Ingénierie sociale : Qu’est-ce qu’une attaque de whaling ?

Estimated reading time: 9 minutes

Qu'est-ce qu'une attaque de whaling ?
(Illustration de Tumisu / Pixabay (Image #3390518))

Une attaque de whaling est une forme de phishing qui cible les cadres de haut niveau. En se faisant passer pour un professionnel de haut rang, les cybercriminels tentent de tromper leurs victimes et de les inciter à faire des actions préjudiciables. Ils essaient généralement d’obtenir des virements importants, des informations sensibles ou d’introduire des logiciels malveillants avec des liens frauduleux. Dans les deux derniers cas, l’ingénierie sociale du whaling peut avoir des conséquences à plus long terme avec de nouvelles attaques basées sur les données récupérées.

Quelle est la différence entre le phishing et le whaling ?

Tous deux utilisent de fausses communications pour inciter leurs victimes à mener des actions souhaitées par le cybercriminel. Cependant, alors que les escroqueries par phishing sont envoyées en masse, les attaques de whaling ciblent des personnes spécifiques, ce que l’on appelle des « baleines », en raison de leur rang élevé dans une organisation importante.

Comment reconnaître les tentatives de whaling

Il peut être difficile de reconnaître une attaque de whaling. Les pirates informatiques ne ménagent pas leurs efforts pour élaborer ces escroqueries, car les bénéfices peuvent être énormes. De nombreux employés de haut niveau ont été trompés de la sorte, ce qui les a menés à générer des pertes substantielles pour leurs entreprises. Pour éviter cela, les organisations disposant d’informations sensibles ou de sommes d’argent importantes doivent tenir leurs employés informés des tactiques d’ingénierie sociale.

Comment reconnaître un email de whaling

Les e-mails envoyés au cours d’une attaque de whaling peuvent présenter les caractéristiques suivantes :

  • personnalisation : l’email de whaling comprendra très probablement des informations personnalisées sur l’individu dont l’identité a été usurpée, la victime ou l’organisation, afin de créer un sentiment de familiarité.
  • Urgence : la perception de l’urgence peut inciter la victime à agir sans réfléchir aux pratiques de sécurité. Les pirates peuvent également tenter d’effrayer les victimes en invoquant des personnalités puissantes auxquelles il est difficile de désobéir, ou en menaçant leur réputation.
  • Langage : Un langage et un ton professionnels sont les plus appropriés pour convaincre la victime que l’email a été envoyé par une personne de haut niveau. Les attaquants utilisent souvent un scénario consistant à demander à la victime d’effectuer une action anodine (telle qu’un virement urgent en faveur d’un fournisseur) sur la base d’une fausse menace. Ils peuvent également insister sur la confidentialité pour éviter que la victime ne parle à une autre personne qui pourrait lui signaler qu’il s’agit d’une tentative d’escroquerie.
  • Signature légitime : les atttaquants peuvent utiliser une adresse électronique et une signature crédibles, ainsi qu’un lien menant à un site Web frauduleux. Nous vous montrerons comment les reconnaître plus loin dans ce post.
  • Fichiers et liens : les cybercriminels peuvent utiliser des pièces jointes ou des liens pour introduire des logiciels malveillants ou obtenir des informations sensibles. Même si rien ne se passe lorsque vous cliquez sur un lien ou que soumettez des informations sur le site Web correspondant, cela peut déclencher le téléchargement d’un logiciel malveillant caché.

Exemples d’attaques de whaling

  • De l’intérieur de l’entreprise

En 2016, un cadre financier de haut niveau de Mattel a reçu un email frauduleux de quelqu’un se faisant passer pour le nouveau PDG. Il s’agissait d’une demande de virement qui semblait tout à fait normale en faveur d’un nouveau fournisseur en Chine. Cette escroquerie a fait perdre 3 millions de dollars à cette entreprise. Mais elle a tout de même réussi à les récupérer après une bataille de longue haleine.

