mars 9, 2022
Vie privée
8 min lu

Qu'est-ce qu'une attaque et un hameçonnage à la baleine ?

Une attaque de baleine, également connue sous le nom de phishing de baleine, est une méthode utilisée par les cybercriminels pour cibler des personnes de grande valeur et accéder à leurs informations privées.

Ross K.
Expert en sécurité
Vous avez peut-être entendu parler du phishing, non ? Mais saviez-vous qu'il existe différents types de phishing ? Dans cet article, nous souhaitons mettre en évidence ce qu'est le phishing, discuter des attaques de phishing et sensibiliser les particuliers ayant une forte présence numérique et les entreprises à la cyber-sensibilisation au phishing. Les attaques de type "whaling" sont connues comme des cyberattaques ciblées. Cela signifie qu'elles ne sont pas destinées à frapper la masse, mais plutôt des personnes clés spécifiques (des PDG, le plus souvent) qui ont accès à des informations ou à des actifs qu'il serait avantageux pour les pirates d'obtenir.

Attaques à la baleine - aperçu général

Les attaques à la baleine, en tant que tendance, sont apparues il y a près de dix ans. À l'époque, le terme utilisé pour les décrire était large et s'appelait "spear phishing". Comme vous pouvez le constater, de nombreux noms de tactiques de piratage sont liés à la pêche. De nos jours, pêche au harpon est juste utilisé pour séparer les attaques de phishing ciblées des attaques générales.
La chasse à la baleine est ce que l'on appelle le phishing avec une grosse prise. Les cibles des cyberattaques de type "baleine" ne sont pas les masses habituelles de personnes, mais plutôt des "individus de grande valeur", c'est-à-dire des décideurs ayant accès à des informations et/ou à des ressources qui pourraient être utiles aux acteurs de la menace. Il peut s'agir d'un PDG, d'un fonctionnaire de haut rang ou simplement de toute personne occupant une position élevée et ayant accès à des informations et des ressources précieuses et/ou les possédant.
La plupart des cyber-attaques de baleines impliquent un "phishing" de haut niveau, très ciblé et bien étudié. Une fois que suffisamment d'informations sont obtenues, une tentative non sollicitée par quelqu'un se présentant comme une entité digne de confiance - comme votre banque, votre société de cartes de crédit, une agence gouvernementale ou même des sites populaires, commence. L'intention est d'obtenir l'accès à des informations qui peuvent être utilisées à des fins de gain financier ou de déstabilisation. L'escroquerie d'une personne de la classe moyenne de la banlieue n'apportera jamais le même gain que l'escroquerie d'un PDG d'une grande entreprise, par exemple, c'est pourquoi le hameçonnage est un jeu complètement différent.
Si les cyberattaques par hameçonnage sont parfois considérées comme du "phishing" ordinaire, ce n'est pas tout à fait vrai, car le phishing par hameçonnage implique de cibler des personnes clés. Pour ce faire, il faut généralement effectuer des recherches approfondies, recueillir des informations privilégiées, se préparer et agir avec la plus grande précision.

Méthodologie de la chasse à la baleine

Les attaques à la baleine, également connues sous le nom de fraude au PDG, ont quatre éléments clés en commun : le ciblage, le moment, le contenu et la méthodologie.

Cibler

Cibler des individus de grande valeur est l'étape initiale de la chasse à la baleine. Pour réussir, vous devez trouver une cible appropriée. Cette personne doit contrôler l'accès ou avoir le pouvoir d'influencer les décisions, avoir accès aux systèmes, etc. Pour avoir le plus de succès, les pirates ciblent généralement les PDG, les directeurs financiers et les cadres supérieurs, ainsi que le personnel comptable de haut niveau.
Le phishing est si courant et si répandu que plus de la moitié des décideurs informatiques veulent en faire leur priorité absolue.

