Varonis debuts trailblazing features for securing Salesforce. Learn More

Introduction de l'automatisation du moindre privilège pour Microsoft 365, Google Drive et Box

En savoir plus
Blog Sécurité des données

Whaling : une attaque par spear-phishing particulière.

Pour l’essentiel, une attaque de whaling est une attaque par spear-phishing, mais visant des plus grosses cibles – d’où l’idée du harponnage d’une baleine. Alors que les attaques par spear phishing...
Michael Buckbee
3 minute de lecture
Dernière mise à jour 29 octobre 2021

Contenu

    Pour l’essentiel, une attaque de whaling est une attaque par spear-phishing, mais visant des plus grosses cibles – d’où l’idée du harponnage d’une baleine.
    Alors que les attaques par spear phishing peuvent cibler n’importe quel individu, le whaling choisit plus soigneusement le type de personne qu’il cible : il se concentrera sur un cadre dirigeant ou une personne influente plutôt que sur un groupe plus large de victimes potentielles.

    Les cybercriminels utilisent le whaling pour usurper l’identité d’un haut responsable d’une organisation, comme le PDG, le directeur financier ou d’autres dirigeants, en espérant exploiter leur autorité pour accéder à des données sensibles ou à l’argent.
    Ils utilisent les informations trouvées sur Internet (et souvent sur les médias sociaux) pour tromper les employés, ou une autre « baleine », afin qu’ils leur communiquent des données financières ou personnelles.

    Ces pirates veulent exploiter l’autorité et l’influence de la « baleine » pour convaincre les individus de ne pas examiner de trop près la requête frauduleuse.
    Les cybercriminels peuvent commettre leurs méfaits lorsque les employés n’examinent pas de trop près l’adresse e-mail ou les sites web et qu’ils se contentent de suivre les instructions.

    Statistiques sur le whaling

    Le FBI a rapporté que les attaques de phishing ont coûté aux entreprises près de 215 millions de dollars en 2014. En 2016, le rapport Verizon DBIR a fait état de 61 attaques de phishing ciblant des équipes financières. Ce nombre est passé à 170 en 2017, soit une augmentation de près de 200 % !

    whaling attack statistic

    Comment fonctionnent les attaques de whaling et pourquoi aboutissent-elles ?

    Le whaling exige plus de recherches et de planification que les attaques classiques par phishing et spear-phishing.
    Pour usurper l’identité d’une « baleine », les pirates doivent prendre le temps de trouver la meilleure façon de se faire passer pour elle, trouver un moyen d’approcher leur cible et déterminer le type d’informations qu’ils peuvent soutirer à leurs victimes.

    Pour établir un profil et un plan d’attaque, les cybercriminels examinent les informations issues des médias sociaux et celles divulguées au public par l’entreprise.
    Ils peuvent également utiliser des logiciels malveillants et des rootkits pour s’infiltrer dans le réseau : un e-mail provenant du compte du PDG est beaucoup plus efficace qu’un message issu d’un compte usurpé.
    Et qu’en est-il lorsque ces messages comprennent des détails donnant à penser que les attaques proviennent d’entités de confiance ? Eh bien, c’est encore mieux.

    Les e-mails constituent de loin la méthode de phishing la plus efficace (y compris pour le whaling) : 98% des attaques de phishing utilisent la messagerie électronique.
    Dans le passé, les e-mails de phishing privilégiaient l’inclusion de liens ou de fichiers joints contenant un malware.
    Mais plus récemment, des attaques de whaling réussies ayant abouti se sont contentées d’émettre une simple demande qui a semblé plausible à la victime.

    Exemples d’attaques de whaling

    En 2016, un employé de Snapchat a divulgué toutes les données de paie de l’entreprise à un escroc (l’employé avait répondu à un e-mail semblant provenir du PDG, auquel il s’est empressé de répondre). Le whaling cible fréquemment les équipes en charge des ressources humaines ou de la paie car elles ont accès à des données personnelles sensibles.

    Dans une autre attaque de whaling, un employé d’une une entreprise de marchandises a viré 17,2 millions de dollars en plusieurs versements à une banque située en Chine, comme le lui demandaient des e-mails qui semblaient émaner du PDG.
    Comme l’entreprise prévoyait alors de développer son activité en Chine, cette demande lui avait paru assez plausible.

    Dans ces deux cas, la victime n’a pas identifié l’attaque de whaling ou posé les bonnes questions pour s’assurer de la validité de la demande.
    Il est essentiel de former le personnel et les membres dirigeants à rester vigilants face à toute tentative de fraude par phishing.

