Attaques de Whaling : Managers et Dirigeants, Voici Comment Vous Protéger

Imaginez que vous receviez un courriel urgent de votre PDG vous demandant d’autoriser un virement bancaire de grande valeur. Tout semble légitime, mais il y a un problème: il s’agit en fait d’une arnaque. Plus précisément, vous êtes la cible d’une attaque de whaling.

Et si les attaques de whaling ne sont pas nouvelles, leur sophistication s’est accrue de manière exponentielle avec l’essor de l’IA.

Dans ce guide, nous allons explorer :

• ce qu’est une attaque de whaling;
• comment fonctionne une attaque de whaling;
• des exemples concrets;
• nos meilleurs conseils pour détecter et prévenir les attaques de whaling.

À Quoi Ressemble une Attaque de Whaling?

Qu’est-ce qu’une attaque de whaling?

Une attaque de type « whaling » (de l’anglais « whale » qui veut dire « baleine ») est une forme d’attaque par hameçonnage utilisant généralement des courriels frauduleux qui émanent et/ou ciblent des cadres ou des dirigeants.

Il s’agit plus précisément d’une forme de spear phishing, c’est-à-dire d’une attaque de phishing qui vise une personne en particulier. Dans ce cas précis, la cible est une « baleine », un terme dérivé de l’industrie du jeu où les gros parieurs sont appelés « baleines » :

Voici un scénario :

1. Jane Doe, directrice financière d’une entreprise technologique en pleine expansion, consulte sa boîte de réception le lundi matin. Elle remarque un courriel de son PDG marqué comme « Urgent », avec pour objet « Virement bancaire confidentiel requis ».
   
2. Dans cet e-mail, son (supposé) PDG l’informe qu’ils sont en train de « finaliser une acquisition cruciale et qu’elle doit virer 500 000 dollars à l’équipe juridique immédiatement ». Elle est également informée que « la transaction est hautement confidentielle – n’en parlez à personne. Transférez les fonds sur le compte ci-dessous et envoyez-moi une confirmation dès que possible ».
   
3. Jane hésite, mais tout semble légitime : la signature du courriel, le logo de l’entreprise, le ton de la voix. Même l’adresse de l’expéditeur est correcte ! Elle lance le transfert…
   
4. Elle appelle ensuite son PDG pour confirmer que la transaction a bien été effectuée. C’est alors qu’elle apprend qu’elle vient de commettre une terrible erreur… Le temps que le service informatique puisse enquêter, les fonds ont déjà été transférés sur un compte offshore intraçable. L’entreprise vient d’être victime d’une attaque de whaling.

Les attaques de type « whaling » s’appuient sur les mêmes tactiques d’ingénierie sociale que les attaques de type « phishing » :

• la confiance : les attaquants imiteront les codes de communication de l’entreprise, y compris les logos, les polices de caractères, le style d’écriture, etc ;
  
• le respect de l’autorité: en tant qu’êtres humains, nous sommes naturellement enclins à obéir aux figures d’autorité et aux ordres;
  
• le sentiment d’urgence/de danger: les gens perdent souvent toute pensée rationnelle lorsqu’ils sont confrontés à un sentiment soudain de panique ou d’urgence. Les malfaiteurs utilisent cette situation à leur avantage pour atteindre leurs objectifs.

Dans une attaque de whaling, les cybercriminels utilisent ces trois tactiques pour tromper leurs victimes. Ils essaient généralement d’obtenir des virements importants et des informations sensibles, ou d’insérer des logiciels malveillants avec des liens frauduleux.

Cas Réels d’Attaques de Whaling

Maintenant que nous avons couvert la théorie, examinons quelques cas réels d’attaques de whaling et ce que nous pouvons en apprendre.

La fraude du PDG de la FACC

En 2016, FACC (Fischer Advanced Composite Components), un fabricant aérospatial autrichien, a été victime d’une attaque de whaling qui lui a coûté 40 millions de dollars.

Dans cette attaque de grande envergure, les cybercriminels se sont fait passer pour le PDG, Walter Stephan, et ont envoyé un courriel au service financier de l’entreprise pour demander un transfert urgent pour un « projet commercial secret ».

