Qu'est-ce qu'une attaque de baleine ?

Blog

Dans une attaque de type "Whaling", les attaquants ciblent les personnes qui occupent des postes à responsabilité ou décisionnels dans une organisation, afin de frauder une entreprise.

par YunesTarada

Dernière mise à jour :
Temps de lecture : 5 min
Qu'est-ce qu'une attaque de baleine ?
Table des matières-

Les attaques de baleines sont synonymes de fraude au président, une tactique couramment utilisée par les cybercriminels pour escroquer les entreprises. Dans une attaque de type « whaling », les pirates ciblent des personnes occupant des postes d'autorité ou décisionnels au sein d'une organisation, tels que des cadres supérieurs et des hauts fonctionnaires. Il s'agit d'une forme puissante et très ciblée de phishing ou de spear phishing conçue pour inciter des cibles de grande valeur (HVT) à divulguer des informations sur leur entreprise, leurs identifiants, à cliquer sur des liens malveillants, à ouvrir des fichiers malveillants ou à effectuer des virements bancaires. L'objectif est souvent de voler des données sensibles, d'accéder à des systèmes critiques (tels que ceux contenant des informations financières) ou d'utiliser des identifiants compromis pour mener d'autres activités malveillantes. Les attaques de phishing restent une menace importante ; CISCO a constaté que 86 % des entreprises comptaient au moins un employé victime d'une escroquerie par hameçonnage dans leur étude de 2021, et l' Anti-Phishing Working Group (APWG) a enregistré plus d'un million d'attaques de phishing uniques au cours du seul premier trimestre 2022.

Points clés à retenir

  1. Les attaques de type "whaling" utilisent des recherches sophistiquées pour cibler des cadres de haut niveau et leur demander des données d'entreprise sensibles ou l'accès à des systèmes.
  2. L'hameçonnage diffère de l'hameçonnage classique par son ciblage spécifique, sa plus grande sophistication et ses conséquences potentiellement plus dévastatrices (financières, réputationnelles).
  3. Une défense efficace nécessite une approche à plusieurs niveaux combinant l'authentification du courrier électronique (DMARC à p=reject), les meilleures pratiques de sécurité (2FA, mises à jour) et la sensibilisation des employés.
  4. Les attaquants recherchent souvent des cibles en utilisant les médias sociaux et les informations publiques pour créer des courriels de chasse à la baleine convaincants et personnalisés.
  5. La mise en œuvre de DMARC, SPF et DKIM est essentielle pour bloquer l'usurpation de domaine dans les attaques de type "whaling" et pour surveiller les menaces.

Comment se déroule une attaque de baleine ?

Pour comprendre comment s'opère le braconnage, essayons d'abord de saisir la différence entre les attaques de braconnage, le phishing et le spear phishing :

Qu'est-ce que l'hameçonnage ordinaire ?

L'ingénierie sociale, ou hameçonnage classique, consiste à inciter des personnes à révéler des informations sensibles, telles que leurs identifiants de connexion ou des informations financières. L'attaquant se fait souvent passer pour une entité digne de confiance, telle qu'une banque ou une agence gouvernementale, et envoie un e-mail ou un message demandant des informations ou contenant un lien vers un faux site web. Les attaques de hameçonnage classiques sont souvent envoyées à de grands groupes de personnes dans l'espoir qu'un petit pourcentage d'entre elles se laissera piéger.

