Les attaques à la baleine voient les pirates cibler les cadres supérieurs, en utilisant l’ingénierie sociale, afin de les inciter à transférer des fonds ou des coordonnées bancaires.

La chasse à la baleine est souvent évoquée dans le même souffle que le phishing – mais une arnaque à la baleine est généralement beaucoup plus sophistiquée et plus difficile à mesurer. Dans ce guide, nous définirons ce qu’est une attaque de chasse à la baleine, examinez les techniques courantes et expliquez ce qui peut être fait pour identifier et décourager les tentatives de chasse à la baleine.

Qu’est-ce qu’une attaque de chasse à la baleine?

Essentiellement, un cybercriminel assumera une fausse identité – un directeur financier, une direction ou une personne similaire – et tirera parti de cette fausse position lorsqu’il ciblera une personne importante dans une entreprise. Cette personne aura souvent accès à des informations sensibles (à la fois sur l’entreprise et sur le client), et ce sont ces informations que le cybercriminel recherche, ainsi que l’argent.

Ce n’est cependant pas aussi simple que de demander de l’argent à ces supérieurs. Le cybercriminel encouragera souvent la cible à cliquer sur un lien (qui la mènera ensuite vers un site malveillant), à divulguer plus de détails sur l’entreprise ou le personnel (pour propager plus d’attaques) ou à initier un transfert de fonds.

Les pirates ayant l’intention de lancer une attaque de chasse à la baleine se tournent souvent vers le secteur financier, mais ont récemment également porté leur attention sur les entreprises de commerce électronique, les sites de stockage en nuage et d’autres services en ligne.

La chasse à la baleine est doublement dangereuse car elle ne nécessite pas une connaissance approfondie du piratage – seulement une attention aux médias sociaux d’une personne et une écriture incroyablement convaincante. L’impact qu’une telle attaque peut avoir sur une entreprise est cependant énorme. Même les géants de la technologie comme Snapchat ne sont pas à l’abri des escroqueries à la baleine. En 2016, un employé a été pris pour cible et contraint de transmettre des données de paie.

Mais pourquoi s’appelle-t-elle chasse à la baleine?

Pour comprendre la chasse à la baleine, nous devons définir le phishing – il s’agit d’une cyberattaque dans laquelle un pirate informatique envoie une tonne d’e-mails dans l’espoir que certaines personnes cliquent sur les liens à l’intérieur. S’ils le font, ils seront probablement redirigés vers un site malveillant prêt à récupérer leurs données personnelles.

La chasse à la baleine, cependant, se concentre directement sur une cible. Cette cible est souvent une personne influente de haut niveau, et le hacker assumera une identité tout aussi “importante” pour les contacter. Ainsi, “chasse à la baleine” fait référence à la valeur de la “capture”!

Signes d’une attaque de chasse à la baleine

Alors, maintenant que nous savons ce qu’est une attaque de chasse à la baleine, comment pouvez-vous en repérer une dans la nature? En règle générale, un pirate informatique tentant une telle attaque utilisera quelques-unes des méthodes ci-dessous pour éviter les soupçons et inciter une cible à transférer des fonds.

🤳Explorer les médias sociaux

Un hacker peut glaner énormément d’informations sur une cible en parcourant ses pages de réseaux sociaux. Ensuite, cela peut être utilisé pour créer une attaque hautement personnalisée. Inf

Des informations telles que le titre du poste, l’emplacement géographique et même des détails sur les amis et la famille peuvent tous être utilisés par un pirate informatique – soit pour créer une fausse familiarité, soit pour intimider. Consultez notre guide de confidentialité des médias sociaux pour obtenir les meilleurs conseils sur la façon de sécuriser vos comptes.

🧐Attention au détail

Et ce n’est pas seulement la cible avec laquelle un hacker se familiarisera. Afin de créer une attaque sur mesure, un pirate informatique adoptera une tonalité professionnelle appropriée dans toute correspondance et pourra parsemer les e-mails de références à des «collègues» sur le terrain ainsi que des termes du secteur. Tout cela rend les choses encore plus difficiles. pour dire que le message provient d’un étranger malveillant, et non d’un pair.

👩‍💻Liens et sites d’apparence légitime

Un hacker Wiley créera une adresse e-mail qui ne semble pas suspecte – en fait, vous pourriez être pardonné de penser qu’elle appartient à une entreprise légitime. Cliquer sur des logos ou des liens dans l’e-mail du pirate pourrait amener la cible vers un site Web superbement conçu, créé dans le seul but de les tromper et criblé de logiciels malveillants prêts à collecter des informations ou à infecter l’appareil de la cible.

☎️Appels téléphoniques Phony

Les pirates de Wiley créent des sites sur mesure, mais les plus effrontés suivront en fait les courriels de chasse à la baleine avec un appel téléphonique s’ils ont les coordonnées applicables. Un appel téléphonique confère une légitimité à l’e-mail et donne à l’interaction une touche «humaine» qui, par conséquent, pourrait rendre la cible moins suspecte et plus disposée à accepter toute demande.

Comment prévenir la chasse à la baleine

Les attaques de chasse à la baleine sont, de par leur nature, sophistiquées et subtiles, ce qui ne facilite pas leur identification. Mais les membres du personnel peuvent prendre certaines mesures pour s’assurer qu’ils sont conscients des dangers de la chasse à la baleine – et des signes révélateurs d’une attaque en cours.

  • Demandez-vous si vous familier avec l’expéditeur de tout e-mail non sollicité – en particulier si le contenu de l’e-mail mentionne des finances de toute nature ou des demandes d’informations.
  • Examinez les adresses e-mail et les liens inattendus en les survolant pour les afficher dans leur intégralité – ne cliquez sur rien dont vous n’êtes pas sûr, et n’ayez pas peur de faire passer les noms de sociétés via Google pour voir si vous êtes contacté par un escroc connu.
  • Soyez conscient de combien les informations sont partagées sur les réseaux sociaux – C’est amusant de partager des clichés d’anniversaire et des nouvelles sur les promotions internes, mais ce sont aussi des données qu’un pirate peut utiliser lors de la création de ses e-mails ciblés.

Leave a Reply