Spear Phishing: la méthode qui a fait plonger le Dow Jones

Le Spear Phishing parfait

Vous connaissez tous les phishing et bien entendu vous avez déjà lu tous les articles que nous avons écrits sur le sujet. En plus, vous recevez régulièrement des mails vous invitant à payer votre facture EDF, vos impôts, votre facture de téléphone…trop polis pour être honnêtes. Pourtant, la méthode de Phishing qui a été utilisée pour leurrer le Community Manager. On parle ici de Spear Phishing, une méthode ciblée de phishing, qui fonctionne de la même manière mais qui tire parti du vol d’identité.

Vol d’identité ? Eh oui, car une campagne de phishing classique mise sur la notoriété d’une marque ou d’une organisation. Le Spear Phishing est moins « brandé », c'est-à-dire que le message contient moins ou pas d’élément graphique propre à une marque, mais mise plus sur des éléments subtils, notamment l’identité de l’expéditeur, le sujet, le contenu du message et les signatures. Il est possible en gérant des alias de faire apparaître une adresse mail spécifique (par exemple untel@associatedpress.com) et de mettre dans le corps du mail un lien qui bien évidemment ne pointe absolument pas vers la bonne page.

Cette fameuse page, piège, a permis au pirate de récupérer le mot de passe des comptes Twitter et de lancer les rumeurs sur l’attentat qui a faussement visé le président des USA. Un incident si joliment retranscrit dans cette vidéo des fameux Taïwanais de Next Media Animation.