Baleine contre hameçonnage

  • Ciblage : Une attaque de phishing classique ne vise pas des personnes haut placées en particulier, mais un large public. Une attaque de type "whaling" vise spécifiquement les cadres supérieurs et les hauts fonctionnaires ("baleines" ou "gros poissons").
  • Sophistication : Les attaques de phishing ordinaires sont souvent simples. Les attaques par hameçonnage sont généralement plus élaborées, bien conçues et personnalisées, utilisant souvent des logos officiels, un langage et des adresses électroniques apparemment légitimes après une recherche minutieuse sur le rôle, les responsabilités et les habitudes de la cible.
  • Informations visées : Le phishing classique cherche souvent à obtenir des identifiants de connexion ou des informations financières personnelles. Le whaling vise les informations sensibles de grande valeur, telles que les secrets commerciaux, les documents confidentiels ou l'accès aux comptes et systèmes financiers de l'entreprise.
  • Tactiques : L'hameçonnage ordinaire peut utiliser des tactiques d'effarouchement génériques. Le whaling peut employer des tactiques plus élaborées, comme la création de faux sites web reflétant des sites légitimes ou la création d'un faux sentiment d'urgence lié à des questions professionnelles.
  • Impact : Si tout hameçonnage peut être préjudiciable, une attaque de type "whaling" réussie est souvent plus dévastatrice en raison de l'accès de haut niveau et des données sensibles qu'elle implique, ce qui peut entraîner des pertes financières et une atteinte à la réputation considérables. Une attaque de type "whaling" est deux fois plus réussie et dangereuse car elle joue sur la fiabilité et l'autorité d'une personne existante pour tromper les victimes.
  • Mode d'attaque : Les deux utilisent souvent le courrier électronique, mais la chasse à la baleine peut également impliquer des appels téléphoniques ciblés ou d'autres méthodes de communication.

La chasse à la baleine contre le harponnage

  • Les attaques de spear phishing sont également des attaques de phishing très ciblées qui ciblent des personnalités ou des groupes spécifiques au sein d'une organisation pour lancer des campagnes frauduleuses.
  • Le whaling diffère du spear phishing général par le fait qu'il ne vise que les cadres supérieurs de l'entreprise (les "baleines").

Dans le cas du whaling, un pirate envoie un courriel de phishing à un cadre supérieur, en se faisant passer pour son directeur, son PDG ou son directeur financier, ou parfois en ciblant un employé de niveau inférieur en usurpant l'identité d'un cadre. Ce courriel incite à transférer des fonds de l'entreprise ou demande des informations d'identification qui aideront l'attaquant à accéder au système de l'organisation.

Définition d'une attaque de baleine

Le terme "Whaling" est utilisé pour désigner les cadres d'une entreprise ou les gros poissons comme le PDG et le directeur financier. Comme ces personnes occupent des postes de haut niveau dans l'entreprise, elles ont accès à des informations sensibles comme personne d'autre. C'est pourquoi se faire passer pour eux ou les tromper peut s'avérer préjudiciable à l'activité et à la réputation d'une entreprise, entraînant des pertes financières potentielles, des violations de données, une perte de productivité, voire des conséquences juridiques.

Exemples d'attaques de baleinesExemple de courriel concernant une attaque de baleine : le PDG demande au directeur financier un transfert urgent.

Dans l'exemple ci-dessus, John, le responsable de l'équipe financière, a reçu un courriel de Harry, le PDG de l'organisation, lui demandant d'initier un virement bancaire urgent. Dans ce cas, si John ne vérifie pas la demande par un autre canal ou ne reconnaît pas les signes d'hameçonnage, il finira par transférer les fonds auxquels il a accès et deviendra ainsi la proie de l'attaque "whaling".

Comment stopper les attaques de baleines : protéger votre organisation et vos données

Pour rendre ces attaques encore plus efficaces en tant que tactique d'ingénierie sociale, les attaquants font souvent leurs devoirs de manière élaborée et détaillée. Ils utilisent des informations accessibles au public recueillies sur des plateformes de médias sociaux comme Facebook, Twitter et LinkedIn, ainsi que sur des sites web d'entreprises, afin de comprendre la vie quotidienne, les activités, les responsabilités et les relations professionnelles d'un cadre. Ils paraissent ainsi crédibles et légitimes, ce qui leur permet de tromper facilement leurs victimes.

