Qu'est-ce que la chasse à la baleine ?
Le whaling est un type sophistiqué d'attaque par spear phishing dans lequel les acteurs de la menace ciblent directement les acteurs de haut niveau d'une organisation ou se font passer pour eux afin de tromper les autres. Un exemple courant consiste à cibler le PDG d'une entreprise ou à se faire passer pour lui afin de tromper d'autres éléments de l'organisation ( essential ), tels que les directeurs financiers, les services de paie, les équipes de sécurité ou les porte-parole.
Les cybercriminels peuvent utiliser des stratégies complexes d'ingénierie sociale pour mener à bien des attaques de type "whaling", car ils savent que les dirigeants d'organisations modernes utilisent divers outils et stratégies d'atténuation de l'hameçonnage. Malheureusement, il peut être difficile d'attraper les attaquants car ils masquent souvent leur localisation et leurs empreintes numériques.
Qu'est-ce que la chasse à la baleine ou l'hameçonnage ?
Avant de nous pencher plus avant sur ce qu'est le phishing ou sur la manière dont les attaques de ce type fonctionnent, nous devrions probablement répondre à une question fréquemment posée : qu'est-ce que le phishing dans le domaine de la cybersécurité ? En résumé, le phishing est le fait pour des acteurs de la menace de se présenter faussement comme des parties de confiance pour gagner la confiance d'une victime et lui voler de l'argent ou des informations sensibles. Contrairement à la croyance populaire, les attaques de phishing ne se limitent pas aux courriels. Par exemple, les attaques de phishing qui utilisent les messages texte sont appelées smishing, et celles qui utilisent les communications vocales sont appelées vishing.
Les courriels d'hameçonnage ciblent généralement de nombreux internautes et sont plus faciles à repérer parce que les auteurs de menaces les conçoivent pour un public de masse. En fait, ils envoient des milliards de courriels d'hameçonnage chaque jour. Cependant, les attaques de phishing peuvent également être plus ciblées.
Qu'est-ce qu'une attaque par spear-phishing ?
Une attaque de spear-phishing est un type d'attaque de phishing plus ciblé dans lequel les acteurs de la menace adaptent les courriels pour attaquer un groupe spécifique de personnes, comme les employés d'un département financier. Ils peuvent collecter des données à partir de logiciels espions ou de sources sur Internet, comme des pages de médias sociaux, afin de recueillir des noms, des titres de poste, des adresses électroniques, etc. pour concevoir une attaque de spear-phishing convaincante. Des tactiques similaires peuvent aider les pirates à lancer des attaques de type "whaling".
Pourquoi parle-t-on d'une attaque de baleiniers ?
Les termes "phishing", "spear-phishing" et " whaling" sont tous analogues à la pêche. Alors que les pêcheurs jettent à l'eau une ligne de pêche avec un appât, dans l'espoir d'attraper l'un des nombreux poissons de la mer, un pirate informatique envoie des courriels d'hameçonnage à de nombreuses personnes dans l'espoir d'attraper au moins une victime. De la même manière que certains experts en pêche utilisent des lances pour chasser un seul poisson, les acteurs de la menace utilisent le spear-phishing pour atteindre des cibles spécifiques.
Quant aux baleines, ces mammifères sont les plus gros poissons de la mer et constituent une cible de grande valeur pour certains pêcheurs. De même, les attaques de baleine dans le domaine de la cybersécurité visent également des cibles lucratives telles que les cadres d'une entreprise.
Comment se déroule une attaque de chasse à la baleine ?
Les cibles de haut niveau se méfiant des attaques de phishing, les pirates utilisent diverses stratégies pour assurer le succès de leur campagne de phishing. Par exemple, ils peuvent exploiter la page LinkedIn d'un cadre pour donner une touche personnelle à leur campagne. En fait, les failles de sécurité sont la raison pour laquelle vous ne devriez peut-être pas utiliser LinkedIn du tout. Un attaquant peut également rechercher le jargon du secteur pour paraître légitime et exploiter les émotions d'une cible en lui proposant une opportunité commerciale lucrative. Une fois la phase de collecte de renseignements terminée, il peut utiliser les vecteurs d'attaque suivants :
- Courriels : Comme mentionné ci-dessus, les courriels conçus pour manipuler leurs cibles sont un vecteur d'attaque courant et utilisent des pièces jointes, des liens ou des sites web malveillants.