  • De la part d’un tiers

L’escroquerie par email suivante a trompé plusieurs responsables de différents secteurs. Le cybercriminel a envoyé un email trompeur qui semblait provenir du tribunal de district des États-Unis avec une citation à comparaître devant un grand jury dans une affaire civile. Le message électronique comprenaient le nom, la société et le numéro de téléphone des responsables, leur faisant croire qu’il s’agissait d’un document officiel. Lorsqu’ils cliquaient sur le lien de l’assignation, ils déclenchaient le téléchargement d’un logiciel malveillant.

  • Avec des appels téléphoniques

Le National Cyber Security Centre (NCSC) du Royaume-Uni confirme que certains emails de whaling étaient accompagnés d’appels téléphoniques de la part des pirates à l’origine de ces attaques. Une astuce aussi simple que celle-ci peut rendre l’escroquerie crédible, mais il existe des moyens d’éviter de tomber dans le panneau.

Comment se protéger contre une attaque de whaling

Non seulement, elles provoquent des pertes d’argent ou de données, mais de plus, les attaques de whaling affectent la réputation de la victime et de son organisation. Certaines entreprises ont licencié des employés qui s’étaient laissés prendre à des tactiques d’ingénierie sociale, comme FACC, qui a limogé son PDG. Et malheureusement, les attaques de cybersécurité sont de plus en plus nombreuses année après année, de même que le nombre de victimes ciblées, selon HP.

Pour éviter de faire partie des statistiques des victimes, nous vous recommandons de suivre ces conseils :

1 – Soyez vigilant

Sachez qu’il existe différents types d’attaques de whaling et qu’elles peuvent être bien dissimulées. Lorsque vous recevez une demande particulière, n’oubliez pas de :

  1. Vérifier soigneusement l’email de l’expéditeur s’il s’agit d’un collègue. Lorsque l’email provient d’un tiers, recherchez l’adresse email normale.
  2. Vérifiez que le domaine figurant sur le lien ne diffère pas légèrement de celui pour lequel il tente de se faire passer. Si c’est le cas, il s’agit d’un site web frauduleux. Si le lien est intégré à un mot ou à une image, survolez-le avec votre souris. Vous verrez le domaine apparaître dans le coin inférieur droit de votre navigateur.
  3. Vérifiez l’ancienneté du domaine du site frauduleux pour voir s’il correspond à celui du site de confiance. Si le domaine frauduleux est plus récent, il ne faut pas lui faire confiance.
  4. Mettez en doute la validité de toute demande d’argent ou d’informations sensibles.

Vérificateur de redirection d’URL : vous montre le chemin vers lequel un lien vous mène.

Service de capture d’écran de sites web : fournit la capture d’écran d’un site lorsque vous entrez le lien URL correspondant. Vous pouvez ainsi visualiser le site en question avant d’y accéder.

Vérificateurs d’ancienneté de domaine : entrez le lien suspect d’un site et un lien du site authentique pour voir si leurs anciennetés correspondent.

2 – Soyez conscient du pouvoir des réseaux sociaux

Tout ce qui est publié en ligne peut jouer contre vous. Un email d’escroquerie peut être personnalisé avec des photos, des noms, des dates et de nombreux autres détails trouvés sur les médias sociaux. Il est également courant de publier du contenu provenant de conférences ou d’événements d’entreprise. Les employés doivent donc être particulièrement vigilants face aux riques d’escroquerie après avoir participé à ces événements, car les pirates y feront probablement référence.

Une bonne pratique consiste à paramétrer ses comptes personnels de médias sociaux pour qu’ils soient privés. Toutefois, cela ne permet pas de protéger le contenu publié par les canaux publics de l’entreprise (bulletins d’information, médias sociaux, site web, etc.). Le conseil qui suit peut vous aider à résoudre ce problème.

