Spear-phishing: définition & comment s’en prémunir ?

Spear-phishing: définition & comment s’en prémunir ?

Hossam M.
Calendar picto
1/6/2022
Clock picto
4min

L'hameçonnage est une menace très sérieuse, qui prend de l'ampleur chaque année. Selon une étude de 2021 de Tessian, les employés d’une entreprise reçoivent en moyenne 14 mails de spear-phishing malveillants par an. Certains secteurs ont été particulièrement touchés, les employés du commerce de détail en recevant en moyenne 49.

Qu’est ce que le spear-phishing ?

Le spear-phishing est une tentative ciblée de voler des informations sensibles telles que des identifiants de compte ou des informations financières à une victime spécifique, souvent pour des raisons malveillantes. Pour ce faire, les pirates informatiques obtiennent des données personnelles sur la victime (sa ville natale, son employeur, les lieux qu'elle fréquente, ce qu'elle a récemment acheté en ligne, etc). Les attaquants se déguisent ensuite en amis ou en entités dignes de confiance pour obtenir des informations sensibles, généralement par le biais d'e-mails ou d'autres messages en ligne.

Spear-phishing vs Phishing

Le spear-phishing peut facilement être confondu avec le phishing, car il s'agit dans les deux cas d'attaques en ligne visant à obtenir des informations confidentielles. Le phishing est un terme plus large qui désigne toute tentative visant à inciter les victimes à partager des informations sensibles telles que des mots de passe, des noms d'utilisateur et des données de carte de crédit pour des raisons malveillantes.

Contrairement aux attaques de spear-phishing, les attaques de phishing ne sont pas personnalisées pour leurs victimes, et sont généralement envoyées à des masses de personnes en même temps.

Comment fonctionne le spear-phishing ?

L'acte de spear-phishing peut sembler simple, mais les e-mails de spear-phishing se sont améliorés au cours des dernières années et sont désormais extrêmement difficiles à détecter. Les attaquants de spear-phishing ciblent les victimes qui mettent des informations personnelles sur Internet. Ils peuvent consulter des profils individuels en parcourant un site de réseau social. À partir d'un profil, ils pourront trouver l'adresse électronique d'une personne, sa liste d'amis, son emplacement géographique et tout message concernant les nouveaux gadgets récemment achetés.

Pour augmenter le taux de réussite, ces messages contiennent souvent des explications urgentes sur la raison pour laquelle ils ont besoin d'informations sensibles. Les victimes sont invitées à ouvrir une pièce jointe malveillante ou à cliquer sur un lien qui les conduit à un site Web usurpé où elles doivent fournir des mots de passe et des informations personnelles. En réalité, les agresseurs utiliseront ce mot de passe, ou des variantes de celui-ci, pour accéder à différents sites Web contenant des informations confidentielles telles que des données de carte de crédit ou des numéros de sécurité sociale. Une fois que les criminels ont recueilli suffisamment d'informations sensibles, ils peuvent accéder aux comptes bancaires ou même créer une nouvelle identité en utilisant les informations de leur victime. Le spear-phishing peut également inciter les gens à télécharger des logiciels et des code malveillants lorsqu'ils cliquent sur des liens ou ouvrent des pièces jointes.

5 conseils pour éviter une attaque de spear-phishing

  1. Faites attention aux informations personnelles que vous publiez sur Internet : Regardez vos profils en ligne. Combien d'informations personnelles sont accessibles aux attaquants potentiels ? S'il y a quelque chose que vous ne voulez pas qu'un escroc potentiel voie, ne le publiez pas - ou que les paramètres de confidentialité soient correctement configurés.
  2. Utilisez des mots de passe intelligents : N'utilisez pas un seul mot de passe ou des variations de mots de passe pour chaque compte que vous possédez. La réutilisation de mots de passe ou de variations de mots de passe signifie que si un pirate a accès à l'un de vos mots de passe, il a effectivement accès à tous vos comptes. Tous vos mots de passe doivent être différents les uns des autres. 
  3. Mettez fréquemment vos logiciels à jour : si votre fournisseur de logiciels vous informe de l'existence d'une nouvelle mise à jour, faites-le immédiatement. La majorité des systèmes logiciels incluent des mises à jour de sécurité qui devraient vous aider à vous protéger contre les attaques courantes. 
  4. Ne cliquez pas sur les liens dans les e-mails : Si une organisation, telle que votre banque, vous envoie un lien, lancez votre navigateur et allez directement sur le site de la banque au lieu de cliquer sur le lien lui-même. Vous pouvez également vérifier la destination d'un lien en le survolant avec votre souris. Si l'URL ne correspond pas au texte d'ancrage du lien ou à la destination indiquée dans l'e-mail, il y a de fortes chances que le lien soit malveillant. De nombreux auteurs d'attaques de spear-phishing tentent de brouiller les destinations des liens en utilisant un texte d'ancrage qui ressemble à une URL légitime.
  5. Faites preuve de logique lorsque vous ouvrez un courriel : Si vous recevez un e-mail d'un "ami" vous demandant des informations personnelles, y compris votre mot de passe, vérifiez soigneusement si l'adresse e-mail est une adresse que vous avez déjà vue utilisée par le passé. Les entreprises réelles ne vous enverront pas un courriel vous demandant votre nom d'utilisateur ou votre mot de passe. Le mieux est de contacter cet "ami" ou cette entreprise en dehors du courrier électronique.