Le spear phishing est l’une des formes de cyberattaques les plus dangereuses et ciblées. Contrairement aux attaques de phishing classiques, qui visent un large public dans l’espoir d'attraper des victimes peu méfiantes, le spear phishing est une forme d’attaque par phishing hautement personnalisée et ciblée, qui cible un utilisateur plutôt qu’un réseau. Les attaquants utilisent des informations détaillées sur leurs victimes pour créer des messages convaincants qui les poussent à divulguer des informations sensibles ou à cliquer sur des liens malveillants.
Les attaques de spear phishing sont soigneusement planifiées et exécutées. Le processus normal du spear phishing peut inclure les suivants :
Les attaquants commencent par rassembler des informations sur leurs cibles. Ils utilisent des ressources telles que les réseaux sociaux, les sites Web d’entreprise ou d'autres sources publiquement disponibles pour rassembler des informations sur la cible. Ils cherchent des détails tels que les adresses email, les intitulés de poste, les centres d’intérêt et la situation familiale.
Après avoir rassemblé des informations sur la cible, les attaquants créent un message/email personnalisé. Ces messages sont conçus pour sembler provenir d'une source fiable, comme un collègue, un partenaire commerciale, voire un supérieur. En raison de leur personnalisation, les messages sont plus convaincants, ce qui augmente les probabilités que la victime se laisse convaincre.
Les attaquants utilisent les techniques d’ingénierie sociale pour manipuler leurs cibles psychologiquement et les pousser à divulguer des informations sensibles, à cliquer sur des URL malveillantes ou à effectuer d'autres actions dangereuses pour elles-mêmes ou pour leur organisation. Ils peuvent créer un sentiment d’urgence, de peur ou de curiosité pour pousser la victime à agir immédiatement. Les tactiques courantes comprennent de fausses demandes urgentes d’un patron, des factures de fournisseurs ou des notifications de services de confiance.
Une fois le message créé, il est envoyé à la cible. Le message peut contenir un lien malveillant qui mène à un site de phishing conçu pour voler les identifiants, ou il peut inclure une pièce jointe qui, une fois ouverte, installe un malware sur l'appareil de la victime. Dans certains cas, l'attaquant peut aussi demander des informations sensibles directement.
Cibles classiques
Les attaquants par spear phishing ciblent généralement une personne ou une organisation en particulier bénéficiant d’un accès à des informations ou à des ressources précieuses, par exemple :
Les dirigeants : Les dirigeants sont des cibles privilégiées en raison de leur accès aux informations sensibles de l’entreprise et en raison de leur statut au sein d’une organisation. On parle alors également d'attaque de whaling.
Des employés spécifiques : Une personne qui a accès à des informations précieuses au sein d'une organisation, comme les employés qui travaillent dans la finance, les ressources humaines et les services informatiques.
Des secteurs spécifiques : Les secteurs tels que le gouvernement, la finance et la santé sont des cibles courantes, car les récompenses seraient énormes en cas de réussite de l’attaque de spear phishing.
Figure 1. Répartition des attaques par secteur d'activité
Conséquences potentielles
En raison de leur nature personnalisée, les attaques de spear phishing peuvent être difficiles à détecter, mais il existe plusieurs drapeaux rouges :
Si vous recevez une communication urgente ou inattendue, qui vous demande des informations sensibles, vous devez les vérifier séparément avant de répondre.
Même les emails de spear phishing bien conçus peuvent présenter des incohérences subtils dans le langage ou le ton. Essayez de repérer les phrases inhabituelles, les erreurs grammaticales ou les changements de ton qui ne correspondent pas au style de communication classique de l’expéditeur.
Vérifiez soigneusement l'adresse email et le domaine de l’expéditeur. Les emails de spear phishing proviennent souvent d'adresses qui ressemblent à celles légitimes, mais contiennent de petites variations.
Vous devez vérifier un lien en le survolant afin de consulter l’intégralité de l’URL avant de cliquer. N'ouvrez pas les pièces jointes non sollicitées avant de les avoir soigneusement vérifiées.
Figure 2. Exemple de courriel de spear phishing dont la charge utile finale est le logiciel malveillant Astaroth.
