Whaling : une attaque par spear-phishing particulière.

Pour l’essentiel, une attaque de whaling est une attaque par spear-phishing, mais visant des plus grosses cibles – d’où l’idée du harponnage d’une baleine. Alors que les attaques par spear phishing...
Michael Buckbee
3 minute de lecture
Dernière mise à jour 29 octobre 2021

Pour l’essentiel, une attaque de whaling est une attaque par spear-phishing, mais visant des plus grosses cibles – d’où l’idée du harponnage d’une baleine.
Alors que les attaques par spear phishing peuvent cibler n’importe quel individu, le whaling choisit plus soigneusement le type de personne qu’il cible : il se concentrera sur un cadre dirigeant ou une personne influente plutôt que sur un groupe plus large de victimes potentielles.

Les cybercriminels utilisent le whaling pour usurper l’identité d’un haut responsable d’une organisation, comme le PDG, le directeur financier ou d’autres dirigeants, en espérant exploiter leur autorité pour accéder à des données sensibles ou à l’argent.
Ils utilisent les informations trouvées sur Internet (et souvent sur les médias sociaux) pour tromper les employés, ou une autre « baleine », afin qu’ils leur communiquent des données financières ou personnelles.

Ces pirates veulent exploiter l’autorité et l’influence de la « baleine » pour convaincre les individus de ne pas examiner de trop près la requête frauduleuse.
Les cybercriminels peuvent commettre leurs méfaits lorsque les employés n’examinent pas de trop près l’adresse e-mail ou les sites web et qu’ils se contentent de suivre les instructions.

Statistiques sur le whaling

Le FBI a rapporté que les attaques de phishing ont coûté aux entreprises près de 215 millions de dollars en 2014. En 2016, le rapport Verizon DBIR a fait état de 61 attaques de phishing ciblant des équipes financières. Ce nombre est passé à 170 en 2017, soit une augmentation de près de 200 % !

whaling attack statistic

Comment fonctionnent les attaques de whaling et pourquoi aboutissent-elles ?

Le whaling exige plus de recherches et de planification que les attaques classiques par phishing et spear-phishing.
Pour usurper l’identité d’une « baleine », les pirates doivent prendre le temps de trouver la meilleure façon de se faire passer pour elle, trouver un moyen d’approcher leur cible et déterminer le type d’informations qu’ils peuvent soutirer à leurs victimes.

Pour établir un profil et un plan d’attaque, les cybercriminels examinent les informations issues des médias sociaux et celles divulguées au public par l’entreprise.
Ils peuvent également utiliser des logiciels malveillants et des rootkits pour s’infiltrer dans le réseau : un e-mail provenant du compte du PDG est beaucoup plus efficace qu’un message issu d’un compte usurpé.
Et qu’en est-il lorsque ces messages comprennent des détails donnant à penser que les attaques proviennent d’entités de confiance ? Eh bien, c’est encore mieux.

Les e-mails constituent de loin la méthode de phishing la plus efficace (y compris pour le whaling) : 98% des attaques de phishing utilisent la messagerie électronique.
Dans le passé, les e-mails de phishing privilégiaient l’inclusion de liens ou de fichiers joints contenant un malware.
Mais plus récemment, des attaques de whaling réussies ayant abouti se sont contentées d’émettre une simple demande qui a semblé plausible à la victime.

Exemples d’attaques de whaling

En 2016, un employé de Snapchat a divulgué toutes les données de paie de l’entreprise à un escroc (l’employé avait répondu à un e-mail semblant provenir du PDG, auquel il s’est empressé de répondre). Le whaling cible fréquemment les équipes en charge des ressources humaines ou de la paie car elles ont accès à des données personnelles sensibles.

Dans une autre attaque de whaling, un employé d’une une entreprise de marchandises a viré 17,2 millions de dollars en plusieurs versements à une banque située en Chine, comme le lui demandaient des e-mails qui semblaient émaner du PDG.
Comme l’entreprise prévoyait alors de développer son activité en Chine, cette demande lui avait paru assez plausible.

Dans ces deux cas, la victime n’a pas identifié l’attaque de whaling ou posé les bonnes questions pour s’assurer de la validité de la demande.
Il est essentiel de former le personnel et les membres dirigeants à rester vigilants face à toute tentative de fraude par phishing.

Quelques conseils pour éviter une attaque de whaling

Pour éviter le whaling, il faut utiliser les mêmes tactiques que pour une attaque de phishing standard. La seule différence tient à l’importance de la cible.

