phishing vs phishing

Le spear phishing diffère du phishing traditionnel en ce sens qu'il s'agit d'une cyberattaque visant une personne ou une organisation spécifique, alors que le phishing est une cyberattaque plus générale et automatisée, visant un grand groupe en une seule tentative. Le phishing peut être comparé à un large filet lancé sur un banc de poissons, alors que le spear phishing consiste à utiliser un harpon pour attraper un seul poisson.

Les e-mails de phishing peuvent être envoyés à des centaines de destinataires simultanément, sans réelle personnalisation. Les spear phishers, quant à eux, se font passer pour un ami, un patron, un membre de la famille ou une entreprise, pour gagner votre confiance et vous inciter à leur divulguer vos informations. Ces e-mails sont bien documentés et personnels, ce qui rend difficile de distinguer le vrai du faux.

En fin de compte, l'intention du phishing et du spear phishing est la même : acquérir des données confidentielles ou des informations sensibles à des fins malveillantes. Néanmoins, les victimes, tout comme les consommateurs, peuvent être plus sensibles à une expérience personnalisée, comme le spear phishing.

Comment fonctionne le spear phishing : 3 exemples

Le spear phishing fonctionne grâce à la reconnaissance, c'est-à-dire que les cybercriminels étudient leurs victimes afin d'usurper l'identité d'un ami, patron, collègue ou membre de la famille. De fait, les hacktivistes et les hackers sponsorisés par un gouvernement sont souvent identifiés comme étant à l'origine des attaques de spear phishing.

Alors, comment fonctionnent les attaques de spear phishing ? Elles peuvent être résumées en quelques étapes :

1. Le spear phisher identifie un élément de données qu'il souhaite obtenir. Il peut s'agir d'informations telles que des méthodes de paiement, des noms d'utilisateur et des mots de passe.
2. Le spear phisher identifie le détenteur de l'élément de données en effectuant des recherches sur un individu ou une organisation, en passant les réseaux sociaux ou le web au peigne-fin.
   
3. Le spear phisher étudie également les protections de cybersécurité mises en place par sa victime, telles que les logiciels antivirus, ainsi que les éventuelles failles qu'il pourrait exploiter.
   
4. Le spear phisher crée une adresse électronique et peut-être même un nom de domaine ressemblant à la source pour laquelle il se fait passer, puis rédige un message personnel à l'intention de sa victime. Le message comporte souvent une demande urgente. Il est envoyé par e-mail, réseaux sociaux, appel téléphonique (vishing) ou texto (smishing).
   
5. Le spear phisher convainc sa victime de divulguer l'élément de données recherché et l'utilise pour commettre un acte frauduleux. 
   

Bien entendu, les techniques de spear phishing peuvent varier. Voici quelques exemples. 

1. Escroqueries au PDG

À ne pas confondre avec le whaling, qui est une tentative de phishing ciblant un cadre supérieur, les escroqueries au PDG peuvent être considérées comme du spear phishing dans la mesure où les cybercriminels se font passer pour un PDG afin de pousser un collaborateur à répondre à une demande urgente ou à divulguer des données importantes.

Par exemple, en envoyant un e-mail pendant le week-end pour lui demander d'effectuer un virement bancaire à un client, alors qu'en réalité, le destinataire du virement n'est autre que le spear phisher.

2. Pièces jointes malveillantes

Les spécialistes du phishing ne demandent pas toujours directement les données qu'ils recherchent. Parfois, ils agissent de manière indirecte, à l'aide de pièces jointes malveillantes.

Par exemple, un spear phisher peut se faire passer pour un prestataire de services et joindre une facture à l'e-mail. En fait, dès que vous cliquez sur cette pièce jointe, un logiciel malveillant, ou un enregistreur de frappe permettant de tracer votre activité, est téléchargé sur votre appareil.

3. Ransomwares

Certains spear phishers utilisent également les ransomwares, c'est-à-dire qu'ils tiennent vos informations ou appareils en otages jusqu'à ce qu'une rançon soit versée.

Par exemple, un spear phisher peut se faire passer pour un ami ou un membre de la famille, qui vous envoie un lien vers une vidéo amusante qu'il a trouvée en ligne. En fait, dès que vous cliquez sur le lien, vous êtes informé que votre appareil ne vous appartient plus et que vous devez payer pour le récupérer.

Quelle est l'efficacité réelle du spear phishing?

Le spear phishing est une cyberattaqueefficace aussi bien contre les particuliers que les organisations. Personne n'est à l'abri. Même des campagnes présidentielles et des organisations à but non lucratif ont fait l'objet de tentatives de spear phishing. Rien qu'en 2020, 75 % des organisations du monde entier ont subi une attaque par phishing, dont 35 % par spear phishing.

Les conséquences peuvent être terribles : manipulation des cours de la bourse, espionnage, détournement d'ordinateurs, attaques DDoS, etc.

Les taux de réussite peuvent dépendre du degré de reconnaissance et de personnalisation de l'attaque par spear phishing. Le spear phishing peut donc être considéré comme une extension de l'ingénierie sociale.

8 conseils pour vous protéger contre le spear phishing

Ces astuces vous permettront d'éviter le spear phishing, en commençant par faire preuve de prudence dans toutes vos activités en ligne.

