Vos identifiants utilisateur sont une mine d'or de données. Tout acteur malveillant peut les exploiter. Google reçoit environ 100 millions d'e-mails par jour, dont plus de 48 % sont des spams. Plus d'un cinquième de ces e-mails proviennent de Russie. Les internautes de la génération Y et de la génération Z sont confrontés aux conséquences de diverses techniques de phishing en 2024. La majorité des attaques de phishing sont menées par e-mail, mais certaines prennent la forme de sites web malveillants.
16,5 e-mails sont divulgués chaque jour pour 100 internautes, et il existe des cas de bases de données piratées vendues sur le dark web. Les cybercriminels peuvent vendre ces bases de données, les mettre aux enchères en ligne ou les utiliser pour récolter des informations supplémentaires afin de mener des attaques de phishing plus sophistiquées. Les entreprises doivent prendre la cybersécurité au sérieux, en particulier dans les secteurs hautement réglementés tels que la finance, le droit, le commerce électronique et d'autres domaines.
En 2024, les noms de domaine les plus courants sont .com, .org, .top, .net et .eu. Une seule violation de données peut coûter à une organisation plus de 10 millions d'enregistrements, ce qui se traduit par des pertes financières colossales pouvant atteindre 4,88 millions de dollars ou plus ! Le phishing cible le grand public, tandis que le spear-phishing identifie ses victimes et les cible de manière sélective.lt;/p>
Vous ne pouvez pas vous défendre contre ces menaces si vous n'en avez pas conscience. Vous devez comprendre leur fonctionnement.
Dans ce guide, nous aborderons la différence entre le spear phishing et le phishing et mettrons en évidence leurs risques, les stratégies de prévention, des exemples, etc.
Qu'est-ce que le phishing ?
Le phishing est une attaque classique par e-mail, de nature générique. La meilleure façon d'expliquer le fonctionnement du phishing est de le considérer comme un e-mail envoyé à tout le monde. Cet e-mail ne cible pas une personne en particulier, mais s'adresse à tous les membres de l'organisation.
Imaginons, par exemple, qu'une entreprise s'apprête à organiser un événement cette semaine. Tous vos collègues attendent avec impatience de recevoir un e-mail d'annonce. Vous attendez les dates, les horaires et d'autres détails concernant le lieu. L'attaquant peut se faire passer pour l'entreprise et envoyer un faux e-mail à partir d'un faux domaine afin de tromper tout le monde. Il peut leur être demandé de cliquer sur des liens dans l'e-mail pour confirmer leur participation. Personne ne se doutera de rien.
Un e-mail de phishing typique peut contenir des pièces jointes malveillantes, de fausses pages de connexion, des formulaires web et d'autres éléments. Certains e-mails instillent un sentiment d'urgence et exigent une réponse immédiate, tandis que d'autres incitent l'utilisateur à partager rapidement des informations sensibles.
Qu'est-ce que le spear phishing ?
Le spear phishing est très spécifique, et l'attaquant connaîtra de nombreux détails vous concernant. Le spear phishing ne s'adresse pas aux membres de l'organisation en général ; l'attaquant établit le profil de la victime pendant plusieurs mois et l'étudie. Il rédige des e-mails hautement personnalisés et inclut des détails qui permettent de vérifier les faits présentés dans ces e-mails. Ainsi, la victime est convaincue que les e-mails proviennent de sources authentiques et finit par y répondre.
Pourquoi le spear phishing est-il si effrayant ? Il peut tirer parti des traits de caractère humains généraux, tels que la volonté d'aider ; les e-mails de spear phishing peuvent être présentés sur un ton positif ou encourager le lecteur à agir d'une manière qui lui soit profitable d'une manière ou d'une autre. Ils peuvent susciter la curiosité des lecteurs et les inciter à explorer d'autres ressources. Les stratagèmes d'attaque sont astucieux, car les lecteurs sont guidés à travers plusieurs niveaux de sophistication. L'objectif principal du spear phishing est d'amener les victimes à partager des informations sensibles après que les attaquants les ont convaincues de leur identité en tant qu'étrangers. Le spear phishing n'est donc pas un e-mail ordinaire ; vous ne pouvez pas l'identifier à première vue. Ces e-mails sont très bien conçus et vous ne les verrez pas venir.
