Le spear phishing est une tentative ciblée visant à voler des informations sensibles à l'aide d'e-mails trompeurs. Ce guide explore le fonctionnement du spear phishing, ses tactiques et les risques qu'il représente pour les particuliers et les organisations.
Découvrez des stratégies efficaces pour le détecter et le prévenir. Il est essentiel de comprendre le spear phishing pour protéger les données personnelles et organisationnelles.
Cet article examine de près le spear phishing : comment ces attaques fonctionnent généralement, comment les identifier, les différences entre le spear phishing et les autres attaques de phishing, et comment les organisations peuvent s'en défendre.
Qu'est-ce que le spear phishing ?
Le spear phishing est une attaque de ingénierie sociale qui cible des personnes ou des organisations spécifiques, généralement par le biais d'e-mails malveillants. L'auteur de la menace effectue des recherches minutieuses sur la cible afin que l'e-mail semble provenir d'un expéditeur de confiance.
Les e-mails de spear phishing utilisent généralement diverses techniques d'génie social qui convainquent le destinataire d'ouvrir un lien ou une pièce jointe malveillante. Une fois que la cible a obéi, l'attaquant peut atteindre son objectif initial.
Comme les attaques de phishing, les attaques de spear phishing visent généralement à :
- Extraire des informations personnelles : Certains e-mails de spear phishing cherchent à obtenir des informations personnelles des destinataires, telles que des identifiants de connexion, des informations bancaires ou des numéros de carte de crédit.
- Installer des logiciels malveillants : D'autres e-mails de spear phishing transmettent des logiciels malveillants aux destinataires dans l'espoir qu'ils les téléchargent sur leurs appareils.
Contrairement aux escroqueries par hameçonnage, qui ratissent large, le spear phishing est plus sophistiqué et mieux coordonné. Ces attaques s'appuient souvent sur l'utilisation d'informations familières et personnalisées pour infiltrer les organisations à l'aide de pièges sur mesure.
Exemples d'attaques de spear phishing
Le spear phishing est un type de cyberattaque particulièrement efficace, car il s'appuie sur des techniques d'ingénierie sociale pour inciter les victimes à révéler des informations sensibles ou à prendre des mesures qui permettent aux pirates d'accéder à leurs systèmes.
Un exemple d'attaque de spear phishing est l'attaque de 2021 qui a ciblé des agences gouvernementales et des ONG ukrainiennes. Un groupe de cyberespionnage lié au gouvernement russe, connu sous le nom de Gamaredon, s'est fait passer pour des contacts de confiance et a utilisé des e-mails de spear phishing contenant des pièces jointes macro infectées par des logiciels malveillants. Les e-mails comprenaient également un " web bug " de suivi permettant de vérifier si les messages avaient été ouverts. Bien que l'objectif final de cette attaque de spear phishing reste inconnu, la famille de logiciels malveillants utilisée est souvent attribuée à l'exfiltration de données à partir d'hôtes compromis.
Un autre exemple d'attaque de spear phishing est celui qui a ciblé les agences gouvernementales portoricaines en 2020. Un acteur malveillant a piraté l'ordinateur d'un employé du système de retraite des employés et a envoyé des e-mails à diverses agences gouvernementales prétendant qu'un changement avait été apporté aux comptes bancaires. Un employé de la Puerto Rico Industrial Development Company a envoyé 2,6 millions de dollars sur un compte étranger, pensant qu'il s'agissait d'un compte bancaire légitime.
Comment fonctionne le spear phishing ?
Les cybercriminels s'appuient sur des techniques de reconnaissance dans leurs recherches afin d'augmenter leurs chances de réussite. Par conséquent, les e-mails de spear phishing sont souvent difficiles à repérer.
Les auteurs de spear phishing peuvent fréquenter les réseaux sociaux tels que Facebook ou LinkedIn afin de recueillir des informations personnelles sur leur cible. Certains acteurs malveillants vont même jusqu'à cartographier le réseau de contacts personnels et professionnels de leur cible afin d'obtenir des informations supplémentaires pour rédiger un message " crédible ". Les attaquants les plus sophistiqués utilisent même des algorithmes d'apprentissage automatique (ML) pour analyser d'énormes quantités de données et identifier des cibles potentiellement lucratives.
