Phishing ciblé

Qu'est-ce que le phishing ciblé ?

Le phishing ciblé est une forme d'escroquerie par phishing où les cybercriminels envoient des e-mails très convaincants à des collaborateurs spécifiques d'une entreprise. Contrairement aux campagnes de phishing plus larges, les hackers prétendent être des entités que la victime connaît pour la pousser à partager des données sensibles, à transférer des fonds ou à télécharger des malwares dangereux.

Pour manipuler des victimes peu méfiantes, les hackers concentrent leurs efforts sur des tactiques d'ingénierie sociale pour profiter de la nature humaine comme l'envie d'aider, la réaction à des signaux alarmistes ou la confiance en des supérieurs hiérarchiques. Malheureusement, les collaborateurs représentent souvent une vulnérabilité considérable pour une entreprise, l'erreur humaine étant la cause numéro 1 des interruptions système non planifiées, d'où la nécessité d'organiser régulièrement des formations antiphishing.  

Pourquoi le phishing ciblé est-il si dangereux ?

Des attaques ciblées comme le phishing ciblé sont extrêmement dangereuses pour les entreprises. En cas de réussite, l'escroc peut récupérer des informations sensibles, des identifiants financiers, et même effectuer des transferts d'argent en sa faveur. Ces attaques s'accompagnent de pertes de données et de fonds, mais peuvent aussi mener à des fraudes plus vastes et à une série récurrente d'intrusions et de dommages.

Les hackers expérimentés utilisent cette faille initiale pour lancer des campagnes de menaces persistantes avancées (MPA), qui peuvent passer inaperçues et provoquer d'importants dégâts en continu. Ces accès non autorisés prolongés permettent aux hackers de parcourir vos ressources réseau et souvent d'engendrer d'autres violations de données ou interruptions des systèmes. En définitive, ils peuvent entraîner d'importantes répercussions financières et avoir un fort impact sur la réputation de l'entreprise.

Quelle est la différence entre le phishing et le phishing ciblé ?

Le phishing et le phishing ciblé sont des tactiques utilisées par les cybercriminels pour dérober des données sensibles et des informations personnelles. La principale différence entre ces deux tactiques est l'approche utilisée : les attaques de phishing sont généralement des messages génériques envoyés à un vaste public, tandis que le phishing ciblé vise des individus en particulier en tirant parti des informations personnelles de la victime pour sembler plus convaincant.

Les exemples suivants présentent la différence entre phishing et phishing ciblé.

Exemple de phishing : imaginez qu'un cybercriminel envoie un e-mail en masse pour signaler une faille de sécurité potentielle et pour demander une modification immédiate du mot de passe. L'e-mail englobe un lien vers un faux site web reproduisant un site légitime, comme celui d'une banque. Parmi les milliers de destinataires, le hacker espère qu'un petit pourcentage croira à l'urgence de la situation et indiquera ses identifiants.

Exemple de phishing ciblé : dans le cas d'un scénario de phishing ciblé, le hacker vise un collaborateur spécifique. Grâce aux informations concernant le collaborateur présentes sur les réseaux sociaux, le cybercriminel usurpe l'identité d'un responsable de son entreprise et envoie un e-mail personnalisé qui fait allusion à un récent événement professionnel et qui invite le collaborateur à cliquer sur un lien qui devrait le diriger vers les photos de l'événement. Avec cette approche personnalisée, le lien malveillant semble convaincant. Le collaborateur est donc plus susceptible de déployer un malware ou de partager ses identifiants de connexion par inadvertance.

Pourquoi le phishing ciblé est-il si efficace ?

Les attaques de phishing ont évolué : les scénarios trop évidents comme les e-mails désormais célèbres provenant d'un « prince nigérian » ont été abandonnés au profit de campagnes de phishing ciblé plus sophistiquées qui tirent parti de l'ingénierie sociale et de l'IA générative. Ces techniques permettent aux escrocs de gagner en crédibilité et de manipuler ainsi des victimes peu méfiantes pour les pousser à répondre à leurs demandes qui semblent innocentes.