Risques associés au spear phishing par rapport au phishing
Voici les risques associés au phishing par rapport au spear phishing :
Risques liés au phishing
Les organisations sont vulnérables aux risques suivants en cas d'attaques de phishing :
- Les escrocs peuvent voler des informations de carte de crédit et les utiliser pour effectuer des achats sur des terminaux de point de vente
- Les e-mails authentiques de votre propre entreprise peuvent arriver dans la boîte de réception de l'attaquant
- Les organisations peuvent voir leur nom impliqué dans des incidents de fraude financière
- Les attaquants peuvent détourner des numéros de sécurité sociale et les utiliser pour ouvrir des comptes frauduleux. Ils peuvent ainsi obtenir un accès non autorisé à des services bancaires, gouvernementaux et de santé uniques.
- Les e-mails de phishing peuvent transmettre des ransomwares aux destinataires. Une fois qu'ils ont ouvert et installé ces pièces jointes, ils deviennent victimes d'attaques par ransomware.
- Les personnes qui lancent des campagnes de phishing peuvent intégrer des logiciels espions ou des enregistreurs de frappe pour surveiller les activités des victimes sur les systèmes. Ils peuvent voler des données supplémentaires au fil du temps et potentiellement causer des dommages qui ruinent la réputation d'une entreprise ou la confiance de ses clients.
Risques liés au spear phishing
Les attaques de spear phishing sont bien conçues, sophistiquées et comportent un niveau de détail supérieur à celui des attaques de phishing traditionnelles. Les attaquants font leurs recherches à l'avance et savent exactement comment piéger leurs victimes. Voici les risques courants :
- Les e-mails de spear phishing ne ciblent pas uniquement les employés de l'entreprise. Ils peuvent également viser vos amis, vos collègues et vos collaborateurs. Ces e-mails semblent provenir de sources fiables, de sorte que les victimes ne se doutent de rien.
- Les e-mails de spear phishing peuvent offrir des incitations à révéler des données sensibles. Ils demandent des mots de passe, des coordonnées bancaires, des numéros de carte de crédit et d'autres données financières. Ces e-mails peuvent également ajouter une touche de peur. Par exemple, un e-mail de spear phishing classique peut vous informer que vous êtes bloqué hors de votre compte à moins que vous ne communiquiez ces informations et ne le débloquiez immédiatement.
- Les entreprises peuvent perdre leurs secrets commerciaux si elles ne font pas attention aux attaques de spear phishing. Elles peuvent également compromettre leurs activités commerciales, subir des périodes d'indisponibilité prolongées et faire face à des arrêts opérationnels. Une attaque de spear phishing moyenne peut verrouiller des données critiques, corrompre des fichiers ou même détruire du matériel.
- Vos clients et collègues peuvent remettre en question vos pratiques en matière de sécurité si vous êtes victime d'une attaque de spear phishing. En effet, ces attaques ne sont pas régulières, mais imprévisibles et hautement personnalisées. Les dommages qu'elles causent à la réputation d'une entreprise sont extrêmes et peuvent avoir un impact direct sur la croissance de votre chiffre d'affaires et vos opportunités commerciales futures. Une fois perdue, la confiance de vos clients peut prendre des années, voire des décennies, à se reconstruire.
- Le spear phishing est effrayant car vos attaquants vous étudient très minutieusement. Ils peuvent utiliser des informations sur votre fonction, vos relations au travail, vos loisirs et d'autres particularités de votre mode de vie. Les victimes ne peuvent parfois pas deviner que l'expéditeur est un attaquant. Elles sont victimes de stratagèmes de spear phishing, qui finissent par se transformer en vol financier ou en espionnage industriel à grande échelle.
