Chez Vade, nous connaissons bien les attaques de spear phishing. Nos solutions de sécurité de l'email détectent ces menaces très régulièrement chez nos clients, car elles savent repérer les usurpations du nom ou du domaine de l’expéditeur, mais également les usurpations de l’alias visible et l’utilisation de domaines voisins. Toutefois, j’ai été confronté il y a peu à une attaque de spear phishing qui m’a touché d’un peu trop près. En effet, j’en étais moi-même la cible !
Tout a commencé par cet email, qui semble provenir du PDG de Vade, Georges Lotigier :
Certains éléments m’ont sauté aux yeux.
Plutôt que de passer à autre chose avec la fierté de constater l’efficacité de notre technologie, j’ai décidé de répondre au hacker et d’entrer dans son jeu pour voir comment il allait procéder. J’ai ainsi fermé la bannière et lui ai demandé de quoi il avait besoin. En réponse, le hacker m’a envoyé cet email :
Persuadé que je l’ai cru, il ne perd plus de temps et expose son véritable objectif : extorquer de l’argent à l’entreprise. Il explique que je dois acheter des cartes cadeaux Google Play à offrir aux clients. Plus précisément, il me demande d’acheter 4 cartes cadeaux d’une valeur de 500 $ et de lui envoyer les codes par email... Cela représente un paiement de près de 2 000 $ ! Manque de chance pour lui, je travaille dans une entreprise spécialisée dans la sécurité de l'email...
La demande de cartes cadeaux constitue une évolution intéressante des attaques de spear phishing. Pendant longtemps, ces attaques se contentaient de demander à leur cible d’effectuer un virement (attaques de type BEC). Ces attaques restent fréquentes et sont toujours très coûteuses, mais les scams aux cartes cadeaux sont de plus en plus populaires. En 2018, la FTC a émis une alerte concernant la hausse des scams portant sur les cartes cadeaux. D’après l’organisme, les pertes liées à ces attaques ont atteint 53 millions de dollars au cours des neuf premiers mois de l’année.
En voici un autre exemple reçu par l’un de nos partenaires. Le hacker a usurpé l’identité du PDG de l’entreprise et a demandé par email à l’un des employés d’acheter 20 cartes iTunes d’une valeur de 100 $. Dans cette version moins élaborée, le hacker n’a pas adopté d’approche en plusieurs étapes et cherché à nouer la confiance avant de formuler sa demande. Il vise directement un destinataire naïf pour tenter de gagner de l’argent rapidement et simplement.
Restez vigilant lorsque vous lisez vos emails, même s’ils semblent provenir d’un collègue, d’une connaissance ou même de votre patron ! Les hackers exploitent de mieux en mieux les informations disponibles en libre accès (Web, médias sociaux ou anciennes violations de sécurité) pour mettre au point des attaques de spear phishing toujours plus convaincantes.
Pour en savoir plus sur les méthodes utilisées par Vade pour Office 365 pour détecter le spear phishing, regardez la vidéo de 2 min ci-dessous.