Une attaque par appât est un type d’attaque de phishing qui utilise l’ingénierie sociale pour vous manipuler. Ces attaques visent souvent votre cupidité ou votre curiosité pour vous inciter à infecter votre appareil avec un logiciel malveillant.
Ces attaques prennent souvent trois formes :
L’une des attaques par appât les plus célèbres de l’histoire a été l’attaque de 2008 contre le Département de la Défense des États-Unis.
Elle a été qualifiée de « pire violation des ordinateurs militaires américains de l’histoire », et a conduit à la création du Commandement Cyber des États du Département de la Défense.
L’Opération Buckshot Yankee, comme elle a été nommée, impliquait une clé USB infectée laissée dans le parking d’une installation du DoD au Moyen-Orient.
Un agent a branché une clé USB infectée sur un ordinateur portable et a involontairement installé un code malveillant destiné à voler des informations des ordinateurs de la base.
Le logiciel malveillant était un ver autoreproducteur qui s’est propagé automatiquement dans tout le réseau du DoD. Il a fallu 14 mois au Pentagone pour éliminer complètement le ver de leurs systèmes.
Et c’était une tactique d’appât classique qui a joué sur la curiosité de la victime. Cela a failli conduire à une crise nationale aux proportions inconnues.
Les individus comme les organisations sont à risque d’attaques par appât. Mais ce sont les organisations qui doivent être particulièrement prudentes. Après tout, les enjeux sont plus élevés et les conséquences beaucoup plus graves.
Un seul employé tombant dans le piège d’une attaque par appât peut entraîner une réaction en chaîne de violations de données, de pertes de réputation, de dommages financiers, et plus encore.
Ci-dessous, je vais vous faire une plongée approfondie sur les attaques par appât. Je vais vous montrer ce qu’elles sont, les principes spécifiques utilisés, les scénarios et techniques courants, les études de cas, et les drapeaux rouges.
Commençons !
Une attaque par appât est une sous-catégorie des attaques de phishing généralisées. Au fond, l’appâtage est une forme de phishing.
Cependant, une attaque par appât possède quelques éléments spécifiques :
Voyons en détail ces deux points ci-dessous et comment fonctionnent les attaques par appât :
La grande majorité des attaques par appât ciblent deux émotions de base – la cupidité et la curiosité.
Concernant la cupidité, les hackers tentent souvent de vous convaincre avec des promesses de richesse, de réductions, d’offres exclusives, et de choses qui semblent trop belles pour être vraies.
La perspective d’un avantage financier rend souvent les victimes aveugles, les poussant à prendre des décisions impulsives sans réfléchir.
Cela les amène à prendre des risques qu’elles n’auraient pas pris autrement. À travers la cupidité, les attaques par appât manipulent leurs victimes pour qu’elles compromettent elles-mêmes leur sécurité.
Cela pourrait signifier télécharger un logiciel malveillant ou accéder à un lien promettant une forte réduction sur un produit.
Avec la curiosité, l’histoire est quelque peu différente. Les hackers utilisent le plus souvent des supports physiques pour attirer l’attention et jouer sur la curiosité de leurs victimes.
L’idée est de créer un sentiment de mystère et d’intrigue à travers cette attaque. Les victimes se sentiront obligées de voir ce qu’il y a sur la clé USB aléatoire qu’elles ont trouvée, ou d’ouvrir le lien mystérieux qu’elles ont reçu.
Les acteurs malveillants mettent souvent une étiquette « Confidentiel » ou « Classifié » sur ces clés USB pour éveiller encore plus la curiosité de leurs victimes.
En ligne, ces attaques par appât basées sur la curiosité pourraient promettre des informations confidentielles ou des secrets que vous ne pourriez pas autrement accéder.
En comprenant comment les attaques par appât utilisent ces deux émotions pour vous manipuler à prendre des actions impulsives, vous pouvez augmenter votre conscience et vous défendre.
Cela est vrai tant pour les individus que pour les organisations. Les employés devraient également recevoir une formation de base sur les attaques par appât pour éviter d’en être victimes.
Les attaques par appât ont souvent des scénarios spécifiques plus courants par rapport aux attaques de phishing de base.
Voyons quelques-uns de ces scénarios :
Vous pouvez recevoir un message ou un e-mail parlant d’une réduction très élevée (trop belle pour être vraie) sur un produit ou service que vous recherchez.
Parfois, le produit/service promis dans une attaque par appât est gratuit. Le hacker veut jouer autant que possible sur votre cupidité.
Et qui peut résister au gratuit ?
Un autre scénario courant est de gagner une grosse somme d’argent. Cela pourrait être une loterie dans laquelle vous avez été automatiquement inscrit (selon le hacker) ou un héritage.