- Les attaques de spear phishing peuvent entraîner la non-conformité des entreprises et leur faire encourir des poursuites pour non-respect de la réglementation. Elles peuvent également être confrontées à des problèmes juridiques liés à la mauvaise gestion des données sensibles des consommateurs, qui, si elles ne sont pas protégées de manière adéquate, peuvent entraîner des amendes et des poursuites judiciaires coûteuses.
Améliorez votre veille sur les menaces
Découvrez comment WatchTower, le service de chasse aux menaces de SentinelOne, peut vous apporter de meilleures informations et vous aider à déjouer les attaques.
En savoir plusSpear phishing vs phishing : exemples
Le spear phishing se présente généralement sous la forme d'une attaque de type Business Email Compromise (BEC). Vous ne vous y attendez pas. L'attaquant se fera passer pour un fournisseur, une personne ou un membre d'une organisation de confiance que vous connaissez. Le phishing est plus générique et envoyé à des groupes ou à des masses. Consultez ces exemples d'e-mails de spear phishing et de phishing :
Tactique de phishing n° 1 : l'attaque en masse
Vous recevez un e-mail qui semble provenir de votre banque, vous informant qu'il y a un problème avec votre compte et que vous devez " vérifier votre identité ". L'e-mail contient un lien vers un site qui ressemble à la page de connexion de votre banque, mais il s'agit en réalité d'un faux site conçu pour voler vos identifiants de connexion.
Comment cela fonctionne :
- L'e-mail est envoyé à des milliers de personnes à la fois.
- Vos messages sont génériques et ne contiennent aucune information personnelle.
- L'attaquant mise sur le volume, dans l'espoir que quelqu'un se laissera piéger.
- Aucune information spécifique vous concernant ou concernant votre travail n'est utilisée, il s'agit simplement d'une arnaque classique.
Tactique de spear phishing n° 1 : attaque ciblée contre un cadre supérieur
Vous êtes directeur financier d'une prestigieuse entreprise de cybersécurité. Votre attaquant a accès au site web de votre entreprise et a consulté votre profil LinkedIn. Un jour, vous recevez un e-mail vous demandant d'examiner un rapport critique sur la cybersécurité. Il contient un lien qui, lorsque vous cliquez dessus, infecte votre appareil avec un logiciel malveillant.
Comment cela fonctionne-t-il ?
- Le pirate informatique a fait des recherches sur vous et votre entreprise.
- L'e-mail est hautement personnalisé, mentionnant des rôles, des noms et des détails spécifiques à votre entreprise.
- Le message semble authentique, car il provient de votre PDG.
- Vous êtes moins susceptible de le remettre en question, car il semble légitime, ce qui augmente ses chances de réussite.
Tactique de phishing n° 2 : le faux service d'abonnement :
Vous recevez un e-mail prétendant provenir d'un service de streaming en ligne bien connu. Il indique que votre abonnement a été suspendu en raison de problèmes de paiement. On vous demande de mettre à jour vos informations de facturation via le lien joint afin de rétablir votre accès.
Comment cela fonctionne :
- Un e-mail est envoyé à un large public à l'aide d'un modèle d'e-mail générique.
- L'URL semble suspecte, mais contient des mots courants tels que " compte " ou " mise à jour ".
- Il s'agit d'une attaque rapide et peu coûteuse, qui repose sur l'espoir que quelqu'un cliquera sans réfléchir.
Tactique de spear phishing n° 2 : escroqueries liées au paiement des fournisseurs
Cette tentative de spear phishing cible le directeur financier d'une entreprise. L'attaquant a obtenu des informations sur une relation commerciale en cours avec un fournisseur tiers, qui sont accessibles au public en ligne. Un e-mail se faisant passer pour le service financier du fournisseur demande un virement bancaire urgent vers un nouveau numéro de compte.
