Qu’est-ce que le whaling ?

Le whaling est une cyberattaque d’ingénierie sociale à l’encontre d’un cadre ou d’un collaborateur haut placé dans le but de détourner de l’argent ou des informations ou d’avoir accès à l’ordinateur d’une personne pour y mener d’autres cyberattaques.

Différences entre whaling, phishing et spear phishing

Toutes les attaques d’ingénierie sociale reposent sur un leurre. Une cible est incitée à réaliser une opération, comme cliquer sur un lien corrompu. Le phishing, le spear phishing et le whaling se distinguent sur deux plans : la personne ciblée et l’effort à fournir par le cyberadversaire pour lancer l’attaque.

Phishing

Une attaque de phishing cible toute personne qui clique sur un lien corrompu ou télécharge une pièce jointe malveillante. Le leurre est sans aucun lien avec l’ancienneté, la fonction, etc.

Spear phishing

Une attaque de spear phishing, ou harponnage, cible un public, p. ex. les salariés d’une entreprise donnée ou les analystes financiers d’un secteur spécifique.

Whaling

Une attaque de whaling pirate la messagerie d’entreprise pour amener une personne haut placée, p. ex. un cadre supérieur donné, à effectuer l’opération souhaitée.

Mode opératoire du whaling

Pour réussir à duper des « vieux briscards », les attaques de whaling balisent d’abord le terrain. Par exemple, un PDG recevra un e-mail qui semble provenir de son directeur financier, qu’il sait en vacances. Cet e-mail pourrait être de cet acabit : « Sur le point d’embarquer dans l’avion, il faut urgemment payer le fournisseur X au risque que cette livraison importante soit retardée. Pouvez-vous virer 2 millions d’euros sur le compte suivant… »

Le PDG sait que le directeur financier est en voyage. Il connaît le fournisseur en question. Le style rédactionnel correspond à celui du directeur financier. L’adresse e-mail paraît correcte. Comment les cyberattaquants peuvent-ils arriver à leurs fins ?

Les escrocs ont plus d’un tour dans leur sac, notamment l’ingénierie sociale, l’usurpation d’adresse e-mail et de contenu, pour élaborer des e-mails de whaling convaincants. Ils font des recherches sur la personne dont ils vont usurper l’identité et sur celle qu’ils essayent de tromper, en épluchant les réseaux sociaux et d’autres sources publiques de données. Ils peuvent orchestrer au préalable une attaque de phishing pour obtenir l’accès à l’ordinateur d’un subalterne afin de compulser les dossiers des ressources humaines pour connaître les dates de congé des cadors de l’entreprise. Ils peuvent également espionner certaines boîtes de réception pour faire la moisson de détails personnels et rédiger un message crédible. Ils peuvent même se lancer dans l’ingénierie sociale physique, p. ex. en fréquentant le café préféré des collaborateurs d’une entreprise ciblée.

Comment reconnaître un e-mail de whaling ?

Les entreprises forment davantage leur personnel à la cybersécurité. Cependant, les cadres supérieurs sont moins enclins à suivre ce genre de formation. Peut-être parce que leurs fidèles adjoints décrètent qu’ils peuvent s’en passer. Peut-être parce que cette formation n’entre pas dans leur emploi du temps ou parce qu’elle s’adresse au collaborateur lambda et n’est donc pas pertinente pour un cadre.

Quelle que soit la vigueur de vos stratégies antiwhaling, il y aura toujours un risque qu’un e-mail de whaling se glisse entre les mailles de ces filets. La seule façon de protéger l’entreprise des arnaques par e-mail adressé aux cadres est d’aguerrir la cible en lui dispensant une formation en cybersécurité à la hauteur de ses responsabilités.

Même si les collaborateurs haut placés sont déjà sensibilisés aux risques du piratage de la messagerie en entreprise, ils doivent savoir que les e-mails de whaling sont bien plus subtils que ceux de phishing et de spear phishing, et que même les plus vigilants peuvent tomber dans le panneau. Apprenez-leur à être attentifs :

• Au contenu : la nature de la demande est le premier élément qui doit éveiller les soupçons. Si elle concerne un virement bancaire ou la communication de données sensibles, il faut redoubler de méfiance.
• À l’urgence : si la demande est assortie d’un délai et laisse entendre que son non-respect sera lourd de conséquences, elle doit être considérée comme très suspecte et soumise à une vérification par plusieurs intervenants, notamment par l’équipe de sécurité.
• Au nom de domaine : le nom de domaine doit correspondre parfaitement à celui de l’entreprise. Méfiez-vous des domaines qui remplacent « m » par « rn », « w » par « vv », etc.

Cibles du whaling

Pour les escrocs, le jeu en vaut la chandelle. Les gains financiers peuvent être faramineux. Parmi les victimes de whaling qui ont fait la une, citons une entreprise de céréales qui a laissé 17,2 millions de dollars dans l’aventure et une société de production de films qui a perdu 21 millions de dollars. Un équipementier de pièces d’avion s’est fait dépouiller de 54 millions de dollars et a dû licencier son PDG en poste depuis 17 ans.

D’autres entreprises ont fait état de l’exfiltration de gros volumes de données sensibles. Un fabricant de disques durs a transmis à un escroc les données fiscales de plusieurs collaborateurs et les données sensibles de milliers d’autres. L’employeur a été poursuivi en justice par les victimes. Un éditeur de réseaux sociaux a dévoilé les informations salariales de collaborateurs à la demande d’un escroc se faisant passer pour le PDG. Les informations volées peuvent se négocier sur le Dark Web ou être exploitées à des fins politiques par des groupes à la solde d’États.

L’attaque de whaling lambda ne décroche pas toujours la timbale, mais les montants sollicités par les cyberattaquants sont en augmentation. Le montant moyen demandé est passé de 48 000 à 75 000 dollars rien qu’au cours des trois derniers mois de 2020. Les secteurs les plus ciblés par le phishing en 2020 étaient les institutions financières, la messagerie web et le SaaS.

Comment éviter une attaque de whaling ?

L’attaque de whaling a le même mode opératoire que l’attaque de phishing. Certaines défenses déjà en place pourront donc protéger l’entreprise. On pourra par exemple :

• traquer les fausses adresses en bloquant les e-mails extérieurs au réseau si le nom de domaine est suspect ; par exemple, si un e-mail provenant apparemment de Widget.com provient en réalité de Vvidget.com ;
• implémenter un logiciel de prévention des fuites de données (DLP) qui bloque les e-mails non conformes aux règles de l’entreprise et les signale en se basant sur l’âge du domaine en question par rapport à celui du domaine de l’expéditeur présumé, sur la présence de mots suspects comme « virement » et autres attributs ;
• mettre en place des pratiques de prévention du whaling, comme la généralisation d’une procédure de vérification par téléphone des demandes par e-mail concernant des informations sensibles ou des virements supérieurs à un certain montant, et de contre-signature de ces opérations par une autre personne ;
• exiger des collaborateurs qu’ils paramètrent leurs profils sur les réseaux sociaux sur « amis uniquement » afin d’éviter que les escrocs y trouvent des détails utiles ;
• proposer aux cadres une formation spécialisée de sensibilisation à la sécurité, ceux-ci présentant des failles et des besoins différents des autres utilisateurs.