Le site d’alertes Zataz a découvert et analysé une attaque de phishing très ciblé visant plusieurs médias français. Sébastien Gest, Tech Evangéliste de Vade Secure (Spécialiste français de la protection des boites e-mails contre les attaques de phishing, spear phishing, malwares, zero-day, protégeant 550 millions d’emails dans 86 pays) réagit et invite les journalistes à utiliser le service d’analyse des attaques de phishing en temps-réel (par marque).
« Cette attaque, révélée et analysée de manière très détaillée par Damien Bancal, semble usurper les services Adobe Documents et Microsoft Office365. Comme nous l’avons révelé dans notre rapport trimestriel appelé « Phisher’s favorite* », les plateformes collaboratives comme Office365 sont des cibles de choix pour les hackers. Microsoft est d’ailleurs la marque la plus usurpée depuis 3 trimestres consécutifs pour mener des attaques de phishing, accompagnée de services plus traditionnels tels que Netflix ou encore Paypal ».
Pour Sébastien Gest, nous sommes dans cette attaque plutôt sur un cas de spear phishing, c’est à dire un phishing mais qui a pour cible des personnes bien identifiées. C’est la grande tendance de cette année, loin des phishing de masse envoyés sans réel ciblage, en espérant que des personnes tombent dans le piège. La mécanique de cette attaque de spear phishing est simple, du fait de la prolifération des bases de données contenant nos données personnelles, il n’a jamais été aussi simple de trouver une adresse ou de cibler une personne. Sur l’année 2018, on estime en effet à 1,7 milliard, le nombre de données qui ont fuité, et dont un grand nombre se retrouve en vente notamment sur le Darkweb. En ciblant les contacts clés sur un réseau professionnel comme Linkedin, le hacker n’a plus qu’à utiliser un service, initialement utilisé pour la prospection commerciale, comme hunter.io ou voilanorbert.com qui lui permet ainsi de générer l’adresse exacte de la cible. Suite au vol des identifiants, le pirate a ainsi accès à un ensemble d’outils collaboratifs permettant d’accéder à des documents confidentiels comme des mots de passe.
Sébastien Gest rappelle enfin que « devant une menace connue mais qui malgré cela est toujours en tête des principales cybermenaces constatées par les entreprises (le CESIN le confirme dans son baromètre 2019 réalisé avec OpinionWay – « Le phishing (constaté par 73% des entreprises) et l’arnaque au président (50%) se placent sur le podium des attaques les plus fréquemment subies par les sondés ») la sensibilisation des collaborateurs à la cybermalveillance est primordiale et des programmes de sensibilisation doivent absolument être mis en place ! Avant même que la technologie fasse son travail, il faut absolument que les utilisateurs soient capables d’identifier un email de phishing par eux-mêmes. Des outils ludiques peuvent également permettre aux employés/particuliers d’estimer leur capacité à détecter un faux email comme ce quizz mis à disposition en ligne.