Accueil
Thèmes
Whaling
Le whaling est un type d’attaque par hameçonnage qui cible les dirigeants d’entreprise au moyen d’e-mails, de SMS ou d’appels téléphoniques frauduleux. Les messages sont rédigés avec soin afin de convaincre le destinataire de divulguer des données d’entreprise sensibles et des informations personnelles ou d’autoriser des paiements importants à destination des cybercriminels.
Ces attaques ciblent les cadres dirigeants (PDG, directeurs financiers, directeurs des opérations), d’autres cadres supérieurs, les titulaires de mandats politiques et les dirigeants d’organisations en mesure d’autoriser des paiements ou des virements importants, ou encore la divulgation d’informations sensibles sans l’approbation d’autres personnes. Ces cibles sont qualifiées de « gros poissons », en référence à leur influence importante.
Obtenez des informations pour mieux prendre en charge le risque de violation de données grâce au dernier rapport sur le coût d’une violation de données.
Il est important de comprendre le lien entre hameçonnage, phishing ciblé et whaling, principalement parce que ces termes sont souvent employés de manière interchangeable, incorrecte ou sans contexte.
L’hameçonnage désigne tout e-mail, SMS ou appel téléphonique frauduleux qui vise à inciter son destinataire à télécharger des logiciels malveillants (via un lien malveillant ou un fichier joint), à partager des informations sensibles, à envoyer de l’argent aux criminels ou à d’autres actions susceptibles de l’exposer, lui ou son organisation, à une cyberattaque.
Toute personne équipée d’un ordinateur ou d’un smartphone a probablement déjà reçu une attaque d’ hameçonnage en masse, c’est-à-dire un message qui semble provenir d’une entreprise ou d’une organisation bien connue, qui décrit une situation courante ou crédible et qui exige une action urgente (par exemple : « Votre carte de crédit a été refusée. Veuillez cliquer sur le lien ci-dessous pour mettre à jour vos informations de paiement. ») Les destinataires qui cliquent sur le lien sont redirigés vers un site web malveillant susceptible de dérober leur numéro de carte de crédit ou de télécharger des logiciels malveillants sur leurs ordinateurs.
Tout l’intérêt d’une campagne d’hameçonnage en masse repose sur sa portée. Les pirates envoient des messages à autant de personnes que possible en sachant pertinemment qu’un certain pourcentage va mordre à l’hameçon. Une étude a ainsi comptabilisé plus de 255 millions de messages d’hameçonnage sur une période de six mois en 2022 (lien externe à ibm.com). Selon le rapport Cost of a Data Breach 2022 d’IBM, l’hameçonnage était la deuxième cause la plus fréquente de violations de données en 2022 et la méthode la plus courante pour délivrer des ransomwares aux victimes.
Le phishing ciblé, ou harponnage, désigne une attaque par hameçonnage qui cible une personne ou un groupe spécifique de personnes au sein d’une organisation. Les attaques par phishing ciblé sont généralement lancées à l’encontre de responsables de niveau intermédiaire qui peuvent autoriser des paiements ou des transferts de données (responsables de la comptabilité fournisseurs, directeurs des ressources humaines) par un pirate se faisant passer pour un collègue ayant autorité sur la cible, ou un collaborateur (par exemple, fournisseur, partenaire commercial, conseiller) en qui la cible a confiance.
Les attaques par phishing ciblé sont plus personnalisées que les attaques par hameçonnage en masse et nécessitent plus de travail et de recherches. Mais ces efforts supplémentaires peuvent se révéler payants pour les cybercriminels. Des cybercriminels ont ainsi dérobé plus de 100 millions de dollars à Facebook et Google entre 2013 et 2015 en se faisant passer pour des fournisseurs légitimes et en incitant les employés à régler des factures frauduleuses (lien externe à ibm.com).
Le whaling désigne une attaque par phishing ciblé destinée exclusivement à un cadre ou un représentant de haut niveau. Le pirate usurpe généralement l’identité d’un collègue au sein de l’organisation ciblée, ou d’un collaborateur ou d’un associé à responsabilité égale ou supérieure d’une autre organisation.