3 – Adoptez une politique de protection des données pour toute l’entreprise

La compréhension des types d’informations qui peuvent être partagées publiquement empêche les cyberattaquants de les utiliser. Lorsque vous instaurez de bonnes pratiques en matière de cybersécurité au sein de votre organisation, vous développez un sentiment de responsabilité au sein du personnel. De ce fait, votre organisation est mieux protégée contre les pertes substantielles.

Voici quelques politiques de protection des données que les entreprises adoptent :

  • Signaler les emails de tiers : facilite la détection des emails malveillants simulant les messages reçus de collègues.
  • Vérifiez les demandes : lorsque vous recevez des demandes particulières ou urgentes par le biais du courrier électronique d’un collègue, il est bon de les confirmer avec lui. Une discussion en face à face, par message ou par téléphone permet de confirmer qu’il ne s’agit pas d’une attaque de whaling ou de toute autre tentative d’escroquerie.
  • Vérification en plusieurs étapes : toute demande de virement ou d’informations sensibles devrait faire l’objet de plusieurs vérifications auprès de différentes personnes avant d’être exécutée. Une solution simple consiste à faire signer tout transfert d’argent de grande valeur par 2 personnes. Cette solution réduit également le stress qui pèse sur les épaules de l’employé qui est seul responsable de ces transactions. Ainsi, il regagne plus de clarté pour prendre des décisions importantes.

4 – Outils anti-phishing et formations

Les pirates auront toujours une longueur d’avance sur les contraintes auxquelles ils sont confrontés. Les outils et les formations en matière de cybersécurité peuvent vous aider à identifier leurs manières de procéder et à éviter autant que possible les attaques de whaling. Par exemple, le service informatique peut prendre l’habitude de lancer de temps à autre de fausses attaques de whaling au sein de l’entreprise. Grâce à ces mises à l’épreuve, les employés pourront apprendre à adopter une attitude plus sûre.

En ce qui concerne les outils, il existe des logiciels anti-phishing capables de reconnaître les liens frauduleux et les téléchargements de logiciels malveillants. De même, un fournisseur d’email privé et sécurisé tel que Mailfence vous évite d’être exposé aux spams, publicités, emails de tracking, aux hackers et aux sollicitations non désirées. Tous ces outils permettent aux utilisateurs de rester serein face aux nombreuses tactiques d’ingénierie sociale.

Que faire si vous êtes victime d’une attaque de whaling ?

Si vous avez été victime d’ingénierie sociale et/ou que votre e-mail a été piraté, lisez notre article de blog sur les mesures à prendre lorsque votre e-mail est piraté. Il explique comment limiter les dégâts, signaler l’incident et prévenir de futures attaques de piratage.

Si vous utilisiez un appareil ou un compte professionnel, informez votre supérieur hiérarchique et le service informatique le plus rapidement possible. Ils pourront alerter les autres employés et s’assurer que tout est à nouveau sécurisé. En outre, plus tôt vous signalez l’incident, moins les attaquants disposeront de temps pour aggraver les dégâts. Enfin, votre organisation peut mettre en place un plan de communication complet impliquant toutes les parties en cause dès le début.

Comment éviter d’autres types d’ingénierie sociale

Comme indiqué précédemment, le meilleur moyen de prévenir les attaques de phishing est de s’informer. À cette fin, Mailfence a créé un Cours de sensibilisation à la sécurité et la confidentialité des emails.

Ce cours aide les utilisateurs à déterminer quel est leur profil de menace pour savoir de quels conseils ils ont besoin. Sur cette base, ils peuvent consulter une série d’articles de Mailfence et s’informer sur les différents niveaux de sécurité contre les cybermenaces présentes dans les emails.

Obtenez votre messagerie privée

Tenez-vous informés de nos derniers articles en nous suivant sur Twitter et Reddit. Pour plus d’informations sur la solution d’emails chiffrés de Mailfence, n’hésitez pas à nous contacter à l’adresse support@mailfence.com.

– L’équipe Mailfence

Vous aimerez aussi...