Accueil Thèmes Qu'est-ce que le harponnage ? Qu’est-ce que le harponnage ?
Découvrir la solution de phishing ciblé d’IBM S’abonner aux actualités thématiques sur la sécurité
Illustration d’un collage de pictogrammes représentant des nuages, un téléphone mobile, une empreinte digitale et une coche
Qu’est-ce que le harponnage ?

Le phishing ciblé est un type d’attaque par hameçonnage qui cible une personne ou un groupe de personnes au sein d’une organisation et tente de les amener à divulguer des informations sensibles, à télécharger des logiciels malveillants ou à envoyer à leur insu des paiements à l’attaquant ou à l’autoriser.

Comme toutes les escroqueries par hameçonnage, le harponnage peut être effectué par e-mail, par SMS ou par appel téléphonique. La différence est qu’au lieu de cibler des milliers ou des millions de victimes potentielles avec des tactiques d’hameçonnage en masse, les adeptes du harponnage ciblent des individus ou des groupes d’individus spécifiques (par exemple, les directeurs régionaux des ventes d’une entreprise) avec des escroqueries personnalisées basées sur des recherches approfondies.

Selon le rapport sur le coût d’une violation de données en 2023  d’IBM, l’hameçonnage était la deuxième cause la plus fréquente de violation de données en 2022. McKinsey relève que le nombre d’attaques par phishing ciblé a été multiplié par près de sept après le début de la pandémie. Les cybercriminels profitent de la généralisation du télétravail. En effet, les collaborateurs qui exercent leur activité à distance pourraient s’avérer plus vulnérables aux tentatives d’hameçonnage, en raison d’un certain laxisme en matière d’hygiène cyber et de leur habitude d’échanger avec leurs collègues et leur supérieurs principalement par e-mail et par chat.

Le rapport d’IBM révèle également que si les attaques par hameçonnage sont devenues les plus coûteuses (4,91 millions de dollars en moyenne), le coût des attaques par hameçonnage ciblé peut largement dépasser ce montant. Par exemple, lors d’une attaque par phishing ciblé très médiatisée, les auteurs ont dérobé plus de 100 millions de dollars à Facebook et à Google en se faisant passer pour des fournisseurs légitimes et en incitant les employés à payer de fausses factures.

Coût d’une violation de données

Obtenez des informations pour mieux prendre en charge le risque de violation de données grâce au dernier rapport sur le coût d’une violation de données.

Contenu connexe

Inscrivez-vous pour obtenir le X-Force Threat Intelligence Index

Fonctionnement des attaques par harponnage

Dans une attaque classique d’hameçonnage en masse, les pirates créent des messages frauduleux qui semblent provenir d’entreprises, d’organisations ou même de célébrités bien connues. Ils envoient ensuite ces messages d’hameçonnage au plus grand nombre de personnes possible, en espérant qu’au moins une poignée d’entre elles se laisseront convaincre de fournir des informations précieuses telles que leur numéro de sécurité sociale, leur numéro de carte de crédit ou le mot de passe de leur compte.  

Les attaques par harponnage, en revanche, sont des attaques ciblées visant des personnes précises qui ont accès à des actifs spécifiques.

Fixer un objectif

La plupart des attaques par phishing ciblé visent à dérober de grosses sommes d’argent à des organisations, en incitant une personne à effectuer un paiement ou un virement sur un compte bancaire ou un fournisseur frauduleux, ou en l’incitant à divulguer des numéros de carte de crédit, des numéros de compte bancaire ou d’autres données confidentielles ou sensibles.

Mais les campagnes de harponnage peuvent avoir d’autres objectifs malveillants :

  • Diffuser des ransomwares ou d’autres logiciels malveillants (par exemple, le cybercriminel peut envoyer une pièce jointe malveillante, telle qu’un fichier Microsoft Excel, qui installe un malware lorsqu’il est ouvert).
     

  • Voler des identifiants, telles que des noms d’utilisateur et des mots de passe, que le pirate peut utiliser pour organiser une attaque plus importante. Par exemple, le pirate peut envoyer à la cible un lien malveillant vers une page Web frauduleuse de mise à jour de son mot de passe.
     

  • Voler des données à caractère personnel ou des données sensibles, telles que les données à caractère personnel de clients ou d’employés, les données financières d’une entreprise ou des secrets commerciaux.

