Le spear phishing à grande échelle : le Soft target phishing
Dimitri Perret
—24 mars 2017
—3 min de lecture
Il est indéniable que le phishing est un problème majeur en constante croissance. Durant le premier trimestre de 2016, 6,3 millions d’emails d’hameçonnage ont été envoyés, ce qui représente une hausse de 789 % par rapport au dernier trimestre de 2015. A noter également que 93 % de ces emails contenaient un ransomware.
Entre le dernier trimestre de 2015 et le premier de 2016, les emails de phishing ont augmenté de 789 %.
Face aux nombreuses menaces telles que le « Business Email Compromise (BEC) », le ransomware et le phishing, il devient difficile difficile de se protéger contre toutes les menaces. Mais la prochaine grande menace est déjà là : le soft target phising.
Qu’est-ce que le Soft target phishing ?
Le soft target phishing est une attaque d’hameçonnage combinant les caractéristiques d’un BEC (type de spear phishing) et d’une attaque de phishing de masse. Au lieu de ne cibler qu’une seule personne (comme le BEC), ou des dizaines de milliers de personnes (comme une attaque de phishing à grande échelle traditionnelle), le soft target phishing vise des typologies de personnes travaillant dans un secteur donné, comme la comptabilité. La plupart du temps, les emails contiennent des informations relatives à l’entreprise afin de rendre le message plus convaincant.
Le soft target phishing présente des caractéristiques d’un BEC et d’une attaque d’hameçonnage à grande échelle traditionnelle.
Par exemple, différents membres du département RH reçoivent un email avec le CV d’un candidat à un poste. L’email contient un message personnalisé pour chaque employé et fournit diverses informations pour que l’interaction ait l’air légitime. Comme l’email semble réel, les employés ouvrent la pièce jointe, sans savoir qu’il contient un logiciel malveillant désormais en mesure d’infiltrer tout le réseau de l’entreprise. Ce type d’attaque ressemble à un BEC, car les emails contiennent des informations personnalisées afin de convaincre le destinataire de sa légitimité. Néanmoins, ces attaques diffèrent car, au lieu de viser un seul individu précis dans l’objectif de lui soutirer des informations confidentielles, le soft target phishing cible un groupe de personnes travaillant dans un secteur spécifique en leur envoyant des pièces jointes malveillantes.
Pourquoi est-ce si facile ?
Ajoutez ceci au fait que vos antécédents professionnels sont publiquement disponibles sur LinkedIn et vous obtiendrez la recette parfaite pour la création d’une attaque d’hameçonnage sur mesure. Les emails de soft target phishing parviennent généralement à se faufiler à travers les systèmes standards de filtrage des emails.
Les attaques de soft target phishing évitent les filtres anti-spam classiques car ils ne contiennent pas les caractéristiques habituelles que ces systèmes parviennent à déceler.
Ces emails passent à travers les filtres car ils ne contiennent pas les caractéristiques classiques que les systèmes standards de filtrage recherchent. Les emails ne renferment pas de liens hypertextes suspects ou de pièces jointes exécutables (types de fichiers généralement utilisés pour les malwares). Les emails contiennent simplement un message personnalisé et une pièce jointe qui ressemble à un fichier PDF ou à un document Office. Les systèmes de filtrage classiques ne sont pas en mesure de détecter les contenus malveillants de ces types de pièces jointes. Ils les laissent donc passer.
Départements visés
N’importe quel département de votre entreprise pourrait être victime d’une attaque de phishing. Cependant, ce type d’attaque vise souvent les départements suivants :
- Ressources humaines : au vu de toutes les données personnelles que le département des ressources humaines traite et dont il dispose, il représente une cible évidente. Une tactique courante consiste à envoyer des emails contenant une pièce jointe intitulée « CV » d’un candidat à un poste. Malheureusement, le « CV » en question contient un ransomware qui, une fois ouvert, peut infiltrer le réseau de l’entreprise.
- Service facturation : étant donné que ce département reçoit quotidiennement de nombreuses factures par mail, il représente une cible idéale, au même titre que le département RH. Les employés reçoivent des emails personnalisés qui laissent penser que la facture est légitime. Ils ouvrent donc la pièce jointe, permettant au ransomware de se propager à travers le système.
Service d’expédition : ce département étant souvent situé loin du siège principal de l’entreprise, il représente une cible facile. Les employés sont tous les jours en contact avec différentes personnes. C’est pourquoi, lorsqu’ils ouvrent un mail, ils ne sont pas en mesure de reconnaître le style d’une personne en particulier. Dans ce cas-ci, les compétences de base enseignées lors de formations de sensibilisation à l’hameçonnage ne sont pas d’une grande aide.