J’ai personnellement reçu de nombreux e-mails de type loterie par le passé, et ils demandent tous vos informations personnelles pour vous virer l’argent.
Ne vous laissez pas tromper – c’est une arnaque !
Le hacker pourrait se faire passer pour un service de shopping que vous avez utilisé auparavant, et vous surprendre avec un prix inattendu.
Ils pourraient inventer diverses raisons, comme un programme de fidélité récompensant les clients.
Bien sûr, les liens et les numéros de téléphone fournis par le hacker sont faux. Ne tombez pas dans le piège !
Un autre scénario d’appâtage est lorsque l’acteur de la menace vous laisse un avis de passage indiquant que vous avez manqué une livraison. Cette fois, nous avons affaire à une attaque physique, et le fait que le hacker sache où vous habitez est extrêmement dangereux.
L’avis peut contenir un numéro de téléphone ou un autre moyen de contact – ne les utilisez pas. Laissez retomber votre curiosité, car c’est une arnaque.
Mais comment les attaquants construisent-ils leurs attaques par appât et comment assurent-ils leur efficacité ? Voyons cela ci-dessous !
Les acteurs de la menace utilisent certaines techniques pour assurer l’efficacité de leur attaque par appât. Voyons quelles sont ces techniques :
Dans les attaques par appât impliquant des fichiers malveillants, les pirates s’assureront de déguiser ces fichiers sous des formats à l’aspect innocent.
Ils utiliseront des extensions inoffensives, des noms sonnant légitimes et des icônes non menaçantes qui ne susciteront pas de drapeaux rouges.
Tout cela est une supercherie pour vous tromper et vous inciter à les ouvrir. Le but est de créer une illusion d’innocence et de cacher le danger.
Cela fonctionne aussi pour les liens malveillants que le pirate tente de déguiser en éditant leurs URL pour les rendre non menaçants.
Les attaques par appât reposent presque entièrement sur la première impression. Les pirates savent qu’ils n’ont que quelques secondes pour vous convaincre de faire quelque chose de stupide.
Ainsi, ils ont besoin que vous leur fassiez assez confiance pour cliquer sur un lien ou télécharger un logiciel malveillant.
Ils prétendront souvent représenter des entreprises légitimes avec lesquelles vous avez déjà traité. Tout cela pour gagner votre confiance et vous faire baisser votre garde.
Le pirate pourrait aussi assumer un sentiment d’autorité dans un domaine donné – comme un spécialiste du marketing ou un secrétaire – pour gagner votre confiance.
Toutes les attaques par appât utilisent les émotions pour vous faire faire des choses que vous ne feriez pas normalement. Mais pourquoi fonctionnent-elles ?
C’est à cause de l’amplification émotionnelle. Ces attaques fonctionnent en amplifiant certaines émotions comme la cupidité, la curiosité, la rareté et l’urgence.
Cela augmente les chances que vous tombiez dans le piège car vos émotions prendront le dessus.
Lorsque nous cédons à la curiosité, à la cupidité ou à l’urgence, nos processus de pensée rationnels passent en arrière-plan pour laisser place à des décisions impulsives.
C’est sur quoi les pirates parient – qu’en amplifiant ces émotions, vous prendrez des décisions irréfléchies.
Pour comprendre comment fonctionnent les attaques par appât dans le monde réel et illustrer les conséquences potentielles, j’ai préparé 5 études de cas réelles impliquant des attaques par appât.
Leur analyse va éclairer sur le fonctionnement de ces attaques. Alors, commençons !
Stuxnet est peut-être l’attaque par appât la plus notoire de l’histoire, une attaque qui a conduit à de graves répercussions géopolitiques.
Voici les détails de Stuxnet ou Operation Olympic Games, comme elle est devenue connue :
L’installation nucléaire de Natanz était réputée inviolable à l’époque, car ses systèmes n’étaient connectés à internet à aucun moment.
La seule façon d’infiltrer l’installation était physiquement. Et c’est exactement ainsi que Stuxnet a pénétré – un employé de Natanz a branché la clé USB sur un appareil de travail.
Une fois le ver à l’air libre, il s’est propagé de façon indiscriminée d’appareil en appareil sur le réseau interne de Natanz et a trouvé tous les PCL de Siemens.
Fait intéressant, Stuxnet a exploité cinq vulnérabilités de jour zéro et une porte dérobée pour se propager à travers les PC Windows de l’installation de Natanz :
Si vous connaissez quelque chose en cybersécurité, vous savez qu’exploiter simultanément autant de vulnérabilités est extrêmement rare.
