Hameçonnage ciblé

Qu’est-ce que l’hameçonnage ciblé?

L’hameçonnage ciblé est une forme ciblée de fraude par hameçonnage par laquelle les cybercriminels envoient des courriels très convaincants à des personnes ciblées d’une organisation. Contrairement aux campagnes d’hameçonnage élargies, le fraudeur qui s’adonne à ce type d’hameçonnage fait croire à sa victime qu’elle le connaît et cherche à obtenir sa confiance afin que celle-ci lui fournisse des données sensibles ou de l’argent ou qu’elle télécharge un logiciel malveillant dangereux.

Pour manipuler sa victime insouciante, le fraudeur axe ses efforts sur des tactiques de piratage social qui lui permettront d’exploiter la nature humaine, comme la propension à aider, la réaction à des signaux alarmants ou la confiance envers une autorité supérieure. Malheureusement, les employés sont souvent très vulnérables dans une entreprise, où l’erreur humaine est la cause numéro 1 des temps d’arrêt non planifiés du système, ce qui confirme qu’une formation régulière sur la lutte contre l’hameçonnage est nécessaire.  

Pourquoi l’hameçonnage ciblé est-il si dangereux?

Les attaques ciblées comme l’hameçonnage ciblé sont très dangereuses pour les organisations parce que le fraudeur peut, s’il réussit, leur soutirer des données d’entreprise sensibles, des données d’identification financière, et même de l’argent. En plus de se solder immédiatement par des pertes financières et des pertes de données, une telle attaque peut conduire à une fraude d’envergure et à une série récurrente d’intrusions et de dommages.

Les fraudeurs chevronnés utilisent la première violation pour lancer des campagnes de menaces persistantes avancées, qui peuvent ne jamais être détectées, causant alors des dommages importants en continu. Ces accès non autorisés sur une période prolongée permettent aux pirates de parcourir les ressources réseau, entraînant souvent d’autres violations de données, des perturbations opérationnelles et, ultimement, d’importantes conséquences sur les finances et la réputation de l’organisation.

Quelle est la différence entre l’hameçonnage et l’hameçonnage ciblé?

Il s’agit de deux tactiques qu’utilisent les cybercriminels pour se procurer des données sensibles et des renseignements personnels. La principale différence réside dans l’approche. Alors que les attaques par hameçonnage se font généralement par l’envoi massif de messages génériques, dans les attaques par hameçonnage ciblé, les agresseurs visent à exploiter les renseignements personnels d’une personne ciblée afin d’être persuasifs.

Les exemples suivants illustrent bien la différence entre les deux types d’hameçonnage.

Exemple d’hameçonnage : Imaginez qu’un cybercriminel envoie massivement un courriel signalant une possible violation de la sécurité et demandant à la personne de changer sur-le-champ son mot de passe. Le courriel contient un lien vers un faux site Web imitant le site officiel, comme celui d’une banque. Sur les milliers de destinataires, l’agresseur s’attend à ce qu’un petit pourcentage croient au stratagème urgent et fournissent leurs données d’identification.

Exemple d’hameçonnage ciblé : Dans un scénario d’hameçonnage ciblé, l’agresseur cible un employé en particulier. Se servant des renseignements figurant sur les médias sociaux de l’employé en question, le cybercriminel se fait passer pour un gestionnaire de médias sociaux de l’entreprise et envoie un courriel personnalisé qui fait allusion à un événement professionnel récent et invite l’employé à cliquer sur un lien qui mène prétendument à des photos de cet événement. Cette approche personnalisée rend le lien malveillant bien plus convaincant et augmente la probabilité que l’employé déploie un logiciel malveillant ou fournisse des coordonnées de connexion malgré lui.

Pourquoi l’hameçonnage ciblé est-il si efficace?

Les fraudes par hameçonnage sont passées des stratagèmes évidents, comme le fameux courriel du prince nigérien, à des campagnes sophistiquées d’hameçonnage ciblé qui tire profit des médias sociaux et de l’IA générative. Ces techniques permettent aux fraudeurs d’ajouter de la crédibilité à leur tromperie, tout en persuadant les victimes insouciantes à se soustraire à leurs demandes inoffensives en apparence.