1. Vérifier l'adresse électronique de l'expéditeur 

Bien qu'un e-mail de spear phishing ressemble généralement à un e-mail ordinaire provenant d'un ami ou d'une entreprise, il existe plusieurs façons de le démasquer.

Les spécialistes du spear phishing peuvent généralement imiter le nom d'une personne ou d'une organisation dont vous recevez régulièrement du courrier, mais ils restent généralement incapables d'imiter parfaitement leur style. Si vous pensez qu'un e-mail est suspect, vérifiez l'adresse électronique de l'expéditeur. En général, il y aura des changements subtils, comme la lettre o remplacée par un 0.

2. Vérifier les liens

Si un e-mail contient un lien hypertexte, vérifiez l'URL. Lorsque votre souris passe sur le lien, l'URL à laquelle il renvoie apparaît. Si elle vous semble suspecte, ne cliquez pas dessus.

De façon générale, évitez de cliquer sans réfléchir sur un lien que vous n'avez pas demandé. Au lieu de cela, rendez-vous directement sur le site web concerné pour trouver vous-même le lien.

3. Essayer un autre canal de communication 

Les e-mails de spear phishing utilisent l'identité d'un ami ou d'une personne de confiance. Si vous trouvez étrange que cet ami vous demande votre mot de passe ou votre nom d'utilisateur, utilisez une autre forme de communication (appel téléphonique, SMS, conversation en face à face) pour lui demander si la demande est légitime. Gardez à l'esprit qu'il n'est pas recommandé de partager vos mots de passe ou vos noms d'utilisateur.

4. Garder vos informations personnelles à portée de main

Bien sûr, ne pas partager de données sensibles ou d'informations personnelles dans toutes les interactions en ligne est l'un des moyens les plus sûrs d'éviter le spear phishing. Mais il faut également veiller à ne pas divulguer trop d'informations sur les réseaux sociaux ou même les sites d'entreprise, afin de compliquer la tâche des spécialistes du phishing.

Vous pouvez aussi ajuster vos paramètres de confidentialité sur vos appareils et vos comptes de réseaux sociaux pour vous assurer que seules les personnes autorisées peuvent y accéder. Faites régulièrement l'inventaire de vos profils en ligne et réinitialisez vos paramètres de confidentialité comme bon vous semble.

5. S'inscrire avec parcimonie

Il y a beaucoup d'informations à votre sujet sur Internet. Chaque fois que vous publiez un message sur les réseaux sociaux ou que vous remplissez un questionnaire, par exemple, toujours plus de vos informations personnelles sont téléchargées sur le web. En un rien de temps, des informations allant de votre ville natale au nom de votre animal de compagnie peuvent se retrouver en ligne, sur des sites de courtage de données ou dans les mains de spécialistes du phishing.

Ne vous inscrivez à des applications, réseaux sociaux, concours ou autres comptes que si cela est absolument nécessaire. 

6. Maintenir vos logiciels à jour

Avant d'utiliser un logiciel antivirus pouvant signaler les tentatives de phishing, assurez-vous que ce logiciel et les systèmes d'exploitation de vos appareils sont à jour. Si tel est le cas, il sera plus difficile pour un spécialiste du harcèlement moral de passer à travers, car les mises à jour corrigent souvent les failles de sécurité.

7. Rester à l'affût des signes de spear phishing

Il est important de protéger vos données et celles de l'entreprise. Il faut donc savoir reconnaître les caractéristiques du spear phishing :

• Des requêtes urgentes
  
• Des messages étrangement formulés provenant d'une source connue
  
• Des liens ou pièces jointes que vous n'avez pas demandés
  
• Une demande de saisie de vos informations personnelles
  

Si un e-mail vous semble suspect, faites confiance à votre instinct et examinez-le de plus près. En outre, marquez le message comme spam pour éviter d'être recontacté et réglez vos filtres anti-spam sur un niveau de protection élevé.

8. Savoir comment réagir 

Il est facile de tomber dans le piège des attaques par phishing. Si jamais vous cliquez sur un lien de phishing dans un e-mail ou téléchargez une pièce jointe suspecte, voici ce que vous devez faire :

1. Déconnectez-vous de l'Internet : désactiver votre Wi-Fi ou débrancher votre câble Ethernet peut stopper la propagation immédiate des logiciels malveillants.
   
2. Sauvegardez vos fichiers : il est judicieux de sauvegarder fréquemment ses fichiers, surtout en cas d'attaque de spear phishing. Sauvegardez vos fichiers importants sur une source externe pour pouvoir les conserver si le cybercriminel supprime vos données.
   
3. Modifiez vos mots de passe : une fois qu'un phisher a accès à l'un de vos comptes, il peut facilement se frayer un chemin jusqu'aux autres. Si vous pensez qu'un compte a été compromis, changez tous vos mots de passe dès que possible et envisagez d'opter pour une authentification à deux facteurs lorsque cela est possible.
   
4. Analysez votre matériel : l'utilisation d'un logiciel de sécurité peut aider à identifier et à éradiquer la menace.
   

Être victime d'une attaque de spear phishing peut vous déstabiliser, en plus de vous obliger à nettoyer. Par exemple, le rétablissement de votre sécurité sur Internet peut prendre des semaines ou des mois. 

Avec de la vigilance et quelques précautions, vous réduisez votre risque de devenir la cible de cyberattaques.