Timing

Avez-vous déjà entendu l'expression "Tout est dans le timing" ? Eh bien, elle s'applique certainement ici. Si les pirates jouent bien leurs cartes, frappent au bon moment et rythment bien leurs actions, les chances de succès augmentent considérablement. Le timing fait ici référence à deux facteurs différents : le timing général (sur le calendrier) et le timing relatif (situation actuelle de l'entreprise).
Par exemple, si les pirates savent que le directeur financier est tombé malade juste avant les fêtes et qu'il travaille à distance, ils peuvent créer un stratagème et exploiter précisément l'opportunité de soutirer de l'argent des comptes juste avant la veille de Noël. Le personnel responsable mettrait plusieurs jours à s'en apercevoir, ce qui lui laisserait suffisamment de temps pour blanchir l'argent sur des comptes bancaires étrangers.

Contenu

C'est l'essence même de l'escroquerie baleinière, ou on peut même parler de stratégie. C'est là que la recherche et les informations privilégiées mentionnées plus haut entrent en jeu. L'analyse des médias sociaux et d'autres éléments de l'agenda public de l'entreprise peut révéler des informations importantes que les pirates peuvent utiliser pour des astuces d'ingénierie sociale et de phishing. Chaque approche est susceptible d'être unique, avec ses propres angles, niches et points d'exploitation.
En général, la chasse à la baleine tourne autour du hameçonnage par courriel, de sorte que les escrocs pourraient aimer se concentrer sur les détails personnels et établir rapidement la confiance par la communication. Ils peuvent facilement usurper des e-mails pour discuter avec des subordonnés ou même copier des sites Web entiers pour recueillir des informations. Par exemple, si votre supérieur financier vous envoie un courrier électronique à partir de son adresse et écrit :
"Pouvez-vous vous connecter aux comptes bancaires de notre entreprise ? Veuillez vérifier dès que possible !" - un subordonné peut ne pas hésiter à suivre les instructions.
Le contenu est donc précis et direct.

Méthodologie

Enfin, nous avons ce que l'on appelle une "méthodologie d'escroquerie fluide", en d'autres termes, une communication ou une interaction sociale fluide entre les acteurs de la menace et ce que l'on considère comme des cibles de grande valeur ou des individus qui leur sont associés.
L'escroc veut éviter toute implication extérieure et limiter les communications au minimum, en gardant les choses sous son contrôle direct. Si la cible décide de consulter quelqu'un d'autre, d'obtenir un deuxième avis ou d'attendre une date fixe dans le futur, l'escroc peut se montrer insistant et nier cette nécessité. C'est la première faille de leur méthodologie - ils disposent d'un temps très limité pour réussir leur coup. Si un employé subalterne détecte une fraude, il ne doit pas agir au-dessus de son niveau de rémunération. Et les PDG, lorsqu'ils sont visés, devraient éviter de faire quelque chose de complètement imprévu avant de consulter directement les responsables correspondants.

Protection et défense contre la chasse à la baleine - sensibilisation à la cybernétique

La protection et la défense la plus importante contre la chasse à la baleine ? La sensibilisation. Le concept de cyberconscience est généralement associé à la sécurité informatique, mais ce n'est qu'un aspect de la situation. Sensibiliser votre entreprise à la cyber-sensibilisation peut contribuer de manière significative à la sécurité globale et vous donner un avantage concurrentiel sur des concurrents peu scrupuleux, qui pourraient tenter d'utiliser des approches moins éthiques pour obtenir ce qu'ils recherchent.
Pour assurer une protection efficace contre les escroqueries à la baleine très ciblées, vous devez sensibiliser tous vos employés - qu'il s'agisse du PDG ou d'un veilleur de nuit. Des mesures de cyber-sensibilisation devraient être introduites dans tous les secteurs de travail - des réceptionnistes et des commis aux agents de haut rang et aux membres du personnel de soutien technique.
L'éducation et la présentation des menaces potentielles permettent d'obtenir les meilleurs résultats possibles. Comme nous l'avons déjà mentionné, les décideurs informatiques les mieux informés sont les plus concernés par la menace du phishing. Ce n'est pas la tactique la plus astucieuse en termes de solutions de piratage, mais elle exploite sans doute la plus grande faiblesse de la structure de l'entreprise - la confiance des gens. Si un pirate parvient à se frayer un chemin par l'ingénierie sociale et à gagner la confiance des gens, les dégâts qu'il peut causer sont colossaux.
La première étape consiste à comprendre ce que vos employés doivent savoir sur les dangers des attaques de phishing à la baleine. Assurez le 2FA et les autres mesures de sécurité numérique possibles pour éviter des dommages regrettables et facilement évitables.

