Le harponnage est un type d’attaque par hameçonnage qui cible une personne ou un groupe de personnes au sein d’une organisation et tente de les amener à divulguer des informations sensibles, à télécharger des logiciels malveillants ou à envoyer à leur insu des paiements à l’attaquant ou à l’autoriser.
Comme toutes les escroqueries par hameçonnage, le harponnage peut être effectué par e-mail, par SMS ou par appel téléphonique. La différence est qu’au lieu de cibler des milliers ou des millions de victimes potentielles avec des tactiques d’hameçonnage en masse, les adeptes du harponnage ciblent des individus ou des groupes d’individus spécifiques (par exemple, les directeurs régionaux des ventes d’une entreprise) avec des escroqueries personnalisées basées sur des recherches approfondies.
Selon le rapport « Coût d’une violation de données en 2022 » d’IBM, l’hameçonnage était la deuxième cause la plus fréquente de violation de données en 2022. McKinsey relève que le nombre d’attaques par hameçonnage a été multiplié par près de sept après le début de la pandémie.Les cybercriminels profitent de la généralisation du télétravail. En effet, les collaborateurs qui exercent leur activité à distance peuvent s’avérer plus vulnérables aux tentatives d’hameçonnage, en raison d’un certain laxisme en matière d’hygiène cyber et de leur habitude d’échanger avec leurs collègues et leur supérieurs principalement par e-mail et par chat.
Le rapport d’IBM révèle également que si les attaques par hameçonnage sont devenues les plus coûteuses (4,91 millions de dollars en moyenne), le coût des attaques par hameçonnage ciblé peut largement dépasser ce montant. Par exemple, lors d’une attaque par hameçonnage ciblé très médiatisée, les auteurs ont dérobé plus de 100 millions de dollars à Facebook et à Google en se faisant passer pour des fournisseurs légitimes et en incitant les employés à payer de fausses factures.
Dans une attaque classique d’hameçonnage en masse, les pirates créent des messages frauduleux qui semblent provenir d’entreprises, d’organisations ou même de célébrités bien connues. Ils envoient ensuite ces messages d’hameçonnage au plus grand nombre de personnes possible, en espérant qu’au moins une poignée d’entre elles se laisseront convaincre de fournir des informations précieuses telles que leur numéro de sécurité sociale, leur numéro de carte de crédit ou le mot de passe de leur compte.
Les attaques par harponnage, en revanche, sont des attaques ciblées visant des personnes précises qui ont accès à des actifs spécifiques.
Fixer un objectif
La plupart des attaques par harponnage visent à dérober de grosses sommes d’argent à des organisations, en incitant une personne à effectuer un paiement ou un virement sur un compte bancaire ou un fournisseur frauduleux, ou en l’incitant à divulguer des numéros de carte de crédit, des numéros de compte bancaire ou d’autres données confidentielles ou sensibles.
Mais les campagnes de harponnage peuvent avoir d’autres objectifs malveillants :
Diffuser des ransomwares ou d’autres logiciels malveillants (par exemple, le cybercriminel peut envoyer une pièce jointe malveillante, telle qu’un fichier Microsoft Excel, qui installe un malware lorsqu’il est ouvert).
Voler des identifiants, telles que des noms d’utilisateur et des mots de passe, que le pirate peut utiliser pour organiser une attaque plus importante. Par exemple, le pirate peut envoyer à la cible un lien malveillant vers une page Web frauduleuse de mise à jour de son mot de passe.
Voler des données à caractère personnel ou des données sensibles, telles que les données à caractère personnel de clients ou d’employés, les données financières d’une entreprise ou des secrets commerciaux.
Choisir la ou les cibles
Ensuite, le pirate identifie une cible appropriée : une personne ou un groupe de personnes ayant un accès direct aux ressources recherchées, ou pouvant fournir cet accès indirectement en téléchargeant des logiciels malveillants.
