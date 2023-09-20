Phishing ciblé vs phishing : quelle est la différence ?

Auteur

Annie Badman

Staff Writer

IBM Think

La réponse est simple : le phishing ciblé est un type d’attaque de phishing particulier.

Le phishing est une cyberattaque qui utilise des e-mails, des SMS ou des appels vocaux malveillants pour inciter les gens à partager des données sensibles (par exemple, des numéros de carte de crédit ou de sécurité sociale), à télécharger des logiciels malveillants, à visiter des sites web malveillants, à envoyer de l’argent à de mauvaises personnes, ou à se tromper eux-mêmes, leurs associés ou leurs employeurs. Le phishing est le vecteur ou la méthode d’attaque le plus courant : 300 479 attaques de phishing ont été signalées au FBI en 2022.

La plupart du phishing est du phishing en masse, c’est-à-dire des messages impersonnels qui semblent provenir d’un expéditeur connu et fiable (par exemple, une marque mondiale), envoyés en masse à des millions de personnes dans l’espoir qu’un faible pourcentage des destinataires mordront à l’hameçon.

Le spear phishing est un phishing ciblé. Plus précisément, les messages phishing ciblé sont

  • envoyé à une personne ou à un groupe de personnes spécifique
  • hautement personnalisées, basés sur les recherches
  • conçu pour sembler provenir d’un expéditeur qui entretient une relation avec le destinataire, par exemple un collègue que le destinataire connaît, ou une personne envers laquelle le destinataire est responsable, comme un directeur ou un dirigeant d’entreprise.

Les attaques de phishing ciblé sont beaucoup plus rares que les attaques de phishing, mais elles visent des récompenses beaucoup plus importantes ou plus précieuses et, lorsqu’elles réussissent, ont un impact beaucoup plus important que les escroqueries de phishing en masse. Selon un rapport récent, les e-mails de phishing ciblé ne représentaient que 0,1 % de tous les e-mails sur une période de 12 mois, mais représentaient 66 % des violations de données au cours de ces mêmes 12 mois. Lors d’une attaque de phishing ciblé très médiatisée, les escrocs ont dérobé plus de 100 millions de dollars à Facebook et à Google en se faisant passer pour des fournisseurs légitimes et en incitant les employés à payer de fausses factures.

Qu’est-ce qui est différent dans une attaque de phishing ciblé ?

Les attaques de phishing ciblé utilisent plusieurs stratégies qui les rendent plus difficiles à identifier et plus convaincantes que les attaques de phishing en masse.

Crédibilité basée sur des recherches approfondies

Pour rendre leurs attaques ciblées plus crédibles, les pirates spécialistes du phishing ciblé effectuent des recherches sur leurs expéditeurs et leurs cibles, afin de pouvoir se faire passer pour eux efficacement et présenter une histoire crédible aux cibles.

De nombreux hameçonneurs apprennent à connaître leurs expéditeurs et leurs victimes grâce aux réseaux sociaux. Les internautes partageant des informations si librement sur les réseaux sociaux et ailleurs en ligne, les cybercriminels peuvent désormais trouver des informations pertinentes et détaillées sans trop chercher. Par exemple, étudier la page LinkedIn d’une victime peut aider un escroc à mieux comprendre les responsabilités professionnelles d’un employé et à savoir quels fournisseurs son entreprise utilise, afin qu’il puisse se faire passer plus efficacement pour un expéditeur fiable d’une facture fictive.

Selon un rapport d’Omdia, les pirates peuvent créer des e-mails de phishing ciblé convaincants en très peu de temps après des recherches générales sur Google. Certains cybercriminels peuvent même pirater les comptes e-mail ou les applications de l’entreprise et passer plus de temps à observer les conversations pour recueillir un contexte plus détaillé sur les relations.

Tactiques spécifiques d’ingénierie sociale

Les tactiques d’ingénierie sociale utilisent la manipulation psychologique pour inciter les gens à croire à de faux principes ou à prendre des mesures imprudentes. D’après leurs recherches, les escrocs par phishing ciblé peuvent créer des situations crédibles, ou des prétextes, dans le cadre de leurs messages. Par exemple, nous avons décidé de faire appel à un nouveau cabinet d’avocats pour l’accord foncier, pouvez-vous s’il vous plaît transférer la facture ci-jointe pour couvrir leurs honoraires ? Ils peuvent créer un sentiment d’urgence qui pousse les destinataires à agir de manière irréfléchie. Par exemple, le paiement est déjà en retard, veuillez envoyer les fonds avant minuit pour éviter les frais de retard. Certains utilisent même l’ingénierie sociale pour garder l’escroquerie secrète. Par exemple, soyez discret, gardez le silence jusqu’à ce que l’accord soit annoncé plus tard cette semaine.

Plusieurs types de messages

De plus en plus, les escroqueries de phishing ciblé combinent des messages provenant de plusieurs médias pour renforcer la crédibilité. Par exemple, les messages de phishing ciblé incluent des numéros de téléphone que la cible peut appeler pour confirmer et les représentants frauduleux répondent aux numéros. Certains escrocs ont fait suivre les e-mails de phishing ciblé avec des SMS frauduleux (appelés smishing ). Plus récemment, les escrocs ont assuré un suivi des e-mails de phishing ciblé de faux appels téléphoniques (appelés vishing) utilisant des imitations de la voix de l’expéditeur présumé basées sur l’intelligence artificielle.

Types de phishing ciblé

Les attaques de phishing ciblé sont divisées en sous-types, en fonction de la personne ciblée par les attaques ou de l’identité de celle-ci.

Compromission des e-mails professionnels

La compromission d’e-mails professionnels, ou BEC (pour Business Email Compromise en anglais), est une escroquerie par e-mail de phishing ciblé dont le but est de dérober de l’argent ou des données sensibles à une entreprise.

