spear-phishing : la nouvelle méthode de pêche aux données sensibles

Vous connaissez le spam, vous connaissez le phishing mais connaissez-vous le spear-phishing ? Le phénomène fait l’objet d’une surveillance particulière de certains éditeurs spécialisés dans le spam ou les attaques ciblées. Alors qu’est-ce que le Spear Phishing et quelles sont ses caractéristiques ? Examinons deux exemples d’attaques qui ont eu lieu récemment.

une nouvelle technique de pêche au harpon ?

selon nos amis québécois, le spear-phishing (littéralement pêche au harpon) est un mélange de techniques classiques de phishing et d’ingénierie sociale. Ce volet ingénierie sociale permet de cibler l’attaque en utilisant des thèmes liés au travail quotidien ou aux intérêts de la cible.

La connaissance de la cible devient alors un enjeu fondamental :

  • quels sont les sujets de ses twittos ?
  • Sur quel réseau social est-t-il plus efficace de l’atteindre : LinkedIn ou Facebook ?
  • Quels sont les services cloud utilisés par la victime ?
  • Quelles sont les informations à rechercher pour répondre aux questions secrètes qui pourraient permettre d’accéder à ses services ?

A la qualité des messages et la maîtrise de la langue s’ajoute la création de faux sites très bien conçus.  Contrairement aux tentatives de phishing traditionnelles, les probabilités de réussite des attaques augmentent considérablement grâce à ces techniques. De même, les attaquants jouent sur le facteur humain et les probabilités d’erreurs. Ce risque n’est plus à démontrer et les pirates le savent bien : avec nos multiples onglets ouverts pour plus tard dans les navigateurs, il est devenu facile, en jouant sur l’oubli de l’utilisateur, de camoufler une fausse page web. Sur ces sujets, lisez ce document de Proofpoint, particulièrement intéressant.

quelles différences avec un phishing classique ?

Un petit tableau valant mieux qu’un long discours, voici les différences principales entre les deux types de phishing.

Phishing « Classique »

Spear-Phishing

Vecteur d’attaque : mail

 

Qualité du message d’accroche : médiocre, contient souvent des fautes grossières, un contenu peu sophistiqué, de simples liens URL

 

Qualité du site web de phishing : de médiocre à passable

 

Ciblage de l’attaque : aucun, cette attaque vise le plus grand nombre et présente un faible rendement.

 

Le destinataire du message est la cible directe : une fois accroché l’attaquant essaie d’escroquer directement le destinataire pour un « retour sur investissement immédiat ».

Vecteur d’attaque : réseaux sociaux et mail

 

Qualité du message d’accroche : bonne voire très bonne qualité, souvent écrit par des « native speakers » avec une personnalisation poussée (utilise des scripts pour personnaliser les liens par exemple ; jargon métier utilisé à bon escient etc)

 

Qualité du site web de phishing : bonne avec personnalisation. Par exemple une fausse page d’authentification pré-remplie avec le login de l’utilisateur

 

Ciblage de l’attaque : extrêmement fin, l’attaque n’a lieu qu’après identification précise (ingénierie sociale) des personnes pouvant détenir les informations à dérober

 

Le destinataire du message n’est pas la cible directe : le spear phishing est surtout destiné à dérober des informations qui serviront soit dans des attaques ultérieures ou qui seront monétisées d’une autre façon.

 

2 attaques récentes de spear-phishing et leurs conséquences

Deux attaques de spear-phishing ont été récemment médiatisées. La première a été menée l’année dernière par un groupe baptisé FIN4 par FireEye. Elle a duré plusieurs mois et a touché une centaine de sociétés américaines.

Ces sociétés côtés ou de conseil avaient comme caractéristiques principales d’être toutes impliquées dans des négociations confidentielles pour des fusions acquisitions. FireEye a mis à jour un ensemble de techniques sophistiquées, comme la prise de contrôle de comptes emails et l’envoi de documents d’apparence légitimes aux acteurs des négociations.

Objectif : dérober des informations confidentielles sur les négociations. Les pirates ont poussé le détail jusqu’à supprimer automatiquement tout email d’alerte envoyé en interne ou par un correspondant faisant référence à un possible « hack », « phishing »  ou « malware ».

Source : FireEye “Hacking the Street? FIN4 likely playing the market” page 10

Pour FIN4, le but ultime de ces intrusions était, selon FireEye (page 8 et 9 de l’étude), de prendre des positions en bourse, à l’achat ou à la vente, voire de manipuler les cours de bourse des sociétés en négociation grâce aux informations dérobées.

La seconde attaque a eu lieu en janvier dernier et a touché le journal Le Monde. Dans ce cas, le compte Twitter du journal a été piraté et les abonnés ont reçu des messages pro-syriens frauduleux pendant une heure. C’est la compromission d’un compte Webmail rattaché à ce compte Twitter qui a permis l’intrusion. Après plusieurs campagnes de phishing, les pirates ont réussi à identifier l’email lié au compte puis à changer le mot de passe du compte Twitter pour en prendre le contrôle. Le détail de l’attaque est disponible ici et .

A l’origine, un simple email semblant provenir d’un journaliste « ami » incitant son collègue à cliquer sur un faux lien provenant de la BBC. Là encore l’ingénierie sociale a joué un rôle important !

conclusion

Le spear-phishing surpasse les attaques de phishing classiques. Principalement grâce au ciblage et à l’utilisation sur le long terme d’informations dérobées. L’approche indirecte et le faible volume des attaques les rendent particulièrement difficiles à détecter.
La vigilance est donc de mise, même quand vous recevez des emails contenant des URLs semblant provenir d’amis ou de collègues. Les utilisateurs avertis peuvent également tomber dans le piège : la preuve, les experts de l’ICANN ont été victimes d’un spear-phishing en décembre 2014 !

Philippe Macia

Après un passé de formateur, d’opérationnel IT, d’avant-vente technique et de responsable service client, j’ai rejoint l’équipe sécurité d’Orange Business en tant que chef de produit. Je suis très attaché à l’expérience utilisateur et à la simplicité d’administration des solutions que nous créons. Mes maîtres mots : partage du savoir, logique, pragmatisme et simplicité.