    Quelques conseils pour éviter une attaque de whaling

    Pour éviter le whaling, il faut utiliser les mêmes tactiques que pour une attaque de phishing standard. La seule différence tient à l’importance de la cible.

    5 tips for avoiding a whaling attack in list form

    • Sensibilisez les employés aux attaques de whaling et à la façon d’identifier les e-mails de phishing.
      • Formez les employés et les dirigeants à penser en termes de sécurité et à poser les bonnes questions.
      • Vérifiez l’adresse e-mail de réponse (« Répondre à ») et assurez-vous qu’elle est légitime.
      • Téléphonez pour vous assurer de la véracité des demandes inhabituelles ou urgentes.
    • Marquez tous les courriels provenant de l’extérieur de l’organisation – cela permet de mettre en évidence les messages potentiellement frauduleux.
    • Discutez avec l’équipe dirigeante de l’utilisation des médias sociaux dans le contexte des risques de whaling.
      • Les médias sociaux constituent pour les cybercriminels une mine d’informations qu’ils peuvent exploiter pour « harponner une baleine ».
      • Les experts en sécurité recommandent aux membres des équipes dirigeantes d’activer les restrictions d’accès aux informations confidentielles de leurs comptes personnels de média sociaux, afin de réduire l’exposition des informations pouvant être utilisées pour une escroquerie par ingénierie sociale.
    • Mettez en place un processus de vérification en plusieurs étapes pour les demandes internes et externes de données sensibles ou de virements bancaires.
    • Mettez en œuvre des politiques de protection et de sécurité des données : surveillez l’activité liée aux fichiers et à la messagerie électronique afin de repérer et signaler les comportements suspects, et mettez en place une sécurité multi-couches pour protéger votre entreprise contre le whaling et toute forme de phishing.

    Vous voulez en savoir plus ? Voyez comment Varonis peut vous aider à prévenir les attaques de whaling et à vous en défendre – afin d’éviter le vol de vos données et de votre argent.

    What you should do now

    Below are three ways we can help you begin your journey to reducing data risk at your company:

    1. Schedule a demo session with us, where we can show you around, answer your questions, and help you see if Varonis is right for you.
    2. Download our free report and learn the risks associated with SaaS data exposure.
    3. Share this blog post with someone you know who'd enjoy reading it. Share it with them via email, LinkedIn, Reddit, or Facebook.
    Michael Buckbee
    Michael Buckbee

    Michael a travaillé en tant qu'administrateur système et développeur de logiciels pour des start-ups de la Silicon Valley, la marine américaine, et tout ce qui se trouve entre les deux.

    Testez Varonis gratuitement.
    Un résumé détaillé des risques liés à la sécurité de vos données.
    Stratégie claire vers une remédiation automatisée.
    Déploiement rapide.
    Commencez votre évaluation gratuite Afficher un exemple
    Keep reading
    guide-de-l’acheteur-de-dspm
    Guide de l’acheteur de DSPM
    guide-de-l’acheteur-de-dspm
    Rob Sobers
    13 mars 2024
    Comprenez les différents types de solutions DSPM, évitez les pièges les plus courants et posez les bonnes questions pour vous assurer que vous achetez une solution de sécurité des données qui répond à vos besoins spécifiques.
    derrière-la-refonte-de-la-marque-varonis
    Derrière la refonte de la marque Varonis
    derrière-la-refonte-de-la-marque-varonis
    Courtney Bernard
    20 février 2024
    Découvrez la stratégie derrière la refonte de Varonis qui impliquait une transition complète vers un archétype de héros et l'introduction de Protector 22814.
    tendances-en-matière-de-cybersécurité-pour 2024 :-ce-que-vous-devez-savoir
    Tendances en matière de cybersécurité pour 2024 : ce que vous devez savoir
    tendances-en-matière-de-cybersécurité-pour 2024 :-ce-que-vous-devez-savoir
    Lexi Croisdale
    25 janvier 2024
    Apprenez-en davantage sur la gestion de la posture en matière de sécurité des données, les risques liés à la sécurité de l’IA, les changements en termes de conformité et bien plus encore pour préparer votre stratégie en matière de cybersécurité pour 2024.
    trois façons-dont-varonis-vous-aide-à-lutter-contre-les-menaces-internes
    Trois façons dont Varonis vous aide à lutter contre les menaces internes
    trois façons-dont-varonis-vous-aide-à-lutter-contre-les-menaces-internes
    Shane Walsh
    14 novembre 2023
    Les entreprises ont du mal à lutter contre les menaces internes. Pour lutter contre elles, Varonis s’appuie sur la « triade de la sécurité des données » (sensibilité, accès et activité).