C’est parce que les pirates ne veulent pas révéler tous leurs atouts d’un coup. En général, une fois qu’une vulnérabilité de jour zéro est connue, les entreprises de sécurité développent un correctif et coupent l’accès au pirate.
Cependant, Stuxnet était une cyberattaque sans retenue qui n’avait besoin que d’une opportunité pour infiltrer l’installation de Natanz et ruiner son programme nucléaire.
Le ver a également été écrit dans plusieurs langages de programmation, y compris C, C++, et d’autres langages orientés objet.
Même aujourd’hui, il reste l’une des pièces les plus sophistiquées de logiciels malveillants jamais écrites. Les experts continuent de l’analyser aujourd’hui pour en tirer des leçons.
Stuxnet a-t-il réussi, cependant ? En un mot, oui. Il a réussi à mettre hors service environ 2 000 centrifugeuses en un an, alors que le nombre typique de centrifugeuses mises hors service était d’environ 800.
Des rumeurs disent que Stuxnet a retardé le programme nucléaire de l’Iran d’au moins deux ans. La seule raison pour laquelle il a été découvert est qu’un employé de Natanz l’a emporté sur un appareil de travail.
Recherches de Sécurité et Décodage de Stuxnet
Les chercheurs en sécurité ont finalement trouvé et en grande partie décodé Stuxnet. Il contenait plus de 15 000 lignes de code, ce qui est bien plus que ce que comprennent les autres malwares.
Et tout a commencé avec une simple clé USB qu’un employé de Natanz a trouvé par hasard et branché sur un appareil de travail.
Une attaque par appât du début à la fin !
Avertissement – L’Opération Aurora comprenait uniquement des éléments d’appâtage (tactiques de spear phishing) mais n’était pas une attaque par appât typique. Elle se concentrait plutôt sur l’exploitation de vulnérabilités de jour zéro et de portes dérobées.
L’Opération Aurora fut l’une des cyberattaques les plus étendues de l’histoire, menée par le Groupe Elderwood (lié à la Chine) contre plusieurs entreprises américaines de haut profil.
Les cibles confirmées incluent :
Selon divers rapports, Symantec, Yahoo, Dow Chemical, Northrop Grumman et Morgan Stanley étaient également ciblés par l’Opération Aurora.
Le principal objectif de l’attaque était de voler des secrets commerciaux du secteur privé américain – leurs dépôts de code source.
Voici l’ordre des événements :
I. Le Début de l’Attaque
L’anatomie de l’Opération Aurora est fascinante de par sa sophistication. Selon McAfee, les attaquants ont utilisé plusieurs vulnérabilités de jour zéro dans l’application navigateur Internet Explorer et le logiciel de révision Perforce.
Les pirates ont envoyé des e-mails d’appâtage aux employés de ces entreprises, essayant de se faire passer pour des collègues ou des sources de confiance. Ils ont attiré les victimes à cliquer sur des liens malveillants qui installeraient le malware infecté sur les appareils de l’entreprise.
Grâce aux tactiques de spear phishing et à l’exploitation de jour zéro, les attaquants ont obtenu l’accès élevé dont ils avaient besoin pour accéder aux systèmes informatiques des entreprises.
Ils ont également utilisé des connexions par porte dérobée dans les comptes Gmail pour accéder aux systèmes informatiques.
II. Google Annonce l’Attaque
Le 12 janvier 2010, Google a annoncé sur son blog avoir subi une cyberattaque en décembre qui provenait de Chine.
Ils ont également affirmé que plus de 20 entreprises avaient été attaquées durant la même période par le même groupe.
Pour cette raison, Google a déclaré qu’il envisagerait de mettre fin à ses relations commerciales en Chine. Plusieurs autres déclarations politiques ont été publiées le même jour par diverses parties.
Le gouvernement chinois n’a pas publié de réponse formelle à ces allégations.
III. Symantec Commence l’Investigation des Attaques
Les entreprises de cybersécurité Symantec et McAfee ont proposé d’enquêter sur l’attaque pour le compte de Google et toutes les autres entreprises affectées.
Après avoir examiné les preuves (noms de domaine, signatures de malware, adresses IP, etc.), ils ont découvert que le Groupe Elderwood était responsable de l’Opération Aurora.
Le groupe de hackers est également connu sous le nom de « Groupe de Pékin », et ils ont mis la main sur une partie du code source de Google et des informations sur plusieurs militants chinois.
Dmitri Alperovitch, vice-président de la recherche sur les menaces chez McAfee, a identifié l’attaque comme « Opération Aurora » parce que « Aurora » était un chemin de fichier inclus dans deux des malwares utilisés dans les attaques.