Une fois qu'ils disposent de suffisamment d'informations personnelles sur leur cible, les auteurs de spear phishing peuvent créer un e-mail apparemment légitime qui attire l'attention de la cible. En plus d'être personnalisés, les e-mails de spear phishing emploient souvent un ton urgent. Cette combinaison dangereuse peut amener les destinataires à baisser leur garde.Voici les étapes typiques souvent impliquées dans les attaques de spear phishing :
1. Collecte d'informations (appât)
Il est très facile de trouver des informations personnelles en ligne. À bien des égards, la popularité des réseaux sociaux a contribué au succès des attaques de spear phishing ces dernières années.
Par exemple, les profils LinkedIn peuvent contenir des informations sur les lieux de travail et les collègues. Même si un profil LinkedIn n'affiche pas publiquement une adresse e-mail, il peut faciliter la tâche des cybercriminels qui cherchent à obtenir cette information.
D'autres cybercriminels peuvent utiliser des scripts pour collecter des adresses e-mail à partir de moteurs de recherche ou de plateformes de génération de prospects afin de trouver les adresses e-mail utilisées par les employés dans le cadre de leur travail. Dans certains cas, les cybercriminels peuvent simplement essayer de deviner les adresses e-mail en utilisant les conventions standard des e-mails professionnels, telles que [email protected].< ;/p>
En plus de l'adresse e-mail de la cible, les cybercriminels effectuent également des recherches sur l'organisation de la cible et tentent de découvrir les logiciels qu'elle utilise.
2. La demande (le leurre)
Une fois que l'attaquant a obtenu les informations nécessaires sur sa cible, il peut les utiliser comme appât pour obtenir l'action souhaitée (par exemple, cliquer sur un lien malveillant ou télécharger un fichier malveillant).
Pour qu'un e-mail de spear phishing arrive dans la boîte de réception de la cible, l'e-mail doit d'abord passer outre tout logiciel antivirus. Une recherche rapide sur l'organisation de la cible peut fournir suffisamment d'informations sur le type d'antivirus et la version utilisée par l'employeur. Grâce à ces informations, les acteurs malveillants peuvent contourner les défenses de cybersécurité.
Une tactique de demande courante consiste à utiliser de fausses factures. Dans ce scénario, un acteur malveillant peut envoyer un e-mail provenant d'une source " fiable " indiquant qu'il y a un problème avec une facture. Il peut fournir un lien vers un formulaire numérique et demander à la cible d'ajouter les informations correctes.Bien que la facture numérique ne soit pas légitime, elle peut sembler identique à celle que la cible utilise habituellement pour saisir ses informations financières. Une fois que le cybercriminel dispose des informations de paiement de la facture, il peut les utiliser pour voler des fonds ou vendre ces informations sur le dark web.
3. L'attaque (le piège)
Les cybercriminels sont prêts à passer à l'attaque dès que leur appât et leur hameçon ont fait mouche. Supposons que le destinataire fournisse des informations confidentielles (par exemple, des identifiants de connexion ou des informations de paiement). Dans ce cas, les attaquants peuvent les utiliser pour accéder à des réseaux et à des systèmes, élever leurs privilèges, voler ou compromettre d'autres données, voire vendre des informations sensibles sur le dark web.
Si le destinataire installe un logiciel malveillant, les attaquants peuvent l'utiliser pour capturer les frappes au clavier, bloquer l'accès aux fichiers ou exfiltrer des données et les retenir contre rançon.
Améliorez votre veille sur les menaces
Découvrez comment WatchTower, le service de chasse aux menaces de SentinelOne, peut vous apporter de meilleures informations et vous aider à déjouer les attaques.
En savoir plusSpear phishing, phishing et whaling
Bien que le spear phishing, le phishing et le whaling s'appuient sur des techniques d'ingénierie sociale similaires pour réussir, il existe des différences essentielles entre chaque type d'attaque.
