Ces attaques ciblent les cadres dirigeants (PDG, directeurs financiers, directeurs des opérations), d’autres cadres supérieurs, les titulaires de mandats politiques et les dirigeants d’organisations en capacité d’autoriser des paiements ou des virements importants, ou encore la divulgation d’informations sensibles sans l’approbation d’autres personnes. Ces cibles sont qualifiées de « gros poissons », en référence à leur influence importante.

Il est important de comprendre le lien entre hameçonnage, harponnage et whaling, principalement parce que ces termes sont souvent employés de manière interchangeable, incorrecte ou sans contexte.

L’hameçonnage désigne tout e-mail, SMS ou appel téléphonique frauduleux qui vise à inciter son destinataire à télécharger des logiciels malveillants (via un lien malveillant ou un fichier joint), à partager des informations sensibles, à envoyer de l’argent aux criminels ou à d’autres actions susceptibles de l’exposer, lui ou son organisation, à une cyberattaque.

Toute personne équipée d’un ordinateur ou d’un smartphone a déjà reçu une attaque d’ hameçonnage en masse, c’est-à-dire un message qui semble provenir d’une entreprise ou d’une organisation bien connue, qui décrit une situation courante ou crédible et qui exige une action urgente (par exemple : « Votre carte de crédit a été refusée. Veuillez cliquer sur le lien ci-dessous pour mettre à jour vos informations de paiement. ») Les destinataires qui cliquent sur le lien sont redirigés vers un site Web malveillant susceptible de dérober leur numéro de carte de crédit ou de télécharger des logiciels malveillants sur leurs ordinateurs.

Tout l’intérêt d’une campagne d'hameçonnage en masse repose sur sa portée : les cybercriminels envoient des messages à autant de personnes que possible en sachant pertinemment qu’un certain pourcentage va mordre à l’hameçon. Une étude a ainsi comptabilisé plus de 255 millions de messages d’hameçonnage sur une période de six mois en 2022 (lien externe à ibm.com). Selon le rapport Cost of a Data Breach 2022  d’IBM, l'hameçonnage était la deuxième cause la plus fréquente de violations de données en 2022 et la méthode la plus courante pour délivrer des ransomwares aux victimes.

Le harponnage désigne une attaque par hameçonnage qui cible une personne ou un groupe spécifique de personnes au sein d’une organisation. Les attaques de harponnage sont généralement lancées à l’encontre de responsables de niveau intermédiaire qui peuvent autoriser des paiements ou des transferts de données (responsables de la comptabilité fournisseurs, directeurs des ressources humaines) par un attaquant se faisant passer pour un collègue ayant autorité sur la cible, ou un collègue (par exemple, fournisseur, partenaire commercial, conseiller) en qui la cible à confiance.

Les attaques de harponnage sont plus personnalisées que les attaques par hameçonnage en masse et nécessitent plus de travail et de recherches. Mais ces efforts supplémentaires peuvent se révéler payants pour les cybercriminels. Des cybercriminels ont ainsi dérobé plus de 100 millions de dollars à Facebook et Google entre 2013 et 2015 en se faisant passer pour des fournisseurs légitimes et en incitant les employés à régler des factures frauduleuses (lien externe à ibm.com).

Le whaling désigne une attaque de harponnage destinée exclusivement à un cadre ou un représentant de haut niveau. Le pirate usurpe généralement l’identité d’un collègue au sein de l’organisation ciblée, ou d’un collègue ou d’un associé à responsabilité égale ou supérieure d’une autre organisation.

Les messages de whaling sont hautement personnalisés : les attaquants se donnent beaucoup de mal pour imiter le style d’écriture de l’expéditeur réel et, lorsque c’est possible, faire référence à des conversations professionnelles réelles en cours. Pour cela, un grand nombre de fraudeurs espionnent les conversations entre l’expéditeur et la cible. La plupart tenteront ainsi de détourner le compte de messagerie électronique ou SMS de l’expéditeur pour envoyer le message d’attaque directement à partir de ce dernier et assurer ainsi une authenticité maximale.

Comme ces attaques ciblent des individus en capacité d’autoriser des paiements plus importants, elles offrent la possibilité d’un gain immédiat plus élevé pour l’attaquant.

