Qu’est-ce qu’une attaque de type whaling ? Identifier et éviter la fraude des PDG

Lukas Grigas
Rédacteur en cybersécurité
Whaling attack

Depuis 2013, les entreprises américaines ont envoyé à leur insu plus de 12 milliards de dollars aux criminels à l’origine des attaques de whaling. Vous pensez peut-être que vous ne vous laisserez jamais piéger par un e-mail suspect. Pourtant, les attaques de whaling (ou chasse à la baleine) imitent soigneusement votre PDG ou votre directeur financier et parviennent à voler les fichiers et les données les plus précieux de votre entreprise.

Alors, comment fonctionne une attaque de whaling ? Et que pouvez-vous faire dès maintenant pour l’éviter ? C’est ce que nous allons vous apprendre dans cet article.

Qu’est-ce qu’une attaque de type whaling ?

Une attaque de type whaling (littéralement, chasse à la baleine), également connue sous le nom de fraude au PDG, vise les grands dirigeants (c’est-à-dire gros poissons) d’une entreprise. Dans ce type d’attaque, un cybercriminel se fait passer pour un cadre supérieur d’une entreprise pour voler des fonds et des données sensibles ou accéder à des systèmes informatiques.

Le whaling est une forme d’hameçonnage, ou phishing, parfois désigné par le terme « whale phishing » : cette technique utilise l’usurpation d’adresse électronique et de site web pour inciter des employés ou des clients à révéler des informations sensibles ou à envoyer de l’argent. Mais contrairement à l’hameçonnage, les attaques de whaling font croire que le message provient d’un PDG ou d’une personne ayant des responsabilités équivalentes. Ainsi, les cybercriminels s’appuient sur le respect de l’autorité des collaborateurs pour exécuter leur plan.

Différences entre le phishing, le whaling et le spear phishing

Le phishing (hameçonnage), le spear phishing (hameçonnage ciblé) et le whaling (chasse à la baleine ou fraude au PDG), bien qu’ils évoquent tous la pêche, sont trois types distincts de cyberattaques qui s’appuient sur une communication trompeuse pour soutirer des informations à une personne qui ne se doute de rien. La différence entre ces trois types d’attaques réside dans la précision du ciblage et le profil des victimes.

Le phishing est le type d’attaque le plus générique qui consiste à envoyer des e-mails non sollicités à un grand nombre de personnes. Dans la plupart des cas, ces e-mails prétendent provenir d’une organisation bien connue dans l’espoir de tromper une personne peu méfiante et de l’amener à fournir des données sensibles telles que des identifiants de connexion et des numéros de carte bancaire.

Le Spear Phishing diffère de l’hameçonnage classique dans la mesure où ce type d’attaque est considéré comme ciblé sur une personne ou une organisation. Contrairement au phishing, qui ratisse large, le spear phishing se concentre sur les informations personnelles de la victime, souvent obtenues sur les réseaux sociaux. Les e-mails ont ainsi plus de chances d’être lus par le destinataire.

Le whaling est une forme très spécifique de spear phishing, dans lequel les cibles les plus recherchées sont des cadres ou d’autres personnalités importantes d’une organisation. Le terme « whaling » a été choisi en raison des cibles de ces attaques, à savoir les figures importantes d’une organisation : les « gros poissons ». Ces attaques sont généralement extrêmement personnalisées. Certaines d’entre elles réutilisent des communications internes ou proviennent d’une adresse très proche de celle de l’entreprise. Elles sont conçues le plus souvent pour extorquer de grosses sommes d’argent ou collecter des données sensibles et confidentielles.

Exemples d’attaques de Whaling

Maintenant que vous connaissez les bases, replaçons une attaque de Whaling dans son contexte à l’aide de quelques exemples.

Le virement urgent

Dans une tentative de manipulation jouant sur le stress de la victime pour obtenir de l’argent gratuit, le pirate envoie un e-mail « urgent ». Il se présente généralement comme un message personnel du patron, visant à créer un climat de confiance avant de demander un virement urgent. Le virement doit être effectué sur un compte précis avant une date donnée.

Vous vous dites probablement : « Pourquoi est-ce que j’accepterais de faire ce virement sans en parler d’abord à mon patron afin d’avoir une confirmation ? »Eh bien, imaginez une organisation internationale de plus de 10 000 collaborateurs. Avec des directeurs adjoints, des directeurs de service et des directeurs des opérations et des directeurs financiers dans chaque département qui traitent constamment des paiements de toutes sortes, une demande de virement peut n’avoir rien d’extraordinaire.

Une demande d’envoi de fichiers

Imaginez : vous commencez votre journée de travail avec 45 e-mails non lus. Vous les parcourez rapidement, en vous occupant de ce qui est urgent pour pouvoir continuer votre journée. Votre patron a besoin que vous lui envoyiez un document contenant des relevés de paiements et incluant les numéros de la carte de crédit de l’entreprise. Vous l’envoyez sans réfléchir, d’autant plus que votre « manager » a besoin de votre aide. Et voilà, sans beaucoup d’efforts de la part du criminel, vous venez de tomber dans le piège d’une attaque de baleine.