Phishing
Tout comme le spear phishing, les attaques de phishing visent à inciter les cibles à divulguer des informations sensibles, telles que leurs noms d'utilisateur et mots de passe, leurs coordonnées bancaires, leurs numéros de carte de crédit ou leurs numéros de sécurité sociale. Ces attaques privilégient souvent la quantité à la qualité et sont généralement plus faciles à mettre en œuvre que d'autres types d'attaques d'ingénierie sociale.
Cependant, les messages contenus dans les e-mails de phishing sont souvent assez génériques. Les cybercriminels envoient souvent des e-mails de phishing à un grand nombre de personnes ou d'organisations choisies au hasard afin d'augmenter les chances qu'au moins un destinataire soit victime de l'arnaque.
Bien qu'elles soient potentiellement moins lucratives que le spear phishing, tous les types d'attaques de phishing peuvent être extrêmement coûteux pour les victimes. Les autres types de phishing peuvent inclure le smishing, le vishing, le clone phishing, l'usurpation de domaine, l'URL phishing, le watering hole phishing et l'evil twin phishing.
Whaling
Les attaques de whaling sont encore plus spécifiques que les attaques de spear phishing. Ces attaques visent des personnes très en vue, c'est-à-dire les " gros poissons " d'une entreprise. Les attaques de whaling ciblent des personnes ayant accès à des données plus sensibles, telles que les cadres supérieurs, les membres du conseil d'administration ou même des célébrités.
Comme les attaques de whaling ciblent des victimes de grande valeur, elles donnent souvent des résultats très intéressants. Ce type d'attaque élimine efficacement les intermédiaires, car les cibles des attaques de whaling ont souvent la possibilité d'effectuer des virements bancaires directs. Cela permet d'éliminer toutes les étapes supplémentaires qu'un attaquant pourrait devoir franchir pour atteindre son objectif, ce qui réduit ses chances d'être détecté.
Les attaques de type " whaling " peuvent également avoir des conséquences plus importantes pour les cibles individuelles. Dans de nombreux cas, les " baleines " harponnées avec succès par un attaquant peuvent être licenciées ou contraintes de démissionner en raison de leur imprudence.
Types et exemples de spear phishing
Un examen plus approfondi des exemples de spear phishing peut aider à illustrer la manière dont les acteurs malveillants mettent généralement en œuvre les étapes ci-dessus.
Fausses demandes
Les auteurs de menaces peuvent envoyer des e-mails contenant une demande directe d'informations ou de fonds. Ces demandes peuvent également inclure des liens ou des pièces jointes, mais l'objectif de ces e-mails est d'obtenir des informations sensibles directement auprès du destinataire.
Par exemple, la ville de Franklin, dans le Massachusetts, a accidentellement détourné un paiement de 522 000 dollars américains en 2020 après que des acteurs malveillants aient persuadé un employé de leur fournir des informations de connexion sécurisées.
Faux sites web
Les cybercriminels peuvent également envoyer des e-mails contenant des liens vers des sites Web frauduleux. Le site web falsifié peut imiter la mise en page d'un site réputé afin d'inciter la cible à divulguer des informations confidentielles telles que ses identifiants de compte ou des informations financières. Le cybercriminel peut ensuite utiliser ces informations pour voler directement la cible, utiliser ses identifiants pour accéder aux réseaux ou aux systèmes de l'entreprise, ou vendre ces informations sur le dark web.
Par exemple, depuis l'introduction de PayPal, on a constaté une forte augmentation des messages électroniques frauduleux alertant les utilisateurs que quelqu'un a effectué un achat avec leur compte PayPal. En cliquant sur le lien contenu dans ces e-mails, le destinataire est souvent redirigé vers un site PayPal falsifié où les cybercriminels peuvent voler les informations de connexion saisies.
Fausses pièces jointes
Les pièces jointes contenant des logiciels malveillants se présentent souvent sous la forme d'une fausse facture ou d'un faux avis de livraison. L'attaquant peut inciter le destinataire à l'ouvrir le plus rapidement possible afin d'éviter des conséquences négatives. Une fois que le destinataire a ouvert la pièce jointe, celle-ci peut transmettre un logiciel malveillant à l'appareil de la cible, qui peut ensuite se propager au réseau et à d'autres appareils.