Voici des facteurs courants qui contribuent à la réussite de l’hameçonnage ciblé :

• Des courriels de marque convaincants : les agresseurs chevronnés conçoivent un courriel qui imite une marque de renom, comme Apple ou Microsoft, ou la banque de l’utilisateur afin d’avoir l’air authentique.
• Confiance professionnelle : les courriels semblent venir d’une personne de confiance dans l’entreprise, comme un gestionnaire ou un représentant des RH, créant un faux sentiment de confiance, de crédibilité et de sécurité.
• Peur, sentiment d’urgence et intimidation : les agresseurs ont souvent recours à la peur, déclarant à la victime qu’ils détiennent des renseignements compromettants ou que des risques sont imminents. La pression de l’urgence d’agir force la victime à se soustraire rapidement, souvent sans réfléchir, aux demandes de l’agresseur.
• Formation des employés insuffisante : sans formation continue, les employés pourraient ne pas reconnaître ou déclarer les tentatives d’hameçonnage ciblé, faisant d’eux des cibles vulnérables.
• Sécurité insuffisante des courriels : sans outils spécialisés, les contrôles de sécurité de base ne parviendront pas à détecter les tentatives d’hameçonnage ciblé avancées. L’entreprise est donc exposée au risque.
• Technologie d’IA générative : les fraudeurs modernes utilisent des outils d’IA comme ChatGPT pour concevoir des courriels convaincants qui imitent les styles de communications humains, rendant ainsi la détection des stratagèmes d’hameçonnage plus difficile.

Le fonctionnement de l’hameçonnage ciblé

L’hameçonnage ciblé consiste à envoyer à une personne choisie des messages trompeurs créés sur mesure afin de lui soutirer des renseignements confidentiels, d’obtenir un accès non autorisé ou de déployer un logiciel malveillant.

Voici comment le processus fonctionne habituellement :

1. La recherche et le choix de la cible : Le fraudeur trouve une cible, généralement quelqu’un dont les renseignements sont accessibles en ligne. Il effectue une recherche approfondie dans les médias sociaux de cette personne afin de récolter des informations, comme son emploi, le nom de ses collègues, des activités récentes ou des champs d’intérêt personnels.
2. La conception de l’attaque : En se servant des renseignements recueillis, l’agresseur conçoit un courriel ou un message très persuasif. Habituellement, pour qu’il ait l’air légitime, ce courriel ou ce message usurpe l’identité d’un collègue ou d’un organisme de confiance.
3. Le déploiement : Le fraudeur envoie le message trompeur à la personne cible. Ce courriel peut comprendre :

• un lien qui installera un logiciel malveillant sur l’appareil de la victime;
• une pièce jointe qui infectera le système au moyen d’un rançongiciel;
• une demande d’apparence légitime qui réclame des renseignements confidentiels;
• un lien vers un site Web trompeur où la victime saisit ses coordonnées de connexion.

1. L’action : Une fois que la personne cible répond au message (par exemple, en cliquant sur un lien ou en fournissant les renseignements réclamés), l’agresseur peut atteindre son but ultime, c’est-à-dire de voler des données critiques, d’obtenir un accès non autorisé ou d’installer un logiciel malveillant ou un rançongiciel.
2. L’exploitation : Au moyen de l’accès acquis ou des données obtenues, le cybercriminel peut ensuite voler des renseignements confidentiels, commettre une fraude financière ou se déplacer latéralement dans le réseau de l’organisation, pouvant ainsi créer d’importants dommages.

Comment les fraudeurs par hameçonnage ciblé choisissent-ils leurs cibles?

Le choix de la personne cible repose généralement sur trois critères : les renseignements auxquels cette personne peut avoir accès, les renseignements qu’il est possible de trouver sur cette personne, et la facilité d’exploitation.

