Si le contenu des courriels de phishing et de spear-phishing peut varier, les cybercriminels emploient souvent des stratégies et des tactiques similaires. En utilisant ces méthodes, les hameçonneurs ont prouvé à maintes reprises qu'ils pouvaient toucher les utilisateurs indépendamment de leur position dans l'entreprise, de leur niveau présumé d'expertise technique ou de leur domaine d'emploi.
L'efficacité d'une attaque par hameçonnage n'est limitée que par l'imagination de l'expéditeur. Là encore, le contenu de ces attaques peut varier en fonction de l'ampleur de l'escroquerie, mais la plupart utilisent une combinaison des stratégies suivantes.
Usurpation d'identité
Une tactique courante des spear phishers consiste à se faire passer pour une personne connue de la victime, comme un collègue, un ami ou un membre de la famille. Les attaquants peuvent se faire passer pour un cadre supérieur et demander à un employé de leur fournir des informations sensibles et des justificatifs d'identité. Les attaquants peuvent également se faire passer pour des proches et demander à une personne de virer de l'argent à la suite d'une prétendue urgence.
En ce qui concerne les courriels de spear-phishing, il ne faut pas croire que les messages personnalisés sont des courriels légitimes. En fait, dans les escroqueries par spear-phishing finement élaborées, l'attaquant aura fait ses recherches et pourra inclure des noms, des dates et des détails spécifiques avec lesquels l'utilisateur est familier et auxquels il est susceptible de répondre.
L'usurpation d'identité fait partie d'une stratégie plus large utilisée par les cybercriminels, appelée ingénierie sociale. L'ingénierie sociale est l'art d'accéder à des informations, des lieux physiques, des systèmes, des données, des biens ou de l'argent en utilisant des méthodes psychologiques plutôt que des méthodes techniques ou la force brute. Ces attaques peuvent prendre différentes formes : une campagne de spear-phishing bien conçue, un appel téléphonique à l'apparence plausible d'un criminel se faisant passer pour un fournisseur ou même la visite sur place d'un "inspecteur des incendies" qui exige l'accès à la salle des serveurs d'une entreprise.
Faux président Fraude
Un sous-ensemble de l'usurpation d'identité et de l'ingénierie sociale est communément appelé fraude au faux président. La fraude au faux président est un type d'escroquerie dans laquelle un criminel se fait passer pour un dirigeant d'entreprise et convainc un employé de transférer volontairement une grosse somme d'argent directement sur le compte du criminel. La fraude au faux président peut varier dans certains de ses détails, mais elle contient toujours quatre éléments majeurs :
- Une personne se faisant passer pour un cadre de haut niveau de l'entreprise prendra contact avec l'employé visé.
- L'expéditeur demande à l'employé de virer une grosse somme d'argent sur un compte bancaire étranger.
- Si l'employé conteste la demande, l'employeur exercera une pression psychologique pour qu'il s'exécute.
- L'employé contacte la banque pour effectuer le transfert.
Chasse à la baleine
La chasse à la baleine est un autre exemple d'usurpation d'identité. Toutefois, dans ce cas, les cybercriminels ciblent plus particulièrement les dirigeants d'entreprises de premier plan. Ces courriels sont envoyés à une seule personne ou à un petit groupe de cibles, ce qui diffère des techniques de distribution de masse utilisées dans les attaques de phishing classiques.
Dans ces escroqueries, les courriels et les pages web frauduleux sont conçus pour ressembler à des courriels professionnels essentiels provenant d'une personne ayant une autorité légitime, que ce soit à l'extérieur ou à l'intérieur de l'entreprise. La chasse à la baleine fait partie des attaques par spear-phishing, car ces courriels s'adressent généralement à des cadres par leur nom complet, leur entreprise et leur fonction.
Dans les attaques de type "whaling", les criminels recherchent généralement des informations confidentielles sur l'entreprise. Il peut s'agir de mots de passe pour des comptes sensibles ou d'informations sur des processus et des produits spécifiques. Les messages "whaling" utilisent souvent des tactiques d'intimidation, menaçant la victime de frais de justice, de licenciement et de faillite, afin de l'inciter à effectuer une action spécifique (par exemple, cliquer sur un lien, télécharger un logiciel malveillant ou remplir un formulaire frauduleux). L'e-mail ou le site web de harcèlement peut se présenter sous la forme d'une fausse citation à comparaître, d'un faux message de la police ou d'une sorte de plainte juridique critique.
Pour plus d'informations sur les autres types de stratégies utilisées par les cybercriminels, consultez la deuxième partie de cet article.
Besoin d'aide pour identifier les attaques de phishing ? Pour une vue d'ensemble de ses dangers et de ses caractéristiques, téléchargez GRATUITEMENT Phishing Attacks : Un guide de cybersécurité pour les employeurs et les particuliers !