Par exemple, le groupe nord-coréen Lazarus Group mène actuellement une campagne utilisant des leurres pour des postes vacants chez Crypto.com afin de distribuer des logiciels malveillants macOS.
Comment identifier une attaque de spear phishing
La meilleure façon de prévenir une attaque de spear phishing est d'identifier un e-mail de spear phishing avant de cliquer sur un lien ou d'ouvrir une pièce jointe. Se familiariser avec les indicateurs d'une tentative de spear phishing peut aider les organisations et leurs employés à éviter les conséquences d'une attaque réussie.
Voici quelques signaux d'alerte courants qui peuvent indiquer une attaque de spear phishing :
Expéditeur
Examinez les e-mails entrants pour déterminer s'ils proviennent d'expéditeurs légitimes. Les signes courants indiquant que l'expéditeur pourrait être à l'origine d'une attaque de spear phishing sont les suivants :
- Une adresse e-mail ou un expéditeur inconnu.
- Une adresse e-mail extérieure à l'organisation du destinataire.
- Une adresse e-mail provenant d'un expéditeur interne à l'organisation avec lequel le destinataire ne communique généralement pas.
- Une adresse e-mail provenant d'un domaine suspect.
Destinataires
Ensuite, regardez qui d'autre figure sur la liste des destinataires. Les indicateurs d'un e-mail de spear phishing peuvent inclure :
- Une liste de destinataires contenant d'autres adresses e-mail non reconnues.
- Une liste de destinataires composée d'un mélange inhabituel de personnes (par exemple, un groupe aléatoire de destinataires ou un groupe de destinataires dont les noms de famille commencent tous par la même lettre).
Date et heure
Vérifiez quand l'expéditeur a envoyé l'e-mail. Les signes d'un e-mail de spear phishing peuvent inclure :
- Un e-mail est envoyé à une date inhabituelle (par exemple, un week-end ou un jour férié).
- Un e-mail envoyé à une heure inhabituelle (c'est-à-dire en dehors des heures de bureau habituelles).
Objet
L'objet d'un e-mail peut en dire long au destinataire sur l'authenticité ou la fausseté du message. Les e-mails de spear phishing peuvent contenir les éléments suivants :
- Une ligne d'objet inhabituellement urgente.
- Une ligne d'objet qui n'est pas pertinente ou qui ne correspond pas au reste de l'e-mail.
- Une réponse à quelque chose qui n'a jamais été envoyé ou demandé.
Hyperliens et pièces jointes
Avant de cliquer sur des liens ou de télécharger des pièces jointes dans des e-mails, recherchez les signes courants de spear phishing, notamment :
- Un lien hypertexte qui affiche l'adresse d'un autre site web lorsque vous passez la souris dessus.
- Un lien hypertexte long sans instructions supplémentaires.
- Un lien hypertexte contenant des fautes de frappe qui ne sont pas évidentes à première vue.
- Une pièce jointe à un e-mail qui est inattendue ou qui n'a pas de sens dans le contexte du contenu de l'e-mail.
- Une pièce jointe avec un type de fichier potentiellement dangereux.
- Une pièce jointe sans instructions supplémentaires.
Contenu
Si tout le reste semble correct, examinez attentivement le contenu de l'e-mail. Les e-mails de spear phishing sont souvent bien conçus et, comme ils sont également personnalisés, il peut être difficile de les identifier uniquement sur la base de leur contenu.
Cependant, gardez à l'esprit les indicateurs suivants d'un e-mail de spear phishing lorsque vous lisez le corps du message :
- L'e-mail dégage un sentiment d'urgence inhabituel.
- L'e-mail demande des informations sensibles.
- L'e-mail demande au destinataire de cliquer sur un lien ou d'ouvrir une pièce jointe pour obtenir quelque chose de précieux ou éviter une conséquence négative.
- L'e-mail contient des fautes d'orthographe ou de grammaire.
- L'e-mail contient des liens ou des pièces jointes non sollicités.