Choisir une ou plusieurs cibles

Ensuite, le pirate identifie une cible appropriée. Une personne ou un groupe de personnes ayant un accès direct aux ressources recherchées par les pirates, ou pouvant fournir cet accès indirectement en téléchargeant des logiciels malveillants.

Les tentatives de harponnage visent souvent des employés de niveau intermédiaire, de bas niveau ou de nouveaux employés disposant de privilèges d’accès élevés au réseau ou au système, qui pourraient être moins rigoureux dans le respect des politiques et des procédures de l’entreprise. Les victimes typiques sont les responsables financiers autorisés à effectuer des paiements, les administrateurs informatiques disposant d’un accès de niveau administrateur au réseau et les responsables des ressources humaines ayant accès aux données à caractère personnel des employés. D’autres types d’attaques par harponnage ciblent exclusivement les cadres supérieurs (voir « Phishing ciblé, whaling et BEC » ci-dessous).

Rechercher la cible

Le pirate recherche auprès de la cible des informations qu’il peut utiliser pour se faire passer pour un proche, c'est-à-dire une personne ou une organisation en qui la cible a confiance, ou une personne à qui elle doit rendre des comptes.

Étant donné le nombre d’informations que les internautes partagent ouvertement sur les réseaux sociaux et ailleurs en ligne, les cybercriminels n’ont aucun mal à obtenir des renseignements. Selon un rapport publié par Omdia , les pirates sont en mesure de rédiger un e-mail d’hameçonnage ciblé convaincant après environ 100 minutes de recherche sur Google. Certains cybercriminels peuvent pirater les boîtes mail de l’entreprise, ou s’introduire dans ses applications de messagerie, et passer encore plus de temps à scruter les échanges pour recueillir des informations plus détaillées.

Rédiger et envoyer le message

Grâce à ces recherches, les pirates peuvent créer des messages de hameçonnage ciblés qui semblent crédibles, provenant de la source ou de la personne de confiance.

Par exemple, imaginons que « Jean » soit responsable des comptes fournisseurs chez ABC Industries. En consultant simplement le profil LinkedIn de Jean, un pirate pourrait trouver le titre du poste de Jean, ses responsabilités, son adresse e-mail professionnelle, le nom de son service, le nom et le titre de son patron, ainsi que le nom et le poste de ses partenaires commerciaux. Ils utilisent ensuite ces informations pour lui envoyer un e-mail très crédible de la part de son patron ou de son chef de service, comme suit :

Bonjour Jean,

Je sais que vous traitez les factures de XYZ Systems. Ils viennent de me faire savoir qu’ils mettent à jour leur processus de paiement et qu’ils ont besoin que tous les paiements futurs soient versés sur un nouveau compte bancaire. Voici leur dernière facture avec les détails du nouveau compte. Pouvez-vous envoyer le paiement aujourd’hui ?

L’e-mail contient généralement des indices visuels qui confirment l’identité de l’expéditeur usurpé au premier coup d’œil, tels qu’une adresse e-mail usurpée, par exemple, montrant le nom de l’expéditeur usurpé mais cachant l’adresse e-mail frauduleuse, des adresses e-mails de collègues en copie usurpés de la même manière, ou une signature d’e-mail comportant le logo de l’entreprise ABC Industries. Certains escrocs parviennent à pirater le compte de messagerie de l’expéditeur usurpé et à envoyer le message à partir de ce compte, pour une authenticité optimale.

Une autre tactique consiste à combiner l’e-mail avec un hameçonnage par SMS appelé phishing par SMS ou smishing, ou un hameçonnage vocal appelé vishing. Par exemple, au lieu de joindre une facture, l’e-mail peut demander à Jack d’appeler le service des comptes fournisseurs de XYZ Systems, à un numéro de téléphone tenu par un fraudeur.

Les attaques par harponnage et l’ingénierie sociale

Les attaques de phishing ciblé font largement appel aux techniques d’ingénierie sociale. Il s'agit de tactiques qui utilisent la pression psychologique ou la motivation pour tromper ou manipuler les gens afin qu’ils effectuent des actions qu’ils ne devraient pas effectuer et qu’ils n’effectueraient normalement pas.