Les tentatives de harponnage visent souvent des employés de niveau intermédiaire, de bas niveau ou de nouveaux employés disposant de privilèges d’accès élevés au réseau ou au système, qui peuvent être moins rigoureux dans le respect des politiques et des procédures de l’entreprise. Les victimes typiques sont les responsables financiers autorisés à effectuer des paiements, les administrateurs informatiques disposant d’un accès de niveau administrateur au réseau et les responsables des ressources humaines ayant accès aux données à caractère personnel des employés. D’autres types d’attaques par harponnage ciblent exclusivement les cadres supérieurs (voir « Harponnage, whaling et BEC » ci-dessous).
Rechercher la cible
Le pirate recherche auprès de la cible des informations qu’il peut utiliser pour se faire passer pour un proche (une personne ou une organisation en qui la cible a confiance, ou une personne à qui elle doit rendre des comptes).
Étant donné la quantité d’informations que les internautes partagent ouvertement sur les réseaux sociaux et ailleurs en ligne, les cybercriminels n’ont aucun mal à obtenir des renseignements. Selon un rapport publié par Omdia , les pirates sont en mesure de rédiger un e-mail d’hameçonnage ciblé convaincant après environ 100 minutes de recherche sur Google. Certains cybercriminels peuvent pirater les boîtes mail de l’entreprise, ou s’introduire dans ses applications de messagerie, et passer encore plus de temps à scruter les échanges pour recueillir des informations plus détaillées.
Rédiger et envoyer le message
Grâce à ces recherches, les pirates peuvent créer des messages de hameçonnage ciblés qui semblent crédibles, provenant de la source ou de la personne de confiance.
Par exemple, imaginons que « Jean » soit responsable des comptes fournisseurs chez ABC Industries. En consultant simplement le profil LinkedIn de Jean, un pirate pourrait trouver le titre de son poste, ses responsabilités, son adresse e-mail professionnelle, le nom de son service, le nom et le poste de son patron, ainsi que le nom et le poste de ses partenaires commerciaux, puis utiliser ces informations pour lui envoyer un e-mail très crédible de la part de son patron ou de son chef de service, comme suit :
Bonjour Jean,
Je sais que vous traitez les factures de XYZ Systems. Ils viennent de me faire savoir qu’ils mettent à jour leur processus de paiement et qu’ils ont besoin que tous les paiements futurs soient versés sur un nouveau compte bancaire. Voici leur dernière facture avec les détails du nouveau compte. Pouvez-vous envoyer le paiement aujourd’hui ?
L’e-mail contient généralement des indices visuels qui confirment l’identité de l’expéditeur usurpé au premier coup d’œil, tels qu’une adresse e-mail usurpée (par exemple, montrant le nom de l’expéditeur usurpé mais cachant l’adresse e-mail frauduleuse), des adresses e-mails de collègues en copie usurpés de la même manière, ou une signature d’e-mail comportant le logo de l’entreprise ABC Industries. Certains escrocs parviennent à pirater le compte de messagerie de l’expéditeur usurpé et à envoyer le message à partir de ce compte, pour une authenticité optimale.
Une autre tactique consiste à combiner l’e-mail avec un hameçonnage par SMS (appelé phishing par SMS ou smishing) ou un hameçonnage vocal (appelé vishing). Par exemple, au lieu de joindre une facture, l’e-mail peut demander à Jack d’appeler le service des comptes fournisseurs de XYZ Systems, à un numéro de téléphone tenu par un fraudeur.
Les attaques par harponnage font largement appel aux techniques d’ingénierie sociale, c’est-à-dire à des tactiques qui utilisent la pression psychologique ou la motivation pour tromper ou manipuler les gens afin qu’ils effectuent des actions qu’ils ne devraient pas effectuer et qu’ils n’effectueraient normalement pas.