- L'e-mail tente de semer la panique chez le destinataire.
Comment se défendre contre les attaques de spear phishing
Voici quelques conseils que les organisations peuvent suivre pour renforcer leurs défenses en matière de cybersécurité.
Reconnaître les signes du spear phishing
La meilleure façon de prévenir toute attaque de phishing est d'identifier un e-mail de phishing avant que quiconque ne clique sur un lien, ne télécharge une pièce jointe ou n'effectue toute autre action demandée.
Si la première intuition de la cible est qu'un e-mail est faux ou qu'il s'agit d'une tentative d'escroquerie, elle a probablement raison. Commencez par vérifier la légitimité de l'expéditeur. Ensuite, essayez de vérifier les affirmations contenues dans l'e-mail directement auprès de la source. Ensuite, examinez le contenu de l'e-mail et recherchez les signes de spear phishing (énumérés dans la section ci-dessus). Si l'e-mail semble faux après un examen plus approfondi, signalez-le aux membres de l'équipe concernés.
Offrez une formation de sensibilisation à la sécurité
Il peut être long et fastidieux d'examiner attentivement chaque e-mail pour reconnaître les signes de spear phishing. Dispenser une formation de sensibilisation à la sécurité aux employés peut les aider à développer les compétences nécessaires pour repérer, éviter et signaler régulièrement les e-mails de phishing.
Ces programmes sont essentiels, car de plus en plus d'employés travaillent à domicile. Cependant, même les employés les mieux formés et les plus sensibilisés à la sécurité peuvent se laisser piéger par des e-mails de phishing s'ils sont pressés ou si l'e-mail est convaincant. Les simulations de phishing peuvent aider les employés à mettre en pratique ce qu'ils ont appris lors de la formation de sensibilisation à la sécurité. Cet exercice aidera également les organisations à évaluer le niveau de compréhension de leurs employés en matière d'attaques de phishing afin d'améliorer leurs formations.
Mener des recherches régulières
Des enquêtes proactives peuvent aider les organisations à identifier les e-mails suspects dont le contenu est couramment utilisé par les attaquants (par exemple, les objets faisant référence à des changements de mot de passe). Les entreprises peuvent régulièrement corriger, configurer correctement et intégrer des services à distance, des VPN et des solutions d'authentification multifactorielle. Les organisations peuvent également analyser les propriétés des e-mails reçus (y compris la propriété " Détails de la pièce jointe ") à la recherche de types de pièces jointes liées à des logiciels malveillants et les envoyer automatiquement pour qu'elles soient analysées à la recherche d'autres indicateurs de logiciels malveillants.
Mettre en œuvre des outils de sécurité pour aider
Heureusement, il existe des outils permettant d'empêcher les e-mails de spear phishing d'atteindre la boîte de réception de leur cible. Même si les fournisseurs de messagerie peuvent intégrer certains de ces outils à leur plateforme, il est probable que certains e-mails de phishing parviennent aux employés sans sécurité supplémentaire pour éliminer les failles de sécurité.Une plateforme de détection et de réponse étendues (XDR)détection et réponse étendues (XDR) peut, par exemple, surveiller activement chaque couche d'un réseau afin de détecter les logiciels malveillants avant qu'ils ne causent des dommages.
Prévenez les attaques de spear phishing avec SentinelOne
La plateforme Singularity XDR de SentinelOne’s aide les entreprises à détecter, protéger et résoudre les incidents de sécurité, y compris les attaques de spear phishing, avant qu'ils ne se produisent.
Avec Singularity XDR, les entreprises peuvent éliminer les angles morts afin que les équipes de sécurité puissent voir les données collectées par différentes solutions de sécurité provenant de toutes les plateformes dans un tableau de bord unique.
Le moteur comportemental de SentinelOne suit toutes les activités du système dans tous les environnements, détecte les techniques et les tactiques qui indiquent un comportement malveillant et corrèle automatiquement les activités connexes dans des alertes unifiées.
Plateforme unique et unifiée pour la détection, l'investigation, la réponse et la recherche étendues des menaces, Singularity XDR offre :
- Une source unique d'alertes prioritaires qui ingère et normalise les données provenant de plusieurs sources
- Une vue consolidée unique pour comprendre rapidement la progression des attaques à travers les couches de sécurité.