En fonction de ces critères, voici les trois types d’employés qui sont couramment ciblés pour l’hameçonnage ciblé :

• Les employés ayant accès à des renseignements de grande valeur : Les personnes ciblées ne sont pas forcément des dirigeants ou des décideurs. L’hameçonnage ciblé vise habituellement des personnes qui ont accès à des renseignements de grande valeur. Les employés qui travaillent dans les services des comptes fournisseurs, de la paie et des RH n’ont pas seulement accès à des données essentielles, mais reçoivent régulièrement une pléthore de courriels. Or, le courriel d’hameçonnage se mélangera facilement aux autres courriels.
• Les employés inexpérimentés : Les fraudeurs ciblent souvent les nouveaux employés ou les employés d’un échelon inférieur en raison de leur manque de connaissance des protocoles de l’entreprise ou des bonnes pratiques en matière de cybersécurité. Les fraudeurs peuvent donc clamer leur fausse autorité ou l’urgence d’agir, tirant profit de la propension naturelle d’un nouvel employé à se soustraire à l’autorité que le fraudeur dégage.
• Des personnes très attaquées (VAP) : Contrairement à la croyance populaire, les personnes haut placées ne sont pas toujours la cible des attaques par hameçonnage ciblé. Les personnes très attaquées sont plus vulnérables en raison de l’abondance des détails personnels qui se trouvent en ligne ou du volume élevé de courriels qu’elles reçoivent. Ainsi, les courriels trompeurs sont plus difficiles à repérer. Bien qu’elles n’occupent pas un poste prestigieux, ces personnes ont, en plus de cette vulnérabilité, un accès à une foule de données sur les finances, les ressources humaines ou l’administration, qui font d’elles des cibles par excellence.

Exemples courants d’attaques par hameçonnage ciblé

La fraude du président

Oseriez-vous refuser une demande urgente de votre PDG? C’est ce qu’ont compris les cybercriminels qui commettent une fraude du président, aussi appelée « compromission des courriels professionnels » (BEC). Lors d’une telle attaque, les fraudeurs tirent profit du respect de la hiérarchie, se faisant passer pour un dirigeant haut placé en vue d’inciter un employé du service des finances ou de la comptabilité à acheter des cartes-cadeaux ou à transférer des fonds vers un compte frauduleux.

Pièces jointes malveillantes et attaques par rançongiciels

Soyez vigilant lorsqu’un courriel contient une pièce jointe ou un lien. En cliquant sur eux, vous pourriez télécharger un logiciel malveillant ou un rançongiciel. Pour vérifier si un lien est sécuritaire, passez votre curseur au-dessus du lien pour voir l’URL complète. Souvenez-vous que même des collègues fiables peuvent involontairement envoyer des liens dangereux. Vérifiez toujours la source et la légitimité d’un lien ou d’une pièce jointe pour le bien de votre organisation.

Attaques de clonage par hameçonnage

Les fraudeurs qui optent pour une attaque de clonage par hameçonnage reproduisent un courriel légitime en y intégrant un élément dangereux. Ils présentent une version modifiée du message authentique dans laquelle ils ont subtilement inséré des liens ou des pièces jointes malveillants pour remplacer les originaux.

Attaques par usurpation d’une marque

Souvent, les agresseurs imitent le style de communication et l’image d’une marque ou d’un fournisseur de services de confiance. Ces courriels trompeurs contiennent, toutefois, un élément critique : les liens d’origine ont été remplacés par des liens frauduleux qui mènent à une fausse page, conçue pour voler les coordonnées de connexion de l’utilisateur.

Les marques qui sont fréquemment usurpées lors d’attaques par hameçonnage ciblé comprennent celles des services de livraison, des services de signature numérique, des outils de vidéoconférence, des établissements bancaires et des plateformes de flux vidéo.

Comment repérer un courriel d’hameçonnage ciblé

Utilisez la méthode suivante pour repérer rapidement une tentative d’hameçonnage ciblé :

Repérez l’expéditeur

Une tactique d’hameçonnage ciblé courante est l’utilisation d’un faux nom de domaine qui ressemble étrangement à celui de l’organisation officielle, à quelques différences près, qui sont susceptibles de passer inaperçues. Par exemple, le caractère « l » (L minuscule) pourrait être remplacé par « 1 » (chiffre un) pour créer un nom de domaine comme « goog1e » ou « paypa1 ».

