Le phishing est une pratique en vogue depuis de nombreuses années, cependant, le phishing est un peu dépassé en action de masse et a tendance à être rapidement visible. Qui n’a jamais vu un message d’une autre banque que la sienne, demander des identifiant de connexion ? Qui n’a jamais reçu un message de l’Assurance Maladie annoncer un remboursement de plusieurs centaines d’euros ? Le phishing passe maintenant à la vitesse supérieure, le ciblage selon la personne. Tout un lot de techniques marketing, mises au service de la malveillance et de l’escroquerie.
Il faut donc pour les particuliers et les entreprises, surtout ces dernières par ailleurs, se doter de protections anti spear phishing.
Spearphishing : définition
Le spearphishing est généralement un principe qui se base sur une usurpation d’identité de l’expéditeur, qui consiste à envoyer un faux mail en utilisant l’identité d’une autre personne ou entité. Cela a pour objectifs de faire ouvrir une pièce jointe à l’utilisateur, contenant des scripts malveillants, notamment dans un fichier ZIP ou un fichier exécutable, mais il est également possible de glisser des virus dans une image.
Avec cette pièce jointe, il est possible une fois que le script malveillant qu’elle contenait, est exécuté, de s’introduire dans l’ordinateur ou le réseau d’une entreprise. Mais ça n’est pas tout, car le spear phishing permet également de vous inciter à faire un virement bancaire ou un paiement de toute sorte, en vous poussant à l’urgence et en vous faisant comprendre que vous n’avez que quelques heures voire au pire quelques jours pour payer.
Ces messages arrivent très généralement par mail et sont envoyés avec un nom qui donne confiance, comme « Votre Assurance Maladie » ou « Crédit Agricole » / « BNP Paribas » ou autre. Généralement, vous cliquez sans même vérifier l’adresse mail réelle, qui est en réalité une adresse totalement bidon derrière, qui n’a rien à voir avec tous ces services, souvent, c’est une adresse Gmail, Hotmail ou autres services encore moins connus. Pour les PME et grandes entreprises, Mailinblack propose une protection anti-spearphishing, afin de se protéger de ce type d’attaques en signalant les mails potentiellement dangereux.
Les différentes entre phishing et spear phishing
On peut associer le phishing à la pèche au filet, dans lequel on collecte un peu tout. Le spear phishing cependant, c’est plutôt la pêche au harpon, avec lequel on cible sa proie de manière définie et ciblée. Le spear phishing est encore plus dangereux que le phishing traditionnel, car il cible la personne, ses goûts, ses intérêts ainsi que diverses caractéristiques de sa vie. Avec le phishing traditionnel, vous pouvez recevoir un mail de votre banque vous demandant de vous connecter, alors que vous n’êtes pas client de cette banque. Dans le spear phishing, vous pouvez recevoir un mail de votre véritable banque, c’est là toute la différence.
Dans le spear phishing, vu que l’attaque est ciblée contre une personne bien définie, l’arnaque est généralement très bien faite et on peut facilement y voir un interlocuteur ou un message de confiance, alors qu’en réalité, il n’en est rien. Le phishing ciblé a plus tendance à cibler les entreprises ou les « gros poissons » de manière à être plus efficace. Il est plus long à mettre en place donc doit être plus rentable.
Comment s’en protéger ?
Les bonnes pratiques pour se protéger sont relativement simples, quand votre banque vous demande un renseignement, allez directement sur le site de votre banque, sans cliquer sur le lien présent dans le mail. Quand on vous propose un remboursement de l’Assurance Maladie, c’est quasiment dans 100% des cas une arnaque, les remboursements se faisant automatiquement.
Cependant, vous pouvez vous protéger en faisant attention et sans croire les belles promesses. Non, les impôts ne vous enverront pas un mail pour vous dire que vous avez droit à un remboursement à hauteur de 3000€, vous recevrez un message vous demandant d’aller dans votre espace personnel. Là encore, vérifiez bien les adresses mail qui vous envoient les messages.
Pour vous aider ou si vous ne savez pas encore de manière certaine déterminer les arnaques des réels messages de demande de paiement ou autres, vous pouvez toujours opter pour un logiciel anti-hameçonnage, ce dernier permettra d’offrir une belle aide pour dénicher les escrocs qui tentent d’abuser de votre confiance.