1 - Le secteur de la sécurité de l'information est en plein développement. La sécurité de l'information (engineering social en anglais), l'acte de tromper les gens en leur soutirant des informations sensibles, n'est pas un phénomène nouveau. Avant d'être condamné, le hacker Kevin Mitnick s'était illustré en obtenant par téléphone des informations de la part de membres du personnel de grandes entreprises américaines. Aujourd'hui, avec le courrier électronique et les réseaux sociaux, les criminels vivent un véritable âge d'or. Une message bien écrit peut servir d'appât pour le phishing et une campagne anti-spam véhiculer un Cheval de Troie, des moyens bon marché et efficaces pour obtenir des données privées. Le phishing a essentiellement pour objectif de voler l'identité des personnes. Les cyberescrocs cherchent à soutirer des informations privées, comme des numéros de carte de crédit, des mots de passe, des numéros de compte bancaires ou d'autres informations confidentielles sous de faux prétextes, en utilisant de faux messages électroniques ou des fenêtres contextuelles imitant un site web connu. Ces messages, et les sites Web auxquels ils renvoient, sont souvent si proches de l'original que nombre des personnes se laissent prendre. Ils communiquent alors des informations strictement personnelles que les cybercriminels sauront mettre à profit. 2 - Les attaques ciblées sont en augmentation. Les experts en sécurité ont remarqué que les criminels utilisait une autre méthode appelée "spear phishing" pour pirater des données sensibles et des secrets d'État. A la différence des arnaques au phishing classiques qui cherchent à voler des informations personnelles, le "spear phishing" est un phishing très ciblé qui a pour objectif la violation du système informatique d'une entreprise, d'un organisme, etc. Il consiste en l'envoi de courriers ciblés à en-tête de l'employeur, d'un organisme officiel ou connu ou d'un collègue de travail, qui ont l'air authentiques. En général ces courriers sont adressés à tous les membres d'une entreprise, d'un organisme gouvernemental, d'une organisation ou d'un groupe donné. demandant de s'identifier par un nom d'utilisateur ou un mot de passe. En fait, les informations sur l'expéditeur du courrier ont été falsifiées. Donner un nom d'utilisateur ou un mot de passe, cliquer sur un lien ou ouvrir une pièce jointe dans un courrier électronique, une fenêtre contextuelle ou un site Web factice, peut mettre la sécurité d'une entreprise en danger. En analysant certains "spear phishing", Northrop Grumman a récemment fait savoir que la Chine s'était "probablement" engagée dans un programme sophistiqué et à long terme pour récolter des données sensibles aux États-Unis. Selon l'analyste, la méthode s'est généralisée. Les attaques ciblées peuvent aussi consister à diffuser des Chevaux de Troie ou Trojan Horse programmés pour s'exécuter sur l'ordinateur cible en utilisant des messages e-mail soigneusement élaborés.