Une attaque de whaling est une technique d’ingénierie sociale mettant en oeuvre des emails frauduleux imitant les messages de cadres supérieurs afin de cibler des responsables de haut niveau. En tant que telle, il s’agit d’une forme de phishing destinée aux cadres, comme le spear phishing. Cependant, le whaling cible spécifiquement un cadre senior.
Mailfence - Obtenez votre email gratuit et sécurisé.
4.1 sur base de 177 avis utilisateurs
Mailfence - Obtenez votre email gratuit et sécurisé.
4.1 sur base de 177 avis utilisateurs
Qu’est-ce que le whaling ?
Une attaque de whaling est une forme de phishing faisant appel à des emails frauduleux qui ciblent des cadres ou des dirigeants. La technique est similaire, mais le poisson est plus gros. Alors que les tentatives de hameçonnage sont envoyées massivement, une attaque de type “whaling” vise des personnes spécifiques considérées comme des “baleines” en raison de leur rang élevé dans une organisation importante (CEO, cadres supérieurs). En se faisant passer pour un CEO ou un cadre supérieur, les cybercriminels tentent d’inciter leurs victimes à faire des actions préjudiciables. Ils essaient généralement d’obtenir des virements importants, des informations sensibles ou d’introduire des logiciels malveillants avec des liens frauduleux. Ces deux derniers cas signifient que cette technique d’ingénierie sociale peut avoir des conséquences à plus long terme, car les cybercriminels peuvent lancer d’autres attaques avec les données récupérées lors d’une attaque de whaling.
Comment reconnaître les tentatives de whaling
Il peut être difficile de reconnaître une attaque de whaling. Les pirates informatiques ne ménagent pas leurs efforts pour élaborer ces escroqueries, car les bénéfices peuvent être énormes. Par le passé, ils ont piégé de nombreux responsables de haut niveau et causé des pertes substantielles pour leurs entreprises. Pour éviter cela, les organisations disposant d’informations sensibles ou de sommes d’argent importantes doivent tenir leurs employés informés des tactiques d’ingénierie sociale.
Comment reconnaître un email de whaling
Les e-mails envoyés au cours d’une attaque de whaling peuvent présenter les caractéristiques suivantes :
- personnalisation : l’email de whaling comprendra très probablement des informations personnalisées sur le CEO ou le cadre dont l’identité a été usurpée, la victime (un cadre ou un autre dirigeant) ou l’organisation, afin de créer un sentiment de familiarité.
- Urgence : Les emails des attaques de whaling peuvent véhiculer un caractère d’urgence pour inciter la victime à agir sans réfléchir aux pratiques de sécurité. Les pirates peuvent également tenter d’effrayer les victimes en invoquant des personnalités puissantes auxquelles il est difficile de désobéir (CEO, cadres de haut niveau).
- Langage : Un langage et un ton professionnels sont souvent employés pour convaincre la victime que l’email a été envoyé par une personne de haut niveau. Les attaquants utilisent souvent un scénario consistant à demander à la victime d’effectuer une action anodine (telle qu’un virement urgent en faveur d’un fournisseur) sur la base d’une fausse menace. Ils peuvent également insister sur la confidentialité pour éviter que la victime ne parle de l’email qu’elle a reçu. Personne ne peut ainsi lui signaler qu’il s’agit d’une tentative de whaling..
- Signature légitime : les atttaquants peuvent utiliser une adresse électronique et une signature crédibles, ainsi qu’un lien menant à un site Web frauduleux. Nous vous montrerons comment les reconnaître plus loin dans ce post.
- Fichiers et liens : les cybercriminels peuvent utiliser des pièces jointes ou des liens pour introduire des logiciels malveillants ou obtenir des informations sensibles. Même si rien ne se passe lorsque vous cliquez sur un lien ou que soumettez des informations sur le site Web correspondant, cela peut déclencher le téléchargement d’un logiciel malveillant caché.
