Les attaques de phishing ne sont pas nouvelles. Cependant, au cours des dernières années, un type particulier a connu une forte augmentation : phishing à la baleine. Alors que le phishing ratisse traditionnellement un large filet, ciblant tout individu sans méfiance, le whaling s’attaque aux gros poissons : les cadres supérieurs et les hauts dirigeants d’une organisation. Ces attaques nécessitent plus de temps, d’efforts et d’expertise technique de la part des attaquants, mais les récompenses sont bien plus importantes.
Les attaques baleinières sont généralement plus sophistiquées, utilisant des méthodes telles que les usurpations d’identité de PDG, la technologie deepfake et phishing ciblé. Des chiffres récents indiquent que 89 % des e-mails de phishing impliquent désormais l’usurpation d’identité d’une personne familière au destinataire. Environ 16 % de ces e-mails impliquent un attaquant se faisant passer pour un collègue. Dans le cas de la chasse à la baleine, cela signifie cibler un dirigeant ou une personne ayant accès à des ressources critiques comme des comptes bancaires.
Être victime d’une attaque de phishing peut coûter cher. Le FBI a rapporté 52 millions de dollars de pertes des escroqueries par phishing rien qu’en 2022. Ces coûts sont supportés non seulement par les entreprises mais aussi par leurs clients, sans parler des ressources qui doivent être consacrées à la prévention.
Ces types d’attaques sont difficiles à ignorer, compte tenu de l’ampleur potentielle des enjeux financiers et de réputation. Toutefois, pour les entreprises, elles offrent l’opportunité de recentrer leurs efforts sur la protection des cibles les plus précieuses de leur organisation. Dans cet article, nous explorerons cette tendance croissante et proposerons des conseils pratiques sur la manière dont les organisations peuvent renforcer leurs défenses.
Pourquoi la chasse à la baleine est-elle à la mode ?
Le phishing ratisse généralement large, les attaquants s’appuyant sur la taille de leur liste de diffusion pour qu’une victime sans méfiance clique sur un lien. En revanche, le phishing à la baleine est hautement ciblé et personnalisé. Les attaquants prennent le temps de rechercher leurs victimes.
Cela inclut la collecte de données personnelles, la compréhension de leurs responsabilités professionnelles, l’analyse de leurs habitudes de courrier électronique et la création de contenu hautement personnalisé pour tromper les destinataires. Ce niveau d’effort peut sembler exigeant en main-d’œuvre, mais il s’avère très rentable lorsqu’il réussit.
Après tout, la chasse à la baleine cible les individus ayant le pouvoir d’approuver des transferts financiers ou d’accéder à des données sensibles d’entreprise, ce qui en fait des candidats privilégiés pour les acteurs malveillants en quête de gains importants. De même, les dirigeants sont potentiellement moins susceptibles d’avoir suivi une formation approfondie sur la détection des menaces et, parce qu’ils sont très occupés, sont plus susceptibles de négliger les signes révélateurs d’une arnaque.
Un cas qui met en évidence la sophistication croissante des attaques baleinières s’est produit en 2023 lorsqu’une entreprise multinationale de Hong Kong a été escroqué pour 25 millions de dollars via de faux appels vidéo se faisant passer pour le directeur financier et d’autres dirigeants clés de l’entreprise. Un directeur financier ayant accès aux fonds a été induit en erreur en transférant cette grosse somme d’argent apparemment à la demande des patrons.
De telles attaques reposent souvent sur une manipulation émotionnelle, créant une urgence ou exploitant des relations commerciales pour inciter les victimes à prendre des décisions impulsives, comme autoriser des virements électroniques ou fournir des informations de connexion confidentielles. Dans un contexte d’entrepriselà où tous les chefs d’entreprise ne connaissent pas tous les dirigeants, les dangers sont d’autant plus puissants.
Pour les attaquants, l’attrait de ces cibles de grande valeur est évident. Plus les efforts déployés pour personnaliser l’attaque sont importants, plus le retour financier potentiel est important. Dans de nombreux cas, l’ampleur des dommages, tant financiers que réputationnels, peut avoir des conséquences à long terme pour l’entreprise victime.
Un playbook évolutif
Les tactiques de phishing sont devenues beaucoup plus sophistiquées ces dernières années. Cela est dû à l’utilisation accrue des technologies d’intelligence artificielle (IA) et d’apprentissage automatique. Une évolution notable est l’utilisation de deepfakes, dans lesquels les attaquants utilisent des filtres basés sur l’IA pour usurper l’identité de dirigeants ou d’autres personnalités de confiance lors d’appels vidéo.
Le technologie pour le direct faux profond appels est désormais largement disponible et est souvent si convaincante que la victime ne trouve souvent aucune raison de remettre en question son authenticité, surtout lorsque la demande semble légitime. Cette technique a été un facteur clé dans l’affaire de Hong Kong de 2023, où des attaquants se sont fait passer pour le directeur financier lors d’un appel vidéo deepfake pour autoriser le virement bancaire.