Comment cela fonctionne :
- L'e-mail est personnalisé avec des informations spécifiques au fournisseur, telles que les numéros de facture et l'historique des paiements précédents. L'attaquant utilise des données publiques pour donner à la demande un caractère légitime.
- Le directeur financier est amené à autoriser le paiement, pensant qu'il s'agit d'une procédure de routine ; les fonds sont transférés vers un compte contrôlé par l'attaquant, entraînant des pertes financières.
Tactique de phishing n° 3 : fausses offres d'emploi
Un e-mail de phishing arrive dans votre boîte de réception, vous promettant une nouvelle opportunité d'emploi intéressante. Il vous demande de fournir des informations personnelles et une copie de votre CV pour poursuivre la candidature. Une fois soumises, vos données sont utilisées pour accéder à d'autres comptes ou commettre un vol d'identité.
Comment cela fonctionne :
- Un e-mail est envoyé à un grand nombre de personnes. Il est conçu pour attirer les demandeurs d'emploi en utilisant un faux logo d'entreprise ou un nom réputé.
- Aucune recherche réelle n'a été effectuée sur les destinataires. Il s'agit simplement d'une attaque de masse.
Tactique de spear phishing n° 4 : simulation d'une menace interne
Un pirate se fait passer pour un membre du personnel interne et envoie un e-mail à l'administrateur informatique d'une institution financière. L'e-mail mentionne une réinitialisation urgente du mot de passe et demande l'accès au système interne de l'entreprise. Il semble légitime, car il imite un processus interne standard avec des liens vers le système informatique et des informations sur les employés.
Comment cela fonctionne :
- Il cible explicitement l'administrateur informatique en étudiant les flux de travail internes de l'entreprise.
- Il est rédigé dans le langage interne de l'entreprise, ce qui donne l'impression qu'il provient d'une source fiable.
Tactique de phishing n° 4 : téléchargement gratuit de logiciel
Vous recevez un e-mail prétendant provenir d'une société de logiciels qui vous propose une " mise à jour gratuite " vers la dernière version d'un outil populaire que vous utilisez. Un lien de téléchargement est inclus. Il contient un logiciel malveillant qui s'active automatiquement lorsque vous cliquez dessus.
Comment cela fonctionne :
- Il s'agit d'une attaque simple et automatisée envoyée à de nombreux utilisateurs à la fois.
- L'offre semble trop belle pour être refusée, ce qui incite les gens à cliquer.
- Aucune information personnalisée n'est utilisée.
Tactique de spear phishing n° 4 : compromission du compte cloud
Un pirate envoie un e-mail à l'administrateur cloud d'une entreprise, se faisant passer pour l'équipe d'assistance du fournisseur de services cloud. L'e-mail évoque les problèmes récents rencontrés par l'entreprise avec les services cloud. Il vous demande de vérifier immédiatement les identifiants des utilisateurs. Vous cliquerez probablement dessus et interagirez en tant qu'administrateur des systèmes cloud. Vous ne vous poserez pas de questions, car les problèmes mentionnés dans l'e-mail sont ceux auxquels vous êtes actuellement confronté.
Comment vous vous faites pirater :
- L'e-mail contient des informations précises sur l'environnement cloud et le fournisseur.
- Les demandes d'identifiants semblent urgentes ; elles incitent l'administrateur à agir rapidement sans hésitation.
- Il détourne et accède aux ressources cloud critiques et aux données sensibles de votre entreprise.
Hameçonnage et hameçonnage ciblé : aperçu
Le spear phishing et le phishing diffèrent dans leur manière d'approcher les victimes pour leur voler des informations. Voici un aperçu de leurs similitudes et différences :
1. Public cible
Un e-mail de phishing cible l'ensemble de l'entreprise. Il n'est ni détaillé ni ciblé. Le spear phishing est plus détaillé et nécessite une connaissance approfondie de la victime. Dans le phishing, l'attaque vise tout le monde. Cependant, le spear phishing est limité à une personne spécifique.
