Lacy Leadership

Success is Near

attaque de chasse à la baleine (phishing de chasse à la baleine)

Une attaque de chasse à la baleine, également appelée phishing de chasse à la baleine ou attaque de phishing de chasse à la baleine, est un type spécifique d’attaque de phishing qui cible des employés de haut niveau, tels que le directeur général ou le directeur financier, afin de voler des informations sensibles à une […]

Une attaque de chasse à la baleine, également appelée phishing de chasse à la baleine ou attaque de phishing de chasse à la baleine, est un type spécifique d’attaque de phishing qui cible des employés de haut niveau, tels que le directeur général ou le directeur financier, afin de voler des informations sensibles à une entreprise. Dans de nombreuses attaques de phishing de chasse à la baleine, le but de l’attaquant est de manipuler la victime pour qu’elle autorise des virements de grande valeur à l’attaquant.

Le terme chasse à la baleine provient de la taille des attaques, et les baleines sont censées être cueillies en fonction de leur autorité au sein de l’entreprise.

En raison de leur nature très ciblée, les attaques de chasse à la baleine sont souvent plus difficiles à détecter et à prévenir que les attaques de phishing standard. Dans l’entreprise, les administrateurs de sécurité peuvent aider à réduire l’efficacité des attaques de chasse à la baleine en encourageant le personnel de direction de l’entreprise à suivre une formation de sensibilisation à la sécurité de l’information.

Fonctionnement des attaques de chasse à la baleine

L’objectif d’une attaque de chasse à la baleine est de tromper un individu pour qu’il divulgue des informations personnelles ou d’entreprise grâce à l’ingénierie sociale, à l’usurpation d’e-mails et à des efforts d’usurpation de contenu. Par exemple, les attaquants peuvent envoyer à la victime un e-mail qui semble provenir d’une source fiable; certaines campagnes de chasse à la baleine incluent un site Web malveillant personnalisé créé spécialement pour l’attaque.

Les e-mails et les sites Web d’attaque de la chasse à la baleine sont hautement personnalisés et incorporent souvent le nom de la cible, le titre du poste ou d’autres informations pertinentes glanées auprès de diverses sources. Ce niveau de personnalisation rend difficile la détection d’une attaque de chasse à la baleine.

Les attaques de chasse à la baleine dépendent souvent de techniques d’ingénierie sociale, car les attaquants envoient des hyperliens ou des pièces jointes pour infecter leurs victimes avec des logiciels malveillants ou pour solliciter des informations sensibles. En ciblant les victimes de grande valeur, en particulier les chefs de la direction (PDG) et d’autres dirigeants d’entreprise, les attaquants peuvent également les inciter à approuver des virements frauduleux à l’aide de techniques de compromis par courrier électronique professionnel (BEC). Dans certains cas, l’attaquant se fait passer pour le PDG ou d’autres dirigeants d’entreprise pour convaincre les employés d’effectuer des transferts financiers.

Ces cyberattaques peuvent tromper les victimes car les attaquants sont prêts à consacrer plus de temps et d’efforts à les construire en raison de leurs rendements potentiellement élevés. Les attaquants utilisent souvent les médias sociaux, tels que Facebook, Twitter et LinkedIn, pour recueillir des informations personnelles sur leur victime afin de rendre l’attaque de phishing de la chasse à la baleine plus plausible.

5 façons de se protéger contre le phishing de la chasse à la baleine

Se défendre contre les attaques de la chasse à la baleine implique un mélange de sensibilisation à la sécurité des employés, de politique de détection des données et d’infrastructure. Voici quelques bonnes pratiques pour prévenir la chasse à la baleine ::

  1. Sensibilisation des employés. La prévention de tout type de menace de cybersécurité nécessite que chaque employé assume la responsabilité de protéger les actifs de l’entreprise. Dans le cas du phishing de la chasse à la baleine, tous les employés – et pas seulement les cadres supérieurs – doivent être formés à ces attaques et à la manière de les identifier. Bien que les cadres supérieurs soient les cibles, les employés de niveau inférieur pourraient indirectement exposer un cadre à une attaque par une faille de sécurité. Les employés doivent savoir quelles tactiques d’ingénierie sociale rechercher, telles que de fausses adresses e-mail qui imitent une adresse e-mail de confiance. Par exemple, si un employé correspond régulièrement à une adresse e-mail indiquant « [email protected] , « alors le pirate pourrait envoyer un e-mail malveillant de »[email protected] « imiter le correspondant de confiance et gagner la confiance de la victime. Les employés doivent également se méfier des demandes d’argent par courrier électronique.
  2. Vérification en plusieurs étapes. Toutes les demandes de virements électroniques et d’accès à des données confidentielles ou sensibles doivent passer par plusieurs niveaux de vérification avant d’être autorisées. Vérifiez tous les e-mails et pièces jointes provenant de l’extérieur de l’organisation à la recherche de logiciels malveillants, de virus et d’autres problèmes pour identifier le trafic potentiellement malveillant.
  3. Politiques de protection des données. Introduisez des politiques de sécurité des données pour vous assurer que les e-mails et les fichiers sont surveillés pour détecter toute activité réseau suspecte. Ces politiques devraient fournir une défense à plusieurs niveaux contre le phishing des baleines et le phishing en général pour réduire les risques de violation de la dernière ligne de défense. L’une de ces politiques pourrait consister à surveiller les e-mails pour détecter les indicateurs d’attaques de phishing et à empêcher automatiquement ces e-mails d’atteindre les victimes potentielles.
    Les indicateurs d’un e-mail de phishing potentiel sont les suivants :
    • L’affichage ou le nom de domaine diffère légèrement de l’adresse de confiance.
    • Le corps de l’e-mail contient des demandes d’argent ou d’informations.
    • L’âge du domaine ne correspond pas à l’âge du domaine du correspondant de confiance.