Cependant, les deepfakes ne représentent qu’une partie de l’équation. Les attaquants baleiniers utilisent également des adresses e-mail, des profils de réseaux sociaux et même des numéros de téléphone usurpés pour masquer davantage leur identité. L’objectif est de rendre l’attaque aussi convaincante que possible, en s’appuyant sur la confiance de la victime dans ses communications pour contourner les protocoles de sécurité.
Les attaquants parviennent également à créer un sentiment d’urgence. En élaborant des messages qui semblent provenir directement du PDG ou d’un autre cadre supérieur, ils poussent les autres dirigeants à agir rapidement, sans remettre en question leurs actions. Cette technique est souvent appelée « fraude au PDG » et reste l’une des stratégies les plus couramment utilisées lors des attaques à la baleine.
Cette fraude exploite la structure hiérarchique des entreprises, selon laquelle les individus sont plus susceptibles de se conformer à une demande urgente d’un supérieur.
Protéger votre organisation
À mesure que le phishing de haut niveau se perfectionne, les défenses conçues pour s’en protéger doivent également évoluer. Les chefs d’entreprise et les professionnels de la sécurité doivent mettre en œuvre une approche à plusieurs niveaux pour protéger les données sensibles et prévenir les escroqueries ciblant les dirigeants. Voici quelques étapes critiques.
Formation et sensibilisation des employés. L’un des moyens les plus efficaces de se défendre contre les attaques à la baleine est d’éduquer les employés, en particulier ceux occupant des postes financiers et de direction, sur la manière de repérer les activités suspectes. La formation doit couvrir l’identification des signaux d’alarme, tels que des adresses d’expéditeur inconnues, des demandes inattendues ou des tactiques de pression. Des exercices réguliers de simulation de phishing peuvent contribuer à renforcer ces connaissances et à maintenir une sensibilisation élevée.
Authentification multifacteur. L’authentification multifacteur (MFA) est l’un des outils les plus simples mais aussi les plus efficaces pour contrecarrer les attaquants, en particulier lorsqu’il s’agit de protéger des comptes de grande valeur. Exiger plusieurs formes de vérification (par exemple, mot de passe plus authentification biométrique ou basée sur un jeton) ajoute une couche de protection supplémentaire qui peut rendre plus difficile le contournement des attaquants.
Logiciel de filtrage des e-mails et anti-hameçonnage. La mise en œuvre de systèmes avancés de filtrage des e-mails peut aider à détecter les messages suspects avant qu’ils n’atteignent la boîte de réception d’un employé. Un logiciel anti-phishing peut signaler les adresses e-mail qui ne correspondent pas au domaine de l’entreprise, alertant ainsi les employés des tentatives potentielles d’usurpation d’identité. Ces systèmes doivent être optimisés pour détecter les signes subtils de phishing, tels que des noms de domaine légèrement mal orthographiés ou des pièces jointes inhabituelles.
Protocoles de réponse aux incidents et de signalement. Il est crucial de disposer d’un protocole clair pour signaler les communications suspectes et répondre aux failles de sécurité potentielles. Cela comprend l’établissement d’une chaîne de commandement pour vérifier les demandes inattendues et garantir que tous les employés connaissent les mesures à prendre s’ils reçoivent un e-mail, un SMS ou un appel suspect.
Gestion des risques liés aux tiers. Les attaquants ne ciblent pas seulement une organisation en particulier, mais peuvent également cibler les fournisseurs tiers qui ont accès aux réseaux de l’entreprise. Il est donc essentiel de gérer ces relations avec soin. Des audits de sécurité réguliers, des obligations contractuelles strictes et des politiques claires de partage de données peuvent contribuer à atténuer les risques posés par les parties externes.
Garder une longueur d’avance
Alors que les attaques de phishing à la baleine continuent d’augmenter, les organisations doivent être proactives dans le renforcement de leurs défenses. Les tactiques évolutives utilisées par les cybercriminels exigent une approche globale et à plusieurs niveaux qui va au-delà des mesures de sécurité traditionnelles. La protection des dirigeants et autres cibles de grande valeur n’est plus une option, mais plutôt un élément essentiel de la sauvegarde de la stabilité financière, des données et de la réputation d’une organisation.
En mettant l’accent sur la formation continue, la mise en œuvre de solutions technologiques avancées et l’élaboration de plans robustes de réponse aux incidents, les entreprises peuvent minimiser le risque d’être victimes de ces attaques hautement sophistiquées. La préparation est essentielle, et rester en avance sur les tendances émergentes donnera à votre organisation une chance de se battre.
Crédit image en vedette : Kasia Derenda/Unsplash