Voici quelques facteurs communs qui contribuent à la réussite du phishing ciblé :

• E-mails de marque crédibles : les hackers expérimentés rédigent des e-mails reproduisant des marques connues, comme Apple, Microsoft ou l'établissement bancaire de l'utilisateur, ce qui renforce l'impression d'authenticité.
• Confiance sur le lieu de travail : des e-mails qui semblent provenir de personnes fiables de l'entreprise, comme des responsables ou des représentants des RH, donnent un faux sentiment de sécurité, de crédibilité et de confiance.
• Peur, urgence et intimidation : les escrocs font souvent appel à des tactiques inspirant la peur, affirmant que des informations ont été compromises ou que le destinataire court un risque immédiat. Ce sentiment d'urgence pousse la victime à se conformer rapidement, souvent sans réfléchir, à ce qu'on lui demande.
• Formation insuffisante des collaborateurs : sans formation continue, les collaborateurs risquent de ne pas reconnaître ou signaler des tentatives de phishing ciblé, ce qui les rend plus susceptibles de tomber dans le piège.
• Faible sécurité de la messagerie : sans outils spécialisés, les contrôles de sécurité natifs ne parviennent pas à détecter les tentatives avancées de phishing ciblé, ce qui expose les entreprises à des risques.
• Technologie d'IA générative : les escrocs modernes utilisent des outils d'IA comme ChatGPT pour rédiger des e-mails convaincants qui imitent les styles de communication humains et ainsi être encore plus difficiles à détecter.

Le fonctionnement du phishing ciblé

Le phishing ciblé vise des individus spécifiques ou crée des messages trompeurs personnalisés pour voler des informations confidentielles, obtenir des accès non autorisés ou déployer des logiciels malveillants.

Voici le fonctionnement habituel du phishing ciblé :

1. Recherche et ciblage : les hackers identifient d'abord une cible, généralement une personne qui a partagé des informations en ligne. Ils effectuent des recherches poussées sur la présence en ligne de cette personne pour connaître tous les détails concernant son poste, ses collègues, ses activités récentes ou ses intérêts personnels.
2. Mise en place de l'attaque : grâce aux informations collectées, les hackers élaborent un message ou un e-mail très convaincant. Ce message usurpe habituellement l'identité d'une entité ou d'un collègue de confiance pour donner l'impression qu'il est légitime.
3. Déploiement : l'escroc envoie le message trompeur à la cible. Cet e-mail peut contenir les éléments suivants :

• Un lien qui installe un malware sur l'équipement de la victime
• Une pièce jointe qui infecte le système avec un ransomware
• Une demande d'informations confidentielles qui semble légitime
• Un lien vers un site web qui fait office de leurre sur lequel la victime saisit ses identifiants

1. Action : lorsque la victime a interagi avec le message (par exemple, en cliquant sur le lien ou en fournissant les informations demandées), le hacker peut atteindre son objectif initial, à savoir voler des données stratégiques, obtenir des accès non autorisés ou installer un malware ou un ransomware.
2. Exploitation : grâce à l'accès octroyé ou aux données, le cybercriminel peut ensuite dérober des informations confidentielles, commettre une fraude financière ou se déplacer latéralement sur le réseau d'une entreprise et potentiellement engendrer des dégâts considérables.

Comment les hackers choisissent-ils leurs cibles ?

Les escrocs ciblent généralement des individus spécifiques sur la base de trois critères majeurs : les informations auxquelles la personne peut avoir accès, les informations qu'ils peuvent recueillir sur cette personne et la facilité d'exploitation.

