Phishing : le filet de pêche des hackers

  • 0

Phishing : le filet de pêche des hackers

Category : Non classé

fishing-262496_960_720On a beau en parler de plus en plus, le succès du phishing ne se dément pas. Les mails se multiplient à mesure que se volent les adresses emails et que les spams nous envahissent. Car en la matière, il faut bien admettre que les outils de défense ont toujours un train de retard sur les pratiques des escrocs.

Le phishing de masse

Vous recevez un mail d’une veuve éplorée qui vous a choisi, vous, comme légataire de sa colossale fortune. Vous avez gagné à une loterie à laquelle vous n’avez jamais participé, mais comme vous avez joué au Monopoly dans votre enfance, la carte « erreur de la banque en votre faveur » vous revient en mémoire. Vous recevez un mail de la banque vous signifiant que votre compte est bloqué. Seule solution : le débloquer vous-même en vous connectant au compte de récupération donc l’adresse est fournie dans le message.

Les exemples de phishing de masse ne manquent pas et d’après les alarmantes statistiques des agences de sécurité, le taux de réussite des escroqueries est en net progrès. La raison : les pirates sont de plus en plus perfectionnistes. Les messages et les sites pièges sont des prouesses techniques, imitant à merveille les originaux. Du coup, de plus en plus de gens tombent dans le panneau.

Pour l’entreprise, le phishing de masse ne représente qu’un danger mineur dans la mesure où il n’attaque que la personne titulaire du mail et sa crédulité. toutefois, depuis quelque temps, les logiciels malveillants de type ransomware causent des dégâts dans les entreprises, bloquant des postes de travail et nécessitent des interventions musclées des services informatiques. Les antivirus sont de plus en plus souvent contournés et ce qui n’est à l’origine qu’une escroquerie à la personne devient vite un problème collectif.

Le phishing ciblé

Mais depuis bien longtemps, les hackers mercenaires utilisent le phishing ciblé pour parvenir à leur fin. Leurs outils :

1/ Un bon RAT (logiciel d’accès distant, le plus souvent personnalisé par l’auteur et dont le code est modifié pour échapper à la surveillance des anti-virus).

2/ L’ingénierie sociale

Et en la matière, ce qui change tout, c’est bien évidement le second élément. Si le hacker a réussi une bonne collecte d’information sur la société qu’il vise, il peut alors reconstituer la chaîne de commandement, c’est à dire, qui donne des ordres à qui, et qui reporte à qui. Ensuite, c’est la stratégie qui prime. D’évidence, votre secrétaire ne transmettra pas les tableaux de chiffre d’affaire ou l’extraction de la CRM qui lui est demandée à un email inconnu. Mais durant vos congés, elle le fera si l’email vient de vous, qu’il porte votre signature et qu’il contient quelques informations sur votre lieu de vacances. Un petit « bon courage et merci » la comblera, et les précieux documents sortiront du sacro-saint ERP à votre insu.

Vous l’avez compris, dans ce cas, le phishing est efficace car il est crédible, et c’est là tout l’enjeu de l’ingénierie sociale : savoir recueillir un maximum d’éléments pour pouvoir abuser de la confiance des collaborateurs.

Reste à savoir comment le hacker s’y prend pour obtenir toutes ces informations.

Il dispose d’un véritable arsenal, interne, externe, conscient, inconscient, direct, indirect. Mais ceci est une autre histoire …


Leave a Reply