Il existe de nombreuses différences entre le phishing, le spear phishing et les attaques d'ingénierie sociale, mais ces termes sont souvent utilisés de manière interchangeable et erronée. Cela crée une certaine confusion lorsque l'on décrit ces attaques et que l'on élabore des stratégies de défense. Il est donc important de bien comprendre ces types d'attaques.
Dans notre analyse intitulée « Les 5 fléaux des cyberattaques », nous avons souligné que 60 % des entreprises ont déclaré avoir été victimes d’attaques d’ingénierie sociale au cours de l’année précédente et que 61 % considéraient le spear phishing comme l’une des menaces les plus importantes auxquelles elles sont confrontées aujourd’hui. D'autres rapports montrent que 91 % de toutes les cyberattaques commencent par une campagne de phishing ou de spear phishing, et Proofpoint a constaté que 99,7 % des documents utilisés dans les campagnes basées sur des pièces jointes reposaient sur l'ingénierie sociale et les macros.
C'est clair ? Très bien. L'équipe Graphus établi des définitions claires du phishing, du spear phishing et de l'ingénierie sociale. Nous avons également ajouté quelques exemples et inclus le « whaling » en bonus. Une compréhension commune de ces termes peut aider les services informatiques et les dirigeants d'entreprise à communiquer plus clairement et à mieux coordonner leurs efforts pour se défendre contre les formes les plus courantes de cyberattaques réussies.
Qu'est-ce que le phishing ?
Les escroqueries par hameçonnage traditionnelles ratissent large dans l'espoir d'attraper quelques victimes peu méfiantes. En général, la cible reçoit un e-mail qui semble légitime et l'avertit qu'elle doit se connecter à un site web pour effectuer une certaine action. L'e-mail contient un lien vers ce qui semble être un site web légitime, et la victime est invitée à saisir les informations de son compte. Une fois ces informations saisies, le cybercriminel les utilise pour voler, commettre une fraude ou obtenir des informations encore plus précieuses. La stratégie d'attaque consiste à contacter un grand nombre de victimes potentielles dans l'espoir d'en identifier quelques-unes qui cliqueront sur le lien et se laisseront piéger.
Quels sont les exemples de phishing ?
Les attaques par hameçonnage impliquent généralement une pièce jointe malveillante ou un lien malveillant vers un site web piraté. Ars Technica a fait état en 2016 de plusieurs attaques par ransomware déclenchées par des tentatives d'hameçonnage visant des hôpitaux.
« Le mois de mars n’a pas été tendre avec les services informatiques des hôpitaux. La semaine dernière, le personnel de l’hôpital méthodiste de Henderson, dans le Kentucky, a versé une rançon pour rétablir les systèmes de l’établissement, qui s’élèverait à 17 000 dollars selon certaines informations — bien que des sources proches du dossier affirment que l’hôpital aurait déboursé une somme bien plus importante. En Californie, deux hôpitaux gérés par Prime Healthcare Management, Inc. ont été contraints de mettre leurs systèmes hors service. L’attaque par ransomware contre Prime a également entraîné des perturbations de service dans plusieurs autres hôpitaux et chez des prestataires de soins affiliés, les systèmes partagés ayant été mis hors ligne… Les attaques par ransomware contre le Methodist Hospital et Prime Healthcare ont été perpétrées via des e-mails de « phishing ». »
Qu'est-ce que le spear phishing ?
À l'inverse, le spear phishing consiste à cibler un petit nombre de contacts pour obtenir un taux de conversion élevé. Les auteurs de spear phishing obtiennent des informations confidentielles en effectuant des recherches sur le profil des personnes et des entreprises via les réseaux sociaux, les sites web d'entreprise et d'autres sources d'informations accessibles au public. Les cybercriminels utilisent ces informations ciblées pour convaincre la victime d'effectuer une action ou de divulguer des informations.
Quels sont les exemples de spear phishing ?
Un article récent publié sur le site d'actualités locales du comté de Berks, en Pennsylvanie, en est un bon exemple.