Mesures préventives et bonnes pratiques
Pour se protéger contre le spear phishing, les individus et les organisations doivent adopter des mesures préventives, telles que :
Le spear phishing cible les humains, et non les systèmes. Il est donc important d’entraîner votre équipe à reconnaître et à traiter les attaques de spear phishing. Utilisez des exercices de simulation de phishing pour tester leur niveau de sensibilisation et améliorer leurs compétences de détection.
Utilisez des protocoles de sécurité des emails avancés, comme les filtres antispam, l’authentification des emails (DKIM, SPF et DMARC) et les solutions anti-phishing. Ces outils peuvent aider à éliminer les emails malveillants avant même qu’ils n’atteignent les utilisateurs.
Activez l’authentification multifacteur (MFA, multi-factor authentication) pour l’accès aux systèmes et données sensibles. La MFA ajoute une couche de sécurité supplémentaire. Il est ainsi plus difficile pour les attaquants de bénéficier d’un accès non autorisé.
Menez des programmes continus de sensibilisation à la sécurité pour informer les employés sur les dernières tactiques de spear phishing et sur les bonnes pratiques permettant d’assurer leur sécurité en ligne.
Outils et technologies permettant de combattre le spear phishing
Utilisez des systèmes modernes de filtrage des emails qui utilisent l'apprentissage automatique et l’intelligence artificielle pour détecter et bloquer les emails de spear phishing. Ces systèmes analysent le contenu de l’email, la réputation de l’expéditeur et d'autres facteurs, en vue d’identifier les menaces potentielles.
Utilisez un logiciel anti-phishing capable de détecter et de bloquer les tentatives de phishing en temps réel. Ces solutions comprennent souvent des extensions de navigateur et une protection des endpoints afin d'assurer la protection contre les liens et pièces jointes malveillants.
Utilisez des plateformes de veille sur les menaces pour rester informés sur les nouvelles menaces de spear phishing et sur les schémas d'attaques. Ces plateformes fournissent des informations et des alertes fondées sur des données mondiales sur les menaces. Les organisations peuvent ainsi se défendre de manière proactive contre les nouvelles menaces.
Le rôle de la réponse aux incidents
Il est essentiel d'avoir un plan de réponse aux incidents bien défini face aux attaques de spear phishing :
Identifiez et confinez rapidement la menace pour éviter tout dommage supplémentaire. Vous pouvez ainsi, par exemple, isoler les systèmes concernés, bloquer les adresses IP malveillantes et modifier les mots de passe compromis.
Vous devez notifier toutes les parties concernées de toute violation. Il est important de faire preuve de transparence dans ce cas de figure, afin que les personnes concernées puissent prendre les précautions nécessaires.
Mettez en place des actions correctives pour traiter les vulnérabilités exploitées par l’attaque. Vous pouvez ainsi, par exemple, mettre à jour les protocoles de sécurité, appliquer des correctifs aux logiciels et améliorer les systèmes de filtration d’emails.
Tendances futures dans le spear phishing
Les attaquants par spear phishing utilisent l’IA et l’apprentissage automatique pour obtenir des messages de spear phishing plus convaincants. Ils créent ainsi des attaques hautement personnalisées et sophistiquées, plus difficiles à détecter.
L’Internet des objets (IoT) et les services cloud ayant gagné en popularité, les attaquants ciblent ces environnements. Les techniques de spear phishing évoluent pour tirer parti des vulnérabilités présentes dans les appareils connectés et dans l’infrastructure cloud.
Les APT utilisent des techniques sophistiquées pour infiltrer les réseaux et y rester, sans se faire détecter. Le spear phishing est souvent le vecteur initial de ces attaques, ce qui souligne la nécessité d'adapter en continu les stratégies de défense.
Les tests de pénétration continus et les exercices d'équipe rouge (ou red teaming) aident les organisations à garder une longueur d'avance sur les menaces de spear phishing. Ces mesures proactives identifient et traitent les vulnérabilités en temps réel, améliorant ainsi la sécurité globale.
Les chercheurs de Trend Micro ont découvert une vague d'activités malveillantes impliquant un groupe d'acteurs de la menace que nous suivons sous le nom de Water Makara.
En suivant les activités du groupe SideWinder, nous avons identifié un serveur utilisé pour diffuser un fichier LNK malveillant et héberger plusieurs pages d'hameçonnage d'informations d'identification.