La chasse à la baleine : Qu’est-ce que le Whale Phishing?
Les cybercrooks sont comme des chasseurs de trésors en ce sens que plus leur récompense est grande, mieux c’est. Bien que de plus grandes récompenses viennent avec de plus grands risques, pour les obtenir, il faut aussi plus de compétences, ce qui signifie plus de droits de vantardise pour le néfaste. Il n’y a pas de plus grande récompense que de faire atterrir une baleine dans un schéma de phishing.
Plus une personne a accès ou est perçue comme ayant du pouvoir dans son organisation, plus il est probable que les cybercriminels cherchent à voler ses informations d’identification. L’accès au compte d’un seul employé de haut niveau pourrait signifier l’accès aux comptes bancaires de l’entreprise, à des informations confidentielles et aux informations personnelles des employés.
Faire partie de l’équipe dirigeante d’une entreprise signifie que vous êtes plus à risque pour les attaques de phishing ciblées, il est donc important d’en savoir le plus possible sur ces types d’attaques et sur la façon de les prévenir.
Pour aider à mieux comprendre ce qu’est le phishing et comment il diffère des autres méthodes de phishing, nous commencerons par expliquer le phishing.
Qu’est-ce que le phishing ?
Le phishing est une technique utilisée par les cybercriminels pour acquérir des informations personnelles (telles que des numéros de carte de crédit ou des identifiants de connexion) en envoyant un courriel conçu pour avoir l’air de provenir d’une source légitime mais destiné à vous inciter à cliquer sur un lien malveillant ou à télécharger une pièce jointe potentiellement truffée de logiciels malveillants.
Les hameçonneurs créent généralement de faux e-mails qui semblent provenir d’une personne en qui vous avez confiance, comme une banque, une société de cartes de crédit ou un site Web populaire. Le courriel peut vous demander de « confirmer les détails de votre compte » et vous diriger vers un site Web qui ressemble au vrai site Web, mais dont le seul but est de voler des informations.
Les attaques de phishing peuvent se produire avec des individus à la maison, au bureau, au téléphone et même par le biais de messages texte, il est donc important de rester vigilant, quel que soit l’appareil que vous utilisez.
Qu’est-ce que le Whale Phishing ou hameçonnage de baleine ?
Le whaling, ou hameçonnage de baleine, est un type d’attaque de phishing très ciblée visant la c-suite d’une entreprise. Ces cibles de grande valeur ont généralement un accès étendu aux ressources d’une organisation, ce qui en fait des « baleines ».
Si le spear phishing vise généralement les employés ou les petites entreprises (les « poissons »), la « baleine » du whaling est le « gros poisson » d’un membre de haut niveau d’une organisation. Pour attirer leur attention, les courriels peuvent sembler être des menaces légales ou des plaintes importantes.
L’objectif d’un criminel pour le whaling est le même que pour toute autre attaque de phishing : tromper un individu pour qu’il révèle des informations sensibles qui peuvent être utilisées pour pénétrer le réseau d’une organisation.
Comment pouvez-vous protéger votre organisation contre le hameçonnage à la baleine ?
Le hameçonnage à la baleine peut être évité de la même manière que vous vous prémunissez contre toute autre attaque de phishing par courriel :
- Surveillez les liens dans les courriels pour vérifier la destination avant de cliquer dessus.
- Supprimez les courriels suspects dont l’objet est sensationnel, tel que « Doit agir maintenant », ou qui contiennent des fautes d’orthographe non professionnelles dans le corps du message.
- N’ouvrez que les pièces jointes provenant de sources fiables.
- En cas de doute, appelez l’expéditeur au téléphone pour vérifier qu’il a bien envoyé le courriel.
Parce que les attaques de phishing à la baleine ciblent les cadres supérieurs de l’entreprise, il est important qu’ils aient une formation de sensibilisation à la sécurité ciblée en fonction de leur rôle afin qu’ils soient conscients des types d’attaques spécifiques auxquelles ils seront confrontés en raison de leur titre.
L’envoi de campagnes de simulation de phishing peut également aider à prévenir ces attaques en enseignant les individus par l’exemple. Apprenez-en davantage sur le simulateur anti-phishing d’Inspired eLearning, PhishProof™.