Le whaling est parfois assimilé aux attaques par compromission d’e-mails professionnels (BEC, ou Business Email Compromise en anglais), un autre type d’attaque par harponnage pour lequel l’attaquant envoie à la cible un e-mail frauduleux qui semble provenir d’un collègue. Pourtant, toutes les attaques BEC ne sont pas des attaques de whaling (car elles ciblent fréquemment les employés subalternes), et le whaling ne relève pas toujours de la compromission d’e-mails professionnels (car elle n’implique pas toujours un e-mail), mais la plupart des attaques de whaling les plus lucratives impliquent également des attaques BEC. En voici quelques exemples :

• En 2015, Ubiquity Networks a perdu près de 47 millions de dollars en seulement 17 jours (lien externe à ibm.com) lors d’une attaque de whaling : des pirates se faisant passer pour le PDG et le directeur juridique de l’entreprise ont envoyé des e-mails au directeur comptable et sont parvenus ainsi à convaincre ce dernier d’effectuer une série de virements électroniques pour financer une acquisition secrète.
  
  
• En 2018, le groupe Pathé a perdu 19,2 millions d’euros (lien externe à ibm.com) lorsque des escrocs se faisant passer pour le PDG du siège social de Pathé en France ont envoyé un e-mail au PDG du bureau néerlandais de l’entreprise sollicitant des virements électroniques pour financer une acquisition.
  
  
• Toujours en 2018, des pirates se faisant passer pour le PDG, les cadres supérieurs et le conseiller juridique de la société italienne Tecnimont SpA ont poussé le dirigeant de l’unité commerciale indienne de l’entreprise à transférer 1,3 milliard de roupies indiennes (18,25 millions de dollars) à une banque de Hong Kong (lien externe à ibm.com), toujours sous le prétexte de financer une acquisition. Les attaquants ont même pris l’initiative d’organiser plusieurs fausses conférences téléphoniques pour discuter des détails de l’« acquisition ».

L’hameçonnage, le harponnage et le whaling sont tous des exemples d’attaques d’ingénierie sociale : des attaques qui exploitent principalement les vulnérabilités humaines plutôt que les vulnérabilités techniques pour compromettre la sécurité. Parce qu’elles laissent beaucoup moins de preuves numériques que les logiciels malveillants ou le piratage, il peut être d’autant plus difficile pour les équipes de sécurité et les professionnels de la cybersécurité de les détecter ou les contrer.

La plupart des attaques de whaling visent à dérober d’importantes sommes d’argent à une entreprise, en trompant un responsable de haut niveau jusqu’à ce qu’il effectue, autorise ou demande un virement bancaire à destination d’un fournisseur ou d’un compte bancaire frauduleux. Mais ces attaques peuvent avoir d’autres objectifs, notamment :

• Dérober des données sensibles ou des informations confidentielles. Cela peut inclure le vol de données personnelles, telles que les informations sur la paie des employés ou les données financières personnelles des clients. Ces attaques peuvent aussi cibler la propriété intellectuelle, les secrets commerciaux et d’autres informations sensibles.
  
  
• Dérober les identifiants des utilisateurs. Certains cybercriminels lancent une attaque préliminaire de whaling afin de voler des identifiants de messagerie, qui leur permettront ensuite de lancer une seconde attaque à partir d’un compte de messagerie piraté. D’autres encore utilisent ces informations d’identification pour obtenir un accès de haut niveau aux actifs ou aux données sur le réseau de la cible.
  
  
• Implanter des logiciels malveillants. Une part relativement faible des attaques de whaling vise à inciter les cibles à propager des ransomwares ou autres malwares en ouvrant des fichiers malveillants joints ou en visitant un site Web malveillant.

Encore une fois, la plupart des attaques de whaling sont motivées par la cupidité. Mais il peut aussi s’agit d’une vengeance personnelle contre un dirigeant ou une entreprise, de pressions concurrentielles ou d’un acte d’activisme social ou politique. Les attaques de whaling contre des hauts fonctionnaires peuvent aussi relever du cyberterrorisme, indépendant ou avec l’appui d’un État.

Les cybercriminels choisissent un gros poisson ayant accès à leur objectif et un expéditeur ayant accès à ce gros poisson. Par exemple, un cybercriminel qui souhaite intercepter les paiements d’une entreprise à un partenaire de sa chaîne d’approvisionnement peut envoyer une facture au directeur financier, puis solliciter son règlement en usurpant l’identité du PDG dudit partenaire. De même, un attaquant qui souhaite dérober les données d’employés peut se faire passer pour le directeur financier et demander des informations sur la paie au vice-président des ressources humaines.