Existe-t-il un moyen de mettre fin aux attaques de baleines ? Oui, c'est possible ! Vous trouverez ci-dessous certaines mesures proactives que vous pouvez déployer pour vous aider à lutter contre le phishing, le spoofing, le whaling et d'autres formes d'attaques d'ingénierie sociale. Il est préférable d'adopter une approche à plusieurs niveaux :

  1. Protocoles d'authentification du courrier électronique :
    • Sender Policy FrameworkSPF vous aide à autoriser vos sources d'envoi légitimes. Si vous utilisez plusieurs domaines ou tiers pour envoyer des courriels, un enregistrement SPF vous aidera à les spécifier afin que les domaines malveillants se faisant passer pour les vôtres puissent être identifiés.
    • DomainKeys Identified Mail ou DKIM est un protocole d'authentification du courrier électronique qui utilise des signatures cryptographiques pour garantir que vos messages ne sont pas modifiés tout au long de leur parcours.
    • Et enfin, DMARC (Domain-based Message Authentication, Reporting, and Conformance) permet d'aligner les identifiants SPF ou DKIM et de spécifier aux serveurs de réception des courriels la manière dont vous souhaitez traiter les faux messages d'usurpation d'identité envoyés à partir de votre domaine (par exemple, les rejeter). Une politique DMARC définie sur `p=reject` peut lutter efficacement contre l'usurpation de domaine direct utilisée dans le whaling. Elle vous permet de rejeter les courriels qui échouent aux contrôles, d'exiger une authentification pour les courriels sortants et d'empêcher les courriels usurpés d'être délivrés.
  2. Rapport DMARC: Après avoir appliqué votre mode de politique, activez les rapports agrégés de rapports DMARC agrégés et judiciaires pour surveiller vos sources de courrier électronique, comprendre la délivrabilité et détecter rapidement toute tentative d'attaque contre votre domaine. Un outil d'analyse DMARC peut aider à gérer ces rapports et à mettre à jour les politiques en toute sécurité.
  3. Éducation et formation des employés : Veiller à ce que les employés, en particulier les cadres de haut niveau et les équipes financières, soient conscients des risques liés au whaling et formés à reconnaître les courriels suspects, à vérifier les demandes (en particulier les demandes financières) par un canal de communication distinct, et à éviter de cliquer sur des liens inconnus ou d'ouvrir des pièces jointes inattendues. Il est essentiel d'organiser régulièrement des formations de sensibilisation à la cybernétique.
  4. Authentification forte : Mettez en œuvre l'authentification à deux facteurs (2FA) ou l'authentification à plusieurs facteurs (MFA) dans la mesure du possible, en particulier pour le courrier électronique et l'accès aux systèmes sensibles.
  5. Sécurité des mots de passe : Appliquer des politiques de mots de passe forts et uniques pour tous les comptes.
  6. Logiciel de filtrage et de sécurité des courriels : Utilisez des solutions robustes de filtrage des courriels pour bloquer les courriels suspects ou les signaler pour examen. Utilisez des solutions de sécurité pour les postes de travail, telles qu'un antivirus et un pare-feu.
  7. Mises à jour régulières des logiciels : Maintenir tous les logiciels, systèmes d'exploitation et navigateurs à jour avec les derniers correctifs de sécurité afin de prévenir l'exploitation des vulnérabilités.
  8. Sécurité du réseau : Mettre en œuvre de solides mesures de sécurité du réseau, comprenant éventuellement une segmentation du réseau et des contrôles d'accès stricts.
  9. Plan de réponse aux incidents : Disposer d'un plan clair pour répondre aux incidents de sécurité tels que les attaques de phishing ou de whaling afin de minimiser les dommages et de permettre un rétablissement rapide.

Avec ces mesures de sécurité en place, vous pouvez certainement réduire le taux de réussite des attaques d'ingénierie sociale visant les employés de votre organisation. La combinaison de contrôles techniques tels que DMARC avec une formation et une sensibilisation permanentes est la clé d'une défense solide contre le "whaling". La mise en œuvre de DMARC peut également ouvrir la voie à des technologies telles que BIMIqui vous permettent d'apposer le logo de votre marque vérifiée sur les courriers électroniques, ce qui renforce encore la confiance et la reconnaissance.

Appel à l'action de PowerDMARC

Derniers messages de Yunes Tarada (voir tous)
Dernière mise à jour :
Améliorer la sécurité d'un domaine grâce à l'analyse DMARCanalyse dmarcQu'est-ce que la vulnérabilité DMARC ?Qu'est-ce que la vulnérabilité DMARC ?