L’usurpation de l’identité d’un haut responsable de l’entreprise, comme dans l’e-mail de phishing ci-dessus, en est un exemple. Les employés sont conditionnés à respecter l’autorité et ont inconsciemment peur de ne pas suivre les ordres d’un dirigeant, même si ces ordres sortent de l’ordinaire. Les attaques par harponnage s’appuient sur d’autres techniques d’ingénierie sociale :

  • Le prétexte : Fabriquer une histoire ou une situation réaliste que la cible reconnaît et à laquelle elle peut s’identifier, par exemple « votre mot de passe est sur le point d’expirer... »
     

  • Créer un sentiment d’urgence : Par exemple, se faire passer pour un fournisseur et prétendre que le paiement d’un service essentiel est en retard.

  • Faire appel aux émotions ou aux motivations subconscientes : Essayer de susciter la peur, la culpabilité ou la cupidité chez la cible, faire référence à une cause ou à un événement qui lui tient à cœur, ou même simplement se montrer utile. Par exemple, « voici un lien vers un site Web qui vend les pièces détachées d’ordinateur que vous recherchez. »

La plupart des campagnes de phishing ciblé combinent plusieurs tactiques d’ingénierie sociale. Par exemple, une note du supérieur direct de la cible qui dit : «Je suis sur le point de sauter dans un avion et je n'ai presque plus de batterie, peux-tu m’aider et faire ce virement bancaire à XYZ Corp. pour que nous n’ayons pas à payer des pénalités de retard ? »

En savoir plus sur l’ingénierie sociale
Harponnage, whaling et BEC

Toute attaque de hameçonnage ciblant une personne ou un groupe spécifique est une attaque par phishing ciblé, mais il en existe quelques sous-types notoires.

Le whaling (parfois appelé whale phishing) est un phishing ciblé qui vise les victimes les plus en vue et les plus précieuses. Il s’agit souvent de membres de conseil d’administration ou des cadres supérieurs, mais aussi des cibles extérieures à l’entreprise, telles que des célébrités et des hommes politiques. Les auteurs d’attaques de whaling recherchent une proie que seules ces cibles peuvent leur fournir : de très grosses sommes d’argent ou l’accès à des informations très précieuses ou très confidentielles. Il n’est donc pas surprenant que les attaques de whaling nécessitent généralement des recherches plus poussées que les autres attaques de phishing ciblé.

La compromission de la messagerie d’entreprise (BEC) est une attaque de harponnage visant spécifiquement à détrousser les organisations. Les deux formes les plus courantes de BEC sont les suivantes :

  • La fraude au PDG : L’escroc se fait passer pour le compte de messagerie d’un cadre supérieur, ou le pirate directement, et envoie un message à un ou plusieurs employés de niveau inférieur leur demandant de transférer des fonds sur un compte frauduleux ou d’effectuer un achat auprès d’un vendeur frauduleux.
     

  • La compromission de compte de messagerie (EAC) : L’escroc accède au compte de messagerie d’un employé de niveau inférieur. Par exemple, un responsable des finances, des ventes ou de la recherche et développement, et il va l’utiliser pour envoyer des factures frauduleuses à des fournisseurs, demander à d’autres employés d’effectuer des paiements ou des dépôts frauduleux, ou demander l’accès à des données confidentielles.

Les arnaques au président comptent parmi les cyberattaques les plus coûteuses. Dans l’un des exemples les plus connus, en se faisant passer pour le PDG d’une entreprise, des pirates ont convaincu le service financier de cette dernière de transférer 42 millions d’euros sur un compte bancaire frauduleux.

Agir contre le spear phishing

Les attaques par hameçonnage comptent parmi les cyberattaques les plus difficiles à combattre, car elles ne peuvent pas toujours être identifiées par les outils de cybersécurité traditionnels (basés sur les signatures) ; souvent, l'attaquant n'a qu'à franchir les défenses de sécurité humaines.

Les attaques par harponnage sont particulièrement pernicieuses, car leur nature ciblée et leur contenu personnalisé les rendent encore plus convaincantes pour une personne lambda. Néanmoins, il existe des mesures que les organisations peuvent prendre pour atténuer l’impact du harponnage, voire prévenir complètement ce type d’attaques :

Formation de sensibilisation à la sécurité. Comme le phishing ciblé exploite la nature humaine, la formation des employés constitue une ligne de défense importante contre ces attaques. La formation de sensibilisation à la sécurité peut inclure ce qui suit :

  • Enseigner au personnel des techniques pour reconnaître les e-mails suspects. Par exemple, vérifier les noms d’expéditeur des e-mails pour identifier les noms de domaine frauduleux.
     

