Vous allez voir la différence entre le phishing et le spear-phishing. Surtout vous allez voir que l'un comme l'autre sont facilités au vu des informations que vous divulguez sur la toile. On fera le lien avec notamment les récentes fuites de données importantes tel que linkedin ou plus ancienne Dominos. Et en bonus un conseil ou deux pour reconnaître un phishing.
Le phising c'est quoi ?
Je pourrais vous envoyer simplement sur la superbe et très complète définition de wikipédia, mais je préfère vous le simplifier. Le phishing est une attaque informatique qui prend la forme d'un message qui va vous inciter à vous rendre sur un site Internet. Ceci ayant pour but que vous puissiez donner des informations personnelles à un pirate. Les grands classiques sont bien entendu informations bancaires, ou encore des mots de passe. Ou d'autres choses qui peuvent paraître anodine comme vos animaux de compagnie.
Le phishing se propage principalement par e-mail, mais ces dernières années il se développe à grande vitesse via SMS et les applications de messagerie (facebook Messenger notamment). Pendant longtemps on pouvait les reconnaître grâce aux fautes d'orthographe. Mais les pirates ont progressé et en font nettement moins.
Les attaques par phishing cible une liste d'adresse e-mail sans trop de distinction, c'est pour cela que l'on en récupère des-fois en anglais. Les pirates essayent de les envoyer au plus grand nombre, pour toucher le plus de personnes.
Voici un petit exemple de phishing reçu il y a quelque temps très bien fichu d'ailleurs :
Comment reconnaître un phishing ?
J'ai mis en encadré rouge les éléments qui doivent vous permettre de vous rendre compte que c'est un e-mail de phishing. Le premier en haut est l'expéditeur de l'e-mail, en effet il serait surprenant que Chronopost utilise des comptes e-mail free pour envoyer ces messages.
Le second porte sur l'adresse réel ou vous serez dirigé si vous cliquez sur le lien "cliquant ici". Vous pouvez voir ou vous emmène un lien sans avoir à cliquer dessus, simplement en survolant le lien avec votre souris. Il sera presque toujours affiché en bas à droite ou dans certain cas en bas à gauche. C'est une convention tacite, mais vous avez ce comportement sur vos navigateurs et vos logiciels d'e-mail.
Et le Spear-phishing c'est quoi ?
Pour faire simple dans les attaques par phishing les pirates utilisent un chalutier pour vous pêcher et pour le spear-phishing ils le font avec un harpon. Le Spear-phishing c'est un phishing le plus ciblé possible, dans lequel vous allez trouver des détails sur vous. Ces détails ont pour but de crédibiliser le message et réduire votre vigilance. Ceci dans le but que vous vous fassiez attraper...
Généralement les pirates vont être à la recherche d'informations précises. Ça peut aussi cacher des attaques d'envergure, c'est d'ailleurs très souvent utilisé dans les phases de test de sécurité informatique.
Mais comment les pirates récupèrent ces informations ?
Bien souvent on les récupère via des fuites de données de grandes sociétés. Par exemple si vous êtes client Dominos, on peut faire un spear-phishing sur une offre de pizza que vous avez déjà commandé. Les chances de vous voir faire un achat sur un site copié est forte. Idem si on vous demande de compléter votre fiche client pour recevoir plus d'offres.
L'autre source c'est vous. Principalement via les réseaux sociaux, même plus souvent que vous ne le pensez. Outre cela ils peuvent aussi avoir utilisé un phishing classique en amont et s'en servir pour mener une attaque plus ciblé.
Conclusion
Vous voyez un peu plus pourquoi toute information est importante au final ? Si vous limitez les détails au plus possible sur vos fiches client et les réseaux dit sociaux, vous allez grandement accroître votre sécurité. Au vu de certain spear-phishing que l'on reçoit c'est parfois rudement bien travaillé et même avec de l'expérience il faut quelques minutes faire la part des choses.
Si vous êtes une entreprise si vous avez trop de message de ce genre, je vous conseille de contacter un prestataire proche de chez vous pour vous conseiller. Cela permettra de savoir si vous êtes ou non entrain de subir une attaque ciblé.
Dernier conseil ce qui est privé doit le rester, on ne les diffuse jamais sur Internet. Il vous faut aussi régulièrement vérifier vos réglages sur les réseaux sociaux pour éviter que certaine informations ne soient trop facilement accessibles. Attention aussi à vos réseaux professionnels n'en dite pas trop sur les projets et clients !
Crédits photos :