Le spear-phishing, c’est un peu la Rolls du phishing. Plus ciblé, plus sournois, plus efficace, plus dangereux qu’un mail de phishing classique. Cet article vous permettra de comprendre de quoi il s’agit exactement et comment vous protéger du spear-phishing.
Définition spear-phishing
Le spear-phishing est une forme d’ingénierie sociale. L’ingénierie sociale rassemble tous les attaques qui font appel à la manipulation pour tromper les individus. L’objectif est le même que celui du phishing : vous inciter à cliquer sur un lien pour vous soutirer des informations. La technique est différente : contrairement au phishing qui vise une diffusion de masse, le spear-phishing est ultra personnalisé. Il vise une entreprise ou une personne en particulier. Même si ce n’est pas l’attaque pas la plus rentable, il faut passer du temps à personnaliser ses campagnes. C’est l’attaque de phishing la plus destructrice.
Caractéristiques d’un mail de spear-phishing ?
Il est très difficile de trouver des points similaires entre les différentes campagnes de spear-phishing tellement elles sont personnalisées. Elles visent systématiquement une population très restreinte : une seule entreprise, un service spécifique ou même une seule personne. Les mails de spear-phishing prennent toutes les formes possible : texte simple, images, etc.
Les caractéristiques communes sont les suivantes : l’interlocuteur se fait passer pour un tiers de confiance que l’utilisateur est susceptible de connaître, et/ou l’action qu’il demande semble très urgente.
Comment repérer un mail de spear-phishing ?
Pour repérer un mail de spear-phishing, il faut être vigilant et attentif à ce que vous recevez. L’urgence et la charge de travail peuvent nous faire perdre en attention, et il est facile de tomber dans les pièges des hackers. Les techniques pour repérer un mail de spear-phishing sont très similaires à celles pour repérer un mail de phishing. Il faut de toute manière faire preuve de bon sens et bien analyser le contexte du mail.
La première étape, dès que vous recevez un mail, même de la part d'un contact connu :
- L'orthographe et la grammaire du message sont-elles douteuses ?
- La taille ou la couleur de la police sont-elles inhabituelles ?
- Est-ce qu'on vous demande d'ouvrir une pièce jointe ou de télécharger un logiciel ?
- Est-ce qu'on vous demande vos identifiants, ou de changer votre mot de passe alors que vous n'avez rien demandé ?
Deuxième étape, en cas de doute :
- Si le mail contient des liens, vous pouvez passer votre souris sur le lien sans cliquer pour voir l'URL complet et juger de sa "fiabilité". S'il n y a pas écrit "https" au début, il faut se méfier. Et si vous avez un doute, vous pouvez soumettre le lien sur ce site https://phishing-initiative.fr/contrib/
- Si c'est un de vos collègues qui vous envoie le mail et qu’il vous semble louche, il s'est peut-être fait hacker lui-même, donc contactez-le par un autre moyen pour vérifier.
- Si le doute est fondé, vous pouvez partager le mail sur https://www.signal-spam.fr/ et à votre RSSI.
Sensibilisation au spear-phishing
Si vous êtes chef d’entreprise ou responsable sécurité, le meilleur moyen pour protéger votre entreprise du phishing est d’entraîner vos collaborateurs grâce à des simulations de phishing régulière. Vous êtes le meilleur pour entraîner vos collaborateurs au spear-phishing. Aucun hacker ne connaît mieux que vous votre organisation. Personnaliser vos campagnes est donc primordial pour réussir votre sensibilisation au spear-phishing.
Le but pour vous est d’obtenir deux choses : une progression de vos collaborateurs pour repérer des mails de phishing et une visibilité sur ce niveau. Cette visibilité est nécessaire pour adapter vos plans d’actions et pour justifier des investissements auprès de votre direction.
