Les 5 techniques de phishing les plus courantes

Par :
Georges Lotigier

ven, 11/12/2015 - 15:14

L’ère des attaques ciblées est en marche

Le spam est aujourd’hui plus une nuisance qu’une réelle menace. En effet, les tentatives de vendre du vi@gra ou encore de recevoir l’héritage d’un riche prince d’une contrée éloignée ne font plus beaucoup de victimes. La majorité des solutions antispam bloquent ces emails et l’unique façon de les voir consiste à consulter votre dossier « courrier indésirable ». Toutefois, une menace bien plus sophistiquée et dangereuse atterrit dans votre boîte de réception. Vous ciblant vous et vos employés.

Connu sous le nom de « phishing » ou « hameçonnage », ces emails cherchent à piéger vos employés. Comment ? Simplement en leur demandant d’effectuer une action. Dans la vie, il y a deux façons d’obtenir ce que l’on veut : soit le demander gentiment, soit être la bonne personne (et avoir l’autorité qui convient). Le phishing et son cousin le spear phishing, rassemblent ces deux conditions. Le principe du phishing consiste à usurper l’identité d’une personne ou d’une organisation et simplement demander d’exécuter une action (modification de mot de passe, vérification d’une pièce jointe, etc.). L’attaque est orchestrée autour de deux éléments : l’email et le site web ou une pièce jointe. L’email de phishing demande à ses victimes de se connecter à une page et d’entrer leurs identifiants afin d’effectuer une action qui semble légitime. Concrètement, il s’agit par exemple de faux emails de votre fournisseur d’électricité vous avertissant de régulariser votre facture… au plus vite !

L’impact du phishing en entreprise

Des milliers de phishing sont envoyés quotidiennement (contre des millions pour le spam) par des organisations de cybercriminels ou des gouvernements étrangers (ou les deux quand ce dernier « soustraite »).

Cette menace n’est pas encore bien maîtrisée par la majorité des antispam et anti-virus sur le marché pour plusieurs raisons. Premièrement, le « faible » volume d’emails de phishing ne permet pas d’être détecté par la majorité des solutions reposant sur une base de signatures. Deuxièmement, l’email semble légitime et ne reprend pas les « codes » du spam.

Le phishing est une réelle menace pour les entreprises, car il y a deux façons d’être victime : voir sa marque usurpée ou tomber dans le piège quand on reçoit l’email.

Dans les deux cas, voici les 4 principaux dégâts que le phishing peut causer à votre entreprise :

  • Nuire à votre réputation si votre marque est utilisée pour duper des internautes. Bien souvent, vous ne savez même pas que votre marque est utilisée à des fins malicieuses.
  • Perte de données sensibles, de propriétés intellectuelles ou encore de secrets industriels.
  • Divulgation de vos données clients et partenaires.
  • Des pertes financières directes liées au vol, à des amendes ou au dédommagement de tiers.

Selon une étude de l’américain Verizon, 11% des récepteurs de phishing cliquent sur le lien !

Les 5 techniques de phishing les plus répandues

Pas si évident que cela à identifier. Tout le monde peut se laisser duper par manque de vigilance  par un email de phishing, car celui ci semble légitime et original.

Voici ci-dessous les 5 techniques qu’utilisent les phisheurs pour attaquer votre entreprise. Dans nos exemples, nous parlerons de Pierre, un salarié aux responsabilités moyennes, travaillant dans le service finance de son entreprise, et qui a des journées biens remplies.

Le premier exemple de la série correspond à un phishing de masse, alors que les 4 suivants seront plus ciblés, reprenant l’art du Spear Phishing, qui nécessite des recherches avancées sur les cibles afin d’être crédible et de présenter l’autorité qui convient. Dans ces cas là, Alain sera le patron de Pierre, information facilement trouvable sur le site internet de la société.

1. Abus de confiance – Pierre reçoit un email lui demandant de confirmer un transfert d’argent. L’email contient un lien envoyant vers un site qui se présente comme celui de sa banque… mais en réalité il s’agit d’une copie, éditée, contrôlée et hébergée par des pirates. Une fois sur la page, Pierre entre normalement ses identifiants mais rien ne se passe et un message disant que le site est « temporairement indisponible » apparaît. Pierre étant très occupé, se dit qu’il s’en occupera plus tard. En attendant, il a envoyé ses codes d’accès aux pirates.

2. Fausse loterie – Pierre reçoit un email lui indiquant qu’il a gagné un prix. Habituellement Pierre n’y prête pas attention, car bien trop occupé. Toutefois, cette fois ci, l’email est envoyé par Alain, mentionnant une organisation caritative qu’ils soutiennent mutuellement. Pierre clique alors sur le lien, rien ne se passe à l’écran, mais un malware s’est installé sur son poste de travail.

3. Mise à jour d’informations – Pierre reçoit un email d’Alain lui demandant de regarder le document en pièce jointe. Ce document contient un malware. Pierre ne s’est rendu compte de rien, en ouvrant le document, tout semblait correct bien qu’incohérent par rapport à son travail. Résultat, le malware enregistre tout ce que fait Pierre sur son poste (keylogger) depuis des mois, ce qui met en danger tout le Système d’Information de l’entreprise facilitant le vol de données.

4.Appel à donation – Pierre reçoit un email du frère d’Alain, lui disant qu’il est atteint d’un cancer et que sa couverture sociale s’est arrêtée. Voulant faire bonne impression auprès de son patron, Pierre clique sur le lien et se rend sur le site de donation dédié. Pierre décide de faire une donation de 100€ et entre ses informations bancaires. Le site précise même que le don est déductible des impôts… Trop tard, Pierre a donné ses informations et se fait débiter d’un montant bien supérieur ! Sans pouvoir le déduire de ses impôts…

5. Usurpation d’identité – Pierre reçoit un email d’Alain, lui demandant d’effectuer un virement auprès d’un fournisseur connu au sujet d’une avance concernant un dossier urgent. Pour Pierre, il s’agit d’une tâche de routine qu’il effectue aussitôt. L’argent est envoyé sur un compte étranger, impossible à tracer et ne sera jamais retrouvé.

Les attaques de phishing et spear phishing sont en augmentation, tant sur le nombre que sur leur niveau de sophistication. Si vos employés reçoivent ce type d’email il y a de forte chance qu’ils se fassent piéger.

Qu’est ce qui peut être fait pour protéger vos employés ?

Pour se protéger contre phishing, la majorité des entreprises se contentent de leur antispam et d’autres logiciels anti-virus ou de blocage des sites web. Toutefois, face à l’augmentation et à la sophistication des attaques, cette menace nécessite une protection dédiée. Les solutions antispam et virus classiques ne sont plus suffisantes. Il reste la formation des employés, efficace mais trop peu utilisée et qui nécessite d’être régulière.

Les organisations ont besoin de solutions dédiées à cette menace qu’est le phishing qui nécessite une analyse particulière pour être identifiée et bloquée. Les cybercriminels font évoluer leurs techniques rapidement mais la riposte technologique s’organise également, et certaines solutions anti-phishing sont désormais capables de bloquer tous les types de phishing et spear phishing en analysant chaque lien ainsi que les habitudes des échanges. Mais au delà de ce socle technologique nouveau et efficace, l’arme ultime pour contrer les phishing reste l’humain, et sur ce point le travail de formation et d’éducation reste énorme ! 

A propos de l'auteur

Georges Lotigier
PDG de Vade Retro Technology