Comment les cybercriminels obtiennent des informations pour faire du harponnage ?

12 Mar 2019

Après avoir analysé les attaques ciblées commises au cours des dix dernières années, nous avons constamment trouvé une méthode récurrente : tout a commencé lorsque la victime a ouvert un e-mail d’hameçonnage. Pourquoi ces e-mails d’harponnage sont-ils si efficaces ? Parce qu’ils sont personnalisés, et adaptés à une victime en particulier.

Les réseaux sociaux des victimes sont souvent utilisés comme source d’informations. Évidemment, ce constat amène la question suivante : Comment ? Comment les criminels trouvent-ils ces comptes ? Dans une grande mesure, cela dépend de la quantité d’informations publiques disponibles sur la victime. C’est assez simple si les données de la personne figurent sur un site professionnel, avec peut-être une biographie détaillée, et un lien qui renvoie à un profil LinkedIn. Cependant, si les cybercriminels n’ont qu’une adresse e-mail, alors c’est beaucoup plus compliqué. S’ils n’ont qu’une photo de vous en train d’entrer dans l’entreprise qu’ils veulent attaquer, ils ont encore moins de chance de trouver votre profil sur les réseaux sociaux.

Nous avons réalisé une petite expérience qui consistait à chercher des informations à partir de bribes de données. Nous avons donc choisi plusieurs collègues, tous avec différents niveaux d’activité sur les réseaux sociaux, et nous avons essayé de les retrouver en utilisant des outils de recherche largement disponibles.

Recherche par photo

Il n’est pas courant d’essayer de trouver quelqu’un à partir d’une photo. Partons du principe que le cybercriminel se trouvait près de l’entrée du bâtiment de l’entreprise prise pour cible, et prenait secrètement en photo toutes les personnes ayant un logo en particulier sur leur badge ; il pouvait ensuite commencer à chercher la victime parfaite pour faire de l’harponnage. Par où commencer ?

Il y a deux ans (le temps passe si vite), nous avons écrit un article sur le service FindFace. Dans certaines conditions, et selon la disponibilité de plusieurs images de qualité d’un même repère, ce service peut rapidement associer l’image à un compte de réseau social. Cela étant dit, les utilisateurs occasionnels ne peuvent plus accéder à ce service depuis juillet de l’an dernier. Ses créateurs ont été très occupés à développer des solutions pour le gouvernement et les entreprises, et c’est pourquoi ce service est désormais payant. De plus, ses créateurs ont dit clairement que la version publique n’était qu’une « démonstration de ses fonctionnalités ».

Cependant, ce service ne devrait pas être laissé de côté. Les cybercriminels sont parfois prêts à investir dans d’autres outils pour réaliser une attaque ciblée. Tout dépend de leur objectif, même si cette option laisse forcément des traces non souhaitées.

La recherche par photo est disponible gratuitement comme service de Google, puisqu’il propose une extension du navigateur qui fait une recherche photo, et examine automatiquement plusieurs services photos lors de ses recherches. Cependant, cette méthode ne fonctionne que pour les photos déjà publiées en ligne. Par conséquent, cette technique n’est pas valable dans cet exemple, sauf si une photo officielle a été publiée sur un site Internet. Ces photos sont généralement affichées avec d’autres informations (nom et prénom).

Nous avons tout de même essayé cette option de recherche. Google a réussi à réduire notre volontaire à « gentleman », même s’il utilise cette image comme photo de profil sur Facebook et d’autres réseaux sociaux. Nous pensons donc que même si les cybercriminels ont une photo de vous, il est peu probable qu’ils arrivent à trouver votre profil sans utiliser un service payant de reconnaissance faciale.

Nom et prénom

Lorsque vous recherchez quelqu’un sur Internet, vous commencez généralement par son nom et son prénom. Il est évident que la réussite de cette recherche dépend fortement de la prévalence du nom. Il pourrait être difficile de trouver un John Smith en particulier. Mais Google trouve assez rapidement une personne qui s’appelle « Lurie » (ce nom de famille n’est pas si bizarre, mais n’est pas non plus très courant).

Au fait, saviez-vous que certains réseaux sociaux vous laissent voir le profil d’une personne sans que vous ayez à créer un compte ?

E-mail et numéro de téléphone

Que se passe-t-il si les escrocs ont l’adresse e-mail, ou le numéro de téléphone de la victime ? Avec ces informations, ils peuvent passer directement à l’action, et faire une recherche sur tous les réseaux sociaux, un par un. Certains services agrégateurs collectent automatiquement les données nécessaires ; le plus connu est Pipl, et il peut trouver les liens des pages de l’utilisateur sur les réseaux sociaux à partir de son numéro de téléphone, ou de son adresse e-mail, et ainsi fournir une courte biographie avec notamment le lieu de naissance, d’étude ou de travail. Si l’on en croit les dires des développeurs de Pipl, ce service aurait des renseignements sur plus de 3 milliards de personnes !
Grâce à ce service, nous avons obtenu le lien d’au moins un compte utilisateur sur cinq de dix personnes, et dans certains cas nous avons même eu un surnom ou un pseudonyme.

Pseudonyme

Certaines personnes utilisent un seul pseudonyme pour leurs adresses e-mail personnelles et professionnelles. D’autres utilisent un pseudonyme pour leur vie privée en ligne, et ont aussi une adresse professionnelle. Lorsqu’ils tombent entre les mains des cybercriminels, n’importe quel pseudonyme peut être utilisé pour extraire encore plus d’informations sur la victime visée.

Cette action peut être réalisée en utilisant certaines ressources comme namechk ou knowem. Ce premier service peut localiser le nom d’un compte dans plus de 100 services ; le second analyse plus de 500 ressources. Il est vrai que si le pseudonyme est assez commun, rien ne garantit que vous allez trouver une personne en particulier. Ce genre de service reste toutefois un outil très utile pour les escrocs en ligne.

Que faire

Comme vous pouvez le voir, les escrocs n’ont pas besoin d’utiliser une technique ingénieuse, ou d’accéder à des services complexes, pour obtenir les données de leurs potentielles victimes (où elles vivent, ce qu’elles aiment, etc.). En plus de lire les conseils que nous vous avons donnés sur les méthodes d’hameçonnage, nous vous conseillons de demander à vos employés de suivre ces quelques règles simples :

  1. Ne vous inscrivez pas sur les réseaux sociaux en utilisant une adresse e-mail, ou un numéro de téléphone ensuite rendus publics.
  2. N’utilisez pas la même photo pour vos profils personnels et professionnels.
  3. Utilisez différents pseudonymes pour que la découverte d’un profil ne permette pas de trouver tous les autres.
  4. Ne rendez pas le travail des cybercriminels plus facile en publiant des informations inutiles à votre sujet sur les réseaux sociaux.

Ce qui importe le plus, est que les postes de travail de vos employés soient protégés par une solution de sécurité fiable et complète, avec une technologie anti-hameçonnage efficace ; un logiciel comme Kaspersky Endpoint Security for Business.