  • Conseils pour éviter le partage excessif sur les réseaux sociaux.
     

  • Les bonnes pratiques de sécurité. Par exemple, ne jamais ouvrir de pièces jointes non sollicitées, confirmer les demandes de paiement inhabituelles via un deuxième canal, appeler les fournisseurs pour confirmer les factures, accéder aux sites Web par ses propres moyens au lieu de cliquer sur des liens dans les e-mails.
     

  • Simulations de harponnage où les employés peuvent appliquer ce qu’ils ont appris.

Authentification multi-facteur et adaptative. La mise en œuvre d’une authentification multi-facteur(exigeant une ou plusieurs informations d’identification en plus du nom d’utilisateur et du mot de passe) et/ou d’une authentification adaptative (exigeant d'autres informations d’identification lorsque les utilisateurs se connectent à partir de différents appareils ou emplacements) peut empêcher les pirates d’accéder au compte de messagerie d’un utilisateur, même s’ils parviennent à voler le mot de passe de la messagerie de l’utilisateur.

Logiciel de sécurité. Aucun outil de sécurité ne peut à lui seul empêcher les attaques de harponnage, mais plusieurs outils peuvent jouer un rôle pour prévenir ces attaques ou minimiser leurs dommages :

  • Certains outils de sécurité tels que les filtres antispam et les passerelles de messagerie sécurisées, peuvent aider à détecter et à détourner les e-mails de harponnage.

  • Les logiciels antivirus peuvent aider à neutraliser les logiciels malveillants connus ou les infections par ransomware résultant du d’attaques par harponnage.

  • Les passerelles Web sécurisées et autres outils de filtrage Web peuvent bloquer les sites Web malveillants auxquels renvoient les e-mails de harponnage.

  • Les correctifs de système et logiciel peuvent corriger les vulnérabilités techniques couramment utilisées par les cybercriminels.
Solutions connexes
IBM Security QRadar SIEM

Identifiez les menaces avancées qui échappent aux autres solutions. QRadar SIEM s'appuie sur l'analytique et l'IA pour surveiller les informations concernant les menaces, le réseau et les comportements utilisateur anormaux, et déterminer les actions immédiates à effectuer.

Découvrir les solutions QRadar SIEM
IBM Security Trusteer Rapport

IBM Trusteer Rapport aide les institutions financières à détecter et à prévenir les infections par logiciels malveillants et les attaques par hameçonnage en protégeant leurs clients business et de la distribution.

Découvrir
IBM Security QRadar EDR

Sécurisez les points de terminaison contre les cyberattaques, détectez les comportements anormaux et prenez des mesures correctives en temps quasi réel grâce à une solution de détection et réponse des terminaux (EDR) aussi avancée qu’intuitive.

Explorer QRadar EDR
Ressources Tout ce que vous devez savoir sur l’hameçonnage

Découvrez l’actualité, les tendances et les techniques de prévention en matière d’hameçonnage sur Security Intelligence, le blog de leadership éclairé hébergé par IBM Security.

Qu’est-ce qu’un ransomware ?

Les ransomwares sont des logiciels malveillants qui prennent en otage les appareils et les données des victimes, jusqu’à ce qu’une rançon soit payée.

Rapport 2023 sur le coût d’une violation de données

Ce rapport, qui en est à sa 17e édition, présente les dernières informations sur l’évolution des menaces et propose des recommandations pour gagner du temps et limiter les pertes.

Passez à l’étape suivante

Les menaces de cybersécurité sont de plus en plus sophistiquées et persistantes, et les analystes de sécurité doivent redoubler d’efforts pour passer au crible les innombrables alertes et incidents. IBM Security QRadar SIEM vous aide à neutraliser les menaces plus rapidement tout en préservant vos résultats. QRadar SIEM définit des alertes ultra fiables pour vous aider à identifier les menaces qui échappent aux autres solutions.

Explorer QRadar SIEM Réserver une démo en direct