En fonction de ces critères, ces trois types de collaborateurs constituent des victimes potentielles de leur attaque de phishing ciblé :

• Les collaborateurs disposant de données précieuses : les cibles du phishing ciblé ne sont pas nécessairement des hauts dirigeants ou des décisionnaires. Toutefois, elles ont habituellement accès à des informations précieuses. Les collaborateurs qui travaillent dans des services comme la comptabilité, la paie et les RH, ont accès à des données stratégiques, mais reçoivent aussi souvent un grand nombre d'e-mails. Les e-mails de phishing parviennent donc à s'infiltrer plus facilement.
• Les collaborateurs inexpérimentés : les escrocs ciblent souvent des collaborateurs de niveau hiérarchique inférieur ou récemment embauchés parce qu'ils ne connaissent pas encore bien les protocoles ou les bonnes pratiques de cybersécurité de l'entreprise. Ils peuvent se faire passer pour une personne d'autorité ou diffuser un sentiment d'urgence pour essayer d'influencer le nouveau collaborateur à respecter l'autorité perçue.
• Les personnes très attaquées (VAP, Very Attacked Person) : contrairement à une croyance très répandue, les VIP ne sont pas toujours les cibles des attaques de phishing ciblé. Les VAP sont souvent plus vulnérables en raison de l'abondance de données personnelles les concernant en ligne ou du volume important d'e-mails qu'ils gèrent, ce qui complique la détection d'e-mails frauduleux. Même s'ils ne disposent pas de titres prestigieux, leurs rôles dans les domaines de la finance, des RH ou de l'administration leur donnent accès à de nombreuses données. Les escrocs tirent parti de leur position et de cette vulnérabilité pour les cibler régulièrement.

Exemples courants d'attaques de phishing ciblé

Fraudes au président

Oseriez-vous répondre Non à une demande urgente provenant de votre PDG ? C'est pourquoi les cybercriminels utilisent cette tactique dans le cadre des fraudes au président, également connues sous le nom de compromission des e-mails professionnels (BEC). Dans ce cas, les escrocs exploitent le respect pour la hiérarchie sur le lieu de travail et usurpent l'identité de hauts dirigeants pour berner des collaborateurs des services financiers ou comptables et les amener à acheter des cartes cadeaux ou à transférer des fonds vers des comptes frauduleux.

Pièces jointes malveillantes et attaques par ransomware

Faites attention aux e-mails contenant des pièces jointes ou des liens. Vous risquez de télécharger des malwares ou des ransomwares en cliquant dessus. Pour vérifier la sécurité d'un lien, placez le curseur de votre souris dessus pour afficher l'URL complète. Souvenez-vous que même des collègues de confiance peuvent envoyer involontairement des liens dangereux. Vérifiez toujours la source et contrôlez deux fois la légitimité d'un lien ou d'une pièce jointe pour la sécurité de votre entreprise.

Attaque de phishing par clonage

Dans le cas des attaques de phishing par clonage, les escrocs dupliquent des e-mails légitimes en les détournant pour les rendre dangereux. Ils les présentent comme des versions mises à jour de messages authentiques et remplacent subtilement les liens ou les pièces jointes d'origine par des versions malveillantes.

Attaques avec usurpation d'une marque

Les hackers imitent souvent les styles de communication et les images de marques et de fournisseurs de services de renom. Cependant, ces e-mails trompeurs contiennent des éléments frauduleux : les liens authentiques sont remplacés par des versions malveillantes qui vous dirigent vers des pages de connexion usurpées conçues pour dérober les identifiants de l'utilisateur.

Les attaques de phishing ciblé reposant sur l'usurpation d'une marque impliquent des services de livraison, des services de signature numérique, des outils de réunion vidéo, des établissements bancaires et des plateformes de streaming vidéo.

Comment identifier un e-mail de phishing ciblé

Utilisez la méthode SPEAR suivante pour identifier rapidement une tentative de phishing ciblé :

Identifier l'expéditeur

Une tactique fréquente de phishing ciblé consiste à utiliser des noms de domaine trompeurs qui ressemblent fortement à des entreprises réputées, à quelques différences mineures près qui passent souvent inaperçues. Par exemple, les caractères « l » (L minuscule) et « 1 » (chiffre un) peuvent être intervertis pour créer des domaines comme « goog1e » ou « paypa1 ».

C'est une escroquerie évidente et facile à repérer, mais de nombreux utilisateurs vigilants tombent quand même dans le piège, notamment s'ils reçoivent fréquemment des e-mails authentiques de ces entreprises.

