Clause de non-responsabilité: je travaille dans une entreprise qui développe des logiciels de sécurité pour atténuer les attaques ciblées.
Certaines des méthodes que nous utilisons sont similaires à celles utilisées par les attaquants (lorsque les clients veulent tester leurs systèmes).
Par exemple, un client nous a demandé de tester sa sécurité en effectuant des attaques de phishing [spear] ciblées. Nous avons envoyé un e-mail uniquement au service informatique avec une combinaison de 2 e-mails. L'un était un e-mail apparemment mal adressé au conseil d'administration avec un lien vers un fichier PDF nommé quelque chose comme Executive bonus summary.pdf
, l'autre était censé être un nouveau portail externe que l'entreprise pouvait utiliser pendant les Jeux olympiques. ("Veuillez vérifier que vos identifiants de domaine fonctionnent correctement ..."). Avec une recherche rapide sur les réseaux sociaux, nous aurions pu créer des e-mails spécifiques à l'utilisateur, mais cela prendrait du temps et n'était finalement pas nécessaire.
Nous avons enregistré un nom de domaine visuellement similaire à celui de la cible, puis utilisé pour héberger de fausses pages (de style identique aux vraies) et envoyer des e-mails signés DKIM (pour éviter les filtres anti-spam).
Parmi les techniciens ciblés, 43% nous ont donné leurs informations de connexion d'entreprise, 54% ont essayé de télécharger le faux pdf (le pdf était juste des octets de déchets donc il ressemblait à un téléchargement corrompu. Un gars a essayé 5 fois d'utiliser Firefox, IE et enfin wget).
Nous ont été informés qu'un seul utilisateur avait détecté l'attaque et l'a signalée à la direction (mais seulement après nous avoir donné ses informations d'identification).
Alors ... Entrer dans l'entreprise n'est pas impossible. En ce qui concerne la diffusion d'informations, notre argumentaire de vente normal comprend une démonstration de nous contournant les pare-feu de l'entreprise / le DLP traditionnel. Je ne pense pas que nous ayons jamais échoué à moins qu’ils n’aient été bloqués ou qu’ils utilisent une bonne diode de données (bien que le taux d’exfiltration varie. Dans un cas, nous avions un pare-feu restrictif de type liste blanche , de même que le logiciel encodait les documents en images et continuait à mettre à jour une photo de profil sur Google. Ensuite, nous avons regardé le profil en externe et téléchargé chaque morceau.
Cela dit, nous avons constaté à maintes reprises que les logiciels peuvent être contournés, mais les utilisateurs sont toujours le maillon le plus faible.
Donc, pour répondre à votre question, une attaque ciblée inclut la touche personnelle. Des sites Web personnalisés conçus pour tromper les utilisateurs, des recherches sur les logiciels (et la version) utilisés pour vérifier les vulnérabilités connues, des enquêtes sur les réseaux sociaux, l'ingénierie sociale, etc.
Un autre point à considérer bien que moins courant est la corruption / le chantage. Si vous parlez d'acteurs étatiques, ce n'est pas inconcevable.