« Weidenhammer a été victime d’une attaque de spear phishing qui a entraîné le transfert de la totalité de nos formulaires W-2 de 2016 à un tiers inconnu », a déclaré le fondateur de Weidenhammer Systems Corporation à ses employés en 2017. « Vous devez partir du principe que votre numéro de sécurité sociale, votre adresse personnelle, vos revenus de 2016 et toutes les retenues fiscales qui figureraient sur un formulaire W-2 ont été compromis. »
« Les auteurs de ces actes ont déjà commencé à utiliser ces informations pour remplir de fausses déclarations d’impôt sur le revenu au niveau fédéral et au niveau des États pour l’année 2016, demander des prêts immobiliers et ouvrir des comptes de carte de crédit à des fins frauduleuses », a déclaré John Weidenhammer.
Cet exemple montre à quelle vitesse une attaque de spear phishing peut escroquer les employés d'une entreprise. Cependant, le danger le plus courant concerne directement les finances ou la propriété intellectuelle de l'entreprise. L'Infosec Institute a consigné les détails d'une autre attaque de spear phishing visant Ubiquiti Networks en 2015.
« Le potentiel destructeur d’une attaque par spear phishing pour une entreprise est clairement illustré par le cas d’Ubiquiti Networks Inc., une société américaine spécialisée dans les technologies réseau destinées aux fournisseurs de services et aux entreprises. En juin 2015, l’entreprise a subi une perte de 46,7 millions de dollars à la suite d’un e-mail de spear phishing. Un rapport de la Commission américaine des opérations boursières (SEC) montre que l'attaque a été menée par le biais d'une « usurpation d'identité d'un employé et de demandes frauduleuses provenant d'une entité externe ciblant le service financier de l'entreprise ». »
Qu'est-ce que la chasse à la baleine ?
Il s'agit d'un terme relativement récent qui désigne simplement une attaque de spear phishing ciblant les cadres supérieurs, appelés « baleines ». Le whaling peut s'apparenter au spear phishing ou à l'ingénierie sociale, mais se distingue par les personnes qu'il vise au sein de l'organisation. Les cadres supérieurs peuvent avoir besoin d'une formation supplémentaire pour repérer ce type d'attaques et ont certainement besoin d'une protection renforcée grâce à des solutions technologiques capables de prévenir les incidents avant qu'ils ne se produisent. Si vous êtes protégé contre le spear phishing, vous pouvez considérer que vous l'êtes également contre le whaling.
Quel est un exemple de « whaling » ?
Un exemple de phishing datant de 2016 concerne Snap, une entreprise très en vue dans le domaine des réseaux sociaux, connue pour son application populaire Snapchat. Digital Guardian a proposé ce résumé de l'attaque.
Au début de l'année 2016, l'application de réseau socialSnapchat a été victime d'une attaque de type « whaling »: un employé haut placé a reçu un e-mail d'un cybercriminel se faisant passer pour le PDG et a été amené à divulguer des informations relatives à la paie des employés.
En 2015, une cyberattaque a visé Mattel, le célèbre fabricant de Barbie et d'autres jouets. CBS News a rapporté :
« L'e-mail semblait tout à fait banal : une demande de routine de la directrice générale de Mattel concernant un nouveau virement à un fournisseur en Chine… La responsable financière qui a reçu le message était naturellement désireuse de satisfaire sa nouvelle supérieure. Elle a vérifié le protocole. Les virements bancaires nécessitaient l'approbation de deux cadres supérieurs. Elle remplissait les conditions requises, tout comme la directrice générale… Satisfaite, la responsable a viré plus de 3 millions de dollars à la Banque de Wenzhou, en Chine. Quelques heures plus tard, elle a mentionné le paiement à Sinclair. Mais celui-ci n’avait fait aucune demande de ce genre. »
Qu'est-ce que l'ingénierie sociale ?