  1. Éducation aux médias sociaux. Dans le prolongement de la sensibilisation des employés, sensibilisez les dirigeants de haut niveau au rôle potentiel des médias sociaux pour permettre une violation de la chasse à la baleine. Les médias sociaux contiennent une mine d’informations que les cybercriminels peuvent utiliser pour créer des attaques d’ingénierie sociale telles que le phishing des baleines. Les dirigeants peuvent limiter l’accès à ces informations en définissant des restrictions de confidentialité sur leurs comptes de médias sociaux personnels. Les PDG sont souvent visibles sur les médias sociaux de manière à télégraphier les données comportementales que les criminels peuvent imiter et exploiter.
  2. Outils et organisations anti-hameçonnage. De nombreux fournisseurs proposent des logiciels anti-hameçonnage et des services de sécurité gérés pour aider à prévenir la chasse à la baleine et d’autres attaques de phishing. Les tactiques d’ingénierie sociale restent cependant répandues, car elles se concentrent sur l’exploitation de l’erreur humaine, qui existe avec ou sans technologie de cybersécurité.
    Le Groupe de travail Anti-hameçonnage (APWG) est une organisation dédiée à la recherche et à la prévention de la cybersécurité et de l’hameçonnage. Il fournit des ressources aux entreprises touchées par le phishing et mène des recherches pour fournir des informations sur les dernières menaces. Les entreprises peuvent également signaler une menace présumée à l’APWG pour analyse.

Les différences entre l’hameçonnage, l’hameçonnage à la baleine et l’hameçonnage à la lance

Les attaques d’hameçonnage, les attaques d’hameçonnage à la baleine et les attaques d’hameçonnage à la lance sont souvent confondues. Toutes sont des attaques en ligne ciblant les utilisateurs pour obtenir des informations sensibles ou pour inciter la victime à prendre des mesures nuisibles.

Une attaque de chasse à la baleine est une forme particulière d’hameçonnage par lance qui cible des victimes de haut rang spécifiques au sein d’une entreprise. Les attaques de spear phishing peuvent cibler n’importe quel individu spécifique. Les deux types d’attaque nécessitent généralement plus de temps et d’efforts de la part de l’attaquant que les attaques de phishing ordinaires.

 types d'hameçonnage
Découvrez comment les types d’attaques d’hameçonnage sous lance et d’hameçonnage à la baleine se comparent.

Le phishing est un terme plus large qui couvre tout type d’attaque qui tente de tromper une victime en prenant des mesures, y compris le partage d’informations sensibles, telles que les noms d’utilisateur, les mots de passe et les dossiers financiers à des fins malveillantes; installer un logiciel malveillant; ou effectuer un paiement financier frauduleux ou un virement bancaire.

Alors que les attaques d’e-mails de phishing ordinaires impliquent généralement l’envoi d’e-mails à un grand nombre d’individus sans savoir combien réussiront, les attaques d’e-mails de chasse à la baleine ciblent généralement une personne spécifique à la fois – généralement une personne de haut rang – avec des informations hautement personnalisées.

Exemples d’attaques de chasse à la baleine

Une attaque de chasse à la baleine notable s’est produite en 2016 lorsqu’un employé de haut rang de Snapchat a reçu un e-mail d’un attaquant se faisant passer pour le PDG. L’employé a été trompé en donnant à l’attaquant des informations sur la paie de l’employé; en fin de compte, le Federal Bureau of Investigation (FBI) s’est penché sur l’attaque.

Une autre attaque de chasse à la baleine de 2016 a impliqué un employé de Seagate qui, sans le savoir, a envoyé par courrier électronique les données fiscales de plusieurs employés actuels et anciens de la société à un tiers non autorisé. Après avoir signalé l’escroquerie de phishing à l’Internal Revenue Service (IRS) et au FBI, il a été annoncé que des milliers de données personnelles de personnes avaient été exposées lors de cette attaque.

Un troisième exemple notable de chasse à la baleine s’est produit en 2018 lorsque la société de cinéma européenne Pathé a été attaquée et a perdu 21 $.5 millions après l’attaque. Les attaquants, se faisant passer pour des employés de haut rang, ont envoyé un courriel au PDG et au directeur financier (CFO) pour une demande frauduleuse d’une transaction financière hautement confidentielle. Malgré les drapeaux rouges, le PDG et le directeur financier ont transféré environ 800 000 to aux attaquants, ce qui n’était que le début des pertes de l’entreprise suite à l’incident.

HP a prédit que 2021 connaîtra probablement une augmentation des attaques de chasse à la baleine, ainsi que d’autres menaces de cybersécurité, telles que les ransomwares, les e-mails de phishing et le détournement de threads. Le passage massif au travail à distance en réponse à la pandémie de COVID-19 est en partie responsable de l’exposition des organisations à de nouvelles vulnérabilités, a déclaré HP.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.