Hameçonnage et harponnage, pourquoi les cybercriminels en raffolent ?

AP Stylebook est un outil largement utilisé par les journalistes, les magazines et les rédactions. Il sert à la vérification des règles de grammaire, de ponctuation et de style d’écriture. Entre juillet 2023 et septembre 2023, deux cyberattaques ont eu pour conséquence le vol d’une partie des données de leurs clients.

Fin juillet 2023, le Bureau du procureur général du Maine annonçait la découverte d’une faille de sécurité et d’une compromission d’un ancien site web lié à l’AP Stylebook. Cette ressource informatique était administrée par un tiers et laissée en désuétude.

Cette intrusion a permis aux attaquants de s’emparer d’informations personnelles de 224 clients, comprenant leurs noms, adresses électroniques, adresses postales, villes, États, codes postaux, numéros de téléphone et identifiants d’utilisateurs.

Les clients ayant fourni des informations sensibles telles que des numéros de sécurité sociale ou de leur employeur ont également vu ces données dérobées. Associated Press a été alerté le 20 juillet 2023 à la suite de signalements de clients ayant reçu des courriels de harponnage les enjoignant à mettre à jour leurs informations de carte de crédit.

Bleeping computer rapportait le 10 septembre 2023, que Associated Press (AP) a émis un avertissement au sujet d’une compromission de données affectant les utilisateurs d’AP Stylebook. Des individus malveillants ayant exploité les données volées pour exécuter des attaques de type “harponnage“.

Si ces deux termes se ressemblent, il existe toutefois une différence dans leur construction.

Dans le cas de l’hameçonnage, les messages frauduleux sont envoyés en masse à un grand nombre de personnes, dans le but de tromper les destinataires, en se faisant passer pour un organisme de confiance pour récupérer leurs données personnelles.

Reposant sur les mêmes bases, le harponnage est une méthode plus ciblée, dans laquelle les cybercriminels utilisent une approche individualisée pour viser une seule personne ou un groupe de personnes en personnalisant les messages avec des données volées ou récoltées sur internet. Dans le cas d’un vol de données complet, il devient aisé de créer un message usurpant l‘entité à la source des données et d’y ajouter les informations issues du vol.

Cette technique permet de lever les réticences des victimes. Ainsi, le message reçu contient votre nom, votre prénom, le logiciel ou service utilisé ou tous autres éléments augmentant la légitimité du message. Les chances de succès sont plus élevées qu’avec un hameçonnage, qui est par essence générique.