Étudier de près la ligne d'objet

La ligne d'objet des e-mails de phishing ciblé diffuse souvent un sentiment d'urgence ou de peur en utilisant des termes comme « Urgent », « Action immédiate requise » ou « Retard de paiement » pour encourager le destinataire à agir rapidement.

Une certaine familiarité est aussi souvent véhiculée avec des expressions telles que « Re : », « Demande en attente » ou « Suivi important », impliquant l'existence d'une conversation ou d'une relation précédente. Cette approche plus subtile fait partie d'une escroquerie par phishing ciblé plus longue, dans laquelle l'escroc noue un lien qui semble authentique. Il dirige plutôt en douceur sa cible à effectuer des actions qui pourraient avoir des effets dévastateurs, avec des entreprises entières succombant potentiellement aux objectifs du hacker.

Examiner les liens ou les pièces jointes

Les e-mails de phishing ciblé contiennent souvent des pièces jointes malveillantes dans des fichiers .zip ou .exe, ou dans des documents PDF, Excel et Word. Les liens peuvent être tout aussi dangereux que les pièces jointes : faites très attention si vous rencontrez des formulaires vous demandant de partager des données sensibles, car ils ne sont peut-être pas aussi sécurisés qu'ils n'y paraissent. Google Forms et d'autres services en ligne réputés sont souvent utilisés pour collecter des informations confidentielles, car ils contournent les filtres de sécurité des e-mails standard.

Évaluer le contenu

Si vous recevez un e-mail contenant vos informations personnelles, sachez que la source n'est pas forcément fiable. Il est souvent possible de trouver des informations personnelles vous concernant sur Internet. Il n'est pas difficile pour les cybercriminels de collecter des données comme une adresse, les noms de membres de votre famille, des numéros de téléphone ou même les noms de vos animaux de compagnie dans des dossiers publics ou sur les réseaux sociaux.

Demander une confirmation

Faites confiance à votre instinct. Si un e-mail vous semble suspect alors même qu'il paraît légitime, adoptez une approche proactive. Au lieu de répondre à un e-mail douteux, rédigez un nouveau message en utilisant des contacts enregistrés précédemment pour vérifier l'authenticité de l'e-mail. Pour plus de prudence, appelez directement l'expéditeur ou envoyez-lui un SMS en utilisant un numéro vérifié pour lever vos doutes éventuels.

Que faire si vous avez cliqué sur un lien de phishing ciblé ?

Avez-vous cliqué par mégarde sur un lien de phishing ? L'erreur est humaine, mais il est crucial de réagir de manière appropriée. Voici comment limiter les conséquences négatives potentielles :

• Restez calme. En gardant l'esprit clair, vous saurez mieux gérer la situation.
• Ne saisissez pas de données. Si vous y êtes invité, ne fournissez aucune information d'aucune sorte.
• Supprimez tout et déconnectez-vous. Supprimez l'e-mail malveillant et déconnectez-vous d'Internet pour éviter toute faille potentielle future ou toute propagation du malware.
• Modifiez vos mots de passe. Partez du principe que vos identifiants ont été corrompus et modifiez vos mots de passe, de préférence sur un autre équipement.
• Alertez le département IT. Informez immédiatement votre département IT. Il est équipé pour limiter l'attaque et peut informer les autorités compétentes.
• Effectuez un contrôle de sécurité. L'équipe de sécurité de votre entreprise doit réaliser un contrôle complet du système à l'aide d'outils de protection avancée contre les malwares pour détecter et éliminer les menaces.

Comment vous protéger contre le phishing ciblé

Aucune approche ne peut assurer une immunité totale face aux cybermenaces, mais vous pouvez limiter les risques du phishing ciblé en intégrant des outils de sécurité avancée, en adoptant des bonnes pratiques et en stimulant la vigilance et la formation de vos collaborateurs.

