Quelles différences entre le phishing et le spear phishing ?

Selon Kaspersky, une entreprise sur dix a été victime d’une attaque de spear phishing en 2019. Plus vicieuse que le simple phishing, cette menace échappe facilement à la vigilance des employés. Mais quelles sont les différences entre le phishing et le spear phishing et quels sont les moyens de lutter contre ces attaques ?

Qu’est-ce que le phishing ?

Le mot « phishing » est un mot-valise contenant les mots anglais « phreaking » (piratage téléphonique) et « fishing » (pêche). Traduit en français par « hameçonnage » ou « filoutage », le phishing est un type d’arnaque en ligne destinée à récupérer les données personnelles des internautes. Il s’agit d’une technique d’ingénierie sociale (ou fraude psychologique), qui exploite les faiblesses psychologiques des internautes.

Les cybercriminels envoient des e-mails en se faisant passer pour des entreprises ou des administrations. Dans le corps de l’e-mail frauduleux, ces pirates informatiques incitent la victime à cliquer sur un lien. Ils inventent un prétexte pour l’inciter à agir : « votre compte va être supprimé », « vous avez gagné à la loterie », « vous n’avez pas payé votre facture », etc. Pour mieux tromper leurs victimes, les cybercriminels reprennent la charte graphique, et notamment le logo de l’organisation dont ils usurpent l’identité. 

Le lien renvoie en fait à un formulaire hébergé par un site factice où l’internaute est invité à entrer ses informations personnelles. Lorsque la personne entre ses données, les pirates informatiques récupèrent celles-ci pour les utiliser à mauvais escient. Ils peuvent par exemple effectuer des achats avec le numéro de carte bancaire ou réaliser des virements. 

Qu’est-ce que le spear phishing ?

Spear phishing traduction : l’hameçonnage ciblé

En ce qui concerne le spear phishing, la traduction est « hameçonnage ciblé ». En anglais, « spear fishing » signifie « chasse sous-marine ». Spear phishing fait référence à cette pratique, qui se démarque de la pêche au filet. En effet, lorsque l’on pêche au filet, on laisse les poissons se prendre dans le filet. En chasse sous-marine, le pêcheur choisit sa proie et l’attrape avec un harpon. 

Comparaison entre phishing et spear phishing

Le phishing et le spear phishing sont comparables respectivement à la pêche au filet et à la chasse sous-marine. Avec le phishing, les pirates informatiques envoient des e-mails frauduleux à des milliers de destinataires. Dans la plupart des cas, les internautes détectent l’escroquerie ou sont protégés par un antivirus. Cependant, il suffit que quelques dizaines d’utilisateurs tombent dans le piège pour générer un revenu suffisant pour les cybercriminels. 

Avec le spear phishing, les hackers identifient la cible et personnalisent leur piège. Ils s’attaquent en particulier aux employés des entreprises, qu’ils espionnent sur les réseaux sociaux. Par exemple, un pirate informatique choisit un employé sur un réseau social comme LinkedIn. Il se renseigne sur lui sur d’autres réseaux sociaux pour connaître le nom de son patron, ses projets professionnels, mais aussi des informations personnelles. Le hacker envoie ensuite un e-mail à l’employé en se faisant passer pour son patron après avoir créé une adresse e-mail au nom de ce dernier. Il lui demande d’effectuer un virement en urgence vers un fournisseur, alors qu’il s’agit en fait d’une fausse société créée pour récupérer l’argent. 

Il arrive souvent qu’un employé, victime de spear phishing, se fasse duper à cause du caractère urgent du message, mais aussi de sa personnalisation. Le hacker mentionne en effet des détails dans le mail pour mieux tromper sa cible. De plus, les e-mails de spear phishing contiennent une adresse et une signature inconnues des systèmes de sécurité. Les messageries ne les classent donc pas comme spam.

Anti-spear phishing : comment se protéger efficacement ?

Selon le FBI, le spear phishing a coûté 1,2 million de dollars aux entreprises en 2018. Il est donc essentiel de se protéger contre ce type d’attaque.

Le premier moyen pour lutter contre le spear phishing est l’information. Les entreprises doivent prévenir leurs employés qu’ils doivent s’attendre à ce type de fraude. Elles peuvent mettre en place une procédure de signalement des e-mails suspects et des campagnes de simulation pour connaître les réactions des employés face à ce type de menace. Encourager la communication téléphonique entre les employés et leur hiérarchie pour vérifier les informations est aussi indispensable. 
Une réponse technologique est aussi nécessaire pour contrer le spear phishing. À ce titre, des solutions comme Kaspersky Integrated Endpoint Security ou Kaspersky Total Security intègrent des outils permettant de réduire les risques d’attaques ciblées (obtenir une licence Kaspersky Total Security au lien suivant).

Découvrez Kaspersky Total Security