- Le téléphone : Le National Cyber Security Center du Royaume-Uni a noté que les attaquants peuvent utiliser les courriels et les appels téléphoniques dans une stratégie de type "1-2 punch" où l'appel téléphonique suit le courriel pour renforcer l'hameçonnage.
- Prétextat : Les escrocs peuvent se lier d'amitié avec une cible sur les médias sociaux en se faisant passer pour un partenaire commercial potentiel, un amoureux, un collègue ou une figure d'autorité telle qu'un agent du fisc.
- Appât : L'attaquant peut inciter une cible à utiliser une clé USB infectée d'apparence authentique en la laissant au bureau, dans le casier de la salle de sport ou en l'envoyant par la poste à son domicile.
Quel est l'objectif des attaques de chasse à la baleine ?
- L'argent : Les attaquants peuvent utiliser l'attaque de spear-phishing pour inciter les victimes à leur envoyer de l'argent par virement bancaire ou pour extorquer une organisation après l'exfiltration de données.
- Contrôle : Un pirate informatique peut utiliser des informations d'identification volées pour effectuer des mouvements latéraux dans le réseau d'une organisation ou ouvrir des portes dérobées.
- Attaque de la chaîne d'approvisionnement : On parle d'attaque de la chaîne d'approvisionnement lorsque des pirates informatiques attaquent des organisations en s'introduisant dans des éléments vulnérables de leur chaîne d'approvisionnement. Avec le whale phishing, un cybercriminel pourrait théoriquement attaquer un gouvernement en piratant son fournisseur pour une attaque de type "man-in-the-middle".
- Espionnage d'entreprise : En cas d'attaque réussie, un pirate peut voler la propriété intellectuelle ou d'autres secrets commerciaux pour aider ses concurrents, parfois dans un autre pays.
- Les malwares : Un gang de cybercriminels peut inciter les victimes d'une attaque de baleine à installer des malwares dangereux tels que des ransomwares, des enregistreurs de frappe ou des rootkits.
- Vendetta personnelle : la victime d'une attaque de chasse à la baleine peut subir une perte catastrophique de sa réputation.
Quel est un exemple de chasse à la baleine ?
Au fil des ans, il y a eu de nombreuses attaques de baleiniers, que certains médias appellent également des escroqueries par courriel de PDG. En voici quelques exemples :
2015 : Une filiale hongkongaise de la société sans fil Ubiquiti Networks Inc. a été escroquée de 46,7 millions de dollars après qu'un faux courriel a piégé un employé du service financier.
2015: Un cadre financier du géant de la fabrication de jouets Mattel a viré 3 millions de dollars à un escroc après avoir reçu une demande frauduleuse semblant provenir du nouveau PDG.
2016 : Un fabricant aérospatial autrichien, FACC, a licencié son PDG après avoir perdu 58 millions de dollars dans une escroquerie à la chasse à la baleine par courrier électronique.
2016 : Un employé des ressources humaines de Snapchat a divulgué les données salariales de ses employés à la suite d'une escroquerie par courriel du PDG.
2017 : Des pirates informatiques ont escroqué 50 000 dollars à un propriétaire de petite entreprise dans le cadre d'une attaque de type "man-in-the-middle whaling".
2020 : Des cybercriminels ont utilisé un lien malveillant pour attaquer le cofondateur d'un fonds spéculatif australien et l'obliger à fermer ses portes.
Comment prévenir les attaques de baleiniers ?
Une organisation peut réduire la menace d'attaques de type "whaling" en apprenant à détecter les tentatives d'hameçonnage des pirates, en vérifiant par exemple l'URL, l'adresse électronique, les liens et les pièces jointes d'un courriel pour détecter les signaux d'alerte. De même, la langue, le ton et la grammaire d'un courriel peuvent constituer des indices. Outre la formation à la lutte contre l'hameçonnage, la simulation d'attaques de baleines peut également améliorer les compétences d'une équipe en matière de détection de l'hameçonnage. Pour plus de sûreté, les entreprises devraient utiliser des logiciels de cybersécurité qui bloquent les vecteurs d'attaques de phishing tels que les sites web frauduleux.