Le centre Européen de lutte contre la cybercriminalité d’Europol (EC3) a mis en ligne cette semaine un rapport sur le hameçonnage ciblé (« spear phishing ») qui est issu des travaux de leur Joint advisory group lors de sa réunion du mois de mars dernier. La philosophie de ces travaux est de proposer une vision conjointe de l’industrie et des services d’enquête sur cette menace.
Le hameçonnage est l’utilisation du courrier électronique (ou une autre forme de contact et de messagerie parfois, mais le courrier électronique reste largement majoritaire) pour contacter une victime (ou l’un de ses employés) pour l’un des usages suivants:
- collecter des identifiants de connexion,
- obtenir d’autres informations confidentielles (documents financiers, données personnelles),
- délivrer des logiciels malveillants (rançongiciel, troyen d’accès à distance, enregistreur de frappes au clavier, …),
- convaincre une victime de réaliser une opération contraire à ses intérêts (comme un virement bancaire).
On dira que le hameçonnage est ciblé s’il est destiné à un public bien déterminé: des destinataires précis au sein d’une même entreprise, des participants à une liste de discussion traitant d’un sujet sensible ou intéressant quant aux objectifs des attaquants (par exemple une liste de discussion par courrier électronique entre spécialistes d’un même domaine industriel). Ce ciblage est évalué par opposition aux campagnes de hameçonnage envoyées vers des destinataires sans relation particulière par exemple dans le contexte de l’envoi de spams.
Un chiffre clé à retenir de ce rapport est que 65% des attaques ciblées constatées en Europe auraient utilisé en 2018 la technique du hameçonnage ciblé.
Le rapport décrit ensuite les techniques employées pour réaliser ce type d’attaques:
- la reconnaissance, via la collecte d’informations (en sources ouvertes la plupart du temps, notamment par la présence de l’organisation cible et de ses employés sur les réseaux sociaux professionnels)
- envoi de messages depuis l’extérieur ou l’intérieur (une fois un premier compte compromis), adjonction de pièces jointes piégées, ou de liens vers des pages web piégées (utilisation des logos ou de noms de domaines semblables à ceux de l’entreprise ou d’un partenaire de confiance, téléchargement de fichiers piégés)
- et par la suite, il pourra s’agir soit d’installer par ce biais des outils malveillants pour parcourir le réseau de l’organisation, copier des données, ou de plus en plus souvent ces derniers mois chiffrer les données de l’entreprise et réclamer une rançon (utilisation de rançongiciels chiffrants ou cryptolockers).
Enfin, le rapport apporte un certain nombre de conseils sur la façon de prévenir et réagir face à de telles attaques, y compris sur la coopération avec les autorités. J’insisterai plus particulièrement sur ce dernier point: si vous êtes victimes d’une telle campagne, signalez-le aux autorités, gendarmerie ou police et s’il s’agit plus spécifiquement d’une extorsion suite à l’installation d’un rançongiciel chiffrant, ne payez pas la rançon ! Si nécessaire, faites-vous accompagner par un prestataire pour la restauration de vos données, et pendant le même temps faites confiance aux autorités d’enquête pour investiguer sur l’origine de la demande de rançon.
Pour compléter les conseils apportés dans ce rapport d’Europol, n’hésitez pas à consulter les didacticiels présentés par nos amis de CYBERMALVEILLANCE.GOUV.FR; en particulier les documents sur le hameçonnage, les fichiers chiffrés avec demande de rançon et la sauvegarde de ses données.