IV. Conséquences
Après que les attaques soient devenues de notoriété publique, de nombreux pays ont temporairement cessé d’utiliser Internet Explorer en raison des vulnérabilités de jour zéro intégrées.
Google s’est également retiré de Chine et ne maintient qu’une version locale du moteur de recherche depuis Hong Kong.
L’Opération Aurora s’est avérée plus néfaste pour la Chine que pour les États-Unis, car la première a perdu davantage dans les suites de l’attaque.
Les attaques par appât ne sont généralement pas difficiles à repérer. Heureusement, prendre quelques précautions et être conscient de la manière dont elles vous trompent peut grandement vous protéger.
D’abord, laissez-moi vous montrer les signaux d’alerte les plus courants pour les attaques par appât !
Dès le départ, si vous voyez un objet d’email alarmiste, votre détecteur d’arnaques devrait déjà sonner.
De tels objets pourraient dire « Changez Votre Mot de Passe Maintenant » ou « Profitez de cette Réduction Tant Qu’elle est Là ».
Si l’autre partie crée un sentiment d’urgence et souhaite jouer sur vos émotions pour vous faire prendre des décisions impulsives, vous devriez commencer à remettre en question leurs intentions.
C’est soit un email marketing légitime (?) ou une attaque par appât visant à vous arnaquer. Dans de nombreux cas, les deux ne sont pas aussi clairement définis que nous le souhaiterions.
Si l’autre partie demande des informations personnelles ou sensibles comme votre numéro de carte de crédit, ne les fournissez PAS.
Aucune entreprise légitime ne demandera jamais des informations sensibles par email ou messages directs. C’est parce que les informations sensibles sont justement cela – sensibles pour votre identité, et vous seul devriez les connaître.
99,99 % de tous les emails demandant de telles informations sont des attaques par appât. Les 0,01 % restants sont soit des entreprises non professionnelles soit des entreprises confrontées à des problèmes de sécurité particulièrement graves.
Lorsque vous recevez un email étrange de quelqu’un que vous connaissez (même votre supérieur), vérifiez son adresse email ou son domaine.
Comparez ensuite avec ce que vous avez dans votre liste de contacts. Sont-ils identiques ? Ou celui utilisé dans l’email est-il un peu différent ?
Peut-être qu’il a une lettre supplémentaire ou utilise le verrouillage majuscules, ou l’une des lettres est doublée. C’est une adresse email de phishing soigneusement (ou pas) conçue pour vous tromper.
Puisque les attaques par appât sont une sous-catégorie des attaques de phishing, je vous renvoie à mon guide sur les attaques de phishing.
Les méthodes de prévention et les signaux d’alerte sont exactement les mêmes pour les deux :
Un service antimalware premium vous aidera à prévenir les infections au cas où vous tomberiez par erreur dans une attaque par appât et téléchargeriez un malware.
Vous pourriez aussi vouloir choisir un fournisseur d’email plus privé et sécurisé comme Proton. Leurs filtres d’email sont mieux adaptés pour identifier les spams potentiels et les attaques de phishing (les emails seront automatiquement envoyés en Spam).
Cela vous donnera une meilleure idée de ce à quoi vous attendre de ces emails. Mais soyez prudent – tous les emails dans votre dossier Spam ne sont pas des emails de phishing.
Les filtres d’email ne sont pas 100 % précis tout le temps, ils peuvent donc se tromper.
Les attaques par appât sont la forme la plus courante d’attaques de phishing. Elles utilisent la psychologie pour vous tromper et vous inciter à accéder à un lien infecté ou à télécharger une pièce jointe malveillante.
Mais ce sont aussi certaines des attaques les plus faciles à contrer. Il ne faut que deux choses pour rendre une attaque par appât inutile :
En toute sincérité, tout ce dont vous avez besoin, ce sont ces deux choses pour ne plus jamais tomber dans une attaque par appât.
Savoir identifier une attaque par appât n’est pas toujours facile, cependant. Alors, laissez ce guide (et l’autre sur le phishing en général) vous apprendre comment le faire !
Sources
CRN – Confirmation par le Pentagone de l’Attaque Cybernétique de 2008 Contre l’Armée Américaine
CSO Online – Stuxnet Expliqué : La Première Arme Cybernétique Connue
Gizmodo – L’Histoire Incroyable de la Découverte de Stuxnet
JPost – “Le Virus Stuxnet a Retardé le Programme Nucléaire de l’Iran de 2 Ans”
CS Monitor – Voler les Secrets Commerciaux des États-Unis : Identification de Deux Grands “Gangs” Cybernétiques en Chine
Blog Google – Une Nouvelle Approche pour la Chine
Privacy Affairs – Pourquoi le Phishing est-il Si Courant & Comment se Protéger Contre ?