Chez Vade, nous connaissons bien les attaques de spear phishing. Nos solutions de sécurité de l'email détectent ces menaces très régulièrement chez nos clients, car elles savent repérer les usurpations du nom ou du domaine de l’expéditeur, mais également les usurpations de l’alias visible et l’utilisation de domaines voisins. Toutefois, j’ai été confronté il y a peu à une attaque de spear phishing qui m’a touché d’un peu trop près. En effet, j’en étais moi-même la cible !
Tout a commencé par cet email, qui semble provenir du PDG de Vade, Georges Lotigier :
Certains éléments m’ont sauté aux yeux.
- L’alias de l’utilisateur est Georges Lotigier : toutefois, l’adresse email associée à cet alias est ceo230002@message2net.com. Cela signifie que le hacker a étudié notre entreprise et découvert que Georges en était le PDG. Il a ensuite créé une fausse adresse contenant la mention « CEO » (PDG en anglais) pour qu’elle paraisse crédible au premier abord.
- L’email contient la mention « Envoyé depuis mon iPad » : en temps normal, Georges ne formulerait-il pas ce type de demande depuis son adresse professionnelle ? Eh bien, si. Mais il explique dans le cas présent être coincé en réunion. Il est ainsi crédible qu’il m’envoie un bref email depuis son iPad, plutôt que d’ouvrir son ordinateur portable en plein milieu des discussions.
- Le message ne formule aucune demande immédiate : le hacker fait bien référence à une tâche, mais ce premier email a pour objectif d’établir la confiance, pour ensuite demander le paiement à proprement parler. Cette stratégie monte en puissance chez les hackers qui ont recours au spear phishing, car ils tentent ainsi d’induire chez leurs cibles un faux sentiment de sécurité.
- Vade a détecté l’attaque : Chez Vade, nous croyons en nos produits : tous nos employés sont protégés par notre solution Vade pour Office 365. Comme vous pouvez le voir dans la capture d’écran, la solution a repéré la tentative d’usurpation d’identité et a affiché notre bannière de spear phishing personnalisable pour m’en alerter.
Plutôt que de passer à autre chose avec la fierté de constater l’efficacité de notre technologie, j’ai décidé de répondre au hacker et d’entrer dans son jeu pour voir comment il allait procéder. J’ai ainsi fermé la bannière et lui ai demandé de quoi il avait besoin. En réponse, le hacker m’a envoyé cet email :
Persuadé que je l’ai cru, il ne perd plus de temps et expose son véritable objectif : extorquer de l’argent à l’entreprise. Il explique que je dois acheter des cartes cadeaux Google Play à offrir aux clients. Plus précisément, il me demande d’acheter 4 cartes cadeaux d’une valeur de 500 $ et de lui envoyer les codes par email... Cela représente un paiement de près de 2 000 $ ! Manque de chance pour lui, je travaille dans une entreprise spécialisée dans la sécurité de l'email...
Les scams portant sur les cartes cadeaux se multiplient
La demande de cartes cadeaux constitue une évolution intéressante des attaques de spear phishing. Pendant longtemps, ces attaques se contentaient de demander à leur cible d’effectuer un virement (attaques de type BEC). Ces attaques restent fréquentes et sont toujours très coûteuses, mais les scams aux cartes cadeaux sont de plus en plus populaires. En 2018, la FTC a émis une alerte concernant la hausse des scams portant sur les cartes cadeaux. D’après l’organisme, les pertes liées à ces attaques ont atteint 53 millions de dollars au cours des neuf premiers mois de l’année.
En voici un autre exemple reçu par l’un de nos partenaires. Le hacker a usurpé l’identité du PDG de l’entreprise et a demandé par email à l’un des employés d’acheter 20 cartes iTunes d’une valeur de 100 $. Dans cette version moins élaborée, le hacker n’a pas adopté d’approche en plusieurs étapes et cherché à nouer la confiance avant de formuler sa demande. Il vise directement un destinataire naïf pour tenter de gagner de l’argent rapidement et simplement.
Détection des attaques de spear phishing
Restez vigilant lorsque vous lisez vos emails, même s’ils semblent provenir d’un collègue, d’une connaissance ou même de votre patron ! Les hackers exploitent de mieux en mieux les informations disponibles en libre accès (Web, médias sociaux ou anciennes violations de sécurité) pour mettre au point des attaques de spear phishing toujours plus convaincantes.
Pour en savoir plus sur les méthodes utilisées par Vade pour Office 365 pour détecter le spear phishing, regardez la vidéo de 2 min ci-dessous.