5 tips for avoiding a whaling attack in list form

  • Sensibilisez les employés aux attaques de whaling et à la façon d’identifier les e-mails de phishing.
    • Formez les employés et les dirigeants à penser en termes de sécurité et à poser les bonnes questions.
    • Vérifiez l’adresse e-mail de réponse (« Répondre à ») et assurez-vous qu’elle est légitime.
    • Téléphonez pour vous assurer de la véracité des demandes inhabituelles ou urgentes.
  • Marquez tous les courriels provenant de l’extérieur de l’organisation – cela permet de mettre en évidence les messages potentiellement frauduleux.
  • Discutez avec l’équipe dirigeante de l’utilisation des médias sociaux dans le contexte des risques de whaling.
    • Les médias sociaux constituent pour les cybercriminels une mine d’informations qu’ils peuvent exploiter pour « harponner une baleine ».
    • Les experts en sécurité recommandent aux membres des équipes dirigeantes d’activer les restrictions d’accès aux informations confidentielles de leurs comptes personnels de média sociaux, afin de réduire l’exposition des informations pouvant être utilisées pour une escroquerie par ingénierie sociale.
  • Mettez en place un processus de vérification en plusieurs étapes pour les demandes internes et externes de données sensibles ou de virements bancaires.
  • Mettez en œuvre des politiques de protection et de sécurité des données : surveillez l’activité liée aux fichiers et à la messagerie électronique afin de repérer et signaler les comportements suspects, et mettez en place une sécurité multi-couches pour protéger votre entreprise contre le whaling et toute forme de phishing.

Vous voulez en savoir plus ? Voyez comment Varonis peut vous aider à prévenir les attaques de whaling et à vous en défendre – afin d’éviter le vol de vos données et de votre argent.

Que dois-je faire maintenant ?

Vous trouverez ci-dessous trois solutions pour poursuivre vos efforts visant à réduire les risques liés aux données dans votre entreprise:

1

Planifiez une démonstration avec nous pour voir Varonis en action. Nous personnaliserons la session en fonction des besoins de votre organisation en matière de sécurité des données et répondrons à vos questions.

2

Consultez un exemple de notre évaluation des risques liés aux données et découvrez les risques qui pourraient subsister dans votre environnement. Cette évaluation est gratuite et vous montre clairement comment procéder à une remédiation automatisée.

3

Suivez-nous sur LinkedIn, YouTube et X (Twitter) for pour obtenir des informations sur tous les aspects de la sécurité des données, y compris la DSPM, la détection des menaces, la sécurité de l’IA et plus encore.

Essayez Varonis gratuitement.

Obtenez un rapport détaillé sur les risques liés aux données basé sur les données de votre entreprise.
Se déploie en quelques minutes.

Keep reading

Varonis tackles hundreds of use cases, making it the ultimate platform to stop data breaches and ensure compliance.

simulation-d’une-arnaque-par-phishing-sur-google-drive
Simulation d’une arnaque par phishing sur Google Drive
Une nouvelle méthode de phishing Le phishing, cette pratique qui consiste à pousser les internautes à dévoiler des informations importantes sur eux-mêmes et leurs comptes sans même qu’ils s’en aperçoivent,...
qu’est-ce-qu’une-attaque-par-force-brute-?
Qu’est-ce qu’une attaque par force brute ?
Une attaque par force brute est une cyberattaque revenant à essayer d’ouvrir une porte en essayant une à une toutes les clés d’un trousseau. 5 % des violations de données avérées de 2017...
annonce-de-varonis-edge-–-vers-la-sécurité-périmétrique-et-au-delà
Annonce de Varonis Edge – vers la sécurité périmétrique et au-delà
Pour concevoir Varonis Edge, nous sommes partis d’un constat ; E-mails, Web et attaques par force brute sont les principaux vecteurs d’attaque des programmes malveillants pour percer vos défenses. La...
pourquoi-les-responsables-de-la-cybersécurité-devraient-partir-du-principe-qu’une-intrusion-a-eu-lieu ?
Pourquoi les responsables de la cybersécurité devraient partir du principe qu’une intrusion a eu lieu ?
Tout système, compte ou personne peut à tout moment constituer un vecteur d’attaque potentiel. Avec une surface d’attaque aussi vaste, vous devez partir du principe que les hackers vont violer au moins un vecteur, s’ils ne l’ont pas déjà fait.