Qu’est-ce que le harponnage ?

Comme toutes les escroqueries par hameçonnage, le phishing ciblé consiste à manipuler les victimes à l’aide d’histoires inventées et de scénarios frauduleux. Ces attaques peuvent être menées par e-mail, SMS, chat ou téléphone.

Selon le rapport d’IBM sur le coût d’une violation de données, l’hameçonnage est la cause la plus fréquente de ces violations. Le phishing ciblé est l’une des formes les plus efficaces de cette pratique, car les cybercriminels adaptent leurs escroqueries pour qu’elles soient aussi convaincantes que possible pour leurs cibles.

Dans un rapport de Barracuda portant sur l’analyse de 50 milliards d’e-mails, les chercheurs ont découvert que le phishing ciblé représentait moins de 0,1 % des e-mails, mais qu’il représentait 66 % des violations réussies.¹ Alors que la violation moyenne causée par le phishing coûte 4,76 millions de dollars selon le Rapport sur le coût d’une violation de données, le coût des attaques par phishing ciblé peut atteindre 100 millions de dollars.²

Le phishing ciblé, une forme d’attaque d’ingénierie sociale, exploite la nature humaine plutôt que les vulnérabilités du réseau. Pour contrer efficacement ce phénomène, les équipes de cybersécurité doivent combiner la formation des employés avec des outils de détection des menaces avancés, établissant ainsi une défense solide contre cette menace insidieuse.

Le phishing est une vaste catégorie qui comprend toute attaque d’ingénierie sociale utilisant des messages frauduleux pour manipuler les victimes. Le phishing ciblé est un sous-ensemble du phishing qui se concentre sur une cible soigneusement choisie.

Une attaque par hameçonnage classique, également appelée « hameçonnage en masse », est une question de portée et de chiffres. Les pirates informatiques créent des messages frauduleux qui semblent provenir d’entreprises, d’organisations ou même de célébrités apparemment dignes de confiance.

Les pirates envoient ces messages de phishing à des centaines voire des milliers de personnes, dans l’espoir d’inciter certaines d’entre elles à se rendre sur de faux sites web ou à donner des informations précieuses comme leur numéro de sécurité sociale.

En revanche, les attaques par phishing ciblé sont des attaques visant des individus spécifiques qui ont accès aux actifs recherchés par les cybercriminels.

Ils visent une personne ou un groupe en particulier, comme un dirigeant d’entreprise ou les directeurs régionaux des ventes d’une société. Ils effectuent des recherches approfondies sur la vie personnelle et professionnelle de leurs cibles et exploitent leurs découvertes pour rédiger des messages d’escroquerie très crédibles.

La plupart de ces attaques suivent un processus en quatre étapes :

1. Fixer un objectif 
2. Choisir une cible
3. Effectuer des recherches sur la cible 
4. Rédiger et envoyer le message d’hameçonnage

De nombreuses escroqueries par phishing ciblé visent à dérober de grosses sommes d’argent aux entreprises. Les spécialistes de ce type d’attaque peuvent procéder de plusieurs manières. Certains incitent leurs victimes à effectuer un paiement ou un virement à un vendeur frauduleux. D’autres manipulent leurs cibles pour qu’elles communiquent leurs numéros de carte bancaire, de compte bancaire ou d’autres données financières.

Les campagnes de phishing ciblé peuvent également avoir d’autres objectifs malveillants :

• Diffuser des ransomwares ou d’autres logiciels malveillants. Par exemple, un acteur de la menace pourrait envoyer une pièce jointe malveillante déguisée en document Microsoft Word inoffensif. Lorsque la victime ouvre le fichier, celui-ci installe automatiquement un logiciel malveillant sur son appareil.
  
  
• Voler des identifiants de connexion, tels que des noms d’utilisateur et des mots de passe, que le pirate peut utiliser pour organiser une attaque plus importante. Par exemple, le pirate pourrait envoyer à la cible un lien malveillant vers une page frauduleuse du type « Mettez à jour votre mot de passe ». Ce faux site web renvoie au pirate tous les identifiants saisis par les victimes.
  