Exemples d’attaques de whaling
- De l’intérieur de l’entreprise
En 2016, un cadre financier de haut niveau de Mattel a reçu un email frauduleux de quelqu’un se faisant passer pour le nouveau CEO. Il s’agissait d’une demande de virement qui semblait tout à fait normale en faveur d’un nouveau fournisseur en Chine. Cette escroquerie a fait perdre 3 millions de dollars à cette entreprise. Mais elle a tout de même réussi à les récupérer après une bataille de longue haleine.
- De la part d’un tiers
L’escroquerie par email suivante a trompé plusieurs responsables de différents secteurs. Le cybercriminel a envoyé un email trompeur qui semblait provenir du tribunal de district des États-Unis avec une citation à comparaître devant un grand jury dans une affaire civile. Les emails comprenaient le nom, la société et le numéro de téléphone des responsables, leur faisant croire qu’il s’agissait d’un document officiel. Lorsqu’ils cliquaient sur le lien de l’assignation, ils déclenchaient le téléchargement d’un logiciel malveillant.
- Avec des appels téléphoniques
Le National Cyber Security Centre (NCSC) du Royaume-Uni confirme que certains emails de whaling étaient accompagnés d’appels téléphoniques de la part des pirates à l’origine de ces attaques. Une astuce aussi simple que celle-ci peut rendre l’escroquerie crédible. Heureusement, il existe des moyens d’éviter de tomber dans le panneau.
Comment se protéger contre une attaque de whaling
Outre qu’elles provoquent des pertes d’argent ou de données, les attaques de whaling peuvent affecter la réputation de la victime et de son organisation. Certaines entreprises ont licencié des employés qui s’étaient laissés prendre à des tactiques d’ingénierie sociale, comme FACC, qui a limogé son CEO pour cette raison. Et malheureusement, selon HP, ce type d’attaques de cybersécurité sont de plus en plus nombreuses année après année, comme le nombre de victimes ciblées, .
Pour éviter de faire partie des statistiques des victimes, nous vous recommandons de suivre ces conseils :
1 – Soyez vigilant
Sachez qu’il existe différents types d’attaques de whaling et qu’elles peuvent être difficilement détectables. Lorsque vous recevez une demande particulière, n’oubliez pas de :
- Vérifier soigneusement l’email de l’expéditeur s’il s’agit d’un collègue. Lorsque l’email provient d’un tiers, recherchez l’adresse email normale de cette entreprise, et comparez-les.
- Vérifiez que le domaine figurant sur le lien ne diffère pas légèrement de celui de l’entreprise dont il est censé émaner. S’il y a une différence, même si elle ne semble pas très importante, cela signifie probablement qu’il s’agit d’un site web frauduleux associé auquel vous devez éviter de vous connecter. Survolez le lien transmis avec votre souris. Vous devriez voir le nom de domaine associé apparaître dans le coin inférieur droit de votre navigateur. Vous pouvez ainsi le comparer avec le nom de domaine véritable de cette entreprise.
- Vérifiez l’ancienneté du domaine du site frauduleux pour voir s’il correspond à celui du site de référence. Si le domaine frauduleux est plus récent, il ne faut pas lui faire confiance.
- Mettez en doute la validité de toute demande d’argent ou d’informations sensibles, même losqu’elles proviennent de l’un de vos responsables. En cas de doute, n’hésitez pas à le contacter directement par téléphone pour obtenir son aval.
2 – Soyez conscient du pouvoir des réseaux sociaux
Tout ce qui est publié en ligne peut jouer contre vous. Un email de whaling peut être personnalisé avec des photos, des noms, des dates et de nombreux autres détails trouvés sur les médias sociaux. Les cyberattaquants utilisent aussi souvent du contenu publié à la suite de conférences ou d’événements d’entreprise. Les employés doivent donc être particulièrement vigilants face aux riques d’escroquerie après avoir participé à ces événements, car les pirates y feront probablement référence.
Une bonne pratique consiste à paramétrer ses comptes personnels de médias sociaux pour qu’ils soient privés. Toutefois, cela ne permet pas de protéger le contenu publié par les canaux publics de l’entreprise (bulletins d’information, médias sociaux, site web, etc.). Le conseil qui suit peut vous aider à résoudre ce problème.
