Pour l’essentiel, une attaque de whaling est une attaque par spear-phishing, mais visant des plus grosses cibles – d’où l’idée du harponnage d’une baleine.
Alors que les attaques par spear phishing peuvent cibler n’importe quel individu, le whaling choisit plus soigneusement le type de personne qu’il cible : il se concentrera sur un cadre dirigeant ou une personne influente plutôt que sur un groupe plus large de victimes potentielles.
Les cybercriminels utilisent le whaling pour usurper l’identité d’un haut responsable d’une organisation, comme le PDG, le directeur financier ou d’autres dirigeants, en espérant exploiter leur autorité pour accéder à des données sensibles ou à l’argent.
Ils utilisent les informations trouvées sur Internet (et souvent sur les médias sociaux) pour tromper les employés, ou une autre « baleine », afin qu’ils leur communiquent des données financières ou personnelles.
Ces pirates veulent exploiter l’autorité et l’influence de la « baleine » pour convaincre les individus de ne pas examiner de trop près la requête frauduleuse.
Les cybercriminels peuvent commettre leurs méfaits lorsque les employés n’examinent pas de trop près l’adresse e-mail ou les sites web et qu’ils se contentent de suivre les instructions.
Statistiques sur le whaling
Le FBI a rapporté que les attaques de phishing ont coûté aux entreprises près de 215 millions de dollars en 2014. En 2016, le rapport Verizon DBIR a fait état de 61 attaques de phishing ciblant des équipes financières. Ce nombre est passé à 170 en 2017, soit une augmentation de près de 200 % !
Comment fonctionnent les attaques de whaling et pourquoi aboutissent-elles ?
Le whaling exige plus de recherches et de planification que les attaques classiques par phishing et spear-phishing.
Pour usurper l’identité d’une « baleine », les pirates doivent prendre le temps de trouver la meilleure façon de se faire passer pour elle, trouver un moyen d’approcher leur cible et déterminer le type d’informations qu’ils peuvent soutirer à leurs victimes.
Pour établir un profil et un plan d’attaque, les cybercriminels examinent les informations issues des médias sociaux et celles divulguées au public par l’entreprise.
Ils peuvent également utiliser des logiciels malveillants et des rootkits pour s’infiltrer dans le réseau : un e-mail provenant du compte du PDG est beaucoup plus efficace qu’un message issu d’un compte usurpé.
Et qu’en est-il lorsque ces messages comprennent des détails donnant à penser que les attaques proviennent d’entités de confiance ? Eh bien, c’est encore mieux.
Les e-mails constituent de loin la méthode de phishing la plus efficace (y compris pour le whaling) : 98% des attaques de phishing utilisent la messagerie électronique.
Dans le passé, les e-mails de phishing privilégiaient l’inclusion de liens ou de fichiers joints contenant un malware.
Mais plus récemment, des attaques de whaling réussies ayant abouti se sont contentées d’émettre une simple demande qui a semblé plausible à la victime.
Exemples d’attaques de whaling
En 2016, un employé de Snapchat a divulgué toutes les données de paie de l’entreprise à un escroc (l’employé avait répondu à un e-mail semblant provenir du PDG, auquel il s’est empressé de répondre). Le whaling cible fréquemment les équipes en charge des ressources humaines ou de la paie car elles ont accès à des données personnelles sensibles.
Dans une autre attaque de whaling, un employé d’une une entreprise de marchandises a viré 17,2 millions de dollars en plusieurs versements à une banque située en Chine, comme le lui demandaient des e-mails qui semblaient émaner du PDG.
Comme l’entreprise prévoyait alors de développer son activité en Chine, cette demande lui avait paru assez plausible.
Dans ces deux cas, la victime n’a pas identifié l’attaque de whaling ou posé les bonnes questions pour s’assurer de la validité de la demande.
Il est essentiel de former le personnel et les membres dirigeants à rester vigilants face à toute tentative de fraude par phishing.
Quelques conseils pour éviter une attaque de whaling
Pour éviter le whaling, il faut utiliser les mêmes tactiques que pour une attaque de phishing standard. La seule différence tient à l’importance de la cible.
- Sensibilisez les employés aux attaques de whaling et à la façon d’identifier les e-mails de phishing.
- Formez les employés et les dirigeants à penser en termes de sécurité et à poser les bonnes questions.
- Vérifiez l’adresse e-mail de réponse (« Répondre à ») et assurez-vous qu’elle est légitime.
- Téléphonez pour vous assurer de la véracité des demandes inhabituelles ou urgentes.
- Marquez tous les courriels provenant de l’extérieur de l’organisation – cela permet de mettre en évidence les messages potentiellement frauduleux.
- Discutez avec l’équipe dirigeante de l’utilisation des médias sociaux dans le contexte des risques de whaling.
- Les médias sociaux constituent pour les cybercriminels une mine d’informations qu’ils peuvent exploiter pour « harponner une baleine ».
- Les experts en sécurité recommandent aux membres des équipes dirigeantes d’activer les restrictions d’accès aux informations confidentielles de leurs comptes personnels de média sociaux, afin de réduire l’exposition des informations pouvant être utilisées pour une escroquerie par ingénierie sociale.
- Mettez en place un processus de vérification en plusieurs étapes pour les demandes internes et externes de données sensibles ou de virements bancaires.
- Mettez en œuvre des politiques de protection et de sécurité des données : surveillez l’activité liée aux fichiers et à la messagerie électronique afin de repérer et signaler les comportements suspects, et mettez en place une sécurité multi-couches pour protéger votre entreprise contre le whaling et toute forme de phishing.
Vous voulez en savoir plus ? Voyez comment Varonis peut vous aider à prévenir les attaques de whaling et à vous en défendre – afin d’éviter le vol de vos données et de votre argent.
Que dois-je faire maintenant ?
Vous trouverez ci-dessous trois solutions pour poursuivre vos efforts visant à réduire les risques liés aux données dans votre entreprise:
Planifiez une démonstration avec nous pour voir Varonis en action. Nous personnaliserons la session en fonction des besoins de votre organisation en matière de sécurité des données et répondrons à vos questions.
Consultez un exemple de notre évaluation des risques liés aux données et découvrez les risques qui pourraient subsister dans votre environnement. Cette évaluation est gratuite et vous montre clairement comment procéder à une remédiation automatisée.
Suivez-nous sur LinkedIn, YouTube et X (Twitter) for pour obtenir des informations sur tous les aspects de la sécurité des données, y compris la DSPM, la détection des menaces, la sécurité de l’IA et plus encore.