2. Contenu et effort
Les e-mails de phishing nécessitent peu d'efforts et peuvent contenir des erreurs grammaticales. Il peut y avoir des fautes d'orthographe et des ponctuations manquantes, et vous remarquerez des signes évidents d'informations mal présentées. Ces e-mails sont faciles à repérer.
Mais le spear phishing est différent. La création d'un e-mail de spear phishing nécessite des semaines, voire des mois, de profilage de la victime. Les informations génériques ne suffisent pas. Cela demande plus d'efforts, c'est pourquoi il s'agit d'un travail de recherche approfondi. L'attaquant connaîtra très bien sa victime avant de rédiger ces e-mails.
3. Tactiques d'ingénierie sociale
La manière dont les attaquants établiront votre profil dans le cadre d'une attaque de spear phishing ou de phishing variera également. Pour les e-mails de phishing, ils collectent des informations génériques sur votre entreprise. Mais dans le cas du spear phishing, ils essaieront d'apprendre tout ce qu'ils peuvent sur vous.
Les titres des e-mails de phishing sont également très génériques, par exemple : " Votre compte a été suspendu ", " Nous allons bientôt mettre fin à vos services " ou " Félicitations ! Cliquez ici pour réclamer votre prix ! ". Ils espèrent ainsi susciter la peur, l'urgence ou la cupidité et provoquer une réaction émotionnelle ou une action de la part du destinataire. Dans le cas du spear phishing, l'attaquant essaie de vous mettre en confiance et de vous détendre. Il gagne lentement votre confiance et finit par pirater vos systèmes après avoir collecté suffisamment d'informations par étapes.
Spear phishing vs phishing : principales différences
Voici les principales différences entre le phishing et le spear phishing.
| Caractéristique | Hameçonnage ciblé | Hameçonnage |
|---|---|---|
| Objectif | Obtenir un accès non autorisé à des informations sensibles, souvent à des fins financières ou politiques. | Voler des identifiants, des données personnelles ou installer des logiciels malveillants. |
| Victime | Personnes ou groupes très ciblés, tels que des cadres supérieurs ou des services spécifiques. | Des personnes choisies au hasard ou un public large et général. |
| Technique d'attaque | Ils personnalisent des e-mails ou des messages qui semblent provenir de sources vérifiées. L'attaquant peut pirater un compte vérifié et lancer ces menaces. | E-mails ou messages génériques envoyés à un large public, demandant souvent une action urgente. En général, ils atterrissent dans votre boîte de courrier indésirable. |
| Stratégies courantes | L'usurpation d'identité d'un collègue ou l'exploitation de communications internes récentes peut impliquer des données issues des réseaux sociaux et d'autres sources. | Distribution massive de faux sites web ou e-mails imitant des entreprises ou institutions connues. Elle utilise des tactiques courantes telles que la vérification de faux comptes, les prix gratuits et les loteries. |
Conclusion
La meilleure façon de lutter contre le spear phishing et le phishing est d'être conscient de leur niveau de détail. Ne prenez aucun message pour acquis ; examinez attentivement leur contenu avant de cliquer ou d'interagir avec eux. Formez vos employés et les membres de votre équipe à être conscients de ces menaces. Vous pouvez effectuer régulièrement des tests de phishing et de spear phishing pour les évaluer.
"FAQs
Les attaques par hameçonnage visent à inciter les victimes à partager des informations personnelles ou à les amener à télécharger du contenu malveillant.
Activez l'authentification multifactorielle, évitez de cliquer sur des liens suspects et restez vigilant. Apprenez également à vous-même et à votre équipe à reconnaître les signes courants du phishing.
Les e-mails de spear phishing s'adressent généralement à vous personnellement et peuvent faire référence à des détails tels que votre fonction ou votre lieu de travail.
Ne cliquez sur aucun lien. Signalez l'e-mail à votre équipe informatique ou utilisez les outils disponibles pour le marquer comme hameçonnage.
