Aujourd’hui, les cybercriminels exploitent diverses failles, l’email demeure une des méthodes les plus prisées. Les conséquences des attaques par email, largement répandues, se traduisent par des pertes financières, des dommages à la réputation, et d’autres impacts négatifs pour les entreprises. Le spear phishing, avec ses messages soigneusement conçus, cherche à exploiter la confiance en se faisant passer pour des collaborateurs de confiance, des sites web ou des entreprises. Ces attaques cherchent souvent à voler des informations sensibles, alimentant ainsi fraudes, vols d’identité, et autres « cyber délits ».
La tactique sophistiquée du spear phishing
Le spear phishing se distingue par son art du leurre, se cachant derrière des emails à première vue légitimes. Cette tactique ne se limite pas à l’envoi massif de courriels, mais s’infiltre de manière précise, souvent en imitant des correspondants connus, créant ainsi un défi supplémentaire pour les mécanismes de défense.
Inscrivez-vous à la newsletter
En vous inscrivant vous acceptez notre politique de protection des données personnelles.
Récemment, le Threat Analysis Group (TAG) de Google a justement alerté, le 18 janvier 2024, sur une campagne de spear phishing en cours, menée par le groupe pro-russe Coldriver. Affilié au FSB (le service de renseignement intérieur de la fédération de Russie), le groupe cybercriminel est un spécialiste de cette technique d’hameçonnage.
Des chiffres et des enjeux importants
Les enjeux sont cruciaux et de plus en plus d’organisations déploient des stratégies de sensibilisation pour impliquer leurs collaborateurs dans leur système de protection cyber, et éviter de payer les 225 000 € que coûte en moyenne une cyberattaque par phishing selon une étude réalisée par le cabinet Astères à la demande du Club des Responsables d’Infrastructure.
Les statistiques sont éloquentes : la moitié des organisations ont été victimes de spear phishing au cours des 12 derniers mois selon le dernier rapport 2023 Barracuda. Cette approche extrêmement ciblée donne aux attaquants la capacité de personnaliser leurs attaques, augmentant considérablement les chances de succès.
D’ailleurs, en France, les chiffres sont plus inquiétants : au mois de janvier 2023, le phishing ou le spear phishing était le type le plus courant de cyberattaque en France, touchant environ trois entreprises sur quatre.
Les réseaux sociaux, en particulier LinkedIn, servent de terrains de chasse pour les attaquants. L’assemblage habile de données éparses provenant de ces plateformes crée des attaques extrêmement personnalisées, rendant la détection de plus en plus complexe. Les attaquants excellent dans l’art de tisser ces fragments d’informations en un tableau complet. Des détails tels que les connexions professionnelles, les intérêts personnels, voire les déplacements, sont soigneusement agencés pour créer une toile d’informations précises.
Armés de cette connaissance approfondie, les cybercriminels passent à la création d’attaques sur mesure. En adaptant leurs messages à la vie personnelle et professionnelle de leur cible, ils maximisent leurs chances de succès. Cette personnalisation va de l’imitation de collègues à la reproduction fidèle de sites Web familiers.
Un flux constant d’attaques personnalisées
En moyenne, chaque organisation doit faire face à cinq emails de spear phishing, hautement personnalisés, chaque jour. Ces attaques, combinant des éléments personnels et provenant de diverses sources, démontrent une sophistication qui va bien au-delà du simple envoi massif de courriels malveillants.
Former en continu
Face à un email de spear phishing, des sentiments de confiance manipulée peuvent surgir, surtout lorsque des informations personnelles sont exploitées. Pour détecter rapidement les attaques par spear phishing, il est crucial de reconnaître les signes émotionnels suscités, en particulier lorsque des informations personnelles sont manipulées.
Le temps moyen de détection, presque deux jours, souligne l’importance de la pensée critique et de la pleine conscience. Le développement de ces compétences est essentiel pour réduire le délai de détection et renforcer la posture de sécurité.
Alors que les attaquants envoient en moyenne 370 emails malveillants à partir de chaque compte compromis, il est crucial de comprendre que la technologie seule ne peut pas garantir une protection totale. La meilleure défense reste la combinaison d’une cybersécurité robuste, d’une éducation continue et d’une vigilance humaine.
Les simulations d’attaques permettent de faire un premier pas vers la prise de conscience. Elles font réagir, interpellent, suscitent des questionnements ; ainsi, les collaborateurs s’impliquent davantage dans la phase de formation et d’apprentissage. Indispensable à la montée en compétences de chaque individu, cette approche ne peut être efficace qu’en s’appuyant sur une expérience vécue.