Qu’est-ce que le harponnage ?

Dans une attaque classique d’hameçonnage en masse, les pirates créent des messages frauduleux qui semblent provenir d’entreprises, d’organisations ou même de célébrités bien connues. Ils envoient ensuite ces messages d’hameçonnage au plus grand nombre de personnes possible, en espérant qu’au moins une poignée d’entre elles se laisseront convaincre de fournir des informations précieuses telles que leur numéro de sécurité sociale, leur numéro de carte de crédit ou le mot de passe de leur compte.  

Les attaques par harponnage, en revanche, sont des attaques ciblées visant des personnes précises qui ont accès à des actifs spécifiques.

Fixer un objectif

La plupart des attaques par phishing ciblé visent à dérober de grosses sommes d’argent à des organisations, en incitant une personne à effectuer un paiement ou un virement sur un compte bancaire ou un fournisseur frauduleux, ou en l’incitant à divulguer des numéros de carte de crédit, des numéros de compte bancaire ou d’autres données confidentielles ou sensibles.

Mais les campagnes de harponnage peuvent avoir d’autres objectifs malveillants :

• Diffuser des ransomwares ou d’autres logiciels malveillants (par exemple, le cybercriminel peut envoyer une pièce jointe malveillante, telle qu’un fichier Microsoft Excel, qui installe un malware lorsqu’il est ouvert).
   

• Voler des identifiants, telles que des noms d’utilisateur et des mots de passe, que le pirate peut utiliser pour organiser une attaque plus importante. Par exemple, le pirate peut envoyer à la cible un lien malveillant vers une page Web frauduleuse de mise à jour de son mot de passe.
   

• Voler des données à caractère personnel ou des données sensibles, telles que les données à caractère personnel de clients ou d’employés, les données financières d’une entreprise ou des secrets commerciaux.

Choisir une ou plusieurs cibles

Ensuite, le pirate identifie une cible appropriée. Une personne ou un groupe de personnes ayant un accès direct aux ressources recherchées par les pirates, ou pouvant fournir cet accès indirectement en téléchargeant des logiciels malveillants.

Les tentatives de harponnage visent souvent des employés de niveau intermédiaire, de bas niveau ou de nouveaux employés disposant de privilèges d’accès élevés au réseau ou au système, qui pourraient être moins rigoureux dans le respect des politiques et des procédures de l’entreprise. Les victimes typiques sont les responsables financiers autorisés à effectuer des paiements, les administrateurs informatiques disposant d’un accès de niveau administrateur au réseau et les responsables des ressources humaines ayant accès aux données à caractère personnel des employés. D’autres types d’attaques par harponnage ciblent exclusivement les cadres supérieurs (voir « Phishing ciblé, whaling et BEC » ci-dessous).

Rechercher la cible

Le pirate recherche auprès de la cible des informations qu’il peut utiliser pour se faire passer pour un proche, c'est-à-dire une personne ou une organisation en qui la cible a confiance, ou une personne à qui elle doit rendre des comptes.

Étant donné le nombre d’informations que les internautes partagent ouvertement sur les réseaux sociaux et ailleurs en ligne, les cybercriminels n’ont aucun mal à obtenir des renseignements. Selon un rapport publié par Omdia , les pirates sont en mesure de rédiger un e-mail d’hameçonnage ciblé convaincant après environ 100 minutes de recherche sur Google. Certains cybercriminels peuvent pirater les boîtes mail de l’entreprise, ou s’introduire dans ses applications de messagerie, et passer encore plus de temps à scruter les échanges pour recueillir des informations plus détaillées.

Rédiger et envoyer le message

Grâce à ces recherches, les pirates peuvent créer des messages de hameçonnage ciblés qui semblent crédibles, provenant de la source ou de la personne de confiance.

Par exemple, imaginons que « Jean » soit responsable des comptes fournisseurs chez ABC Industries. En consultant simplement le profil LinkedIn de Jean, un pirate pourrait trouver le titre du poste de Jean, ses responsabilités, son adresse e-mail professionnelle, le nom de son service, le nom et le titre de son patron, ainsi que le nom et le poste de ses partenaires commerciaux. Ils utilisent ensuite ces informations pour lui envoyer un e-mail très crédible de la part de son patron ou de son chef de service, comme suit :

Bonjour Jean,

Je sais que vous traitez les factures de XYZ Systems. Ils viennent de me faire savoir qu’ils mettent à jour leur processus de paiement et qu’ils ont besoin que tous les paiements futurs soient versés sur un nouveau compte bancaire. Voici leur dernière facture avec les détails du nouveau compte. Pouvez-vous envoyer le paiement aujourd’hui ?