Contrairement à ce que l’on peut penser, nombreux sont les utilisateurs vigilants qui se font prendre par ce truc, surtout s’ils reçoivent fréquemment des courriels authentiques de l’entreprise en question.

Consultez la ligne d’objet

Les lignes d’objet dans un courriel d’hameçonnage ciblé provoquent souvent un sentiment d’urgence ou de peur au moyen de termes comme « Urgent », « Action immédiate requise » ou « Paiement dû » pour encourager le destinataire à agir rapidement.

Ils pourraient également simuler la familiarité, au moyen de phrases comme « Re : Demande en suspens » ou « Important suivi », faisant croire qu’une relation ou une conversation a déjà été entamée. Cette approche subtile fait partie d’une fraude par hameçonnage de longue haleine, dans laquelle le fraudeur alimente ce qui semble être une véritable relation. Plutôt, il dirige lentement la personne cible à poser une action qui aura des répercussions dévastatrices sur l’entreprise, succombant possiblement à l’objectif du fraudeur.

Examinez les liens et les pièces jointes

Les courriels d’hameçonnage ciblé contiennent souvent des pièces jointes malveillantes en format .zip, .exe, PDF, Excel et Word. Les liens peuvent être aussi dangereux que les pièces jointes. Or, la vigilance est de mise si un formulaire vous demande des données sensibles; il pourrait ne pas être aussi inoffensif qu’il en a l’air. Google Forms et d’autres services en ligne de renom sont souvent utilisés pour recueillir des renseignements confidentiels, car ils contournent les filtres standard de sécurité des courriels.

Évaluez le contenu

Un courriel qui contient des renseignements personnels à votre sujet ne signifie pas que la source est fiable. Certains renseignements qui sont selon vous réservés à vos proches peuvent souvent être trouvés en ligne. Les cybercriminels n’ont aucun mal à dénicher des renseignements comme une adresse, le nom de membres de la famille, un numéro de téléphone ou le nom de l’animal de compagnie sur les plateformes de média social ou dans les dossiers publics.

Réclamez une confirmation

Faites confiance à votre instinct. Si un courriel éveille vos soupçons, même s’il semble légitime, soyez proactif. Au lieu de répondre à un courriel douteux, créez un nouveau message et utilisez les coordonnées qui figurent dans vos contacts enregistrés pour confirmer l’authenticité du courriel. Pour une plus grande prudence, appelez directement l’expéditeur ou envoyez-lui un message texte en composant un numéro vérifié.

Que faire si vous avez cliqué sur un lien d’hameçonnage ciblé?

Avez-vous cliqué accidentellement sur un lien d’hameçonnage? Des erreurs peuvent survenir, mais votre réaction est critique. Voici comment atténuer les dommages potentiels :

• Restez calme. Vous gérerez mieux la situation si vous gardez votre sang-froid.
• Ne saisissez aucune donnée. Ne fournissez aucun renseignement, même si vous y êtes invité.
• Supprimez le courriel et fermez votre session. Supprimez le courriel malveillant et fermez Internet pour empêcher les violations potentielles ou éviter les logiciels malveillants de se répandre.
• Modifiez vos mots de passe. Présumez que vos coordonnées de connexion sont compromises et changez vos mots de passe, de préférence sur un autre appareil.
• Alertez les TI. Prévenez le service informatique immédiatement. Celui-ci est équipé pour maîtriser une attaque et peut aviser les autorités pertinentes.
• Procédez à un contrôle de sécurité. L’équipe de sécurité de votre entreprise devrait procéder à un contrôle dans l’ensemble du système en utilisant des outils de Protection avancée contre les logiciels malveillants pour détecter les menaces et remédier à la situation.

Comment se protéger contre l’hameçonnage ciblé?

Même si aucune approche ne peut garantir une immunité contre les cybermenaces, vous pouvez atténuer les risques de l’hameçonnage ciblé en intégrant des outils de sécurité avancée, en adoptant de bonnes pratiques et en maintenant votre personnel informé et vigilant.

