Blog Sécurité des données

Whaling : une attaque par spear-phishing particulière.

Pour l’essentiel, une attaque de whaling est une attaque par spear-phishing, mais visant des plus grosses cibles – d’où l’idée du harponnage d’une baleine. Alors que les attaques par spear phishing...
Michael Buckbee
3 minute de lecture
Dernière mise à jour 29 octobre 2021

Contents

    Pour l’essentiel, une attaque de whaling est une attaque par spear-phishing, mais visant des plus grosses cibles – d’où l’idée du harponnage d’une baleine.
    Alors que les attaques par spear phishing peuvent cibler n’importe quel individu, le whaling choisit plus soigneusement le type de personne qu’il cible : il se concentrera sur un cadre dirigeant ou une personne influente plutôt que sur un groupe plus large de victimes potentielles.

    Les cybercriminels utilisent le whaling pour usurper l’identité d’un haut responsable d’une organisation, comme le PDG, le directeur financier ou d’autres dirigeants, en espérant exploiter leur autorité pour accéder à des données sensibles ou à l’argent.
    Ils utilisent les informations trouvées sur Internet (et souvent sur les médias sociaux) pour tromper les employés, ou une autre « baleine », afin qu’ils leur communiquent des données financières ou personnelles.

    Ces pirates veulent exploiter l’autorité et l’influence de la « baleine » pour convaincre les individus de ne pas examiner de trop près la requête frauduleuse.
    Les cybercriminels peuvent commettre leurs méfaits lorsque les employés n’examinent pas de trop près l’adresse e-mail ou les sites web et qu’ils se contentent de suivre les instructions.

    Statistiques sur le whaling

    Le FBI a rapporté que les attaques de phishing ont coûté aux entreprises près de 215 millions de dollars en 2014. En 2016, le rapport Verizon DBIR a fait état de 61 attaques de phishing ciblant des équipes financières. Ce nombre est passé à 170 en 2017, soit une augmentation de près de 200 % !

    whaling attack statistic

    Comment fonctionnent les attaques de whaling et pourquoi aboutissent-elles ?

    Le whaling exige plus de recherches et de planification que les attaques classiques par phishing et spear-phishing.
    Pour usurper l’identité d’une « baleine », les pirates doivent prendre le temps de trouver la meilleure façon de se faire passer pour elle, trouver un moyen d’approcher leur cible et déterminer le type d’informations qu’ils peuvent soutirer à leurs victimes.

    Pour établir un profil et un plan d’attaque, les cybercriminels examinent les informations issues des médias sociaux et celles divulguées au public par l’entreprise.
    Ils peuvent également utiliser des logiciels malveillants et des rootkits pour s’infiltrer dans le réseau : un e-mail provenant du compte du PDG est beaucoup plus efficace qu’un message issu d’un compte usurpé.
    Et qu’en est-il lorsque ces messages comprennent des détails donnant à penser que les attaques proviennent d’entités de confiance ? Eh bien, c’est encore mieux.

    Les e-mails constituent de loin la méthode de phishing la plus efficace (y compris pour le whaling) : 98% des attaques de phishing utilisent la messagerie électronique.
    Dans le passé, les e-mails de phishing privilégiaient l’inclusion de liens ou de fichiers joints contenant un malware.
    Mais plus récemment, des attaques de whaling réussies ayant abouti se sont contentées d’émettre une simple demande qui a semblé plausible à la victime.

    Exemples d’attaques de whaling

    En 2016, un employé de Snapchat a divulgué toutes les données de paie de l’entreprise à un escroc (l’employé avait répondu à un e-mail semblant provenir du PDG, auquel il s’est empressé de répondre). Le whaling cible fréquemment les équipes en charge des ressources humaines ou de la paie car elles ont accès à des données personnelles sensibles.

    Dans une autre attaque de whaling, un employé d’une une entreprise de marchandises a viré 17,2 millions de dollars en plusieurs versements à une banque située en Chine, comme le lui demandaient des e-mails qui semblaient émaner du PDG.
    Comme l’entreprise prévoyait alors de développer son activité en Chine, cette demande lui avait paru assez plausible.

    Dans ces deux cas, la victime n’a pas identifié l’attaque de whaling ou posé les bonnes questions pour s’assurer de la validité de la demande.
    Il est essentiel de former le personnel et les membres dirigeants à rester vigilants face à toute tentative de fraude par phishing.

    Quelques conseils pour éviter une attaque de whaling

    Pour éviter le whaling, il faut utiliser les mêmes tactiques que pour une attaque de phishing standard. La seule différence tient à l’importance de la cible.