Croyant la demande légitime, l’équipe financière a autorisé la transaction. Lorsque la fraude a été découverte, les fonds avaient été transférés sur des comptes bancaires étrangers et s’étaient volatilisés. Heureusement, environ 10 millions de dollars ont été récupérés. Mais 40 autres millions de dollars ont disparu à jamais.

Cette attaque de whaling est un exemple parfait de plusieurs tactiques d’ingénierie sociale :

• usurpation d’adresse électronique: les attaquants ont utilisé un faux domaine d’adresse électronique ressemblant fortement à celui de l’entreprise. Ils ont ensuite recherché le style d’écriture et le ton de voix du PDG pour que l’e-mail paraisse authentique ;
  
• urgence: l’email soulignait le caractère urgent de la transaction et le fait que l’employé doit agir rapidement ;
  
• autorité: se faisant passer pour le PDG, ceci conférait une légitimité et une crédibilité certaine à l’attaque.

Pour en savoir plus sur cette affaire, consultez cet article de presse ici.

Google et Facebook: victimes pour 100 millions de dollars

En 2019, un pirate informatique nommé Evaldas Rimasauskas a été condamné à 5 ans de prison pour l’une des plus grandes attaques de whaling de l’histoire.

Entre 2013 et 2015, il a réalisé l’une des arnaques de whaling les plus sophistiquées de l’histoire, en dérobant 100 millions de dollars à Google et Facebook.

Dans le cadre de cette escroquerie, M. Rimasauskas a créé des emails convaincants à l’aide de faux comptes de messagerie, en se faisant passer pour un fournisseur de Facebook et de Google. Ces emails de phishing contenaient de fausses factures d’un montant de plusieurs millions de dollars, que les employés avaient l’habitude de traiter.

En fin de compte, les employés ont été amenés à transférer plus de 100 millions de dollars avant de s’apercevoir que quelque chose n’allait pas. Cette attaque met en évidence deux techniques spécifiques utilisées par les escrocs :

• le système du faux fournisseur: les attaquants font des recherches sur la chaîne d’approvisionnement d’une entreprise afin de se faire passer pour une entreprise réelle, ce qui ajoute une couche d’authenticité à leur attaque ;
  
• falsification sophistiquée de documents: les faux documents étaient très convaincants et comprenaient de fausses factures, de faux contrats, des sceaux et des signatures d’entreprise d’apparence officielle.

Pour en savoir plus sur cette affaire, consultez le communiqué de presse du ministère américain de la justice en cliquant ici.

Le « deepfake » (ou hypertrucage) de PDG

En 2019, le monde a assisté à l’une des premières attaques de whaling assistée par l’IA. Une entreprise énergétique basée au Royaume-Uni a perdu 220 000 € (243 000 US$) après que des cybercriminels aient utilisé un deepfake audio généré par l’IA pour se faire passer pour le PDG de l’entreprise.

Dans cette attaque, un employé a reçu un appel ressemblant à s’y méprendre à celui de son PDG, lui demandant de virer de l’argent à un « fournisseur ».

L’employé a suivi les instructions, avant de se rendre compte que la voix avait été générée artificiellement à l’aide de l’intelligence artificielle. À ce moment-là, les fonds avaient déjà disparu sur un compte hongrois, pour ne plus jamais réapparaître.

L’appel semblait provenir d’un numéro d’entreprise connu, ce qui ajoutait de la légitimité à cette attaque de whaling. Les attaquants ont même envoyé de faux courriels confirmant les transactions. Pour en savoir plus sur cette affaire, cliquez ici.

Cette affaire a marqué un tournant dans les attaques de chasse à la baleine : l’intégration de l’IA. Plus d’informations à ce sujet dans la section suivante…

L’Importance Croissante de l’IA dans les Attaques de Whaling

L’émergence de l’IA a révolutionné les attaques d’ingénierie sociale, y compris les attaques de type « whaling ».

En particulier, grâce à l’IA, les attaques de whaling sont devenues plus sophistiquées et convaincantes que jamais.

Examinons plus en détail les différentes façons dont l’IA aide les escrocs à élaborer des attaques plus sophistiquées.