L’usurpation de l’identité d’un haut responsable de l’entreprise, comme dans l’e-mail de phishing ci-dessus, en est un exemple. Les employés sont conditionnés à respecter l’autorité et ont inconsciemment peur de ne pas suivre les ordres d’un dirigeant, même si ces ordres sortent de l’ordinaire. Les attaques par harponnage s’appuient sur d’autres techniques d’ingénierie sociale :
Le prétexte : fabriquer une histoire ou une situation réaliste que la cible reconnaît et à laquelle elle peut s’identifier, par exemple « votre mot de passe est sur le point d’expirer... ».
Créer un sentiment d’urgence : par exemple, se faire passer pour un fournisseur et prétendre que le paiement d’un service essentiel est en retard.
Faire appel aux émotions ou aux motivations inconscientes : essayer de susciter la peur, la culpabilité ou la cupidité chez la cible ; invoquer une cause ou un événement qui lui tient à cœur ; ou se montrer utile tout simplement (exemple : « Voici un lien vers un site Web proposant les pièces détachées que vous recherchez pour votre ordinateur. »).
La plupart des campagnes de harponnage combinent plusieurs tactiques d’ingénierie sociale, par exemple, une note du supérieur direct de la cible qui dit : « Je suis sur le point de sauter dans un avion et ma batterie est en train de mourir, peux-tu m’aider et faire ce virement bancaire à XYZ Corp. pour que nous n’ayons pas à payer des pénalités de retard ? ».
Toute attaque de hameçonnage ciblant une personne ou un groupe spécifique est une attaque par harponnage, mais il en existe quelques sous-types notoires.
Le whaling (parfois appelé whale phishing) est un harponnage qui vise les victimes les plus en vue et les plus précieuses, souvent des membres de conseils d’administration ou des cadres supérieurs, mais aussi des cibles extérieures à l’entreprise, telles que des célébrités et des hommes politiques. Les auteurs d’attaques de whaling recherchent une proie que seules ces cibles peuvent leur fournir : de très grosses sommes d’argent ou l’accès à des informations très précieuses ou très confidentielles. Il n’est donc pas surprenant que les attaques de whaling nécessitent généralement des recherches plus poussées que les autres attaques de harponnage.
La compromission de la messagerie d’entreprise (BEC) est une attaque de harponnage visant spécifiquement à détrousser les organisations. Les deux formes les plus courantes de BEC sont les suivantes :
La fraude au PDG. L’escroc se fait passer pour le compte de messagerie d’un cadre supérieur, ou le pirate directement, et envoie un message à un ou plusieurs employés de niveau inférieur leur demandant de transférer des fonds sur un compte frauduleux ou d’effectuer un achat auprès d’un vendeur frauduleux.
La compromission de compte de messagerie (EAC). L’escroc accède au compte de messagerie d’un employé de niveau inférieur (par exemple, un responsable des finances, des ventes ou de la R&D) et l’utilise pour envoyer des factures frauduleuses à des fournisseurs, demander à d’autres employés d’effectuer des paiements ou des dépôts frauduleux, ou demander l’accès à des données confidentielles.
Les arnaques au président comptent parmi les cyberattaques les plus coûteuses. Dans l’un des exemples les plus connus, en se faisant passer pour le PDG d’une entreprise, des pirates ont convaincu le service financier de cette dernière de transférer 42 millions d’euros sur un compte bancaire frauduleux.
Les attaques par hameçonnage font partie des cyberattaques les plus difficiles à combattre, car elles ne peuvent pas toujours être identifiées par des outils de cybersécurité traditionnels (basés sur des signatures) ; dans de nombreux cas, le pirate n’a qu’à déjouer la vigilance « humaine ». Les attaques par harponnage sont particulièrement pernicieuses, car leur nature ciblée et leur contenu personnalisé les rendent encore plus convaincantes pour une personne lambda.
