Spear phishing
L'hameçonnage ciblé (ou « spear phishing ») est une forme de phishing évoluée qui en reprend les mécanisme en les personnalisant en fonction des cibles pour en augmenter l’efficacité.
A l'instar des courriels utilisés dans le cadre de campagnes d'hameçonnage classiques, les messages d'hameçonnage ciblé donnent l'impression de provenir d'une source approuvée. Si les premiers donnent l'impression de venir d'une entreprise ou d'un site Web important, réputé et présentant de nombreux membres, comme eBay ou PayPal, la source apparente des seconds sera probablement une personne en poste dans l'entreprise du destinataire, généralement haut placée.
Professeur intervenant à West Point et expert de la NSA (National Security Agency), Aaron Ferguson appelle ce procédé « l'effet colonel » (« colonel effect »). Pour illustrer son point de vue, il envoie à 500 cadets un message qui leur demande de cliquer sur un lien pour vérifier leur grade. Le message d'Aaron Ferguson donne l'impression de venir d'un certain Colonel Robert Melville de West Point. Plus de 80 % des destinataires cliqueront sur le lien. En retour, ils recevront une notification qui leur indique qu'ils ont été trompés et qui les avertit que leur comportement pourrait avoir entraîné le téléchargement de logiciels espions, de chevaux de Troie et/ou d'autres types de logiciels malveillants.
Dans leur majorité, les gens ont appris à se montrer suspicieux envers les demandes inattendues d'informations confidentielles. Ils ne divulguent pas de données personnelles en réponse à des courriels et ne cliquent pas sur les liens présents dans les messages, à moins d'être sûrs de leur source.
La réussite de l'hameçonnage ciblé dépend de trois facteurs :
- la source apparente doit se présenter comme une personne connue et approuvée
- certaines informations contenues dans le message doivent soutenir cette validité
- la demande de l'expéditeur doit donner une impression de logique fondée.
Voici une version particulière d'une attaque par hameçonnage ciblé. Le malfaiteur repère une page Web de l'entreprise qu'il cible, qui fournit des informations de contact. En utilisant certains détails à sa disposition pour donner une apparente authenticité au message, il rédige un courriel qu'il adresse à l'employé dont les coordonnées figurent sur la page de contact. Ce courriel donne, en outre, l'impression de provenir d'une personne raisonnablement susceptible de demander des informations confidentielles ; par exemple, un administrateur réseau. Le courriel demande à l'employé de se connecter à une page fictive qui sollicite son nom d'utilisateur et son mot de passe, ou de cliquer sur un lien qui téléchargera un logiciel espion ou autre programme malveillant. Si un seul employé cède au stratagème de l'hameçonnage ciblé, l'agresseur peut alors se faire passer pour cet employé et utiliser des techniques d'ingénierie sociale pour obtenir un accès accru à des données sensibles.