Les messages de whaling sont hautement personnalisés. Les pirates se donnent beaucoup de mal pour imiter le style d’écriture de l’expéditeur réel et, lorsque c’est possible, de faire référence à des conversations professionnelles réelles en cours. Pour cela, un grand nombre de fraudeurs espionnent les conversations entre l’expéditeur et la cible. La plupart tenteront ainsi de détourner le compte de messagerie électronique ou SMS de l’expéditeur pour envoyer le message d’attaque directement à partir de ce dernier et assurer ainsi une authenticité maximale.
Comme ces attaques ciblent des individus en capacité d’autoriser des paiements plus importants, elles offrent la possibilité d’un gain immédiat plus élevé pour l’attaquant.
Le whaling est parfois assimilé aux attaques par compromission d’e-mails professionnels (BEC, ou Business Email Compromise en anglais), un autre type d’attaque par phishing ciblé pour lequel le pirate envoie à la cible un e-mail frauduleux qui semble provenir d’un collègue. Pourtant, toutes les attaques BEC ne sont pas des attaques par whaling (car elles ciblent fréquemment les employés subalternes), et le whaling ne relève pas toujours de la compromission d’e-mails professionnels (car elle n’implique pas toujours un e-mail), mais la plupart des attaques par whaling les plus lucratives impliquent également des attaques BEC. Par exemple :
L’hameçonnage, le phishing ciblé et le whaling sont tous des exemples d’attaques d’ingénierie sociale : des attaques qui exploitent principalement les vulnérabilités humaines plutôt que les vulnérabilités techniques pour compromettre la sécurité. Parce qu’elles laissent beaucoup moins de preuves numériques que les logiciels malveillants ou le piratage, il peut être d’autant plus difficile pour les équipes de sécurité et les professionnels de la cybersécurité de les détecter ou les contrer.
La plupart des attaques par whaling visent à dérober d’importantes sommes d’argent à une entreprise, en trompant un responsable de haut niveau jusqu’à ce qu’il effectue, autorise ou demande un virement bancaire à destination d’un fournisseur ou d’un compte bancaire frauduleux. Mais ces attaques peuvent avoir d’autres objectifs, notamment :
Encore une fois, la plupart des attaques par whaling sont motivées par la cupidité. Mais il peut aussi s’agit d’une vengeance personnelle contre un dirigeant ou une entreprise, de pressions concurrentielles ou d’un acte d’activisme social ou politique. Les attaques par whaling contre des hauts fonctionnaires peuvent aussi relever du cyberterrorisme, indépendant ou avec l’appui d’un État.
Les cybercriminels choisissent un gros poisson ayant accès à leur objectif et un expéditeur ayant accès à ce gros poisson. Par exemple, un cybercriminel qui souhaite intercepter les paiements d’une entreprise à un partenaire de sa chaîne d’approvisionnement peut envoyer une facture au directeur financier, puis solliciter son règlement en usurpant l’identité du PDG dudit partenaire. De même, un attaquant qui souhaite dérober les données d’employés peut se faire passer pour le directeur financier et demander des informations sur la paie au vice-président des ressources humaines.
Pour rendre les messages des expéditeurs crédibles et convaincants, les escrocs effectuent des recherches approfondies sur leurs cibles et leurs expéditeurs, ainsi que sur les organisations dans lesquelles ils travaillent.
Grâce aux nombreuses informations partagées sur les réseaux sociaux et en ligne, ils peuvent trouver une grande partie des informations dont ils ont besoin au moyen d’une simple recherche sur des sites de réseaux sociaux ou le Web. Par exemple, en étudiant simplement le profil LinkedIn d’une cible potentielle, un pirate peut connaître l’intitulé de son poste, ses responsabilités, son adresse e-mail professionnelle, le nom du service, les noms et les titres de ses collègues et partenaires commerciaux, ses événements et voyages d’affaires à venir.
