Il est indéniable que le phishing est un problème majeur en constante croissance. Durant le premier trimestre de 2016, 6,3 millions d’emails d’hameçonnage ont été envoyés, ce qui représente une hausse de 789 % par rapport au dernier trimestre de 2015. A noter également que 93 % de ces emails contenaient un ransomware.
Face aux nombreuses menaces telles que le « Business Email Compromise (BEC) », le ransomware et le phishing, il devient difficile difficile de se protéger contre toutes les menaces. Mais la prochaine grande menace est déjà là : le soft target phising.
Le soft target phishing est une attaque d’hameçonnage combinant les caractéristiques d’un BEC (type de spear phishing) et d’une attaque de phishing de masse. Au lieu de ne cibler qu’une seule personne (comme le BEC), ou des dizaines de milliers de personnes (comme une attaque de phishing à grande échelle traditionnelle), le soft target phishing vise des typologies de personnes travaillant dans un secteur donné, comme la comptabilité. La plupart du temps, les emails contiennent des informations relatives à l’entreprise afin de rendre le message plus convaincant.
Par exemple, différents membres du département RH reçoivent un email avec le CV d’un candidat à un poste. L’email contient un message personnalisé pour chaque employé et fournit diverses informations pour que l’interaction ait l’air légitime. Comme l’email semble réel, les employés ouvrent la pièce jointe, sans savoir qu’il contient un logiciel malveillant désormais en mesure d’infiltrer tout le réseau de l’entreprise. Ce type d’attaque ressemble à un BEC, car les emails contiennent des informations personnalisées afin de convaincre le destinataire de sa légitimité. Néanmoins, ces attaques diffèrent car, au lieu de viser un seul individu précis dans l’objectif de lui soutirer des informations confidentielles, le soft target phishing cible un groupe de personnes travaillant dans un secteur spécifique en leur envoyant des pièces jointes malveillantes.
Ajoutez ceci au fait que vos antécédents professionnels sont publiquement disponibles sur LinkedIn et vous obtiendrez la recette parfaite pour la création d’une attaque d’hameçonnage sur mesure. Les emails de soft target phishing parviennent généralement à se faufiler à travers les systèmes standards de filtrage des emails.
Ces emails passent à travers les filtres car ils ne contiennent pas les caractéristiques classiques que les systèmes standards de filtrage recherchent. Les emails ne renferment pas de liens hypertextes suspects ou de pièces jointes exécutables (types de fichiers généralement utilisés pour les malwares). Les emails contiennent simplement un message personnalisé et une pièce jointe qui ressemble à un fichier PDF ou à un document Office. Les systèmes de filtrage classiques ne sont pas en mesure de détecter les contenus malveillants de ces types de pièces jointes. Ils les laissent donc passer.
N’importe quel département de votre entreprise pourrait être victime d’une attaque de phishing. Cependant, ce type d’attaque vise souvent les départements suivants :
Service d’expédition : ce département étant souvent situé loin du siège principal de l’entreprise, il représente une cible facile. Les employés sont tous les jours en contact avec différentes personnes. C’est pourquoi, lorsqu’ils ouvrent un mail, ils ne sont pas en mesure de reconnaître le style d’une personne en particulier. Dans ce cas-ci, les compétences de base enseignées lors de formations de sensibilisation à l’hameçonnage ne sont pas d’une grande aide.