Quand avez-vous étudié chaque caractéristique d’un email pour la dernière fois ? Nom de l’expéditeur, objet, horodatage, salutation, corps du message, signature... Si vous êtes une personne raisonnablement occupée, la réponse est sans doute « jamais ». Les hackers le savent bien, et c’est pour cette raison que les attaques de spear phishing parviennent si fréquemment à leurs fins.
Un email de spear phishing n’a qu’un seul objectif : détrousser les particuliers et les entreprises. Pour y parvenir, les hackers ont recours à toute une gamme de techniques : demandes d’achat de cartes cadeaux, de virement, de règlement de facture ou encore de modification d’informations bancaires. Une attaque de spear phishing commence par une usurpation d’identité et aboutit presque invariablement à une demande urgente. Ciblée et personnelle, cette stratégie a bien souvent des conséquences financières désastreuses pour ses victimes. Lorsqu’ils s’attaquent à des PME, les hackers multiplient les demandes de petites transactions. Il est ainsi difficile de les détecter, ce qui dope leurs chances de réussite.
Bien qu’il soit difficile de repérer les emails de spear phishing, tous partagent des caractéristiques communes :
L’adresse de l’expéditeur n’est pas toujours celle qu’elle paraît être. Les cybercriminels ont en effet recours à l’usurpation d’adresse email. Plusieurs techniques sont possibles.
Une adresse email usurpée est ainsi la première étape d’un email de spear phishing réussi. Si la victime ne regarde pas attentivement l’adresse email ou si celle-ci est la réplique exacte d’une adresse légitime, le piège s’est déjà refermé.
Soyez attentif à l’objet des emails que vous recevez. Les emails de spear phishing incluent souvent des objets visant à faire réagir leur cible sans délai, à l’aide de mots-clés comme « urgent » ou « rapidement ». Utilisés par un dirigeant ou un cadre de votre entreprise, ces termes sont particulièrement motivants. Ils peuvent pousser la victime à ignorer des anomalies qui auraient dû l’alerter et répondre immédiatement pour satisfaire son supérieur.
Toutes les attaques de spear phishing n’ont pas recours au pretexting, mais les hackers les plus doués s’en servent de plus en plus pour « préparer » leurs victimes. Le pretexting est une forme d’ingénierie sociale consistant à gagner la confiance d’un utilisateur en un ou plusieurs emails.
Il permet également d’identifier la bonne victime. Par exemple, le hacker peut contacter un utilisateur et lui demander s’il est en mesure de répondre à sa demande, comme le passage d’un virement, la modification d’informations bancaires ou la réalisation d’un achat important. Si l’utilisateur répond par la négative, le hacker peut lui demander à qui il doit s’adresser.
[Webinair on Demand] The Anatomy of a Spear Phishing Attack En anglais sous-titré Français
En règle générale, toute demande d’ordre financier doit être analysée de manière approfondie pour garantir sa légitimité. Si la stratégie du hacker inclut du pretexting, le corps de l’email commencera par quelques phrases amicales avant de passer progressivement à la formulation de la demande. Par le passé, les hackers allaient droit au but et demandaient sans attendre à leur victime d’effectuer une transaction financière. Toutefois, dans le cadre de montants importants, cette stratégie déclenche de nombreux signaux d’alerte, aussi se sont-ils adaptés. Les cybercriminels font souvent la conversation sur la base des informations qu’ils ont pu récupérer lors de leurs recherches. Ils peuvent ainsi demander à leur victime comment ce sont passées ses vacances ou la féliciter pour sa promotion. Cette familiarité désarme la victime et la rend plus vulnérable.
Une fois la conversation entamée, le hacker formule sa demande. Presque systématiquement, il met en place un sentiment d’urgence. Sous pression, la victime se sent tenue de réagir rapidement, sans prendre le temps de déterminer si la demande est légitime. Son auteur semblant être un haut dirigeant, la pression est encore plus forte. La peur des conséquences et l’envie de bien faire sont des moteurs psychologiques puissants, qui poussent les victimes à ignorer les signaux d’alerte.
Dans l’exemple ci-dessous, un hacker se fait passer pour un PDG et explique avoir besoin d’offrir des cartes cadeaux à ses clients lors d’une prochaine réunion, et que le temps presse. Vous noterez la présence des termes « achat », « rapidement » et « urgent ». Tout PDG envoyant un email ainsi formulé à l’un de ses employés est sûr d’obtenir une réaction rapide. Ces termes sont si courants dans le monde du spear phishing que les modèles d’apprentissage automatique de Vade sont entraînés à les repérer (avec d’autres) lors de l’analyse des emails.
Un hacker talentueux pensera à utiliser dans son email une signature correspondant à celle de la personne pour qui il se fait passer. Lorsqu’il n’est pas possible de l’imiter parfaitement, il y ajoutera des informations supplémentaires pour créer un faux sentiment de sécurité. Par exemple, si le cybercriminel ne parvient pas à reproduire une adresse à l’identique et utilise à la place une adresse Gmail ou Yahoo, il ajoutera une note dans sa signature expliquant que l’email a été envoyé depuis un smartphone ou une tablette. Il est ainsi plus facile de croire que le dirigeant a utilisé une adresse personnelle.
Les fautes sont également plus courantes sur ces appareils : les hackers peuvent donc en profiter pour s’excuser des erreurs de frappe et de la brièveté de leur message dans la signature. Cela rend ainsi plus crédible l’idée selon laquelle un dirigeant pourrait envoyer un email mal écrit, typique des hackers peu avertis.
Il est essentiel de former vos clients aux dangers du spear phishing pour les protéger de ces menaces. En plus de formations de sensibilisation à la sécurité, vous devez leur fournir une solution proposant une formation au fil de l’eau, qui offre des piqûres de rappel lorsqu’ils répondent à un email de spear phishing pour qu’ils comprennent immédiatement la situation et apprennent de leur erreur.
Les solutions de sécurité de l'email combattent désormais mieux les attaques de phishing, mais la plupart sont impuissantes face au spear phishing. La nature des attaques, notamment l’absence d’URL et de pièces jointes, rend les emails de spear phishing extrêmement difficiles à détecter. Vade pour Office 365 s’appuie sur des modèles d’apprentissage automatique pour analyser l’origine, le contenu et le contexte des emails. Entraînés à identifier les usurpations, les formulations et les comportements typiques du spear phishing, ces modèles sont mis à jour en continu pour faire face aux menaces les plus récentes.