3 – Adoptez une politique de protection des données pour toute l’entreprise
La compréhension des types d’informations qui peuvent être partagées publiquement empêche les cyberattaquants de les utiliser. Lorsque vous instaurez de bonnes pratiques en matière de cybersécurité au sein de votre organisation, vous développez un sentiment de responsabilité au sein du personnel. Ces politiques peuvent donc protéger votre entreprise contre les attaques de baleines ou même de spear phishing, et vous aider à éviter des pertes substantielles.
Voici quelques politiques de protection des données que les entreprises adoptent contre les attaques de whaling :
- Signaler les emails de tiers : facilite la détection des emails malveillants simulant les messages reçus de collègues, des responsables ou d’autres cadres supérieurs.
- Vérifier les demandes : lorsque vous recevez des demandes particulières ou urgentes par le biais de l’email d’un manager ou d’un cadre supérieur, il est bon de confirmer avec lui qu’il en est bien l’expéditeur. Une discussion en face à face, par message ou par téléphone permet de confirmer qu’il ne s’agit pas d’une tentative d’escroquerie.
- Vérification en plusieurs étapes : toute demande de virement ou d’informations sensibles devrait faire l’objet de plusieurs vérifications auprès de différentes personnes avant d’être exécutée. Une solution simple consiste à faire signer tout transfert d’argent de grande valeur par 2 personnes. Cette solution réduit également le stress qui pèse sur les épaules de l’employé qui est seul responsable de ces transactions. Ainsi, il regagne plus de clarté pour prendre des décisions importantes.
4 – Outils anti-ingénierie sociale et formations
Les pirates auront toujours une longueur d’avance sur les restrictions auxquelles ils sont confrontés. Les outils et les formations en matière de cybersécurité peuvent vous aider à identifier leurs manières de procéder et à éviter autant que possible les attaques de whaling. Par exemple, le service informatique peut prendre l’habitude de lancer de temps à autre de faux emails de whaling aux équipes de l’entreprise. Grâce à ces mises à l’épreuve, l’entreprise peut former ses employés à adopter un comportement plus sûr..
En ce qui concerne les outils, il existe des logiciels anti-phishing capables de reconnaître les liens frauduleux et les téléchargements de logiciels malveillants. De même, un fournisseur d’email privé et sécurisé tel que Mailfence vous évite d’être exposé aux spams, publicités, emails de tracking, aux hackers et aux sollicitations non désirées. Tous ces outils permettent aux utilisateurs de rester sereins face aux nombreuses tactiques d’ingénierie sociale.
Que faire si vous êtes victime d’une attaque de whaling ?
Si vous avez été victime d’une attaque de type “whaling” ou de toute autre attaque d’ingénierie sociale et/ou que votre e-mail a été piraté, lisez notre article de blog sur les mesures à prendre lorsque votre e-mail est piraté. Il explique comment limiter les dégâts, signaler l’incident et prévenir de futures attaques de piratage.
Si vous utilisiez un appareil ou un compte professionnel, informez votre supérieur hiérarchique et le service informatique le plus rapidement possible. Ils pourront alerter les autres employés et s’assurer que tout est à nouveau sécurisé. En outre, plus tôt vous signalez l’incident, moins les attaquants disposeront de temps pour aggraver les dégâts. Enfin, votre organisation peut mettre en place un plan de communication complet impliquant toutes les parties en cause dès le début.
Comment éviter d’autres types d’ingénierie sociale ?
Le meilleur moyen de prévenir les attaques de phishing est de s’informer. À cette fin, Mailfence a créé un Cours de sensibilisation à la sécurité et la confidentialité des emails.
Ce cours aide les utilisateurs à déterminer quel est leur profil de menace pour savoir de quels conseils ils ont besoin. Sur cette base, ils peuvent consulter une série d’articles de Mailfence et s’informer sur les différents niveaux de sécurité contre les cybermenaces présentes dans les emails.