L’e-mail contient généralement des indices visuels qui confirment l’identité de l’expéditeur usurpé au premier coup d’œil, tels qu’une adresse e-mail usurpée, par exemple, montrant le nom de l’expéditeur usurpé mais cachant l’adresse e-mail frauduleuse, des adresses e-mails de collègues en copie usurpés de la même manière, ou une signature d’e-mail comportant le logo de l’entreprise ABC Industries. Certains escrocs parviennent à pirater le compte de messagerie de l’expéditeur usurpé et à envoyer le message à partir de ce compte, pour une authenticité optimale.

Une autre tactique consiste à combiner l’e-mail avec un hameçonnage par SMS appelé phishing par SMS ou smishing, ou un hameçonnage vocal appelé vishing. Par exemple, au lieu de joindre une facture, l’e-mail peut demander à Jack d’appeler le service des comptes fournisseurs de XYZ Systems, à un numéro de téléphone tenu par un fraudeur.

Les attaques de phishing ciblé font largement appel aux techniques d’ingénierie sociale. Il s'agit de tactiques qui utilisent la pression psychologique ou la motivation pour tromper ou manipuler les gens afin qu’ils effectuent des actions qu’ils ne devraient pas effectuer et qu’ils n’effectueraient normalement pas.

L’usurpation de l’identité d’un haut responsable de l’entreprise, comme dans l’e-mail de phishing ci-dessus, en est un exemple. Les employés sont conditionnés à respecter l’autorité et ont inconsciemment peur de ne pas suivre les ordres d’un dirigeant, même si ces ordres sortent de l’ordinaire. Les attaques par harponnage s’appuient sur d’autres techniques d’ingénierie sociale :

• Le prétexte : Fabriquer une histoire ou une situation réaliste que la cible reconnaît et à laquelle elle peut s’identifier, par exemple « votre mot de passe est sur le point d’expirer... »
   

• Créer un sentiment d’urgence : Par exemple, se faire passer pour un fournisseur et prétendre que le paiement d’un service essentiel est en retard.

• Faire appel aux émotions ou aux motivations subconscientes : Essayer de susciter la peur, la culpabilité ou la cupidité chez la cible, faire référence à une cause ou à un événement qui lui tient à cœur, ou même simplement se montrer utile. Par exemple, « voici un lien vers un site Web qui vend les pièces détachées d’ordinateur que vous recherchez. »

La plupart des campagnes de phishing ciblé combinent plusieurs tactiques d’ingénierie sociale. Par exemple, une note du supérieur direct de la cible qui dit : «Je suis sur le point de sauter dans un avion et je n'ai presque plus de batterie, peux-tu m’aider et faire ce virement bancaire à XYZ Corp. pour que nous n’ayons pas à payer des pénalités de retard ? »

Toute attaque de hameçonnage ciblant une personne ou un groupe spécifique est une attaque par phishing ciblé, mais il en existe quelques sous-types notoires.

Le whaling (parfois appelé whale phishing) est un phishing ciblé qui vise les victimes les plus en vue et les plus précieuses. Il s’agit souvent de membres de conseil d’administration ou des cadres supérieurs, mais aussi des cibles extérieures à l’entreprise, telles que des célébrités et des hommes politiques. Les auteurs d’attaques de whaling recherchent une proie que seules ces cibles peuvent leur fournir : de très grosses sommes d’argent ou l’accès à des informations très précieuses ou très confidentielles. Il n’est donc pas surprenant que les attaques de whaling nécessitent généralement des recherches plus poussées que les autres attaques de phishing ciblé.

La compromission de la messagerie d’entreprise (BEC) est une attaque de harponnage visant spécifiquement à détrousser les organisations. Les deux formes les plus courantes de BEC sont les suivantes :

• La fraude au PDG : L’escroc se fait passer pour le compte de messagerie d’un cadre supérieur, ou le pirate directement, et envoie un message à un ou plusieurs employés de niveau inférieur leur demandant de transférer des fonds sur un compte frauduleux ou d’effectuer un achat auprès d’un vendeur frauduleux.
   

