Nouveau : Candidatures pour rentrée décalée en janvier 2025 ouvertes !

Candidater

Boite à outils

Focus sur le spearphishing ou l’attaque par hameçonnage ciblé

Si une attaque de phishing consiste à envoyer des centaines de mails dans l’espoir de tomber sur des cibles moins prudentes, une attaque de spearphishing vise une seule cible. L’e-mail est plus sophistiqué puisque les hackers effectuent des recherches minutieuses sur la victime.

Le spearphishing et le phishing reposent sur le même principe : envoyer un e-mail à un destinataire dans le but de le tromper et de lui voler des informations ou de lui faire faire une action précise. La différence entre les deux attaques réside dans le profil de la victime. Dans une attaque de spearphishing, les hackers étudient minutieusement une seule cible. Ils trouvent des informations sur les réseaux sociaux par exemple. Elles servent à rendre crédible le message et à instaurer un climat de confiance. L’usurpation de l’identité du PDG est une méthode très répandue en France. Les cibles sont généralement les équipes de la comptabilité à qui on ordonne d’effectuer des virements.

Par Justine Navet
Contenu mis à jour le
spearphishing
NB : Contenu en cours de réécriture.

Qu’est-ce que le spearphishing ?

Le spearphishing est une attaque basée sur l’usurpation d’identité d’une organisation, d’une personne en particulier ou d’un proche. La méthode vise essentiellement les entreprises à travers leurs salariés. Les attaquants s’appuient sur l’ingénierie sociale pour crédibiliser le mail.

La principale motivation des auteurs de l’attaque est financière. D’autres sont motivés par le vol d’informations sensibles comme les secrets commerciaux, les informations militaires, etc.

Le spearphishing est différent du phishing classique sur plusieurs points :

  • Le message envoyé par l’expéditeur est plus crédible, il semble provenir d’une source fiable.
  • Les e-mails de phishing proviennent généralement des services connus du grand public comme Amazon, PayPal ou encore Google. Ils sont envoyés à des centaines de destinataires pour augmenter les chances de réussite.
  • Les e-mails de spearphishing semblent provenir d’une personne au sein de l’entreprise, d’un responsable, d’un avocat, etc. C’est pourquoi il est appelé « hameçonnage ciblé » en français.

Selon l’ANSSI, le nombre d’attaques qui commence par un e-mail représente désormais 91% des cyberattaques. Cette hausse est due à l’essor du télétravail. Les collaborateurs sont moins vigilants, la communication avec les collègues devient moins fluide. Par ailleurs, le nomadisme devient courant dans le monde professionnel. Les salariés consultent désormais leur e-mail depuis un appareil mobile (smartphone, tablette, etc.). Pourtant, le taux de clic sur des liens est plus élevé sur un smartphone.

La réussite d’une attaque de spearphishing repose sur trois points :

  • la fiabilité de la source pour mettre en confiance la victime, le mail semble provenir d’un supérieur hiérarchique par exemple ;
  • la crédibilité des informations dans le message : les hackers effectuent des recherches sur les réseaux sociaux ;
  • la logique de la demande : celle-ci n’éveille aucun soupçon chez la victime. 

Comment fonctionne le spearphishing ?

Le succès d’une attaque de spearphishing repose sur l’ingénierie sociale. Les attaquants trouvent les informations sur sa cible sur les réseaux sociaux. Ils créent ensuite un mail personnalisé à partir de ces informations. Tout est fait pour rendre le message authentique, pour tromper la cible.

Comme dans un phishing classique, le mail inclut un lien ou une pièce jointe contenant un logiciel malveillant. Dès que le destinataire clique dessus, le programme s’installe sur son appareil ou bien il est redirigé vers un site web malveillant. Dans ce cas, il est invité à remplir un formulaire par des informations sensibles comme son numéro de carte de crédit, son identifiant, ses coordonnées bancaires.

Un mail de spearphishing peut également demander une réponse directe à son destinataire. Ce dernier donne des informations personnelles pensant répondre à une entité légitime ou un proche.

Les réseaux sociaux représentent une véritable mine d’informations pour les attaquants. Il suffit de consulter les profils individuels pour trouver des informations comme la situation géographique, la vie personnelle et professionnelle, l’adresse e-mail.

Cependant, tous les utilisateurs des réseaux sociaux ne représentent pas des cibles potentielles. Les attaquants sélectionnent les individus de grande valeur. Pour cela, ils utilisent des algorithmes sophistiqués basés sur l’IA.

Une fois le groupe cible identifié, l’attaquant rédige un mail le plus concret possible grâce aux informations récoltées. Il usurpe généralement une figure d’autorité au sein de l’entreprise, un fournisseur, un partenaire commercial, etc.

Cette méthode cible particulièrement les grandes entreprises où les employés ne connaissent pas forcément leur organigramme.

Quelle est la différence entre le spearphishing et le whaling ?

Le spearphishing utilise déjà une méthode plus ciblée. Les messages ou les appels téléphoniques sont hautement travaillés pour renforcer leur crédibilité.

De son côté, le « whaling » ou « pêche à la baleine » vise une victime plus prestigieuse, à l’instar d’un cadre supérieur ou un membre de la direction d’une entreprise. Sachant la qualité de la cible, les attaques sont plus sophistiquées par rapport au spearphishing.

Néanmoins, le whaling commence souvent par une attaque de spearphishing. Les attaquants s’intéressent à une cible plus petite, un salarié junior, et se servent d’elle comme une porte d’entrée pour atteindre la victime finale.

