Variante du
phishing (
hameçonnage), le spear phising (harponnage) est un type d'attaque utilisé par les cybercriminels qui ciblent particulièrement les utilisateurs d'entreprises. Reposant sur des procédés d'ingénierie sociale, cette méthode est utilisée pour dérober des données sensibles aux professionnels, à travers des attaques par mail très personnalisées. Quelles en sont les principales caractéristiques. Comment s'en prémunir ?
Qu'est-ce que le spear phishing ?
Le spear phishing (ou harponnage) est une technique cybercriminelle s'appuyant sur des procédés d'ingénierie sociale, qui est une variante du phishing.
Le vecteur d'attaque est le même dans les deux cas : le message électronique. Un e-mail d'apparence légitime (contenu et expéditeur) est envoyé à un utilisateur avec une invitation :
- à ouvrir une pièce-jointe contenant un malware ou à cliquer sur un lien pointant vers un page web contenant un programme malveillant. Ces deux actions sont destinées à infecter l'ordinateur, en général à l'insu de l'utilisateur.
- à cliquer sur un lien menant à un formulaire en ligne afin de soutirer des informations confidentielles ou sensibles.
Différences entre phishing et spear phishing
Des modus operandi différents
Les modalités de l'attaque diffèrent entre hameçonnage et harponnage :
- Le phishing repose sur l'envoi massif (randomisé) de messages électroniques trompeurs à un maximum d'utilisateurs.
- Le harponnage consiste en une attaque ciblée sur un utilisateur ou un groupe restreint d'utilisateurs, avec des informations très précises et personnalisées susceptibles de tromper la vigilance du/des destinataire(s).
Deux objectifs généralement différents
Les objectifs diffèrent également quelque peu :
- Le phishing est un scam visant le plus souvent à subtiliser des informations bancaires, ou à usurper l'identité d'une victime avec un mobile financier. Il cible plutôt les particuliers.
- Le spear phishing, plus ingénieux, cible particulièrement les petites et moyennes entreprises ou TPE, et les plus grandes organisations. L'objectif est multiple :
- Soutirer des informations sensibles du point de vue de la propriété intellectuelle
- Subtiliser des informations à forte valeur ajoutée et/ou sensibles (ex : données clients, bancaires).
- Espionner la concurrence sur des projets en cours de développement.
Attaques de type spear phishing : caractéristiques
Le site Esecurityplanet (
voir ici) a dressé un inventaire de différents types d'attaque reposant sur le spear phishing.
Voici trois caractéristiques notables :
- Mail contenant une pièce-jointe pouvant contenir les mots en intitulé : « DHL » ou « notification » (23% des cas), livraison (12%), ou encore « facturation ». Ce type d'attaque tend à diminuer, du fait de l'efficacité des filtres antispams
- E-mail contenant un lien cliquable pointant vers une page web infectée : le programme malveillant est susceptible d'exploiter une faille de sécurité au niveau du PC/système d'information. C'est la tendance actuelle.
- Message susceptible d'éveiller l'intérêt/de jouer avec les émotions du destinataire. En objet : « fermeture imminente d'un compte », « réception d'un colis en attente ».
Lire également :
Cybercriminalité : le "spear phishing", principal vecteur d'attaques ciblées ?
Se protéger contre les attaques de type spear phishing : conseils
Dans l'entreprise :
- Privilégier des solutions antispams intégrant des fonctionnalités de sandboxing (bac à sable), qui permettent de créer un environnement sécurisé, entre les applications et le disque dur, et prévenir ainsi l'installation de programmes malveillants.
- Sensibiliser les employés de l'entreprise aux caractéristiques du spear phishing. Simuler de temps en temps des attaques factices pour tester leur vigilance.
- Restreindre l'accès à distance au réseau de l'entreprise.
- Encadrer l'utilisation des messageries personnelles au travail. Les webmails personnels sont particulièrement ciblées par le spear phishing.
- Imposer des mots de passe complexes pour les accès pros : voir comment choisir, sécuriser et gérer ses mots de passe.
A titre personnel
- Mieux maîtriser son identité numérique : en limitant les informations publiques partagées sur les réseaux sociaux. Les « spear phishers » recueillent fréquemment des données personnelles en ligne pour personnaliser leurs attaques (ex : date de naissance, centres d'intérêts). Faites un benchmark des traces que vous laissez sur Google.
- Ne jamais cliquer sur des URL raccourcies. De manière générale, examiner attentivement les URL contenues dans les emails douteux.
A voir également
Communautés d'assistance et de conseils.