Utilisez l’authentification multifacteur (MFA)

Mettez en œuvre l’authentification multifacteur (MFA) dans votre environnement afin de réduire considérablement les conséquences des attaques par hameçonnage ciblé. La MFA protège vos applications en exigeant au moins deux sources de validation avant d’accorder l’accès à un utilisateur, ce qui réduit la probabilité qu’un hameçonnage ciblé réussisse. Même si un mot de passe est compromis, il ne peut pas à lui seul confirmer l’authentification.

Mettez en œuvre des politiques strictes de gestion des mots de passe

Près de 50 % des violations de données impliquent le vol des coordonnées de connexion. En renforçant les politiques strictes de gestion des mots de passe et en informant les employés des bonnes pratiques, les organisations peuvent nettement réduire le risque d’accès non autorisé et de brèches de sécurité.

Voici quelques bonnes pratiques à prendre en compte pour renforcer la sécurité des mots de passe :

• Créez des mots de passe complexes d’au moins 10 caractères
• Exigez la MFA pour vérifier l’identité d’un utilisateur lors de la connexion
• Optez pour des questions de sécurité difficiles auxquelles seul l’utilisateur connaît les réponses
• Notez les mots de passe dans une solution de gestion des mots de passe sécurisée
• Utilisez des mesures d’authentification biométrique, comme les empreintes digitales et la reconnaissance vocale ou faciale
• Changez fréquemment votre mot de passe

Procédez régulièrement à des sauvegardes et à des correctifs

Il est primordial de procéder régulièrement à des sauvegardes et à des correctifs de sécurité pour solidifier les défenses contre les attaques par hameçonnage ciblé. Les sauvegardes régulières agissent comme filet de sécurité, garantissant la récupération des données et réduisant au minimum les pertes éventuelles en cas de violation.

La gestion raisonnable des correctifs est tout aussi importante. Ces mises à jour viennent solidifier vos défenses logicielles en éliminant les vulnérabilités que pourraient exploiter les agresseurs par des stratagèmes d’hameçonnage ciblé.

Installez des logiciels avancés de sécurité des courriels

Les tactiques d’hameçonnage ciblé devenant de plus en plus sophistiquées et répandues, il est impératif d’adopter des mesures proactives pour lutter contre l’hameçonnage afin de préserver votre organisation et ses employés des violations de données, du vol d’identité et de l’espionnage industriel. L’investissement dans une solution de sécurité des courriels est une des défenses les plus efficaces.

Des solutions sophistiquées comme Cisco Secure Email Threat Defense offrent une protection robuste contre l’hameçonnage, employant des algorithmes avancés qui examinent minutieusement des milliers de signaux dans l’identité, le comportement et le langage. Ce système ne fait pas que détecter les indicateurs d’attaque types transmis par courriel. Il neutralise également les menaces avant qu’elles infligent des dommages, fortifiant les communications essentielles de votre organisation.

Employez Cisco Advanced Malware Protection (AMP)

Parce qu’aucune solution ne peut empêcher toutes les attaques par hameçonnage, il est essentiel d’ajouter des couches à vos défenses. Le logiciel Cisco Advanced Malware Protection prévient, détecte et supprime les virus logiciels qui ont peut-être été installés pendant une attaque par hameçonnage, comme un rançongiciel, un ver, un logiciel publicitaire ou un cheval de Troie.

En utilisant Cisco AMP, les organisations peuvent réduire considérablement les conséquences des violations potentielles, faisant en sorte que même si une attaque franchit les premières défenses, ses effets seront contenus et réduits au minimum.

Donnez la priorité à une formation sur la sécurité

Il est efficace de doter vos employés des connaissances nécessaires seulement si ceux-ci les appliquent de façon constante. La sensibilisation à la sécurité ne devrait pas être une initiative unique. Vu la nature évolutive des attaques par hameçonnage ciblé et des autres menaces dangereuses, il est essentiel de former les employés en continu. Intégrez une formation sur la lutte contre l’hameçonnage dans votre processus d’intégration des nouveaux employés et dans votre programme de formation standard destiné au personnel actuel. La formation continue aide les employés à maintenir une avance sur les tentatives d’hameçonnage ciblé, protégeant les données sensibles et les systèmes de votre organisation.