• La compromission de compte de messagerie (EAC) : L’escroc accède au compte de messagerie d’un employé de niveau inférieur. Par exemple, un responsable des finances, des ventes ou de la recherche et développement, et il va l’utiliser pour envoyer des factures frauduleuses à des fournisseurs, demander à d’autres employés d’effectuer des paiements ou des dépôts frauduleux, ou demander l’accès à des données confidentielles.

Les arnaques au président comptent parmi les cyberattaques les plus coûteuses. Dans l’un des exemples les plus connus, en se faisant passer pour le PDG d’une entreprise, des pirates ont convaincu le service financier de cette dernière de transférer 42 millions d’euros sur un compte bancaire frauduleux.

Les attaques par hameçonnage comptent parmi les cyberattaques les plus difficiles à combattre, car elles ne peuvent pas toujours être identifiées par les outils de cybersécurité traditionnels (basés sur les signatures) ; souvent, l'attaquant n'a qu'à franchir les défenses de sécurité humaines.

Les attaques par harponnage sont particulièrement pernicieuses, car leur nature ciblée et leur contenu personnalisé les rendent encore plus convaincantes pour une personne lambda. Néanmoins, il existe des mesures que les organisations peuvent prendre pour atténuer l’impact du harponnage, voire prévenir complètement ce type d’attaques :

Formation de sensibilisation à la sécurité. Comme le phishing ciblé exploite la nature humaine, la formation des employés constitue une ligne de défense importante contre ces attaques. La formation de sensibilisation à la sécurité peut inclure ce qui suit :

• Enseigner au personnel des techniques pour reconnaître les e-mails suspects. Par exemple, vérifier les noms d’expéditeur des e-mails pour identifier les noms de domaine frauduleux.
   

• Conseils pour éviter le partage excessif sur les réseaux sociaux.
   

• Les bonnes pratiques de sécurité. Par exemple, ne jamais ouvrir de pièces jointes non sollicitées, confirmer les demandes de paiement inhabituelles via un deuxième canal, appeler les fournisseurs pour confirmer les factures, accéder aux sites Web par ses propres moyens au lieu de cliquer sur des liens dans les e-mails.
   

• Simulations de harponnage où les employés peuvent appliquer ce qu’ils ont appris.

Authentification multi-facteur et adaptative. La mise en œuvre d’une authentification multi-facteur(exigeant une ou plusieurs informations d’identification en plus du nom d’utilisateur et du mot de passe) et/ou d’une authentification adaptative (exigeant d'autres informations d’identification lorsque les utilisateurs se connectent à partir de différents appareils ou emplacements) peut empêcher les pirates d’accéder au compte de messagerie d’un utilisateur, même s’ils parviennent à voler le mot de passe de la messagerie de l’utilisateur.

Logiciel de sécurité. Aucun outil de sécurité ne peut à lui seul empêcher les attaques de harponnage, mais plusieurs outils peuvent jouer un rôle pour prévenir ces attaques ou minimiser leurs dommages :

• Certains outils de sécurité tels que les filtres antispam et les passerelles de messagerie sécurisées, peuvent aider à détecter et à détourner les e-mails de harponnage.
  
  

• Les logiciels antivirus peuvent aider à neutraliser les logiciels malveillants connus ou les infections par ransomware résultant du d’attaques par harponnage.

• Les passerelles Web sécurisées et autres outils de filtrage Web peuvent bloquer les sites Web malveillants auxquels renvoient les e-mails de harponnage.
  
  
• Les correctifs de système et logiciel peuvent corriger les vulnérabilités techniques couramment utilisées par les cybercriminels.

• Les solutions de sécurité d’entreprise peuvent aider les équipes de sécurité et les centres d’opérations de sécurité (SOC) à détecter et à intercepter le trafic et l’activité réseau malveillants liés aux attaques de harponnage. Elles comprennent (entre autres) l’orchestration, l’automatisation et la réponse aux incidents de sécurité (SOAR), la gestion des incidents et événements de sécurité (SIEM), la détection et réponse des terminaux (EDR), la détection et réponse du réseau (NDR) et la détection et réponse étendues (XDR).