Aussi sophistiqué que soit le stratagème des agents de renseignement russes pour s'immiscer dans l'élection présidentielle de 2016, ils ont utilisé une technique de piratage simple, entre autres, infiltrer les comptes de messagerie des agents démocrates, selon le dernier acte d'accusation de l'avocat spécial Robert Mueller. Et cette technique, connue sous le nom de "spear phishing", reste une menace non seulement pour les responsables de la campagne, mais aussi pour les employés et les consommateurs.

Le Spear phishing est une escroquerie dans laquelle les cybercriminels se font passer pour des sources fiables et envoient de faux messages électroniques à des personnes ciblées pour les amener à révéler des informations sensibles.

Dans le cas de Jean Podesta, le président de la campagne présidentielle d'Hillary Clinton, c'était un e-mail trompeur qui ressemblait à une notification de sécurité de Google, demander à Podesta de changer son mot de passe en cliquant sur un lien intégré, selon l'acte d'accusation déposé vendredi. Podesta a suivi les instructions de l'e-mail, changer son mot de passe et donner accès aux hackers à 50, 000 de ses e-mails.

Mais la pêche au harpon peut prendre la forme d'un e-mail qui semble provenir de votre patron, vous demandant d'envoyer votre formulaire W2. Ou un message avec une facture attendue, vous demander de virer l'argent sur un compte contrôlé par de mauvais acteurs.

"L'acte d'accusation illustre vraiment les nombreuses utilisations que cette technologie peut être mise, " a déclaré Edward McAndrew, un ancien procureur fédéral de la cybercriminalité et co-dirigeant du groupe de confidentialité et de sécurité des données de Ballard Spahr à Philadelphie. "Il ne s'agit pas seulement de voler les informations personnelles de quelqu'un. Il s'agit de fraude financière, ou dans ce cas, même la fraude électorale."

Comment c'est fait

Dans les escroqueries par hameçonnage typiques, les cybercriminels envoient des e-mails généraux à un grand nombre d'utilisateurs, en espérant que quelqu'un mord à l'hameçon et télécharge une pièce jointe infectée ou clique sur un lien vers un site Web bidon.

Arnaques par hameçonnage, par contre, sont adaptés à des cibles précises. Les pirates rechercheront un individu à l'avance, analyser les comptes de médias sociaux et les informations publiques pour apprendre le travail d'une personne, amis ou intérêts pour créer un e-mail digne de confiance.

"Ils découvriront où vous travaillez et qui sont vos collègues et essaieront d'envoyer un faux e-mail qui semble provenir d'un de vos collègues, " a déclaré Gabriel Weinberg, PDG et fondateur de DuckDuckGo, basé à Paoli, un moteur de recherche Internet qui ne suit ni ne stocke les données des utilisateurs.

C'est ce qui s'est passé mardi dans l'entreprise de Weinberg. L'un de ses employés a reçu un e-mail d'un expéditeur utilisant le nom de Weinberg lui demandant :"J'ai besoin que vous m'aidiez à exécuter une tâche. Faites-moi savoir si vous n'êtes pas occupé, " selon une copie du message. L'expéditeur se faisant passer pour Weinberg voulait " offrir des cartes-cadeaux Apple à certains clients ". Weinberg et son collègue n'ont pas mordu.

La personne se faisant passer pour Weinberg a utilisé une adresse e-mail qui n'était même pas proche de ressembler à la vraie. Mais Michael Levy, le chef des crimes informatiques pour le bureau du procureur américain à Philadelphie, les cybercriminels créent généralement des adresses e-mail presque identiques à celles de sources fiables, en glissant une lettre supplémentaire ou en utilisant un zéro au lieu d'un "O majuscule, " par exemple.

Dans certains cas, comme le piratage russe du Comité de campagne du Congrès démocrate, les e-mails de spear phishing dirigeront les utilisateurs vers de faux sites Web, où les victimes entreront leurs informations d'identification et donneront involontairement aux pirates leurs noms d'utilisateur et mots de passe. Dans le cas du DCCC, Des agents russes ont ensuite installé des logiciels malveillants sur au moins 10 des ordinateurs du comité, selon l'acte d'accusation, leur permettant de surveiller l'activité informatique de chaque employé, voler des mots de passe et maintenir l'accès au réseau DCCC.

"Il y a deux façons d'entrer dans les ordinateurs, " a déclaré Levy. " Il y a le piratage sophistiqué où vous découvrez comment percer un système de sécurité ... [ou] vous attaquez le maillon le plus faible du système de sécurité, et c'est l'utilisateur."

Une fois que les pirates ont accès au système de messagerie d'une entreprise, "ils vont s'asseoir et regarder pour en apprendre le plus possible sur les gens, " Levy a dit, ajoutant que les cybercriminels peuvent tout glaner, des habitudes de courrier électronique des employés au nom de la femme du président de l'entreprise.

McAndrew, de Ballard Spahr, dit une fois que les pirates accèdent à un compte de messagerie, ils peuvent parcourir les messages d'un utilisateur, calendriers de travail et contacts, comme si quelqu'un "regardait virtuellement par-dessus ses épaules".

« Vous êtes en mesure de connaître les événements avant qu'ils ne se produisent en lisant à leur sujet, " McAndrew a dit. " Vous savez ce qui s'en vient. "

Les pirates au courant d'un paiement à venir peuvent bondir en envoyant des e-mails de spear phishing pour inciter les destinataires à virer de l'argent sur des comptes sous le contrôle des pirates, a dit McAndrew.

Les victimes de crimes sur Internet ont subi des pertes de plus de 1,4 milliard de dollars en 2017, presque doublé depuis 2013, selon un rapport du FBI sur la question publié en mai. Les crimes répertoriés comme « compromis de courrier électronique professionnel/compromis de compte de messagerie » ont représenté plus de 676 millions de dollars sur ce total de 2017, représentant la plus grande catégorie de pertes.

Comment se protéger

Une façon de réduire le risque de spear phishing est d'utiliser l'authentification multifacteur, qui ajoute une couche de sécurité supplémentaire en exigeant non seulement un nom d'utilisateur et un mot de passe, mais la connaissance ou la possession de quelque chose que seul cet utilisateur possède, comme un code envoyé à un téléphone portable.

"Même si vous vous faites piéger et que vous allez sur un faux site et que vous saisissez votre mot de passe, il sera inutile sans" l'autre information, dit Antoine Vance, directeur du Centre pour la cybersécurité de l'Université Temple.

Vance a suggéré d'utiliser twofactorauth.org, qui indique aux utilisateurs si les sites Web prennent en charge l'authentification multifacteur. Les principaux services tels que Google ou Yahoo permettent aux utilisateurs d'activer le service.

Les experts ont déclaré que les individus devraient également faire preuve de bon sens. Résistez à l'envie de cliquer sur des liens ou des pièces jointes provenant d'une source inconnue ou d'un message inattendu. Vérifiez auprès de vos collègues avant de répondre à un e-mail suspect.

"La première chose que les gens peuvent faire est d'examiner chaque e-mail qu'ils reçoivent, " a déclaré McAndrew.

©2018 The Philadelphia Inquirer
Distribué par Tribune Content Agency, LLC.