attaque de baleine (whaling phishing)
Une attaque de type « whaling », également appelée « phishing baleinier » ou « phishing », est un type distinct d’attaque par phishing qui cible les employés ayant un profil élevé, tels que le directeur financier ou le PDG, afin d’obtenir des informations sensibles d’une entreprise, car les personnes occupant des postes importants au sein de l’entreprise ont généralement accès à toutes les informations sensibles. Dans la majorité des cas, l’objectif de l’attaquant est d’amener la victime à autoriser des virements de grande valeur pour lui.
L’expression « attaque à la baleine » est dérivée de la taille des attaques et de la croyance selon laquelle les baleines sont sélectionnées pour leur autorité au sein de l’organisation.
En raison de leur nature très spécifique, les attaques de type « whaling » sont généralement plus difficiles à repérer que les attaques traditionnelles de type « phishing ». Au sein de l’entreprise, les professionnels de la sécurité peuvent réduire l’impact des attaques à la baleine en encourageant les employés cadres à suivre une formation à la sécurité de l’information.
Comment fonctionnent les attaques à la baleine ?
L’objectif des attaques de type « whaling » est de pousser une personne à révéler des informations privées ou professionnelles par le biais de l’ingénierie sociale, de l’usurpation d’adresse électronique et de l’usurpation de contenu. Par exemple, les attaquants peuvent envoyer à la victime un courrier électronique qui semble provenir d’une source digne de confiance. Certaines campagnes d’attaques à la baleine contiennent un site web malveillant personnalisé, conçu spécifiquement pour l’objectif de l’attaque.
Les sites Web et les courriels des attaques de baleines peuvent être hautement personnalisés et comprennent généralement le nom de la personne, l’intitulé de son poste ou toute autre information pertinente glanée auprès de différentes sources. Ce degré d’individualisation peut rendre difficile la reconnaissance d’une attaque de type « whaling ».
Les attaques de type « whaling » reposent généralement sur des méthodes et techniques d’ingénierie sociale, les attaquants envoyant des pièces jointes ou des hyperliens pour que leurs victimes soient infectées par des logiciels malveillants ou obtiennent des données sensibles. Dans le cas de victimes de grande valeur, notamment des PDG et d’autres dirigeants d’entreprise, ils peuvent également les manipuler pour qu’ils approuvent des virements électroniques frauduleux en utilisant des méthodes de compromission des e-mails. Dans certains cas, les attaquants se font passer pour le PDG ou les dirigeants afin de persuader les employés d’approuver des transactions financières.
Ces méthodes peuvent tromper les victimes car les attaquants sont prêts à investir beaucoup plus de temps et d’énergie dans leur élaboration en raison des profits élevés qu’elles peuvent générer. Les attaquants utilisent généralement des plateformes de médias sociaux comme Facebook, Twitter et LinkedIn pour collecter des détails personnels sur leur victime afin de rendre le phishing baleinier plus plausible.
Différences entre le whaling, le spear phishing et l’hameçonnage
Étant donné que les attaques de phishing ordinaire, de phishing à la baleine et de spear-phishing sont toutes des attaques sur Internet, elles visent à voler des informations sensibles ou à inciter les utilisateurs à effectuer des actions dangereuses et, souvent, les trois sont confondues.
L’attaque à la baleine est un type atypique de spear phishing qui cible des personnes de haut niveau au sein d’une organisation. Les attaques de spear phishing peuvent toucher n’importe quelle personne. Ces deux types d’attaques nécessitent généralement plus d’efforts et de temps de la part de l’attaquant que les attaques normales par hameçonnage.
Le phishing est un terme général qui englobe tout type d’attaque visant à tromper une victime pour l’amener à effectuer certaines actions, comme partager des informations sensibles telles que des mots de passe, des noms d’utilisateur et des dossiers financiers pour des raisons néfastes, installer un logiciel malveillant ou effectuer une transaction ou un transfert frauduleux vers une banque. Alors que les attaques de phishing typiques comprennent l’envoi d’e-mails à de nombreuses personnes sans savoir exactement combien d’entre eux seront couronnés de succès, les tentatives de whaling phishing se concentrent généralement sur une personne à un moment donné, généralement une personne de haut rang, et avec des informations hautement personnalisées.
Exemples d’attaques par hameçonnage
Une attaque notable de whaling a eu lieu en 2016, lorsqu’un employé de haut rang de Snapchat a reçu un e-mail d’un attaquant qui prétendait être le PDG. La victime a été amenée à fournir des informations sur le salaire de l’attaquant. Le FBI a ensuite enquêté sur cet incident.
