Selon le Rapport des Menaces Cybersécurité 2021 de CISCO, 90% des fuites de données ont pour origine un phishing. De la même façon, selon le CESIN, le phishing est le vecteur d’attaque initial dans 80% des attaques au ransomware.

Pour éduquer vos équipes face à ce risque, vous conduisez sans doute un programme de sensibilisation à la cybersécurité mais vos équipes se perdent dans les nomenclatures : phishing, spear-phishing, whaling, vishing… ? Pas de problème ! 

Cet article va présenter chacun des types de phishing que l'on peut trouver dans la nature 😉.

Phishing (hameçonnage)

Principe : Le phishing basique (hameçonnage en français) est un vecteur d’attaque classique dans un grand nombre de cyberattaques. Il consiste en un message reçu par email, envoyé de à de nombreux compte et sans (ou avec un nombre très limité) d’éléments de personnalisation ou de social engineering.

Objectif : L’objectif des hackers est de convaincre la cible d’accomplir une action souhaitée par les hackers : télécharger un fichier et l’ouvrir, renseigner ses identifiants, ouvrir une pièce jointe… et ce dans le but d’amorcer une cyberattaque (fuite de données, ransomware, BEC…). Le phishing est utilisé dans la phase d'accès initial d'une cyberattaque :

Exemple : C’est un vecteur de fraude qui est vieux comme l’internet (une technique de phishing est décrite dès 1987) et dont on peut souligner la première attaque contre un système de paiement en ligne en 2001 après les attaques du 11 septembre en prétextant une “vérification de sécurité”.

Cette attaque est caractéristique du phishing : en utilisant un prétexte (le 11 septembre), les hackers envoient le même email à de très nombreux destinataires en espérant que certains se feront prendre. 

Aujourd’hui encore, le phishing pour fraude bancaire (objectif : obtenir les identifiants bancaires) continue d’être perpétré. 

On peut illustrer le phishing avec l’exemple d’une offre de carte cadeau Amazon : 

Spear-Phishing

Principe : Le spear-phishing est une version plus sophistiquée du phishing, qui est plus ciblée et personnalisée. Elle permet, de par son degré de personnalisation et par les volumes moins élevés, de contourner plus facilement les filtres anti-spams. 

La personnalisation et le ciblage vont s’appuyer sur des informations obtenues lors de la phase de reconnaissance et grâce à l'OSINT, c'est-à-dire les informations publiquement disponibles.

Les hackers vont ainsi :

  • Identifier, dans l’organisation de l’entreprise, quelles sont les cibles privilégiées pour leurs attaques
  • Choisir quels éléments de personnalisation ils vont pouvoir apporter : outils informatiques utilisés, signature de l’entreprise, hiérarchie, informations personnelles, clients ou fournisseurs… 

Exemple : Le degré de personnalisation peut varier, mais ces attaques combinent souvent différents éléments de social engineering pour augmenter leur efficacité. On peut ainsi citer à titre d’exemple un spear-phishing reprenant le nom du Directeur Informatique de l’entreprise, celui de l’entreprise et se faisant passer pour le gestionnaire de mot de passe de l’entreprise.

Le spear-phishing est en train de devenir le vecteur de phishing prédominant car son ciblage augmente considérablement son efficacité par rapport au phishing. .

Whaling

Principe : Le whaling est un type d'attaque de spear-phishing encore plus personnalisé. Il vise des personnes spécifiques au sein d'une entreprise, souvent celles qui ont un niveau hiérarchique élevé, comme les cadres du COMEX.

Certains groupes d'Initial Access Brokers (fournisseurs d'accès initial), dont la spécialité est d’obtenir des identifiants et des accès aux systèmes IT d’entreprises pour les revendre à des groupes qui poursuivront la cyberattaques n’hésitent pas, ainsi, à engager de manière manuelle et progressive des prises de contact à partir de faux profils LinkedIn avec des employés spécifiques d’une entreprise en vue de réussir leur attaque.

Exemple : L'attaque Business Email Compromise dont a été victime Pathé en 2018 : dans ce cas c’est le CEO et le Directeur Financier de la branche de Pathé Pays-Bas qui ont été visés par un whaling qui imitaient une communication du CEO de Pathé France. 

