Depuis 2013, les entreprises américaines ont transféré à leur insu plus de 12 milliards de dollars aux criminels à l’origine des attaques de baleines. Vous pensez peut-être que vous ne vous laisseriez jamais piéger par un e-mail suspect, mais les attaques de Whaling imitent soigneusement votre PDG ou votre directeur financier et parviennent à voler les fichiers et les données les plus précieux de votre entreprise.
Contenu
Alors, comment fonctionne une attaque de Whaling ? Et que pouvez-vous faire dès maintenant pour l’éviter ? C’est ce que nous allons vous apprendre dans cet article.
Qu’est-ce qu’une attaque de type Whaling ?
Une attaque de type Whaling (littéralement, attaque de baleine), également connue sous le nom de fraude au PDG, vise les grands dirigeants (c’est-à -dire gros poissons) d’une entreprise. Dans ce type d’attaque, un cybercriminel se fait passer pour un cadre supérieur d’une entreprise pour voler des fonds et des données sensibles ou accéder à des systèmes informatiques.
Le Whaling est comparable aux attaques de type phishing en ce sens qu’il utilise l’usurpation d’adresses électroniques et de sites Web pour inciter les employés ou les clients à révéler des informations sensibles ou à transférer de l’argent. Mais contrairement à l’hameçonnage, les attaques de Whaling font croire que le message provient d’un PDG ou d’une personne ayant des responsabilités équivalentes. Ainsi, les cybercriminels s’appuient sur le respect de l’autorité des collaborateurs pour exécuter leur plan.
Exemples d’attaques de Whaling
Maintenant que vous connaissez les bases, replaçons une attaque de Whaling dans son contexte à l’aide de quelques exemples.
Le virement urgent
Dans une tentative de manipulation jouant sur le stress de la victime pour obtenir de l’argent gratuit, le pirate envoie un e-mail « urgent ». Il se présente généralement comme un message personnel du patron, visant à créer un climat de confiance avant de demander un virement urgent. Le virement doit être effectué sur un compte précis avant une date donnée.
Vous vous dites probablement : « Pourquoi est-ce que j’accepterais de faire ce virement sans en parler d’abord à mon patron afin d’avoir une confirmation ? » Eh bien, imaginez une organisation internationale de plus de 10 000 collaborateurs. Avec des directeurs adjoints, des directeurs de service et des directeurs des opérations et des directeurs financiers dans chaque département qui traitent constamment des paiements de toutes sortes, une demande de virement peut n’avoir rien d’extraordinaire.
Une demande d’envoi de fichiers
Imaginez : vous commencez votre journée de travail avec 45 e-mails non lus. Vous les parcourez rapidement, en vous occupant de ce qui est urgent pour pouvoir continuer votre journée. Votre patron a besoin que vous lui envoyiez un document contenant des relevés de paiements et incluant les numéros de la carte de crédit de l’entreprise. Vous l’envoyez sans réfléchir, d’autant plus que votre « manager » a besoin de votre aide. Et voilà , sans beaucoup d’efforts de la part du criminel, vous venez de tomber dans le piège d’une attaque de baleine.
Attaques de Whaling Un fiasco d’un milliard de dollars pour les PDG
Il est facile d’usurper l’identité des PDG des très grosses entreprises : leur voix, leur style et leur localisation sont facilement accessibles, une aubaine pour les criminels qui peuvent ainsi les copier et les exploiter. Les attaques de Whaling parviennent à contourner les pare-feu et les défenses informatiques les plus complexes avec une facilité déconcertante, à tel point qu’elles donnent l’impression à leur victime d’être totalement incompétente, ce qui explique pourquoi elles ne sont souvent pas signalées. Entre 60 et 70 % des directeurs financiers américains sont tombés dans le piège d’une attaque de baleine, entraînant la perte de milliards. Mais comme il est trop gênant d’admettre que l’on s’est fait avoir, toute opportunité de remédier à la situation est étouffée.
Des milliers d’entreprises ont pris l’habitude de passer en pertes et profits des milliards de dollars chaque année au titre de « pertes évitables ». Mais éviter une attaque de type Whaling est tout aussi simple que l’attaque elle-même.
Comment éviter une attaque de Whaling ?
Les attaques de baleines utilisent l’ingénierie sociale pour inciter les victimes à verser des fonds. Mais ne vous laissez pas intimider par un terme qui signifie simplement « s’attaquer à la nature humaine ». Dans cette nouvelle optique, les remèdes aux attaques de Whaling sont peu coûteux et très efficaces :
Ne plus stigmatiser le signalement des attaques de Whaling
Quelles que soient les défenses techniques que vous mettez en place, un système ne vaut que par les personnes qui l’utilisent. Une attaque de type Whaling commence et se termine par un employé peu méfiant. Formez-les donc à identifier les e-mails suspects et à toujours demander un deuxième avis lorsqu’il s’agit de transferts de fonds ou d’envoi de données sensibles. Avec des formations régulières visant à déstigmatiser le signalement des cybermenaces, vous constaterez très vite des améliorations. Cela permettra de créer un système d’alerte privilégiant l’humain, d’inciter les collaborateurs à rester vigilants et de réduire le nombre de cybercatastrophes.
Mettre en place une double autorisation pour les virements bancaires
Nous avons parlé de recourir à un second avis lorsque quelqu’un demande un paiement. Faire signer par deux personnes tout virement bancaire sortant permet toujours d’éviter une attaque imminente de type Whaling.
Les cadres supérieurs doivent avoir des comptes privés sur les réseaux sociaux
Les attaques baleines visent les gros poissons d’une entreprise. Si un cadre dirigeant publie un post sur le barbecue qu’il a fait ce week-end, le pirate peut utiliser cette information pour persuader la victime qu’il fait réellement partie de l’entreprise.
Investissez dans une bonne cyberassurance
Les entreprises doivent se doter d’une bonne assurance contre ces risques, en particulier d’un contrat comprenant une police d’assurance contre le vol ou le détournement de fonds. Une bonne cyberassurance vous couvrira également contre les attaques d’ingénierie sociale ou de ransomware.
Cryptez vos données sensibles
Outre la sensibilisation aux mesures élémentaires telles qu’une bonne hygiène du courrier électronique et la vérification des demandes et réclamations suspectes, une deuxième précaution n’a jamais fait de mal à personne. Protégez et sécurisez les données sensibles de votre entreprise avec NordPass. NordPass utilise le chiffrement XChaCha20 Chiffrement XChaCha20 pour stocker les numéros de la carte de crédit de votre entreprise et les mots de passe du système, en les verrouillant dans un coffre-fort basé sur le cloud, sécurisé par des verrous biométriques. Si un membre du personnel se laisse prendre au piège d’un message lors d’une attaque de Whaling, les données les plus compromettantes de votre entreprise resteront sécurisées grâce à un mot de passe principal auquel seuls les membres autorisés peuvent accéder.
Les petites entreprises peuvent subir d’énormes pertes à la suite d’attaques de Whaling, car elles n’ont pas le luxe d’amortir les pertes comme le font les grandes organisations. En commençant par un bon gestionnaire de mots de passe pour les entreprises, vous protégerez vos fichiers sensibles contre tout accès fortuit et vous contribuerez à prévenir tout dommage irréversible causé par les attaques de Whaling.