Savez-vous ce qu’est une attaque de type « whaling » ? Une attaque à la baleine ou une attaque du président? Non? Vous avez alors des chances de mettre à risque l’entreprise pour laquelle vous travaillez, alors que ce type d’attaques des pirates informatiques fait d’immenses ravages! On vous explique les rudiments de ce type d’attaque, comment les reconnaître et comment s’en protéger.
Pas toujours facile de s’y retrouver parmi tous les types de menaces informatiques qui nous guettent sur internet.
« Malware », virus, trojan, « spyware », « ransomware », « phishing », autant de terme que l’on entend ou voit et dont on n’est pas certains du modus operandi de chacun d’entre eux.
À cela, il faut ajouter les attaques de type « whaling ». En français, ces attaques prennent aussi les noms d’attaque à la baleine ou d’attaque du président.
Il s’agit d’une menace qui prend de plus d’expansion et qui peut faire d’immense ravage auprès d’une compagnie.
Qu’est-ce qu’une attaque de type « whaling »?
Une attaque de type « whaling » ou d’attaque à la baleine est une attaque d’hameçonnage, mais bien plus sophistiquée.
Dans une tentative d’hameçonnage, les pirates ne font pas vraiment de gros efforts. Ils construisent un courriel bidon envoyé à des milliers de personnes et où ils tentent notamment de nous faire croire qu’un de nos comptes a été compromis ou qu’on doit faire un paiement quelconque.
On peut penser à un faux courriel à l’effigie de Facebook par exemple ou bien d’un autre service populaire.
Certains pirates rehaussent la complexité de l’hameçonnage avec ce que l’on appelle le harponnage.
Plutôt que d’envoyer le même courriel à des milliers de personnes, ils s’efforcent plutôt à collecter des informations sur une personne précise et la viser spécifiquement.
Ils vont glaner nos éseaux sociaux, chercher sur le dark web si des données personnelles circulent à notre sujet, puis utiliser ces informations pour nous contacter et nous faire peur dans l’espoir de nous soutirer de l’argent.
L’attaque à la baleine c’est le niveau supérieur du harponnage. On vise une personne en particulier, mais cette fois on s’attaque à une personne en position de pouvoir dans une entreprise.
Plus précisément quelqu’un qui a des accès au compte bancaire de l’entreprise ou qui peut autoriser des virements.
Ces derniers vont alors tenter de se faire passer pour un de nos supérieurs ou bien une personne plus haut placée dans l’entreprise, afin d’utiliser l’autorité de cette personne pour nous forcer à acquiescer à leurs exigences.
Ils peuvent également tenter de personnifier un partenaire d’affaire de confiance de notre entreprise.
Quelles sont les tactiques employées dans la fraude du président?
Pour qu’une attaque à la baleine fonctionne, les pirates doivent être minutieux et collecter plusieurs informations personnelles afin de rendre leur attaque des plus crédibles.
Ils peuvent notamment collecter des informations sur nos éseaux sociaux, mais aussi ceux de nos collègues. Ils peuvent également porter attention à la couverture médiatique de notre entreprise afin d’utiliser une écente grande annonce. Ça peut même aller jusqu’à pirater un de nos appareils pour en soutirer de précieuses informations.
Ces informations sont alors utilisées dans un courriel qui nous ai destinés et qui a tout l’air de provenir d’un de nos supérieurs, d’un partenaire d’affaires ou du président de l’entreprise lui-même.
Avec des informations tellement précises, le courriel semble véridique et on peut tomber dans le panneau.
Cette tactique a fait d’immense dommage à travers les années chez de petites et grandes compagnies.
Le éseau social Snapchat s’est notamment fait piéger en 2016 alors qu’un haut employé de l’entreprise a partagé la liste de paye de tous les employés en pensant les donner au CEO de l’entreprise.
Ce n’est qu’un exemple parmi d’autres alors que certaines compagnies ont perdu des millions de dollars dus à une attaque de type « whaling ».
Comment identifier les attaques du président? Voici les trucs!
Si on connaît les trucs pour détecter les tentatives d’hameçonnages, on ne sera pas trop dépaysé par ceux pour identifier les attaques du président puisque ce sont sensiblement les mêmes.
La différence, c’est que dans le cas d’une attaque de type « whaling » il faut vraiment être alerte, car on n’a pas affaire à un courriel bidon rempli de fautes et dont on voit le piège à des milles à la ronde.
Non, là on fait face à un courriel hautement personnalisé utilisant des informations précises à notre sujet et notre entreprise et où les pirates personnifient un haut dirigeant de notre entreprise ou bien un gros partenaire d’affaires.
Si l’emballage du courriel est grandement rehaussé, il reste que ces courriels utilisent les mêmes tactiques que les courriels d’hameçonnages, soit:
- Mettre l’accent sur l’urgence d’agir
- Utiliser une fausse adresse courriel
- Nous demander de l’argent ou des informations personnelles
- Intégrer un lien malveillant qui n’a rien à voir avec le nom de domaine sur lequel on tente de nous faire cliquer.