Conseils de base pour prévenir le vol de données et mettre fin aux attaques de phishing

Tout n'est pas si sombre ; il y a beaucoup de choses que l'on peut faire pour prévenir le vol de données. Voici quelques conseils de base pour vous aider à éviter les attaques de phishing de type "baleine" :

1. Ne vous fiez pas uniquement aux mots de passe - utilisez le système 2FA, en particulier pour les transactions financières.

L'authentification multifactorielle s'est avérée être l'un des outils les plus efficaces pour authentifier diverses opérations et empêcher les fraudeurs d'en profiter. L'une des meilleures façons de stopper net les baleines est de minimiser la dépendance à la connaissance des individus (codes et mots de passe) et d'ajouter des facteurs tels que la possession (par exemple, un téléphone portable, un générateur de codes, etc.) ainsi que des données biométriques.

2. Utilisez des mots de passe longs qui combinent des chiffres, des symboles et des lettres majuscules et minuscules.

Ils sont plus difficiles à retenir, mais il existe des solutions logicielles dédiées au cryptage et à la protection des mots de passe. Certains systèmes peuvent être déverrouillés à l'aide de codes d'accès qui changent constamment (comme le 2FA), mais cette forme minimale de prévention peut considérablement entraver les efforts des pirates.

3. Gardez une trace de ce qui se passe sur votre bureau, des données auxquelles vous accédez et des sites Web à partir desquels elles ont été téléchargées.

Il existe divers programmes qui peuvent aider à surveiller les sites auxquels l'IP de votre organisation accède et les informations qu'elle recherche.

4. Ne cliquez pas sur les liens contenus dans les courriels que vous ne vous attendiez pas à recevoir.

La plupart des attaques de baleines se font par courrier électronique, alors quelle est votre meilleure défense ? Tout d'abord, ne cliquez sur aucun lien dans les courriels que vous ne vous attendiez pas à recevoir, quoi qu'il arrive. Signalez toujours les e-mails suspects ou posez des questions à leur sujet en personne ou par le biais de canaux de communication sécurisés, par exemple en appelant la personne en question ou en écrivant à son compte Skype sur l'intranet, etc.

5. Utilisez des pare-feu et des filtres anti-spam sur vos comptes de messagerie.

Cette mesure peut sembler évidente, mais elle fait partie des mesures de cyberhygiène les plus élémentaires qui permettent d'empêcher de nombreux logiciels malveillants dangereux de pénétrer dans votre système.

Résumé

Vous savez maintenant tout ce qu'il y a à savoir sur les attaques de type "whaling". Il s'agit d'un type d'attaque par hameçonnage dans lequel les escrocs visent des personnes de haut rang, comme les cadres supérieurs et les dirigeants. Les pirates utilisent diverses techniques pour recueillir des informations sur les victimes dans l'espoir de les tromper en leur faisant révéler des données privées ou en leur donnant des droits d'accès à des systèmes hautement confidentiels. Cela peut créer des dommages importants pour l'entreprise. Les entreprises doivent donc sensibiliser l'ensemble de leur organisation afin de mieux se protéger.
Plus d'articles de blog
avril 10, 2023
Tutoriels
8 min lu
Proxy ou VPN : quelles sont les différences ?
Les VPN ont plus de fonctionnalités qu'un proxy, mais ils sont plus chers. Cependant, il y a plus d'avantages et d'inconvénients à choisir entre un VPN et un proxy.
Povilas M.
Expert en sécurité
mars 16, 2023
Sécurité
5 min lu
Qu'est-ce qu'un effacement à distance ? Suppression à distance de votre téléphone
Un effacement à distance est une suppression à distance des données d'un appareil sans avoir l'appareil physiquement. Les effacements à distance peuvent être effectués sur des téléphones mobiles, des ordinateurs de bureau, etc.
Ross K.
Expert en sécurité
Une société de sécurité et d'informatique dont la mission est de faire de la vie privée de chacun une valeur par défaut.
© 2022 Dragon Secure GmbH. Bahnhofstrasse 32, 6300, Zug, Suisse
info@kraden.com