Anatomie d'une attaque par Spear Phishing

Qu'est-ce qu'une lance phishing?

Le spear phishing est un type d'attaquephishing très ciblé et très efficace. Contrairement aux campagnes génériques phishing envoyées à un grand nombre de personnes, le spear phishing cible des individus ou des organisations spécifiques. Il implique des recherches approfondies pour élaborer des courriels, des appels téléphoniques ou des messages sur les médias sociaux hautement personnalisés, qui semblent souvent provenir d'une source de confiance telle qu'un collègue, un superviseur ou un partenaire commercial connu. L'attaquant fait des recherches approfondies sur sa cible pour que le message ait l'air légitime et incite la victime à agir. Même des employés très compétents se font piéger par des courriels de type spear phishing , ce qui fait de ces attaques ciblées une priorité absolue pour les défenseurs.

Pourquoi les attaquants utilisent-ils le spear ? phishing

Spear phishing est fréquemment utilisé par des groupes de ransomware et des APT comme Akira, Black Basta et APT29. Les attaquants l'utilisent pour :

• Augmenter les chances de réussite
• Accéder au centre de données
• Voler des informations sensibles
• Infecter les appareils avec malware

Le processus d'une attaque de type spear phishing

Les attaques de type "Spear phishing " suivent un processus très structuré :

• Recherche : Les spear phishers recueillent des informations détaillées sur la cible, souvent par le biais des médias sociaux, de bases de données publiques ou de violations antérieures. 
• Créer l'appât : L'attaquant rédige ensuite un message convaincant qui semble provenir d'une source fiable et qui contient des informations personnelles, des événements récents, des connaissances communes et d'autres détails individuels.
• Livraison : Le message est accompagné d'un lien ou d'une pièce jointe malveillante, comme malware ou un faux site web conçu pour voler les identifiants de connexion. 
• Exploitation : Une fois que l'employé a mordu à l'hameçon, le pirate obtient un accès qui lui permet de se déplacer latéralement dans le réseau de votre organisation et d'intensifier l'attaque.

Comment contrer les attaques de type "spear phishing " ?

Les outils de prévention ne parviennent souvent pas à arrêter ce type d'attaque, ce qui en fait une menace même avec les passerelles web sécurisées, les pare-feu et les systèmes de protection contre les intrusions (IPS). phishing C'est pourquoi il est essentiel de mettre en place des détections adéquates afin de pouvoir détecter les attaques et y répondre immédiatement. Vectra AI détecte les tactiques de harponnage les plus courantes, notamment :

• Tunnel TTPS caché
• Énumération des partages de fichiers
• Balayage des ports suspects et sortants 
• Anomalie dans le fonctionnement des privilèges d'Entra ID
• M365 Lance interne Phishing

Par exemple, dans une simulation d'attaque qui a commencé par une attaque ciblant un employé sur LinkedIn, l'auteur de l'attaque :

• WhatsApp crypté pour contourner le web
• Compromis de l'ordinateur portable de l'employé
• Déplacement vers le centre de données par commande à distance

Dans ce cas, Vectra AI a rapidement révélé où les tunnels cachés sont installés et quelles identités ont été touchées - permettant aux défenseurs de réagir instantanément.

Découvrez comment Vectra AI a révélé une attaque active de type "spear phishing ".

Nous avons simulé une attaque du Lazarus Group pour savoir exactement ce qui se passe lorsqu'un groupe de cybercriminels parrainé par un État cible un employé sur LinkedIn, dépasse l'accès au réseau de confiance zéro (ZTNA) et s'empare des informations d'identification de l'administrateur. V comment empêcher l'attaque de progresser.