Lors d’une attaque BEC, un cybercriminel (ou un groupe de cybercriminels) envoie des e-mails aux employés de l’entreprise ciblée en se faisant passer pour un collègue, un fournisseur, un partenaire, un client ou un autre associé connu du destinataire. Les e-mails sont rédigés de manière à inciter les employés à payer des factures frauduleuses, à effectuer des virements vers de faux comptes bancaires ou à envoyer des informations sensibles à quelqu’un qui en aurait besoin. (Dans de rares cas, les escrocs peuvent essayer de propager un ransomware ou un logiciel malveillant en demandant aux victimes d’ouvrir une pièce jointe ou de cliquer sur un lien malveillant.)

Certains escrocs volent ou obtiennent les identifiants du compte e-mail de l’expéditeur (nom d’utilisateur et mot de passe) et envoient l’e-mail directement à partir du compte réel de cet expéditeur. L’escroquerie semble ainsi plus authentique qu’une escroquerie envoyée à partir d’un compte e-mail usurpé ou usurpé avec le plus grand soin.

Dans le cadre d’un type particulier d’attaque BEC, appelé fraude aux PDG, l’escroc se fait passer pour un cadre supérieur, faisant pression sur des employés subalternes pour qu’ils virent des fonds ou divulguent des données sensibles.

Whaling

Le whaling est une attaque de phishing ciblé qui vise les victimes les plus en vue et les plus importantes, ou « whales », dont des membres de conseils d’administration ou des cadres supérieurs, mais aussi des cibles extérieures à l’entreprise, telles que des célébrités et des personnalités politiques. Ils savent que ces individus possèdent des atouts que seules des cibles de grande valeur peuvent offrir, notamment d’importantes sommes d’argent, l’accès à des informations très précieuses ou hautement confidentielles, et une réputation digne d’être protégée. Sans surprise, les attaques de whaling nécessitent généralement des recherches beaucoup plus poussées que les autres attaques de phishing ciblé.

Exemple d’attaque de phishing ciblé

En août 2022, le géant de la communication basé sur le cloud Twilio a subi une attaque de phishing ciblé qui a compromis son réseau.

Les hameçonneurs ont ciblé les employés de Twilio à l’aide de faux SMS qui semblaient provenir du service informatique de l’entreprise. Les messages expliquaient que les mots de passe des employés avaient expiré ou que leurs horaires avaient changé et les dirigeaient vers un faux site web leur demandant de saisir à nouveau leurs identifiants de connexion. Pour rendre l’escroquerie de phishing encore plus réaliste, les pirates ont inclus « Twilio », « Okta » et « SSO » (abréviation d’authentification unique) dans l’URL du faux site web afin de convaincre les employés de cliquer sur le lien malveillant.

En utilisant les identifiants de connexion des employés qui sont tombés dans le piège des messages, les escrocs ont pénétré dans le réseau d’entreprise de Twilio.

L’escroquerie de phishing a fait la une de l’actualité non seulement en raison de sa sophistication, un expert l’appelant « l’une des formes de piratage les plus sophistiquées de l’histoire », mais aussi en raison de la position unique de Twilio en tant qu’entreprise B2B, au service de nombreuses autres entreprises technologiques. En conséquence, plusieurs autres entreprises technologiques se sont retrouvées impliquées dans cette escroquerie de phishing, notamment Authy, une application d’authentification à deux facteurs, propriété de Twilio, et Signal, une application de messagerie cryptée qui utilisait Twilio pour les services de vérification par SMS.

En fin de compte, l’attaque Twilio a touché plus de 163 entreprises clientes, dont 1 900 comptes Signal. En outre, il a prouvé que les attaques de phishing ciblé, comme celle à laquelle Twilio a été confronté, sont de plus en plus courantes.

Se prémunir contre le phishing ciblé et les tentatives de phishing

Les outils de sécurité des e-mails, les logiciels antivirus et l’ authentification multifacteur sont tous des premières lignes de défense critiques contre le phishing et le phishing ciblé. Les entreprises ont également de plus en plus recours à des formations de sensibilisation à la sécurité et à des simulations de phishing pour mieux sensibiliser leurs employés aux dangers et aux tactiques des attaques de phishing et de phishing ciblé.

Toutefois, aucun système de sécurité n’est complet sans des capacités de pointe en matière de détection et de réponse aux menaces, qui permettent d’attraper les cybercriminels en temps réel et d’atténuer l’impact des campagnes de phishing réussies.

IBM Security QRadar SIEM applique le machine learning et l’analyse du comportement des utilisateurs (UBA) au trafic réseau aux côtés des journaux traditionnels pour une détection plus intelligente des menaces et une résolution plus rapide. Dans une récente étude Forrester, QRadar SIEM a aidé les analystes de sécurité à gagner plus de 14 000 heures sur trois ans en identifiant les faux positifs, à réduire de 90 % le temps passé à enquêter sur les incidents et à réduire de 60 % leur risque de subir une grave violation de la sécurité.* Avec QRadar SIEM, les équipes de sécurité aux ressources limitées disposent de la visibilité et des analyses dont elles ont besoin pour détecter rapidement les menaces et prendre des mesures immédiates et éclairées pour minimiser les effets d’une attaque.

* Le rapport Total Economic Impact d’IBM QRadar SIEM est une étude réalisée par Forrester Consulting pour le compte d’IBM en avril 2023. Basée sur la projection des résultats d’une entreprise composite modélisée à partir des réponses de 4 clients d’IBM. Les résultats dépendent des configurations et des conditions du client et ne peuvent donc être généralisés.

 