En fonction de la cible, les médias grand public, spécialisés et locaux peuvent fournir des informations supplémentaires (par exemple, des rumeurs de transactions ou des transactions réalisées, des projets faisant l’objet d’un appel d’offres, des coûts de construction prévus) que les escrocs peuvent utiliser. Les pirates peuvent souvent créer un e-mail de phishing ciblé convaincant après quelques recherches générales sur Google.
Mais les escrocs vont souvent plus loin en piratant la cible et l’expéditeur pour recueillir des informations encore plus exhaustives. Cela peut être aussi simple que d’infecter les ordinateurs de la cible et de l’expéditeur avec des logiciels espions qui permettent au cybercriminel de consulter le contenu des fichiers pour des recherches supplémentaires. Les escrocs plus ambitieux iront jusqu’à pirater le réseau de l’expéditeur ainsi que ses comptes de messagerie électronique ou SMS, afin d’espionner des conversations réelles et de s’y infiltrer.
Lorsque le moment est venu de frapper, l’escroc envoie le(s) message(s) d’attaque. Les messages de whaling les plus efficaces semblent s’intercaler dans une conversation en cours, incluent des références détaillées à un projet ou une transaction spécifique, présentent une situation crédible (une tactique d’ingénierie sociale appelée pretexting) et formulent une demande tout aussi crédible. Par exemple, un attaquant qui usurpe l’identité du PDG d’une entreprise pourrait envoyer ce message au directeur financier :
Suite à notre conversation d’hier, vous trouverez ci-joint une facture des avocats chargés de l’acquisition de BizCo. Merci de la régler avant 17 h demain, comme indiqué dans le contrat. Merci.
Dans cet exemple, la facture jointe peut être une copie d’une facture du cabinet d’avocats, modifiée pour diriger le paiement vers le compte bancaire de l’escroc.
Pour paraître authentiques aux yeux de la cible, les messages de whaling peuvent intégrer plusieurs tactiques d’ingénierie sociale, notamment :
Les attaques par whaling, comme toutes les attaques par hameçonnage, comptent parmi les cyberattaques les plus difficiles à combattre, car elles ne peuvent pas toujours être identifiées par les outils de cybersécurité traditionnels (basés sur les signatures). Dans de nombreux cas, le pirate a simplement besoin de contourner des barrières de sécurité « humaines ». Les attaques par whaling sont particulièrement pernicieuses, car leur nature ciblée et leur contenu personnalisé les rendent encore plus convaincantes pour la cible ou les observateurs.
Néanmoins, il existe des mesures que les organisations peuvent prendre pour atténuer l’impact du whaling, voire prévenir complètement ce type d’attaques.
Formation de sensibilisation à la sécurité. Étant donné que le whaling exploite les vulnérabilités humaines, la formation du personnel est une ligne de défense importante. La formation antihameçonnage peut inclure les points suivants :
Authentification multifacteurs et adaptative. La mise en œuvre d’une authentification multifacteurs (exigeant une ou plusieurs informations d’identification en plus du nom d’utilisateur et du mot de passe) et/ou d’une authentification adaptative (exigeant des informations d’identification supplémentaires lorsque les utilisateurs se connectent à partir de différents appareils ou emplacements) peut empêcher les pirates d’accéder au compte de messagerie d’un utilisateur, même s’ils parviennent à voler le mot de passe de la messagerie de l’utilisateur.
Logiciel de sécurité. Aucun outil de sécurité ne peut à lui seul empêcher les attaques de whaling, mais plusieurs outils peuvent jouer un rôle pour prévenir ces attaques ou minimiser leurs dommages :
Découvrez les dernières tendances et techniques de prévention en matière de whaling sur Security Intelligence, le blog de leadership éclairé hébergé par IBM Security.
Le ransomware est une forme de logiciel malveillant qui menace de détruire ou de retenir les données ou les fichiers de la victime, sauf si une rançon est versée au pirate pour déchiffrer et restaurer l’accès aux données.
Ce rapport, qui en est à sa 17e édition, présente les dernières informations sur l'évolution des menaces et propose des recommandations pour gagner du temps et limiter les pertes.