Adopter l'authentification multifacteur

Implémentez l'authentification multifacteur dans tout votre environnement pour réduire considérablement l'impact des attaques de phishing ciblé. Elle protège vos applications en exigeant deux sources de validation minimum avant d'accorder un accès aux utilisateurs, ce qui réduit la probabilité de réussite d'une attaque de phishing ciblé. Même si un mot de passe est compromis en cas de phishing ciblé, celui-ci sera inutile sans les étapes d'authentification supplémentaires.

Implémenter des politiques strictes de gestion des mots de passe

Près de 50 % de toutes les violations de données impliquent le vol d'identifiants. En appliquant des politiques strictes en matière de mots de passe et en formant les collaborateurs aux bonnes pratiques, les entreprises peuvent considérablement réduire le risque d'accès non autorisé et de faille de sécurité.

Voici quelques bonnes pratiques à prendre en compte pour assurer une sécurité forte des mots de passe :

• Créez des mots de passe longs et complexes d'au moins 10 caractères
• Exigez l'authentification multifacteur pour vérifier l'identité des utilisateurs à la connexion
• Exigez des questions de sécurité auxquelles l'utilisateur doit répondre correctement
• Stockez les mots de passe dans une solution sécurisée de gestion des mots de passe
• Utilisez des mots de passe biométriques, comme des empreintes digitales, le visage ou la voix
• Modifiez fréquemment vos mots de passe

Effectuer des sauvegardes régulières et appliquer des correctifs de sécurité

Il est crucial d'effectuer des sauvegardes et d'appliquer des correctifs de sécurité de manière cohérente pour renforcer vos défenses contre les attaques de phishing ciblé. Les sauvegardes régulières font office de filet de sécurité pour vous permettre de restaurer vos données et de minimiser les pertes potentielles en cas de faille.

Il est tout aussi important de gérer les correctifs avec diligence. Ces mises à jour renforcent vos défenses logicielles en éliminant les vulnérabilités que les hackers pourraient exploiter dans des scénarios de phishing ciblé.

Installer des logiciels de sécurité avancée des e-mails

Les tactiques de phishing ciblé sont toujours plus sophistiquées et répandues, il est donc impératif d'adopter des mesures antiphishing proactives pour protéger votre entreprise et ses collaborateurs contre les violations de données, l'usurpation d'identité et l'espionnage industriel. L'une des défenses les plus efficaces consiste à investir dans une solution de sécurité de la messagerie de renom.

Des solutions de sécurité des e-mails sophistiquées comme Cisco Secure Email Threat Defense assurent une protection robuste contre le phishing, en utilisant des algorithmes avancés qui analysent des milliers de signaux concernant l'identité, le comportement et le langage. Ce système détecte non seulement les indicateurs typiques d'une attaque transmise par e-mail, mais neutralise également les menaces avant qu'elles causent des dommages, ce qui protège les communications essentielles de votre entreprise.

Utiliser Cisco Advanced Malware Protection (AMP)

Aucune solution de sécurité ne peut empêcher toutes les attaques de phishing ciblé, il est donc essentiel de créer une défense multicouche. Le logiciel Cisco Advanced Malware Protection prévient, détecte et supprime les virus logiciels qui peuvent avoir été installés lors d'une attaque de phishing fructueuse, comme un ransomware, un ver, un logiciel espion, un logiciel publicitaire ou un cheval de Troie.

Grâce à Cisco AMP, les entreprises réduisent de manière significative l'impact des failles potentielles. En effet, même si une attaque parvient à infiltrer les défenses initiales, son impact reste limité et isolé.

Donner la priorité à la sensibilisation à la sécurité

La formation de vos collaborateurs ne s'avère efficace que si elle est cohérente. La sensibilisation à la sécurité ne doit pas être une initiative unique et ponctuelle. Vu la nature évolutive des attaques de phishing ciblé et des autres menaces dangereuses, il est essentiel de former vos collaborateurs en continu. Intégrez des formations antiphishing dans les processus d'intégration des nouvelles recrues et dans les formations régulières de vos collaborateurs. La formation continue aide les collaborateurs à garder une longueur d'avance sur les tentatives de phishing ciblé et vous protégez ainsi les données sensibles et les systèmes de votre entreprise.