Le harponnage est une attaque sur-mesure et extrêmement ciblée conçue pour manipuler les victimes afin qu’elles cliquent sur un lien ou téléchargent une pièce jointe. Wieland Alge, VP et DG EMEA Barracuda Networks explique le processus.
Les tentatives de cyber-attaques de type harponnage (spear phishing) et ransomwares ne cessent de croître au sein des entreprises, selon une enquête récente d’Osterman Research. Au cours des 12 derniers mois, une grande partie des organisations, y compris les PME, en ont été victimes. À l’inverse des attaques par phishing classiques, qui diffusent habituellement des messages indésirables à des milliers de personnes, le harponnage est une attaque sur-mesure et extrêmement ciblée conçue pour manipuler les victimes afin qu’elles cliquent sur un lien ou téléchargent une pièce jointe.
Avec une expertise, une disponibilité et des ressources parfois limitées pour gérer les attaques numériques, les petites entreprises semblent être les cibles privilégiées de ce type de cybercrime.
Comment fonctionne le harponnage ?
En fouillant les sources en ligne, comme LinkedIn et le site web de l’entreprise, ou en téléphonant au standard, les criminels mènent des recherches afin d’identifier des données spécifiques qui aideront à convaincre leurs cibles de la légitimité des e-mails contrefaits qu’ils reçoivent.
Le but du jeu consiste à incarner un employé ou un prestataire connu pour amener les destinataires à ouvrir un lien ou un fichier malveillant. Il est assez inquiétant de voir que les criminels développent un certain talent à exploiter les comportements de « réponse rapide » des employés, particulièrement lorsqu’ils travaillent en déplacement ou utilisent des plateformes de messagerie instantanée.
Les escrocs utilisent également leurs connaissances en ingénierie sociale pour cibler les PDG et les équipes du service financier : des e-mails prétendant émaner d’un fournisseur, d’une filiale à l’étranger ou de tout autre contact connu, demandant un transfert de fonds immédiat sont envoyés. Dans d’autres cas, les directeurs peuvent recevoir un e-mail conçu pour ressembler à ceux émis par un organisme gouvernemental, au sujet de taxes non payées, d’amendes ou d’une plainte d’un client.
En matière d’accès aux réseaux d’entreprise, les criminels se concentreront sur la recherche d’un point d’entrée par une porte dérobée offrant une « solution de facilité ». Pour ce faire, leurs campagnes de harponnage ciblent les plus petits fournisseurs et sous-traitants, dont la cybersécurité a des chances d’être moins avancée. Cela leur permettra de mettre un premier pied dans le réseau, de récolter des informations et de préparer leur attaque ciblée.
Quelle attitude adopter afin de réduire les risques ?
Il existe un certain nombre de bonnes pratiques que les entreprises peuvent mettre en place pour se protéger contre le harponnage et le ransomware.
1. Former les utilisateurs
Les attaquants d’aujourd’hui ciblent le point de vulnérabilité le plus facile du réseau : les utilisateurs. Les e-mails représentent le vecteur de menace principal pour de nombreuses attaques. Beaucoup d’utilisateurs souffrent d’une surcharge d’informations et sont donc moins enclins à prendre le temps de vérifier la provenance de l’email.
Une formation sur la sécurité est un outil essentiel pour améliorer les niveaux de protection – et les conclusions d’Osterman Research confirment que les organisations dont les employés sont bien formés risquent moins de souffrir d’une attaque de harponnage. La formation doit être menée de façon régulière, et elle doit expliquer comment gérer les fraudes ou les e-mails compromis, détailler les bons comportements vis-à-vis des messageries électroniques et les pratiques sûres lorsque l’utilisateur effectue des recherches sur Internet.
2. Prévenir et surveiller
Il est important de déployer des systèmes pour détecter et éliminer les tentatives de harponnage et de ransomware. La surveillance des logiciels doit fournir une visibilité totale, permettant aux équipes informatiques de scanner régulièrement les boîtes de réception des messageries électroniques pour désigner les menaces visant un appareil spécifique. Des mesures préventives doivent également être prises, notamment des scans de détection des vulnérabilités, et des outils de détection des menaces avancées. Enfin, les procédures de sauvegarde doivent être passées en revue pour assurer que les données peuvent être récupérées sur toutes les plateformes – ce qui limitera les dommages en cas d’attaque.
3. Sécuriser le Cloud
L’adoption de solutions conçues pour fonctionner dans le Cloud garantit aux entreprises de mieux protéger leurs utilisateurs, leurs données et leurs actifs quand elles utilisent des suites de bureautique Cloud ou autres services hébergés. Ces solutions comprennent des outils de scan heuristique qui recherchent les commandes pouvant indiquer une activité malveillante, et des émulateurs de systèmes, hébergés dans le Cloud, qui ouvrent et examinent les fichiers dans un sandbox (boîte à sable) pour protéger les systèmes du risque de pièce jointe malveillante.
4. Actualiser les systèmes
Toutes les applications et tous les systèmes d’exploitation doivent être inspectés régulièrement à la recherche de vulnérabilités et mis à jour à l’aide des correctifs les plus récents fournis par les vendeurs. L’année dernière, Edgescan a découvert que 63 % de l’ensemble des vulnérabilités de sécurité auraient pu être éradiqués rien qu’en appliquant les mises à jour de sécurité. Sans la dernière mise à jour, les données de l’entreprise ne sont tout simplement pas protégées.
5. Mettre en application des politiques solides
Il est primordial de détailler des politiques précises pour la messagerie électronique, l’usage d’Internet, et les outils déployés par le service informatique, pour garantir que tous ces éléments respectent les obligations juridiques et réglementaires de chiffrement des messages électroniques et des données sensibles. L’utilisation d’appareils personnels accédant aux systèmes de l’entreprise doit être contrôlée afin de s’assurer que les employés connaissent les outils et applications fiables qu’ils doivent utiliser pour accéder, via ces terminaux, aux ressources de l’entreprise.
Aucune organisation ne peut se permettre d’ignorer la menace croissante des cyberattaques personnalisées et ciblées. La nature multivectorielle de ces menaces explique l’importance capitale de la mise en place d’une stratégie de bout en bout pour gérer les menaces de harponnage, de ransomware, et réduire les risques d’infections.