Phishing : quand des phishers pros attaquent votre boite mail

Posté le Sécurité Informatique
Phishing Security Expert-Com

Phishing : une enquête de terrain

Cet article est la traduction d’un papier paru sur Wired, où un journaliste a volontairement subi des attaque de Phishing par une équipe de Phishers professionnels. Ainsi, pour vous protéger, nous vous recommandons notre article sur la cybersécurité de vos emails.

Qu’est-ce que ça fait quand des professionnels du Phishing vous attaquent ?

En moyenne le matin, j’ai une trentaine de mails sur ma boite personnelle, et une quarantaine sur ma boite professionnelle, enfin vous voyez le tableau. Ainsi, je fais un tri : suppression des newsletters, archivage des indésirables, clic sur le Google Doc d’un collègue etc.

Néanmoins ces temps-ci, je regarde mes courriers reçus avec détermination. En effet, pendant 5 semaines ce printemps, j’ai subi les attaques d’une équipe de hackers dont le but était … de me Phisher. Par conséquent, j’avais donné mes adresses email professionnelles et personnelles et la permission totale de m’envoyer des attaques de Phishing. Ainsi, je recevais régulièrement des liens malveillants ou des pièces jointes piégées.

Si vous pensez que ça peut provoquer un soupçon de paranoïa, et bien vous avez parfaitement raison. En effet, chaque email que je reçois pourrait être faux, chaque photo de vacances un piège. Ainsi, je savais qu’ils en étaient après moi, je ne savais juste pas comment ni quand.

Néanmoins, il est très difficile de rester super-vigilant quand vous n’y êtes pas habitué. Ainsi, quand la première attaque de phishing m’a frappé, trois semaines après le début de l’expérimentation, je m’étais déjà un peu relâché.

Début d’une attaque Phishing

L’objet était « Avis de la Cour » et l’email disait « Ceci est un rappel à vous présenter le 2 juin pour votre audience ». Néanmoins, l’équipe de hackers ne savait pas que mon appartement avait été forcé par des cambrioleurs quelques années auparavant. Ainsi, j’avais déjà reçu de nombreuses notifications de ce genre-là. Par conséquent, j’ai commencé à parcourir frénétiquement mes emails reçus relatifs au cambriolage. En effet, j’étais complètement paniqué à l’idée d’avoir mal compris quelque chose sur l’affaire. De plus, l’email que je venais de recevoir avait une pièce jointe de type Microsoft Word à l’image des messages légitimes que j’avais pu recevoir.

Néanmoins, j’ai remarqué que ce nouvel email provenait d’une adresse en gmail.com et pas en .gouv. J’ai soupiré, quel idiot – au moins je n’avais pas cliqué sur télécharger.

J’ai su plus tard que cette attaque avait été modelée sur une arnaque de Phishing qui circulait à l’époque. Ainsi, les hackers avaient modelé leur email sur cette menace et l’avaient personnalisé. En effet, le message comprenait des informations me concernant, et que l’on pouvait trouver librement puisque publiques. Autant que possible, une arnaque Phishing essaie de faire travailler les gens. Ainsi, on va retrouver certains leviers émotionnels évoquant l’urgence, la peur ou la récompense.

Des attaques particulièrement bien pensées

En effet, après le fiasco de l’email de la Cour, les hackers ont ouvert les vannes à fond pour attaquer ma boite mail tous les deux jours pendant deux semaines. Ainsi, ma boite de réception est devenue un champ de mine digital, saturé par des objets d’emails incitant au clic. En effet, on pouvait lire par exemple « Action requise : confirmez la suppression de votre adresse email en tant qu’alias de compte ». Ou encore « Votre commande est en cours », suivi d’un bouton jaune typique d’Amazon demandant de « Gérer votre commande ».

Cette entreprise de Phishing, PhishMe, crée des simulation comme ça pour des professionnels, essayant de tester leur vulnérabilité face à des email de Phishing. De plus, l’entreprise tente constamment de tester ses propres employés également. En effet, le risque est fort : la plupart des chercheurs et des plaisantins pensent qu’il serait drôle d’arnaquer une entreprise … d’arnaque. Ainsi, PhishMe mène régulièrement des attaques phishing agressives envers ses collaborateurs.

Ainsi, puisqu’ils sont toujours en alerte, les salariés de PhishMe excellent dans ces tests. Par conséquent, lors d’une expérience au cours duquel une attaque Phishing élaborée, seules 6 personnes sur 370 ont exposé leurs data. De plus, cette attaque était basée sur une astuce tendance. En effet, au lieu de tromper l’utilisateur en le poussant à partager ses informations d’identification, les hackers parvenaient à le convaincre d’autoriser une application tierce à avoir accès à un compte comme leur adresse email. Ainsi, c’est le même type d’attaque qui a été utilisé au printemps dernier.

Des arnaques aux conséquences désastreuses

C’est là le défi inhérent au Phishing et le thème qui m’a rendu paranoïaque? En effet, les tactiques changent sans cesse, et les conséquences peuvent être dévastatrices. Demandez à Sony Pictures !

En effet, il est bien plus facile pour les hackers d’installer un malware sur un appareil ou d’accéder au réseau en piégeant les utilisateurs avec du contenu douteux plutôt que de recourir à un hack technologique. Ainsi, les tendances humaines s’avèrent bien plus facile à exploiter que de complexes défenses digitales.

Durant cette expérience, je n’ai jamais cliqué sur un des liens de PhishMe, ou téléchargé une de leurs pièces jointes. Néanmoins, je n’en ai pas été très loin ! De plus, j’ai ouvert chacun des emails de Phishing qu’ils m’envoyaient. En effet, j’étais suspicieux de nombreux emails juste en lisant leurs objets. Néanmoins, jamais assez pour passer outre mon désir de confirmer que personne n’avait piraté mon compte Amazon.

Partagez cet article !