Clonage de la voix par l’IA

L’une des applications les plus alarmantes de l’IA dans le domaine des attaques de whaling est le clonage de voix, où les attaquants utilisent l’IA pour reproduire la voix d’un PDG ou d’un cadre supérieur.

Grâce à l’IA, les attaquants peuvent générer des clones vocaux réalistes à partir d’échantillons de la voix d’une cible.

Ces échantillons peuvent provenir d’interviews publiques, de fuites d’appels téléphoniques ou même simplement des réseaux sociaux. Plus important encore, grâce à des logiciels d’IA tels que VALL-E ou ElevenLabs, les escrocs n’ont besoin que de quelques minutes d’audio pour reproduire une voix de manière réaliste !

Les clones vocaux peuvent ensuite être utilisés en temps réel pour se faire passer pour un PDG ou un directeur financier et ordonner à un employé d’effectuer un virement bancaire.

Vidéos deepfake

L’étape suivante après le clonage de la voix ? Le clonage de visage !

Dans ce que l’on appelle aujourd’hui les « deepfakes », les escrocs peuvent reproduire l’apparence physique grâce à des séquences très réalistes, générées par l’IA, de cadres s’exprimant lors d’appels vidéo.

Lorsqu’ils sont bien réalisés, ces « deepfakes » sont devenus presque impossibles à distinguer de vidéos authentiques. Et la technologie ne fait que commencer… Des malfaiteurs peuvent désormais insérer un faux PDG dans un appel Zoom ou Microsoft Teams, où le « PDG » ordonne personnellement aux employés d’effectuer des paiements ou de partager des données sensibles. Les employés, voyant un visage de confiance, s’y conforment sans se méfier.

En 2024, ce type d’attaque de whaling a pris de l’ampleur avec le deepfake d’un directeur financier basé à Hong Kong, qui a entraîné la perte de US$ 25 millions.

Usurpation de site web par l’IA

Les sites de phishing traditionnels présentaient souvent des signes révélateurs : fautes de frappe, mauvais formatage ou URL suspectes.

L’IA a changé la donne. Les algorithmes d’apprentissage automatique peuvent désormais générer des clones presque parfaits de sites web d’entreprises pour inciter les employés à entrer leurs identifiants ou à approuver des transactions.

Les malfaiteurs utilisent désormais des web crawlers pour recréer de véritables sites webs pixel pour pixel. Les techniques d’usurpation de domaine créent des URL similaires (par exemple, maifence(.)com au lieu de mailfence(.)com). Les chatbots d’IA peuvent même simuler de vrais agents de service à la clientèle pour renforcer leur crédibilité.

Arnaques de phishing basées sur l’IA

Dans le passé, les emails d’attaques de whaling contenaient souvent des erreurs grammaticales, ce qui les rendait plus faciles à repérer.

Aujourd’hui, les outils de génération de texte alimentés par l’IA (comme ChatGPT, Jasper AI et WormGPT) permettent à des cybercriminels de rédiger des emails impeccables et hautement personnalisés qui imitent le style d’écriture et le ton d’un dirigeant.

Tout ce dont les attaquants ont besoin, c’est d’accéder à des emails passés pour entraîner leurs modèles d’intelligence artificielle. L’IA peut alors écrire dans le style du PDG, ce qui rend l’email très convaincant.

Comment Identifier les Attaques de Whaling?

Grâce (ou plutôt à cause) de l’IA, les attaques de whaling sont devenues plus difficiles à repérer qu’auparavant.

Cependant, voici les signes que vous devez rechercher si vous avez des doutes:

• Personnalisation : l’email envoyé pour démarrer l’attaque de whaling contiendra très probablement des informations personnalisées sur le PDG ou le cadre supérieur dont l’identité a été usurpée, sur la victime (un directeur ou un autre cadre) ou sur l’organisation, afin de créer un sentiment de familiarité.

• L’urgence : un sentiment d’urgence peut inciter la victime à agir sans réfléchir. Les malfaiteurs tentent souvent d’effrayer les victimes en utilisant des personnalités importantes (PDG, cadres supérieurs). Il est difficile de désobéir à ces personnes.

