Qu’est ce que le whaling ?
Contrairement aux tentatives d’hameçonnage (phishing en anglais) qui ciblent des individus au hasard, le whaling cible des individus bien précis.
Le whaling (pêche à la baleine), est la menace visant les chefs d’entreprise, décideurs et responsables qui dématérialisent leur process de travail en raison de la crise sanitaire.
Le but du cybercriminel est de voler de l’argent, des informations sensibles ou d’avoir accès à leurs systèmes informatiques.
Pour ferrer ces “gros poissons” il utilisent :
- L’usurpation d’identité. L’usurpation de nom de domaine est la stratégie la plus courante, elle est utilisée dans 70% des attaques. C’est par le biais des réseaux sociaux ou autres informations trouvées sur les moteurs de recherche qu’ils se renseignent.
- Le phishing ciblé. Le cybercriminel cible un collaborateur haut placé en se faisant passer pour un supérieur hiérarchique ou un autre employé important de l’entreprise.
2021, l’année du whaling
Cette année 2021 va voir les attaques de whaling s’intensifier.
En effet, beaucoup d’entreprises se sont précipitées dans la mise en place du télétravail pour maintenir leur activité.
Certaines d’entre elles n’ont pas pris le temps de former leurs collaborateurs sur les bonnes pratiques du télétravail sécurisé en respectant un protocole rigoureux.
Les cybercriminels profitent alors de ce climat anxiogène dans certains secteurs d’activités qui n’avaient pas l’habitude du télétravail.
Comment se protéger du whaling ?
Pour se protéger des attaques de whaling, le mieux est encore la sensibilisation. (source : ANSSI). C’est pourquoi, il est nécessaire de cibler les dirigeants et employés hauts placés à suivre des formations approfondies. De manière plus générale, sensibiliser encore plus tous les salariés.
Avoir les bons réflexes : survoler le nom de l’émetteur de l’email pour vérifier son adresse complète. Envisager de modifier les procédures de validation des opérations sensibles comme les opérations financières, la communication d’informations confidentielles.
Utiliser un programme anti-phishing : mettre en place ce genre de logiciel qui offre des services tels que l’analyse d’URL et la validation de liens.
Réaliser des simulations d’attaques : “éduquer” les employés contre le phishing et le whaling, c’est acquérir les bons gestes en vérifiant les sources des emails frauduleux ou en détectant de faux sites internet par exemple.
Dans ce contexte particulier, le maître-mot doit rester la méfiance face à ces nombreux échanges à distance.