Prenons l’exemple d’une directrice financière de son entreprise qui est partie en vacances. Elle reçoit un e-mail de l’informaticien de sa boite l’avertissant d’une cyberattaque. Pour limiter les dégâts, le message lui demande de fournir les identifiants pour accéder à son ordinateur personnel et à ses comptes.

Ce mail est pourtant faux, un membre de l’équipe informatique a été sûrement victime d’un spearphishing pour mener une attaque d’envergure.

L’arnaque au faux PDG : une méthode en plein essor en France

En France, deux entreprises françaises sont victimes de ce type d’arnaque. Les deux portent plainte en décembre 2021. La première est une société de métallurgie dans la Haute-Marne qui a perdu 300 000 euros. Le second est un promoteur immobilier à Paris ayant perdu 38 millions d’euros.

Selon les enquêteurs, les hackers ont utilisé la même méthode pour réussir leur arnaque. Ils usurpent l’identité du dirigeant de la société pour ordonner au comptable d’effectuer des virements. L’expéditeur souligne bien le caractère confidentiel de l’opération, ce qui incite l’employé à agir dans la discrétion. Le comptable entre ensuite en contact avec un faux avocat ou un faux commissaire aux comptes pour certifier les virements.

L’enquête révèle que les deux coups ont été perpétrés par le même groupe de hackers. Six personnes seront arrêtées en 2022, dont deux en Israël. Les forces de l’ordre trouveront une huitième personne en 2023 en Île-de-France.

Gratuit
Téléchargez Le Grand Livre de la cybersécurité
Plus de 180 pages d’articles indispensables rédigés par des experts pour vous aider à mieux comprendre le secteur de la cybersécurité.
Téléchargez gratuitement le Grand Livre DE LA CYBERSÉCURITÉ

Pour tout problème lié à l'envoi de ce formulaire, écrivez à contact@guardia.school ou appelez le 04 28 29 58 49

Comment reconnaître une attaque de spearphishing ?

Les détails personnels dans les messages rendent le spearphishing difficile à détecter. Néanmoins, les internautes peuvent rester en alerte face aux détails suivants :

Le caractère urgent du mail

Un mail demandant d’accomplir une mission dans l’urgence doit toujours susciter la méfiance. Prenons le cas d’un PDG qui demande à son comptable d’effectuer un virement soudainement. Si cette demande n’est pas dans son habitude, il est préférable de confirmer directement auprès de la personne.

L’adresse e-mail usurpée

La vérification minutieuse de l’adresse e-mail révèle des erreurs typographiques dans le nom de la personne. Les attaquants peuvent également échanger quelques caractères ou simplement ajouter le chiffre 1.

Les fautes d’orthographe

Malgré le niveau de sophistication de la méthode, une mauvaise grammaire peut trahir les hackers. Ces derniers peuvent utiliser un langage improbable également dans le corps du message. À titre d’exemple, les employés d’une startup ont l’habitude d’utiliser le top informel dans leurs échanges par mail. Pourtant, un destinataire reçoit un mail trop formel de la part d’un collaborateur. Si le contenu du message change drastiquement, que ce soit dans le ton ou dans le sujet abordé, cela peut être le signe d’une attaque de spearphishing.

Vous souhaitez travailler dans la cybersécurité ?
2 FORMATIONS DE POST BAC À BAC+5 100% dédiées à la cybersécurité
Nos programmes de formation sont pensés avec les entreprises du secteur de la cybersécurité et du digital pour maximiser l’employabilité de nos étudiants. Le Bachelor a été construit pour transmettre de solides bases de développement informatique tout en parcourant progressivement les notions clés de la cybersécurité. Le MSc est à 100% dédié à la cyber et spécialise dans un métier de la cybersécurité. Nos diplômes sont reconnus par les entreprises et par l’Etat, ils délivrent en fin de cursus un titre RNCP de niveau 6 (Bac+3) ou 7 (Bac+5).

Comment se protéger contre ce type d’attaque ?

Une formation de sensibilisation à la sécurité reste le meilleur moyen de prévention contre le spearphishing. Néanmoins, même si les employés sont informés et préparés, la mise en place d’une stratégie de sécurité globale est indispensable. Cela inclut l’adoption de plusieurs solutions de cybersécurité par exemple.

Une formation de sensibilisation

Les employés formés sont plus prudents. L’objet de la formation est de faire connaître les méthodes courantes des hackers, de présenter les signes pour identifier un e-mail suspect, de prendre les mesures qui s’imposent à la réception d’un mail de spearphishing.

Un audit externe

Il s’agit d’un audit d’ingénierie sociale qui s’intéresse au comportement de chaque employé vis-à-vis des actifs informatiques. L’audit met en lumière les vulnérabilités des salariés en matière de sécurité. L’équipe informatique prend des mesures en fonction des résultats.

Une enquête proactive

Son objectif est d’identifier tous les e-mails suspects reçus par les collaborateurs. Chaque fait est rapporté dans un tableau détaillant la nature du mail, l’identité usurpée, la demande, etc. Cela permet d’obtenir un schéma et de sensibiliser les employés sur les cas récurrents.

Une simulation de phishing

Une formation de sensibilisation s’accompagne d’une simulation pour que les employés puissent mettre en pratique leur connaissance. La simulation consiste à envoyer des e-mails réalistes aux collaborateurs afin de connaître leur réaction. Plusieurs fournisseurs proposent un pack complet pour mener la simulation : l’envoi des mails, le reporting des résultats, etc. Certaines offres sont même gratuites.