Pour rendre les messages des expéditeurs crédibles et convaincants, les escrocs effectuent des recherches approfondies sur leurs cibles et leurs expéditeurs, ainsi que sur les organisations dans lesquelles ils travaillent.

Grâce aux nombreuses informations partagées sur les réseaux sociaux et en ligne, ils peuvent trouver une grande partie des informations dont ils ont besoin au moyen d’une simple recherche sur des sites de réseaux sociaux ou le Web. Par exemple, en étudiant simplement le profil LinkedIn d’une cible potentielle, un pirate peut connaître l’intitulé de son poste, ses responsabilités, son adresse e-mail professionnelle, le nom du service, les noms et les titres de ses collègues et partenaires commerciaux, ses événements et voyages d’affaires à venir.

En fonction de la cible, les médias grand public, spécialisés et locaux peuvent fournir des informations supplémentaires (par exemple, des rumeurs de transactions ou des transactions réalisées, des projets faisant l’objet d’un appel d’offres, des coûts de construction prévus) que les escrocs peuvent utiliser. Selon un rapport de l’analyste sectoriel Omdia, les pirates peuvent créer un e-mail de harponnage convaincant après environ 100 minutes de recherche générale sur Google (lien externe à ibm.com).

Mais les escrocs vont souvent plus loin en piratant la cible et l’expéditeur pour recueillir des informations encore plus exhaustives. Cela peut être aussi simple que d’infecter les ordinateurs de la cible et de l’expéditeur avec des logiciels espions qui permettent au cybercriminel de consulter le contenu des fichiers pour des recherches supplémentaires. Les escrocs plus ambitieux iront jusqu’à pirater le réseau de l’expéditeur ainsi que ses comptes de messagerie électronique ou SMS, afin d’espionner des conversations réelles et de s’y infiltrer.

Lorsque le moment est venu de frapper, l’escroc envoie le(s) message(s) d’attaque. Les messages de whaling les plus efficaces semblent s’intercaler dans une conversation en cours, incluent des références détaillées à un projet ou une transaction spécifique, présentent une situation crédible (une tactique d’ingénierie sociale appelée pretexting) et formulent une demande tout aussi crédible. Par exemple, un attaquant qui usurpe l’identité du PDG d’une entreprise pourrait envoyer ce message au directeur financier :

Suite à notre conversation d’hier, vous trouverez ci-joint une facture des avocats chargés de l’acquisition de BizCo. Merci de la régler avant 17 h demain, comme indiqué dans le contrat. Merci.

Dans cet exemple, la facture jointe peut être une copie d’une facture du cabinet d’avocats, modifiée pour diriger le paiement vers le compte bancaire de l’escroc.

Pour paraître authentiques aux yeux de la cible, les messages de whaling peuvent intégrer plusieurs tactiques d’ingénierie sociale, notamment :

• L’usurpation du domaine d’e-mail. Si les pirates ne peuvent pas pirater le compte de messagerie de l’expéditeur, ils créeront des domaines similaires (par exemple, jean.martin@enterprise.com au lieu de jean.martin@entreprise.com). Les e-mails de whaling peuvent également contenir des signatures e-mail copiées, des déclarations de confidentialité et d’autres indices visuels qui les rendent authentiques au premier coup d’œil.
  
  
• Un sentiment d’urgence. Un sentiment d’urgence (par exemple, des références à des échéances critiques ou à des frais de retard) peut pousser la cible à agir dans la précipitation, sans prendre le temps d’examiner plus attentivement la demande.
  
  
• Insister sur la confidentialité. Les messages de whaling contiennent souvent des instructions telles que « Veuillez garder cela pour vous pour l’instant » afin d’empêcher la cible de s’adresser à d’autres personnes susceptibles de remettre en question la demande.
  
  
• Voice phishing ou vishing. Les messages d’hameçonnage incluent de plus en plus des numéros de téléphone que la cible peut appeler. Certains escrocs accompagnent même les e-mails d’hameçonnage de messages vocaux qui utilisent l’intelligence artificielle pour usurper l’identité de l’expéditeur.