Moindrement que l’on voit une de ces tactiques employées dans un courriel, on devrait tout de suite se méfier quand bien même que ça semblerait provenir d’une personne au-dessus de nous.
Comment se protéger des attaques de type « whaling »?
Se sensibiliser à la menacer
La première façon de se protéger face à ce type d’attaque c’est d’abord d’être sensibilisé au risque et de sensibiliser les membres de notre équipe.
On peut tous avoir des moments d’égarement et de vulnérabilité, mais si au moins on est au courant du risque de ce type d’attaque on a bien moins de chance de tomber dans le panneau!
Simuler une telle attaque dans son entreprise pourrait être un excellent moyen de sensibiliser notre équipe au risque d’une telle attaque.
Changer les procédures dans l’entrepriser
Une autre stratégie que l’on peut employer pour se protéger est de carrément changer certaines pratiques dans notre entreprise.
D’une part, on peut tenter de joindre directement la personne qui nous a supposément écrit pour vérifier si ça provient véritablement de lui ou elle.
Mieux, on peut carrément envisager à ce que deux personnes soient requises pour valider des paiements ou virements bancaires afin de éduire les risques.
Examiner les adresses courriel des expéditeursr
Ensuite, comme on le mentionnait, ces courriels proviennent d’une fausse adresse courriel. Ainsi moindrement qu’on voit un des signaux d’une attaque à la baleine, on doit avoir le éflexe d’aller vérifier l’adresse courriel de l’expéditeur.
Souvent, la modification est subtile, alors qu’une lettre a été ajoutée dans le nom du destinataire.
Utiliser un antivirus pour identifier les tentatives d’hameçonnagesr
Comme pour tout type d’attaques informatiques, il est primordial de protéger nos machines à l’aide d’une bonne suite de protection.
Non seulement les antivirus bloquent les tentatives d’intrusions, mais ils peuvent également identifier les courriels d’hameçonnages et les liens malveillants qui sont placés dans ces courriels.
Limiter ce qu’on publie sur les éseaux sociauxr
On doit également faire attention à ce qu’on publie sur nos éseaux sociaux personnels. Que ce soit sur Facebook, X, Instagram ou LinkedIn.
Les pirates vont souvent chercher à savoir notre date d’anniversaire, si on est parti écemment en vacances, si on a eu une promotion, le poste qu’on occupe, les loisirs que l’on pratique et les relations que l’on a avec les membres de l’équipe. Autant d’informations qui peuvent leur utile pour personnaliser leurs attaques.
Non seulement doit-on ainsi faire attention à ce qu’on publie, mais aussi à qui on donne accès à nos publications. Si sur Facebook par exemple nos publications sont publiques et qu’elles ne sont pas restreintes à nos amis seulement, bien ça veut dire que n’importe qui peut les voir!
Utiliser Incogni pour retirer toutes informations personnelles sur le webr
Enfin, on a beau avoir le contrôle sur ce qu’on publie sur les éseaux sociaux, on n’en a pas vraiment sur ce qui est collecté à notre insu.
On pense notamment aux agrégateurs de données qui collectent d’énormes quantités de données à travers internet, les éseaux sociaux ou les égies publicitaires afin de revendre ces informations.
C’est là qu’une solution comme Incogni peut nous aider à faire le ménage à cet égard.
Incogni est un service en ligne qui agit en quelque sorte comme un cabinet d’avocat et qui cogne à la porte de tous ces agrégateurs de données en leur exigeant de supprimer nos informations.
En se créant un compte, on mandate Incogni à faire effacer nos données personnelles auprès de multiples firmes de courtage de données.
Cet exercice est pratiquement impossible à faire par soi-même, car il en existe tellement, on ne sait pas qui a nos données et on ne sait pas nécessairement par quel recours juridique on peut leur demander de les effacer. Surtout quand ces compagnies ne sont pas au Canada!
C’est bien plus simple de laisser Incogni le faire à notre place…
Instantanément après la création de notre compte sur Incogni, ce dernier envoie des requêtes. C’est un peu épeurant de voir le nombre dès le départ. Dans notre cas, c’était littéralement 86 demandes qui ont été envoyées après la création de notre compte!
On peut ainsi voir à qui les requêtes ont été envoyées, quels types de données ces entreprises ont entre leur main, puis le statut de la requête.
Ça demeure une solution super facile à utiliser et qui ne demande pas à passer un temps de fou à tenter de savoir où nos données ont bien pu aller.
En plus, ça ne coûte pas très cher à environ 6$ par mois. Pas mal moins cher que les milliers, voir les millions de dollars qu’on peut perdre dans une attaque du président.
Cette chronique contient des liens d’affiliations. Apprenez-en plus.