- Une plateforme unique pour réagir rapidement et rechercher de manière proactive les menaces.
Découvrez comment SentinelOne protège certaines des plus grandes entreprises mondiales contre les attaques de spear phishing et inscrivez-vous dès aujourd'hui pour une démonstration.
"FAQ sur le spear phishing
Le spear phishing est une escroquerie par e-mail ciblant une personne ou un groupe spécifique dans le but de voler des données sensibles ou d'installer des logiciels malveillants. Les attaquants recherchent leurs victimes à l'aide de profils publics ou de sites d'entreprises afin de rédiger des messages qui semblent provenir d'une source fiable. Ces e-mails font souvent référence à des projets ou des contacts réels afin d'instaurer un climat de confiance. Lorsque la victime clique sur un lien ou ouvre une pièce jointe, ses identifiants ou son accès au système peuvent être compromis.
Les pirates personnalisent les e-mails à l'aide d'informations provenant des réseaux sociaux ou des sites Web d'entreprises, afin que les messages semblent familiers. Ils utilisent souvent un langage urgent ou menaçant, comme un faux blocage de compte, pour inciter à agir rapidement, usurpent l'adresse de l'expéditeur pour imiter des collègues et incluent des pièces jointes ou des liens malveillants cachés derrière un texte d'apparence légitime.
Les demandes inhabituelles de mots de passe ou de transferts de fonds sont courantes. Certains utilisent également des appels téléphoniques ou des SMS pour renforcer l'arnaque.
En 2015, Ubiquiti Networks a perdu plus de 40 millions de dollars lorsque des employés ont obéi à de faux e-mails de virement bancaire usurpant l'identité de cadres supérieurs. Le groupe " HeartSender " a utilisé des kits de phishing entre 2020 et 2025 pour voler environ 3 millions de dollars à des victimes américaines via des escroqueries BEC sur mesure ciblant les équipes financières.
En 2024, le groupe iranien APT35 a envoyé des e-mails de whaling contenant des liens malveillants à un responsable de la campagne présidentielle américaine, cherchant à obtenir des informations sous le couvert de communications légitimes liées à la campagne.
Soyez attentif aux légères fautes d'orthographe dans l'adresse de l'expéditeur ou aux noms d'affichage qui ne correspondent pas à l'e-mail réel. Les objets urgents ou alarmants incitant à une action immédiate, comme une faille de sécurité, sont des signaux d'alerte. Les pièces jointes ou les liens inattendus qui vous invitent à saisir vos identifiants, en particulier lorsque les URL ne correspondent pas au domaine indiqué. Les demandes de données sensibles qui ne relèvent pas des tâches professionnelles normales peuvent également signaler une tentative de spear phishing.
Avant de cliquer sur des liens ou d'ouvrir des pièces jointes, passez votre souris sur les URL pour vérifier qu'elles correspondent au domaine de l'expéditeur. Si un e-mail vous demande vos identifiants ou un paiement, appelez l'expéditeur à un numéro connu (et non celui indiqué dans le message) pour confirmer. Vérifiez les en-têtes des e-mails pour voir si les adresses de réponse correspondent et vérifiez auprès du service informatique si vous avez des doutes. En cas de doute, supprimez le message ou signalez-le comme hameçonnage.
Le vishing consiste à utiliser des appels téléphoniques ou des messages vocaux pour se faire passer pour des personnes de confiance (banques, assistance technique ou dirigeants d'entreprise) afin d'obtenir des informations personnelles ou des paiements. Les appelants créent souvent un sentiment d'urgence (" Votre compte sera fermé si vous n'agissez pas immédiatement ") et usurpent l'identité de l'appelant pour paraître légitimes. Ils peuvent donner suite à des e-mails de phishing en demandant aux victimes de les rappeler et de saisir leurs identifiants. Ne communiquez jamais de données sensibles lors d'appels non sollicités ; vérifiez l'identité de votre interlocuteur par les voies officielles.
