Le phishing, qui peut se traduire par hameçonnage, est un ensemble de techniques frauduleuses destinées à leurrer la cible pour l’inciter à communiquer des données personnelles (comptes d’accès mot de passe) ou coordonnées bancaires en se faisant passer pour un tiers de confiance.
Whaling : chefs d’entreprises, êtes-vous la cible préférée des hackers ?
Par
Publié le 25 août 2024 à 9h00
49%49% des entreprises ont été victimes de cyberattaques réussies en 2023
Les entreprises sont souvent préparées à ce type d’attaque et mettent en place des campagnes de sensibilisation pour y remédier. Durant ces campagnes, une vague de faux mails d’hameçonnage est envoyée aux employés, permettant de faire un état des lieux de leurs capacités à détecter et signaler l’attaque.
Les entreprises sont cependant moins préparées au whaling, une variante du phishing qui cible uniquement les personnes ayant de hautes responsabilités et pouvant faire perdre d’importantes sommes financières avec la compromission d’une unique personne.
Une attaque ciblée et sophistiquée
Le whaling repose sur une ingénierie sociale sophistiquée, loin de l’approximation qui peut être rencontrée au sein des campagnes de phishing classiques (adresses mails frauduleuses, facilement identifiables, fautes d’orthographes, imitation de template de mail mal réalisé).
L’attaquant peut s’infiltrer dans le serveur de mail de l’entreprise pour communiquer avec la victime, sans éveiller ses soupçons avec une adresse mail externe à l’entreprise.
L’attaque de whaling tire profit des informations exposées publiquement, surtout les publications sur les réseaux sociaux de l’entreprise ciblée. L’attaquant tisse un lien avec la victime en utilisant les informations de sa vie personnelle et légitime son identité comme une personne de confiance. Ce processus de gain de confiance auprès de la victime est long et peut prendre plusieurs semaines, voire plusieurs mois.
La victime est souvent une personne haute dans la hiérarchie de l’entreprise ou ayant des droits sur ses comptes bancaires (assistants de direction, RH/DRH, gestionnaires de paie, directeur financier).
Une attaque de whaling peut entraîner une perte de plusieurs millions d’euros. Par exemple, cela a été le cas pour le fabricant de pièces d’aérospatiale FACC. Le service financier du fabricant a envoyé 47 millions d’euros à des acteurs malveillants, qui avaient utilisé le whaling pour extorquer cette somme. Cette erreur a eu pour conséquence le licenciement du PDG et du directeur financier.
Quels moyens de défense pour les entreprises ?
Afin de contrer ces menaces, les entreprises disposent de plusieurs instruments. Le premier est la sensibilisation des employés à hautes responsabilités à travers différentes campagnes leur permettant de détecter les caractéristiques d’une attaque de whaling et de signaler l’attaque rapidement.
Des solutions techniques de mitigation des risques existent aussi. Le simple tag des mails provenant de l'extérieur dans l’application de messagerie envoie un signal à l’utilisateur pour lui signaler qu’il devrait se méfier de son interlocuteur. Une solution anti-phishing propose des fonctionnalités comme la vérification d’URL ou l’analyse de liens.
Enfin, l’ajout de l’accord d’une personne supplémentaire dans le processus pour tout versement financier conséquent rend l’attaque plus complexe à réaliser. Pour l’attaquant, devoir lancer une attaque de whaling sur deux personnes au lieu d’une seule augmente drastiquement les chances d’être détecté.
Comme pour toute cyberattaque reposant sur une ingénierie sociale, l’humain est la pièce essentielle et fragile du whaling. L'investissement dans la sensibilisation, la formation et l’adaptation des processus de prise de décision permet de réduire la probabilité l’attaque et d’en mitiger son impact.
Suivez-nous sur Google News
Economie Matin - Soutenez-nous en nous ajoutant à vos favoris Google Actualités.