    5 tips for avoiding a whaling attack in list form

    • Sensibilisez les employés aux attaques de whaling et à la façon d’identifier les e-mails de phishing.
      • Formez les employés et les dirigeants à penser en termes de sécurité et à poser les bonnes questions.
      • Vérifiez l’adresse e-mail de réponse (« Répondre à ») et assurez-vous qu’elle est légitime.
      • Téléphonez pour vous assurer de la véracité des demandes inhabituelles ou urgentes.
    • Marquez tous les courriels provenant de l’extérieur de l’organisation – cela permet de mettre en évidence les messages potentiellement frauduleux.
    • Discutez avec l’équipe dirigeante de l’utilisation des médias sociaux dans le contexte des risques de whaling.
      • Les médias sociaux constituent pour les cybercriminels une mine d’informations qu’ils peuvent exploiter pour « harponner une baleine ».
      • Les experts en sécurité recommandent aux membres des équipes dirigeantes d’activer les restrictions d’accès aux informations confidentielles de leurs comptes personnels de média sociaux, afin de réduire l’exposition des informations pouvant être utilisées pour une escroquerie par ingénierie sociale.
    • Mettez en place un processus de vérification en plusieurs étapes pour les demandes internes et externes de données sensibles ou de virements bancaires.
    • Mettez en œuvre des politiques de protection et de sécurité des données : surveillez l’activité liée aux fichiers et à la messagerie électronique afin de repérer et signaler les comportements suspects, et mettez en place une sécurité multi-couches pour protéger votre entreprise contre le whaling et toute forme de phishing.

    Vous voulez en savoir plus ? Voyez comment Varonis peut vous aider à prévenir les attaques de whaling et à vous en défendre – afin d’éviter le vol de vos données et de votre argent.

    What should I do now?

    Below are three ways you can continue your journey to reduce data risk at your company:

    1

    Schedule a demo with us to see Varonis in action. We'll personalize the session to your org's data security needs and answer any questions.

    2

    See a sample of our Data Risk Assessment and learn the risks that could be lingering in your environment. Varonis' DRA is completely free and offers a clear path to automated remediation.

    3

    Follow us on LinkedIn, YouTube, and X (Twitter) for bite-sized insights on all things data security, including DSPM, threat detection, AI security, and more.

    Michael Buckbee
    Michael Buckbee Michael a travaillé en tant qu'administrateur système et développeur de logiciels pour des start-ups de la Silicon Valley, la marine américaine, et tout ce qui se trouve entre les deux.

    Essayez Varonis gratuitement.

    Obtenez un rapport détaillé sur les risques liés aux données basé sur les données de votre entreprise.
    Se déploie en quelques minutes.
    Commencer Voir un échantillon

    Keep reading

    Varonis tackles hundreds of use cases, making it the ultimate platform to stop data breaches and ensure compliance.

    qu’est-ce-qu’une-attaque-par-force-brute-?
    Qu’est-ce qu’une attaque par force brute ?
    qu’est-ce-qu’une-attaque-par-force-brute-?
    Michael Buckbee
    30 novembre 2018
    Une attaque par force brute est une cyberattaque revenant à essayer d’ouvrir une porte en essayant une à une toutes les clés d’un trousseau. 5 % des violations de données avérées de 2017...
    qu’est-ce-qu’une-attaque-par-déni-de-service-distribué-(ddos)-?
    Qu’est-ce qu’une attaque par déni de service distribué (DDoS) ?
    qu’est-ce-qu’une-attaque-par-déni-de-service-distribué-(ddos)-?
    Michael Buckbee
    16 octobre 2018
    Une attaque par déni de service distribué (DDoS) est une tentative visant à de rendre indisponible un serveur Web ou un système en ligne en le submergeant de données. Une...
    attaque-kerberos-:-édition-silver-ticket
    Attaque Kerberos : édition Silver Ticket
    attaque-kerberos-:-édition-silver-ticket
    Michael Buckbee
    12 septembre 2018
    Si vous pensez que, de par son nom, l’attaque Silver Ticket est moins dangereuse que sa cousine Golden Ticket, vous faites gravement erreur. Une attaque Silver Ticket est tout aussi...
    simulation-d’une-arnaque-par-phishing-sur-google-drive
    Simulation d’une arnaque par phishing sur Google Drive
    simulation-d’une-arnaque-par-phishing-sur-google-drive
    Nathan Coppinger
    9 mai 2021
    Une nouvelle méthode de phishing Le phishing, cette pratique qui consiste à pousser les internautes à dévoiler des informations importantes sur eux-mêmes et leurs comptes sans même qu’ils s’en aperçoivent,...