Le whaling est une attaque informatique qui appartient à la catégorie du phishing. Sa spécificité est de cibler essentiellement des directeurs d’entreprise, des hommes politiques ou des personnes célèbres. Le terme « whaling » (chasse à la baleine) fait référence avec humour aux victimes visées qui sont donc des personnalités importantes, autrement appelée « gros poisson ». En effet, en anglais, le terme « whale », qui signifie « baleine », décrit les clients importants dans les établissements de jeux et qui bénéficient d’un traitement VIP.
L’objectif du whaling est le même que celui du phishing : inciter quelqu’un à divulguer des données personnelles ou professionnelles via l’ingénierie sociale (social engineering), l’usurpation d’adresse e-mail (email spoofing) ou de contenu (content spoofing). L’attaquant envoie à la cible un e-mail en se faisant passer pour un expéditeur de confiance (un collègue, une relation professionnelle, un ami ou un membre de la famille), et tente d’obtenir de la victime des informations spécifiques ou une action de sa part : la diriger par exemple, vers un site Web créé spécifiquement pour l’attaque et qui contient un malware. Les e-mails et les sites Web sont entièrement personnalisés et intègrent le nom de la cible, sa profession ou d’autres informations pertinentes recueillies auprès de différentes sources – réseaux en ligne professionnels comme LinkedIn ou Viadeo, blogs personnels, publications dans la presse, réseaux sociaux, etc.
Des personnes célèbres dont Paris Hilton ont été victimes de whaling, avant même que le terme ne fasse son apparition.
Comment détecter les menaces de phishing et de whaling ?
Les attaques de whaling sont souvent plus difficiles à détecter que les attaques de phishing classiques en raison de leur caractère ciblé. Dans les entreprises, les DSI et RSSI peuvent contribuer à empêcher cette pratique en incitant les dirigeants à suivre une formation de sensibilisation à la sécurité de l’information.
Dans un environnement professionnel des mesures supplémentaires peuvent être utiles :
- Passez en revue régulièrement toutes les utilisations des comptes « VIP ». Cela ne bloquera pas les attaques mais pourrait contribuer à les détecter et éviter ainsi un accès généralisé à un compte.
- N’oubliez pas les assistants de direction puisqu’ils peuvent, en plus de trier les e-mails pour leur responsable, constituer une cible eux-mêmes.
- Assurez-vous que les responsables de votre entreprise connaissent les risques d’une attaque de phishing, ainsi que les signes d’une attaque en cours. Dites-leur de ne jamais cliquer sur des liens suspicieux se trouvant dans des e-mails, sessions de chat, blogs ou autres. En supprimant cela, on limite déjà grandement le succès d’une attaque de spear phishing.
- Demandez aux dirigeants de faire preuve de méfiance envers les messages non sollicité. Le « piratage d’orgueil » (dans lequel la victime se fait piéger par son ego) est en hausse et est sans doute impliqué dans de nombreux vols de données récents et très médiatisés.
Autour du sujet
Author information
Cet article Le « whaling », ce phishing d’orgueil destiné aux PDG est apparu en premier sur Secure IT.