Nous avons déjà beaucoup parlé des attaques de phishing sur ce blog, mais savez-vous ce qu’est le spear phishing, quelle est la différence avec le simple phishing et comment l’éviter ? C’est ce que nous allons voir dans cet article.
Qu’est-ce que le spear phishing ?
Ce qui distingue le spear phishing du phishing est qu’il cible une personne en particulier, ou des employés d’une entreprise en particulier. C’est une tentative de voler des informations sensibles comme les identifiants de compte ou les informations financières d’une victime ou d’une identité spécifique.
Le Spear phishing peut facilement être confondu avec le phishing. C’est aussi une attaque en ligne contre des utilisateurs qui vise à extorquer des informations personnelles et confidentielles.
Les pirates se font passer pour une entité digne de confiance et établissent le contact avec leur cible par emails, médias sociaux, appels téléphoniques et même par textos.
Les cybercriminels pratiquent les attaques de phishing en envoyant généralement des emails frauduleux simultanément à des centaines de personnes en misant sur la chance que quelqu’un clique sur le lien ou télécharge un virus.
Les attaques de spear phishing ciblent une personne en particulier, ce qui les rendent encore plus dangereuses. Le cybercriminel rassemble méticuleusement des informations sur la victime pour créer un « appât » sur-mesure, augmentant encore davantage ses chances de tromper sa cible. Un email de spear phishing bien fait peut être extrêmement difficile à repérer parmi les mails authentiques.
En effet, ce type de mail peut contenir des informations personnelles telles que sa liste d’amis, sa ville natale, son employeur, les lieux que la victime fréquente et ce qu’elle a récemment acheté en ligne.
Les assaillants se déguisent alors en amis ou en entités de confiance pour acquérir des informations sensibles.
Les cibles préférées des cybercriminels sont soit des employés de haut niveau dans la hiérarchie d’une entreprise, et qui ont donc accès à des informations intéressantes pour le pirate, soit les employés aux métiers transversaux dont le travail est d’ouvrir un grand nombre d’emails venant de l’extérieur, comme un employé des ressources humaines, par exemple, qui sont en contact permanent avec des sous-traitants, des candidats à l’embauche ou des prestataires.
Mais comment cela fonctionne-t-il ?
Contrairement à leurs débuts, les emails de phishing sont aujourd’hui assez difficiles à repérer sans avoir été formé à s’en protéger.
Les cybercriminels ciblent les victimes qui ont mis beaucoup d’informations personnelles sur Internet. Ils peuvent afficher des profils individuels lors de l’analyse d’un site de réseau social.
À partir d’un profil, ils peuvent trouver l’adresse e-mail, la liste d’amis, l’emplacement géographique et toutes les publications de la victime. Avec toutes ces informations en main, il peut aisément se faire passer pour un ami ou une société familière et piéger sa victime dans un email, allant jusqu’à récupérer mots de passe ou pire, ses informations de carte de crédit ou numéro de sécurité sociale. Ensuite, ils peuvent faire à peu près tout ce qu’ils veulent : usurper votre identité, accéder à vos comptes bancaires, et même introduire des virus dans vos appareils.
Voici 6 conseils pour éviter cela :
- Faites très attention aux informations personnelles que vous publiez sur Internet. Si vous ne voulez pas que des escrocs puissent utiliser quoi que ce soit, ne publiez pas ou très peu, et assurez-vous que vous avez configuré correctement vos paramètres de confidentialité.
- Ayez des mots de passe intelligents : ne réutilisez jamais les mêmes mots de passe pour des sites différents, ni des variantes. Chaque mot de passe que vous avez doit être différent des autres. Les mots de passe comportant des phrases, des chiffres et des lettres aléatoires sont les plus sûrs.
- Mettez fréquemment à jour votre logiciel : si votre fournisseur de logiciel vous informe qu’une nouvelle mise à jour est disponible, faites-le immédiatement. Si possible, activez les mises à jour logicielles automatiques.
- Ne cliquez jamais sur les liens dans les e-mails : si une organisation, telle que votre banque, vous envoie un lien, lancez votre navigateur et accédez directement au site de la banque au lieu de cliquer sur le lien lui-même.
- Utilisez la logique et votre bon sens lorsque vous ouvrez des emails : Si un « ami » vous envoie un email vous demandant des informations personnelles, y compris votre mot de passe, vérifiez soigneusement si leur adresse e-mail a déjà été utilisée. Les vraies entreprises ne vous enverront pas d’email vous demandant votre nom d’utilisateur ou votre mot de passe.
- Si vous souhaitez protéger votre entreprise : implémentez un programme de protection des données combinant la formation des utilisateurs aux meilleures pratiques en matière de sécurité des données et la mise en œuvre d’une solution de protection des données. Enfin, un logiciel de prévention des pertes de données doit être installé pour protéger les données sensibles contre les accès non autorisés ou les sorties, même si un utilisateur est victime d’une tentative de phishing.