  
• Voler des informations sensibles, telles que les données personnelles des clients ou des employés, la propriété intellectuelle ou les secrets commerciaux de l’entreprise. Par exemple, le spécialiste du phishing ciblé pourrait se faire passer pour un collègue et demander à la victime de partager des rapports confidentiels.

Ensuite, le pirate identifie une cible appropriée : une personne pouvant donner aux pirates l’accès aux ressources recherchées, soit directement (par exemple via un paiement) soit indirectement (via le téléchargement de logiciels espions, par exemple).

Les tentatives de phishing ciblé visent souvent des employés de niveau intermédiaire, de bas niveau ou de nouveaux employés disposant de privilèges élevés sur le réseau ou le système. Ces employés peuvent être moins rigoureux dans le respect des politiques de l’entreprise que les cibles plus haut placées. Ils peuvent également être plus sensibles aux tactiques de pression, comme un escroc se faisant passer pour un haut responsable.

Les victimes typiques sont les responsables financiers autorisés à effectuer des paiements, les administrateurs informatiques disposant d’un accès de niveau administrateur au réseau et les responsables des ressources humaines ayant accès aux données personnelles des employés.

D’autres types d’attaques par phishing ciblé visent exclusivement les cadres dirigeants. Pour en savoir plus, consultez la section « Phishing ciblé, whaling et BEC ».

Le pirate étudie la cible, à la recherche d’informations qui lui permettront de se faire passer pour une source digne de confiance proche de la cible, comme un ami, un collègue ou un patron.

Grâce à la quantité d’informations que les gens partagent librement sur les réseaux sociaux et ailleurs en ligne, les cybercriminels peuvent trouver ces informations sans trop de recherches. De nombreux pirates peuvent rédiger un e-mail de phishing ciblé convaincant après seulement quelques heures de recherche sur Google.

Certains vont encore plus loin. Ils infiltrent les comptes de messagerie ou les applications de messagerie des entreprises et étudient leur cible pour recueillir des informations encore plus détaillées.

En s’appuyant sur leurs recherches, les pirates créent des messages de phishing ciblé qui semblent très crédibles. La clé de ces messages, c’est qu’ils contiennent des détails personnels et professionnels, que d’après ce que pense la cible à tort, seule une source fiable pourrait connaître.

Par exemple, imaginons que Jean soit responsable des comptes fournisseurs chez ABC Industries. En consultant simplement le profil LinkedIn de Jean, un pirate pourrait trouver le titre de son poste, ses responsabilités, son adresse e-mail professionnelle, le nom et le titre de son patron, ainsi que le nom et le poste de ses partenaires commerciaux.

Le hacker peut alors utiliser ces détails pour envoyer un e-mail crédible en se faisant passer pour le patron de Jean :

Bonjour Jean,

Je sais que vous traitez les factures de XYZ Systems. Ils viennent de me faire savoir qu’ils mettent à jour leur processus de paiement et qu’ils ont besoin que tous les paiements futurs soient versés sur un nouveau compte bancaire. Voici leur dernière facture avec les détails du nouveau compte. Pouvez-vous envoyer le paiement aujourd’hui ?

La facture jointe est fausse et le « nouveau compte bancaire » appartient au fraudeur. Jean remet l’argent directement au pirate lorsqu’il effectue le paiement.

Un e-mail d’hameçonnage comprend généralement des repères visuels qui confèrent une authenticité supplémentaire à l’escroquerie. Par exemple, le cybercriminel pourrait utiliser une adresse e-mail usurpée indiquant le nom d’affichage du patron de Jean, mais masquer l’adresse e-mail frauduleuse utilisée.

Le pirate pourrait également mettre en copie un collègue dont l’e-mail a été usurpé et insérer une signature reprenant le logo d’ABC Industries.

Un fraudeur habile pourrait même pirater le compte e-mail réel du patron de Jean et envoyer le message depuis cette adresse, ne donnant à Jean aucune raison de se méfier.

Certains fraudeurs mènent des campagnes de phishing ciblé hybrides qui combinent des e-mails d’hameçonnage avec des SMS (« hameçonnage par SMS » ou « smishing ») ou des appels téléphoniques (« hameçonnage vocal » ou « vishing »).