Attaques de Whaling Un fiasco d’un milliard de dollars pour les PDG

Il est facile d’usurper l’identité des PDG des très grosses entreprises : leur voix, leur style et leur localisation sont facilement accessibles, une aubaine pour les criminels qui peuvent ainsi les copier et les exploiter. Les attaques de whaling parviennent à contourner les pare-feu et les défenses informatiques les plus complexes avec une facilité déconcertante, à tel point qu’elles donnent l’impression à leur victime d’être totalement incompétente, ce qui explique pourquoi elles ne sont souvent pas signalées. Entre 60 et 70 % des directeurs financiers américains sont tombés dans le piège d’une attaque de baleine, entraînant la perte de milliards. Mais comme il est trop gênant d’admettre que l’on s’est fait avoir, toute opportunité de remédier à la situation est étouffée.

Des milliers d’entreprises ont pris l’habitude de passer en pertes et profits des milliards de dollars chaque année au titre de « pertes évitables ». Mais éviter une attaque de type Whaling est tout aussi simple que l’attaque elle-même.

Comment éviter une attaque de Whaling ?

Les cyberattaques de type whaling utilisent l’ingénierie sociale pour inciter les victimes à verser des fonds. Mais ne vous laissez pas intimider par un terme qui signifie simplement « s’attaquer à la nature humaine ». Dans cette nouvelle optique, les remèdes aux attaques de Whaling sont peu coûteux et très efficaces :

  1. Sensibilisation des équipes

Pour lutter efficacement contre les attaques de type whaling, les formations à la sécurité des employés doivent aller au-delà des principes de base. Des simulations avancées reflétant des scénarios réels peuvent être mises en place afin que les employés soient mieux à même de reconnaître les attaques de whaling et d’y faire face. Les sessions de formation avancée devraient mettre l’accent sur les tactiques psychologiques utilisées pour les attaques de whaling, telles que l’usurpation d’identité et la manipulation. En outre, des ateliers interservices peuvent contribuer à former de manière homogène tous les niveaux de personnel, du débutant au cadre, contribuant à une meilleure vigilance générale. En encourageant la formation continue et en incitant les employés à se tenir informés des dernières techniques de whaling, vous pouvez constituer une équipe capable de repousser ces attaques.

2. Mettre en place une double autorisation pour les virements bancaires

Nous avons parlé de recourir à un second avis lorsque quelqu’un demande un paiement. Faire signer par deux personnes tout virement bancaire sortant permet toujours d’éviter une attaque imminente de type Whaling.

3. Les cadres supérieurs doivent avoir des comptes privés sur les réseaux sociaux

Les attaques baleines visent les gros poissons d’une entreprise. Si un cadre dirigeant publie un post sur le barbecue qu’il a fait ce week-end, le pirate peut utiliser cette information pour persuader la victime qu’il fait réellement partie de l’entreprise.

4. Directives et politiques en matière de cybersécurité

Directives et politiques en matière de cybersécurité. La mise en place d’un périmètre organisationnel sécurisé nécessite une approche à multiples facettes. En matière d’attaque de type whaling, il est essentiel de mettre en œuvre une stratégie globale couvrant tous les aspects de la communication. L’approche retenue doit prévoir l’analyse en temps réel du contenu des e-mails afin d’automatiser la détection des tentatives d’hameçonnage par ingénierie sociale. En outre, il convient d’envisager l’utilisation d’outils de sécurité avancés tels que les pare-feu, le chiffrement et les systèmes de détection d’intrusion.

5. Cryptez vos données sensibles

Outre la promotion de toutes les mesures évidentes, telles qu’une bonne hygiène du courrier électronique et la vérification des demandes et réclamations suspectes, une deuxième précaution est toujours la bienvenue. Protégez et sécurisez les données sensibles de votre entreprise avec NordPass. NordPass utilise le chiffrement XChaCha20 Chiffrement XChaCha20 pour stocker les numéros de la carte bancaire de votre entreprise et les mots de passe du système, en les verrouillant dans un coffre-fort basé sur le cloud, sécurisé par des verrous biométriques. Si un membre du personnel se laisse prendre au piège d’un message lors d’une attaque de Whaling, les données les plus compromettantes de votre entreprise resteront sécurisées grâce à un mot de passe principal auquel seuls les membres autorisés peuvent accéder.

Les petites entreprises peuvent subir d’énormes pertes à la suite d’attaques de whaling, car elles n’ont pas le luxe d’amortir les pertes comme le font les grandes organisations. En commençant par un bon gestion professionnelle de mots de passe vous mettrez vos fichiers sensibles à l’abri d’un accès intempestif et vous contribuerez à prévenir les dommages irréversibles causés par les attaques de type whaling.

S’abonner aux actualités de NordPass

Recevez les dernières actualités et astuces de NordPass directement dans votre boîte de réception.