Le spear phishing est une forme d’hameçonnage particulièrement perfide et ciblée. Contrairement aux e-mails de masse largement diffusés, cette méthode vise des personnes individuelles au sein d’une entreprise. Les pirates effectuent au préalable des recherches approfondies : ils analysent le mode de communication, l’identité visuelle et la structure organisationnelle de l’entreprise. Ils identifient de manière ciblée les employés dont le rôle permet d’accéder à des informations sensibles ou à des ressources financières et collectent en outre des données personnelles – telles que les intérêts, les hobbies ou les parcours professionnels – via des plateformes telles que LinkedIn, Xing ou les réseaux sociaux.
Sur la base de ces informations, les pirates créent des messages faussement personnalisés, souvent apparemment au nom d’un supérieur, d’un collègue ou d’un partenaire commercial. L’objectif est de gagner la confiance de la victime afin de l’inciter à divulguer des informations confidentielles, à effectuer des virements ou à ouvrir des pièces jointes ou des liens malveillants. Comme les attaques sont personnalisées, elles sont souvent difficiles à identifier comme étant des faux, ce qui les rend particulièrement dangereuses.