  • Email avec une demande de paiement initial pour une fusion top secrète
  • Emails de suivi avec les signatures du conseil de direction
  • Coût total de la fraude : plus de 21 millions de dollars

SMiShing

Principe : Le SMiShing (combinaison de SMS et phishing) est un type de phishing déployé par SMS. 

Objectif : Ce type d’attaque peut avoir des avantages pour les hackers car elle s’affranchit des contraintes posées par les filtres anti-spams ; elle peut permettre plus de visibilité (les SMS étant plus lus que les emails) et que les éléments de vérification (comme la destination d’éventuels liens) peuvent être plus difficiles à analyser sur un écran mobile.

Exemple : L’usage du smishing pour obtenir les codes à usage unique envoyés dans le cadre de connexions requérant une authentification multi-factorielle. Les hackers vont ainsi envoyer un SMS juste après l’envoi du code à usage unique pour convaincre la cible d’y répondre en fournissant le code : 

Des chercheurs, en testant plusieurs messages de smishing, ont obtenu des taux de succès (code envoyé par la cible) de près de 50 %.

Vishing

Principe : Le Vishing (combinaison de Voix et phishing) est un type de phishing réalisé par le biais d’un appel téléphonique à la cible.

Objectif : Dans ce format, la cible va avoir un interlocuteur au téléphone (potentiellement utilisant des outils de modification de voix). Ce type d’attaque peut avoir deux objectifs : soit il est le vecteur d’attaque initial, et l’objectif est le même que pour un phishing (obtention d’identifiants, paiement d’une fausse facture…). 

Soit il peut être utilisé conjointement à une attaque de spear-phishing ou de whaling, pour crédibiliser celle-ci : ainsi, un faux mail du CEO avec un document à revoir d’urgence (en fait, une pièce jointe infectée) peut être envoyé et accompagné d’un vishing comme un message vocal insistant sur l’urgence de la situation.

Exemple : Dans une attaque de vishing en 2020, des hackers se sont fait passer pour les “équipes IT” de Twitter. En appelant des employés au sujet de problèmes sur leurs ordinateurs, ils ont pu obtenir des identifiants qui leur ont ensuite permis de contacter des cibles ayant des privilèges plus élevé (élévation de privilèges). 

Une fois après avoir obtenu des accès avec des droits admin, ils ont pu accéder à des comptes privés et poster des messages avec une fraude au cryptomonnaies, comme par exemple celui-ci sur le compte de l’ex-président Barack Obama :

"Je redonne à ma communauté à cause du Covid-19 ! Tous les bitcoins envoyés à mon adresse ci-dessous seront renvoyés doublés. Si vous envoyez 1 000 dollars, je vous en renverrai 2 000 ! Je ne fais ça que pendant les 30 prochaines minutes ! Enjoy"

Angler phishing

Principe : L’angler phishing est un nouveau type de phishing qui cible les comptes de réseaux sociaux des utilisateurs. Des hackers se font passer pour des agents de support client sur ces réseaux pour obtenir les informations et les identifiants de leurs cibles.

Objectif : La majorité de ces attaques cible des institutions bancaires en repérant des messages de clients se plaignant sur Facebook ou Twitter et en utilisant ce prétexte pour les contacter. 

Si les cibles ne se rendent pas compte que leur interlocuteur n’est pas légitime, ils vont suivre les consignes qui leur sont données comme par exemple cliquer sur un lien pour accéder à un soi-disant appel avec un agent du service commercial (quand en fait le lien va entraîner le téléchargement d’un malware). 

Ce type d’attaque n’est pas à négliger dans un contexte professionnel car les usages des outils informatiques professionnels et privés ont de plus en plus tendance à se confondre, une tendance qui s’est accélérée avec la démocratisation du télétravail.

Vous souhaitez en savoir plus sur les meilleures pratiques de Mantra en matière de sensibilisation et d'entraînement des équipes afin de détecter et de se protéger de ces attaques ? Cliquez ici pour nous contacter