Par exemple, au lieu de joindre une fausse facture, l’e-mail pourrait indiquer à Jean d’appeler le service des comptes fournisseurs de XYZ Systems à un numéro de téléphone contrôlé secrètement par un fraudeur.

Parce qu’ils emploient plusieurs modes de communication, les attaques hybrides de phishing ciblé sont souvent encore plus efficaces que les attaques classiques.

En plus de gagner la confiance des victimes, les auteurs d’attaques par phishing ciblé utilisent souvent des techniques d’ingénierie sociale pour exercer une pression psychologique sur leurs cibles afin qu’elles prennent des mesures qu’elles ne devraient pas prendre et ne prendraient pas en temps normal.

L’usurpation de l’identité d’un haut responsable de l’entreprise, comme dans l’e-mail de phishing ciblé de la section précédente, en est un exemple. Les employés sont conditionnés à respecter l’autorité et ont inconsciemment peur de ne pas suivre les ordres d’un dirigeant, même si ces ordres sortent de l’ordinaire.

Parmi les autres tactiques d’ingénierie sociale courantes, citons :

• Prétexte : inventer une histoire ou une situation réaliste que la cible reconnaît et à laquelle elle peut s’identifier. Par exemple, un pirate peut se faire passer pour un informaticien et dire à la cible qu’il est temps de mettre à jour son mot de passe.

• Créer un sentiment d’urgence : par exemple, un hameçonneur pourrait se faire passer pour un fournisseur et prétendre que le paiement d’un service critique est en retard.

• Faire appel à des émotions fortes : susciter la peur, la culpabilité, la gratitude ou la cupidité ou faire référence à quelque chose qui intéresse la cible peut obscurcir le jugement de la victime et la rendre plus vulnérable à l’escroquerie. Par exemple, un fraudeur se faisant passer pour le patron d’une cible pourrait promettre une « récompense » pour qu’il « réponde à une demande de dernière minute ».

Avec la disponibilité croissante de l’intelligence artificielle (IA), en particulier de l’IA générative, les pirates peuvent mener des attaques sophistiquées et très efficaces plus facilement.

Selon l’X-Force Threat Intelligence Index d’IBM, il faut 16 heures à un fraudeur pour rédiger manuellement un e-mail de phishing. Grâce à l’IA, les escrocs peuvent créer ces messages en seulement cinq minutes.

L’IA peut en particulier simplifier certaines des parties les plus délicates de l’arnaque des spécialistes du phishing ciblé. Par exemple, les fraudeurs peuvent utiliser l’IA pour automatiser l’extraction d’informations à partir des profils des cibles sur les réseaux sociaux. Ils peuvent présenter aux outils d’IA générative des échantillons de textes imitant les personnes pour lesquelles ils souhaitent se faire passer, permettant à l’IA de générer des messages d’hameçonnage plus crédibles.

Les fraudeurs peuvent également utiliser l’IA pour créer de faux documents très convaincants, tels que de fausses factures, des modèles d’e-mail, des rapports et d’autres supports. Les pirates peuvent même utiliser des vidéos et des enregistrements vocaux générés par l’IA pour qu’il soit encore plus difficile pour les victimes de faire la différence entre les escroqueries et les communications réelles.

Il existe deux sous-types d’attaques par phishing ciblé : le whaling (ou « whale phishing ») et la compromission des e-mails professionnels (BEC).

La principale différence entre le whaling et le phishing ciblé, c’est que les attaques par whaling ciblent spécifiquement les victimes les plus haut placées et les plus en vue. Il s’agit souvent de membres du conseil d’administration, de la haute direction, de célébrités ou de politiciens. Ce que les spécialistes du whaling recherchent, seules ces cibles peuvent leur fournir, par exemple de grosses sommes d’argent ou l’accès à des informations hautement confidentielles.

Les attaques BEC sont des escroqueries de type phishing ciblé qui visent spécifiquement à détrousser les entreprises. Les deux formes les plus courantes de BEC sont les suivantes :

• Fraude au PDG : le fraudeur se fait passer pour un cadre dirigeant en usurpant ou en détournant un compte de messagerie électronique, une application de chat ou un autre canal de communication. Le fraudeur envoie un message à un ou plusieurs employés de niveau inférieur leur demandant de transférer des fonds vers un compte frauduleux ou d’effectuer un achat auprès d’un fournisseur frauduleux.
  