Alors que les tentatives de phishing s'appuient généralement sur les e-mails, les pièces jointes et les pages web pour dérober des données personnelles, l'ingénierie sociale peut recourir à ces moyens, mais aussi au téléphone ou à toute une série d'autres méthodes. L'ingénierie sociale consiste à manipuler psychologiquement les individus pour les amener à divulguer des informations ou à commettre des actes inappropriés. Très souvent, les victimes ne se rendent pas compte qu'elles ont commis une erreur avant que la fraude ne soit découverte. À l'instar du spear phishing, les attaques par ingénierie sociale visent très spécifiquement un petit nombre de victimes potentielles.
Quels sont les exemples d'attaques d'ingénierie sociale ?
Un article récent de USA Today décrit une technique d'attaque par ingénierie sociale utilisée en 2016.
« Dans l'une des versions les plus récentes de cette arnaque, les malfaiteurs, se faisant passer pour des avocats, contactent des dirigeants d'entreprise ciblés en prétendant traiter des dossiers importants, confidentiels ou extrêmement urgents, et exercent une pression psychologique pour les inciter à virer des fonds aux escrocs. »
Un autre exemple nous est fourni par Smartfile. Il décrit une attaque contre le FBI menée à l'aide d'une simple technique d'ingénierie sociale déclenchée par un appel téléphonique.
« “Alors, j’ai appelé [le service d’assistance], je leur ai dit que j’étais nouveau et que je ne savais pas comment passer [le portail]”, a déclaré le pirate informatique à Motherboard. “Ils m’ont demandé si j’avais un code d’authentification, j’ai répondu que non, et ils m’ont dit que ce n’était pas grave, que je n’avais qu’à utiliser le leur. J’ai cliqué dessus et j’ai eu un accès complet à l’ordinateur.” »
« Peu après, 20 000 dossiers du FBI et 9 000 dossiers du Département de la Sécurité intérieure ont été rendus publics. Le pirate informatique a eu accès aux noms des employés et même à leurs informations de carte de crédit. En se basant sur la norme IBM de 2015 relative au coût par enregistrement compromis (170 dollars par enregistrement en cas d’activité malveillante), cela représente près de 5 millions de dollars de pertes au cours d’une conversation téléphonique de 2 minutes. Le montant était probablement plus élevé, compte tenu de la quantité de données de cartes de crédit et des implications encore inconnues liées aux données de sécurité nationale auxquelles il a été accédé. »
Qu'est-ce que ces attaques ont en commun ?
Toutes ces techniques peuvent conduire à la compromission des identifiants de compte, à l'utilisation de liens malveillants ou de logiciels malveillants dans le cadre des attaques. Comme le dit le dicton du secteur, de nombreuses violations de la sécurité de l'information impliquent l'utilisation de multiples outils, techniques et procédures (TTP). Cependant, la plupart d'entre elles commencent par un simple e-mail. Le phishing, le spear phishing, le whaling et l'ingénierie sociale sont généralement utilisés comme points d'entrée pour lancer une attaque ou comme moyens d'escalade permettant d'accéder plus facilement à des informations sensibles ou d'exécuter des actions plus destructrices.
Toutes ces attaques font également appel à des techniques de intrusion que même vos meilleurs systèmes de prévention des intrusions et de détection au niveau des terminaux ne peuvent pas contrer. Ce sont vos employés qui laissent ces personnes entrer par la grande porte. Parfois, ce sont même vos employés qui, sans le savoir, commettent le vol pour le compte des criminels.
Graphus vous Graphus évaluer le niveau de confiance et à prévenir les compromissions
Graphus trouvé un moyen de bloquer la quasi-totalité de ces attaques en identifiant les marqueurs connus de tromperie ET en établissant un graphe des relations de confiance entre vos employés et le monde extérieur. Cela va bien au-delà de la sécurité des e-mails fournie par Google ou des formations anti-hameçonnage. Ces deux solutions sont utiles, mais laissent passer beaucoup trop d'attaques. Un rapport de l'ISMG suggère que 65 % de toutes les attaques d'ingénierie sociale parviennent à contourner ces défenses traditionnelles. En combinant la théorie des graphes avec l'apprentissage automatique et des algorithmes de big data, Graphus est Graphus er les attaques de spear phishing et d'ingénierie sociale.