• Le langage : Le langage et le ton professionnels sont souvent utilisés pour convaincre la victime que l’email a été envoyé par une personne haut placée. Les malfaiteurs utilisent souvent un scénario dans lequel ils demandent à la victime d’effectuer une action sans grand effort (comme un transfert rapide d’argent à un partenaire d’approvisionnement) sur la base d’une fausse menace. Ils peuvent également mettre l’accent sur la confidentialité, de sorte que la victime évite de parler de l’email qu’elle a reçu.

• Signature légitime : Les malfaiteurs peuvent utiliser une adresse électronique et une signature crédibles, ainsi qu’un lien menant à un site web frauduleux. Nous vous montrerons comment les reconnaître plus loin dans cet article.

• Fichiers et liens : Les cybercriminels peuvent utiliser des pièces jointes ou des liens pour insérer des logiciels malveillants ou demander des informations sensibles. Même si rien ne se produit lorsque le gestionnaire ciblé clique sur un lien ou soumet des informations sur son site web, cela peut déclencher le téléchargement d’un logiciel malveillant caché.

Comment Éviter les Attaques de Whaling?

Vous ne voulez pas devenir une autre statistique dans un rapport sur les attaques de whaling ? Alors suivez les étapes suivantes :

• Vérifiez à deux fois l’adresse électronique de l’expéditeur si elle provient d’un collègue, surtout s’il s’agit d’un cadre supérieur de votre organisation. Si l’email provient d’un tiers, recherchez l’adresse e-mail authentique de cette entreprise et comparez les deux ;
  
• Passez votre souris sur un lien intégré pour vérifier l’authenticité du site web. Le domaine du site comporte-t-il une faute de frappe ou vous redirige-t-il vers un autre site web ? Dans ce cas, évitez de cliquer sur le lien ;
  
• Soyez vigilant avec toute demande de transfert d’argent ou d’informations sensibles, même si elle émane de l’un de vos responsables. En cas de doute, contactez-le directement par téléphone pour obtenir sa confirmation ;
  
• Tout ce que vous publiez en ligne peut être utilisé contre vous, qu’il s’agisse de clonage de voix ou de deepfakes. Les malfaiteurs peuvent également utiliser des noms, des dates et des lieux dont vous avez parlé en ligne pour rendre leurs attaques plus crédibles. En règle générale, réglez vos comptes de réseaux sociaux sur « privé ».

Attaques de Whaling: Conclusion

L’IA redéfinit l’ampleur et la sophistication des attaques de whaling. Bientôt, nous devrions nous attendre à ce que le clonage de voix et les « deepfakes » soient indiscernables de la réalité.

Alors, que faire si vous n’arrivez pas à distinguer le faux du vrai ? Vérifiez deux fois avant d’agir.

Un email vous paraît-il suspect ? Ou un appel téléphonique vous semble-t-il un peu… étrange ? Posez des questions auxquelles seule la personne réelle peut répondre. En cas de doute, ne répondez pas à l’email ou raccrochez le téléphone. Vérifiez auprès de votre service informatique et revérifiez en appelant directement la personne en question. Ce sont là vos meilleures lignes de défense contre les attaques de whaling.

Si vous souhaitez renforcer votre cybersécurité, la première chose à faire est d’opter pour un fournisseur de messagerie privée et sécurisée. Chez Mailfence, nous sommes fiers de vous proposer :

• Outils de sécurité avancés: cryptage de bout en bout, cryptage symétrique, signatures numériques, et bien plus encore.
• Pas de suivi ni de publicité. Nous n’utilisons pas de traceurs publicitaires ou marketing de tiers. Nous ne suivons pas votre activité dans l’application. Mailfence est totalement exempt de publicité.
• Des lois strictes en matière de protection de la vie privée. Les serveurs de Mailfence sont basés en Belgique, où des lois strictes protègent la vie privée. Seule une décision judiciaire belge valide peut nous obliger à divulguer des données.

Vous souhaitez passer à la vitesse supérieure en matière de protection de la vie privée et de cybersécurité ? Créez votre compte gratuit dès aujourd’hui !