  

• Compromission de compte de messagerie (EAC) : le pirate accède au compte de messagerie d’un employé de niveau inférieur, tel qu’un responsable financier ou commercial. Il utilise le compte pour envoyer des factures frauduleuses à des fournisseurs, demander à d’autres employés d’effectuer des paiements frauduleux ou solliciter l’accès à des données confidentielles.

Les attaques BEC réussies comptent parmi les cybermenaces les plus coûteuses, avec un total de 2,9 milliards de dollars de pertes déclarées en 2023 selon le rapport sur la criminalité sur Internet du Federal Bureau of Investigation (FBI).³

Les attaques de phishing comptent parmi les cyberattaques les plus difficiles à combattre, car les outils de cybersécurité traditionnels ne parviennent pas toujours à les détecter. Les attaques de phishing ciblé sont particulièrement pernicieuses, car leur nature ciblée et leur contenu personnalisé les rendent encore plus convaincantes pour une personne lambda.

Cependant, les entreprises peuvent prendre certaines mesures pour renforcer leurs défenses contre le phishing ciblé et réduire les risques d’attaque : 

• Formation de sensibilisation à la sécurité
• Contrôles de gestion des identités et des accès
• Contrôles de cybersécurité

Étant donné que les attaques par phishing ciblé visent les personnes et non les vulnérabilités du système, la formation des employés constitue une ligne de défense importante. La formation de sensibilisation à la sécurité peut inclure :

• Des techniques permettant de reconnaître les e-mails suspects, tels que les adresses e-mail usurpées, les fautes d’orthographe et de grammaire, les enjeux inhabituellement élevés et les demandes étranges.
  
  
• Des conseils pour éviter de partager trop d’informations sur les réseaux sociaux.
  
  
• Des politiques et processus organisationnels pour contrer les escroqueries, comme ne pas ouvrir les pièces jointes non sollicitées et vérifier la légitimité des demandes de paiement inhabituelles sur un deuxième canal avant d’y donner suite.
  
  
• Des simulations de phishing ciblé et tests de pénétration, permettant aux employés d’appliquer ce qu’ils ont appris et aux équipes de sécurité d’identifier les vulnérabilités à résoudre.

Les outils de gestion des identités et des accès (IAM), tels que le contrôle d’accès basé sur les rôles et l’authentification à étapes (MFA), peuvent empêcher les pirates d’accéder aux comptes utilisateurs et aux données sensibles. Par exemple, si les cadres activent la MFA sur leurs comptes de messagerie, les pirates auront besoin de plus qu’un simple mot de passe pour prendre le contrôle de ces comptes.

Aucun contrôle de sécurité ne peut à lui seul mettre fin au phishing ciblé, mais plusieurs outils peuvent contribuer à prévenir ce type d’attaques ou à en minimiser les dommages.

• Les outils de sécurité des e-mails, tels que les filtres antispam et les passerelles de messagerie sécurisées, peuvent aider à détecter et à détourner les e-mails de phishing ciblé en temps réel.

• Les logiciels antivirus peuvent aider à neutraliser les logiciels malveillants ou les infections par ransomware résultant du phishing ciblé.

• Des passerelles web sécurisées, des pare-feu et d’autres outils de filtrage web peuvent bloquer les sites web malveillants vers lesquels les e-mails de phishing ciblé dirigent les utilisateurs.

• Les correctifs de système et logiciel peuvent remédier aux vulnérabilités techniques couramment utilisées par les cybercriminels.

• Les outils de protection des terminaux, tels que les solutions de détection et réponse des terminaux (EDR) et les solutions de gestion unifiée des terminaux (UEM), peuvent empêcher les fraudeurs de prendre le contrôle des appareils, d’usurper l’identité des utilisateurs ou d’implanter des logiciels malveillants.

• Les solutions de sécurité d’entreprise, telles que les plateformes de gestion des incidents et des événements de sécurité (SIEM) et les plateformes d’orchestration, d’automatisation et de réponse aux incidents de sécurité (SOAR), peuvent permettre de détecter et d’intercepter les activités réseau malveillantes liées aux attaques par phishing ciblé.