Néanmoins, il existe des mesures que les organisations peuvent prendre pour atténuer l’impact du harponnage, voire prévenir complètement ce type d’attaques :
Sensibilisation à la sécurité. Étant donné que l’hameçonnage ciblé exploite la nature humaine, former le personnel constitue une ligne de défense importante. La sensibilisation à la sécurité peut prendre différentes formes :
Enseigner au personnel des techniques pour reconnaître les e-mails suspects (par exemple, vérifier les noms d’expéditeur des e-mails pour identifier les noms de domaine frauduleux)
Conseils pour éviter le « partage excessif » sur les réseaux sociaux
Mettre l’accent sur les bonnes pratiques de sécurité : ne jamais ouvrir de pièces jointes non sollicitées, confirmer les demandes de paiement inhabituelles via un deuxième canal, appeler les fournisseurs pour confirmer les factures, accéder aux sites Web par ses propres moyens au lieu de cliquer sur des liens dans les e-mails.
Simulation d’attaques par hameçonnage ciblé permettant aux collaborateurs de mettre en pratique ce qu'ils ont appris.
Authentification multi-facteur et adaptative. La mise en œuvre d’une authentification multi-facteur (exigeant une ou plusieurs informations d’identification en plus du nom d’utilisateur et du mot de passe) et/ou d’une authentification adaptative (exigeant des informations d’identification supplémentaires lorsque les utilisateurs se connectent à partir de différents appareils ou emplacements) peut empêcher les pirates d’accéder au compte de messagerie d’un utilisateur, même s’ils parviennent à voler le mot de passe de la messagerie de l’utilisateur.
Logiciel de sécurité. Aucun outil de sécurité ne peut à lui seul empêcher les attaques de harponnage, mais plusieurs outils peuvent jouer un rôle pour prévenir ces attaques ou minimiser leurs dommages :
Certains outils de sécurité tels que les filtres antispam et les passerelles de messagerie sécurisées, peuvent aider à détecter et à détourner les e-mails de harponnage.
Les logiciels antivirus peuvent aider à neutraliser les logiciels malveillants connus ou les infections par ransomware résultant du d’attaques par harponnage.
- Les passerelles Web sécurisées et autres outils de filtrage Web peuvent bloquer les sites Web malveillants auxquels renvoient les e-mails de harponnage.
- Les correctifs de système et logiciel peuvent corriger les vulnérabilités techniques couramment exploitées par les cybercriminels.
Les solutions de sécurité d’entreprise peuvent aider les équipes de sécurité et les centres d’opérations de sécurité (SOC) à détecter et à intercepter le trafic et l’activité réseau malveillants liés aux attaques de harponnage. Elles comprennent (entre autres) l’orchestration, l’automatisation et la réponse aux incidents de sécurité (SOAR), la gestion des incidents et événements de sécurité (SIEM), la détection et réponse des terminaux (EDR), la détection et réponse du réseau (NDR) et la détection et réponse étendues (XDR).
Identifiez les menaces avancées qui échappent aux autres solutions. QRadar SIEM tire parti de l’analyse et de l’IA pour surveiller les informations sur les menaces, les anomalies de comportement du réseau et des utilisateurs et pour hiérarchiser les domaines qui nécessitent une attention et une action immédiates.
IBM Trusteer Rapport aide les institutions financières à détecter et à prévenir les infections par logiciels malveillants et les attaques par hameçonnage en protégeant leurs clients business et de la distribution.
Sécurisez les points de terminaison contre les cyberattaques, détectez les comportements anormaux et prenez des mesures correctives en temps quasi réel grâce à une solution de détection et réponse des terminaux (EDR) aussi avancée qu’intuitive.
Découvrez l’actualité, les tendances et les techniques de prévention en matière d’hameçonnage sur Security Intelligence, le blog de leadership éclairé hébergé par IBM Security.
Les ransomwares sont des logiciels malveillants qui prennent en otage les appareils et les données des victimes, jusqu’à ce qu’une rançon soit payée.
Ce rapport, qui en est à sa 17e édition, présente les dernières informations sur l’évolution des menaces et propose des recommandations pour gagner du temps et limiter les pertes.