Face à la recrudescence du spearphishing, comment se protéger ?

Merci à Jonas Donjon, Security Architect, DEEP

De plus en plus, dans le cadre d’attaques ciblées, les cybercriminels ont recours à des méthodes sophistiquées afin de contourner les systèmes de détection. Le spearphishing est une approche élaborée, qui vise à se faire passer pour un collègue de travail ou un dirigeant, afin d’obtenir des informations ou de demander à une personne d’effectuer des transactions illégitimes. Ces attaques, particulièrement insidieuses, sont plus complexes à identifier. Il existe pourtant des bonnes pratiques et des outils pour prévenir ce type de menace, comme la solution d’analyse des éléments de langage des e-mails de VADE.

La plupart d’entre nous savons aujourd’hui ce qu’est le phishing : des attaques qui ont le plus souvent recours à des campagnes d’envois d’e-mails frauduleux, dont l’objectif est d’obtenir des informations, des mots de passe ou des accès permettant à des personnes malintentionnées de pénétrer des systèmes ou d’initier des transactions.

Ces attaques, de manière générale, sont organisées suivant une approche opportuniste, sans forcément cibler une entreprise ou une personne en particulier. Ces derniers mois, toutefois, on constate une recrudescence d’une autre forme d’attaques qui répond au nom de spearphishing.

Le spearphishing : des attaques ciblées et insidieuses

Dans le cadre d’une fraude au président, un cybercriminel se fait passer pour un dirigeant d’une organisation afin de demander à un membre du personnel d’effectuer un ou plusieurs virements illégitimes, invoquant le plus souvent un besoin urgent. Ce genre de méfait relève de ce que l’on appelle le « spearphishing », dans la mesure où il exige de l’attaquant d’agir habilement, en ciblant précisément sa proie, en prenant le temps de bien comprendre son fonctionnement.

Quand le cybercriminel veille à rester sous les radars

Pendant la phase préparatoire de l’attaque, le cybercriminel va récolter autant d’informations que possible sur l’organisation, son équipe dirigeante, leurs habitudes, ainsi que les personnes susceptibles d’être compromises. L’enjeu est de parvenir à obtenir un ensemble d’indications essentielles sans se faire repérer. L’attaquant va donc privilégier des sources directement accessibles sur le net, comme l’organigramme de la société, les numéros de contact des membres du personnel, les publications des personnes clés sur les réseaux sociaux pouvant donner des indications sur leurs habitudes, leurs vacances, d’éventuels voyages professionnels... L’enjeu, pour l’attaquant, est de pouvoir usurper l’identité d’un dirigeant de manière crédible, au bon moment, quand il est en voyage par exemple, d’établir un scénario plausible et de disposer d’un ensemble d’arguments qui lui permet de convaincre un membre du personnel d’initier une transaction illégitime.

Ces attaques, parce qu’elles sont ciblées, qu’elles ont été préparées avec soin, sont difficiles à détecter. Souvent, les cybercriminels veillent à ne pas laisser de traces, afin de passer sous les radars des systèmes de détection traditionnels, qui s’appuient sur l’identification d’adresses mails ou de serveurs d’envoi déjà connus pour leurs activités douteuses. Dans la mesure où le malfrat veille à préserver une certaine virginité vis-à-vis de sa cible, de ne pas se faire connaître des outils de cybersécurité, la menace est plus complexe à identifier.

Sensibiliser les utilisateurs et établir des procédures claires

Toutefois, la mise en place et le rappel de bonnes pratiques, peuvent permettre de prévenir les risques de spearphishing. Avant toute chose, il est important de sensibiliser les collaborateurs vis-à-vis de ces risques, particulièrement ceux qui disposent du droit d’initier des transactions. À l’échelle de toute organisation, il faut aussi veiller à mettre en place un ensemble de procédures et de contrôles liés à l’exécution des transactions, notamment si ces dernières dépassent un certain montant. On peut évoquer l’exigence d’une double signature ou la nécessité de confirmer un ordre par un autre canal que celui par lequel intervient la demande initiale, comme un appel téléphonique à la personne afin de s’assurer de la légitimité de la demande.

VADE, une solution technique pour détecter les e-mails suspects

Enfin, il existe des outils de cybersécurité dédiés, comme la solution d’analyse des contenus des e-mails proposée par VADE, qui permettent de limiter les risques de corruption. En procédant à l’analyse des éléments de langage se trouvant dans le courrier électronique réceptionné, le dispositif va relever les termes indiquant qu’il peut s’agir d’une opération de spearphishing. Le fait que le contenu demande de procéder à un virement, qu’il prenne soin de justifier une urgence, qu’il indique que cet e-mail est envoyé depuis un mobile, le recours à une adresse mail publique sont des éléments qui laissent supposer une tentative de fraude. Le système de protection de VADE peut envoyer une alerte au destinataire de l’email suspect ou même le bloquer, selon la configuration choisie.

Cette solution dynamique d’analyse de contenus, également utilisable pour la classification et la protection générale des emails (malware, ransomware, spam, phishing) au sein d’une organisation, offre une barrière supplémentaire contre les attaques de spearphishing. Elle s’intègre facilement au niveau de la plupart des plateformes, à l’instar de Microsoft 365 ou Google Workspace.