Une attaque de phishing en ligne implique généralement un escroc qui tente de se faire passer pour un service que vous utilisez afin de vous soutirer des informations d’identification ou de l’argent. Une autre version plus ciblée et potentiellement plus lucrative de cette escroquerie est appelée « whaling » ou « whale phishing ».

Le hameçonnage à la baleine cible les entreprises et les organisations

La plus grande différence entre une attaque de phishing standard et une attaque de whale phishing est la manière dont l’escroc cible ses victimes. Alors que les attaques de phishing sont envoyées à des centaines ou des milliers de personnes à la fois, les attaques de whale phishing sont souvent beaucoup plus ciblées.

Une attaque de whale phishing peut viser une seule personne au sein d’une entreprise en utilisant des informations recueillies au sein de cette organisation. Les escrocs effectuent des recherches plus poussées pour tromper leurs cibles, ce qui peut impliquer l’étude des hiérarchies et des informations sur l’entreprise en ligne, ou l’obtention d’informations au sein même de l’entreprise.

Par exemple, un escroc se fait généralement passer pour un membre du personnel de haut niveau. Il peut s’agir d’un directeur ou d’un technicien, ou encore du PDG ou du propriétaire. Il est essentiel de choisir une figure d’autorité pour que l’escroquerie fonctionne, car la cible (souvent des employés de niveau inférieur) est plus susceptible d’accéder à une demande sans la remettre en question.

Ainsi, dans un scénario, un escroc peut se faire passer pour un responsable de compte principal et attirer l’attention d’un employé sur une facture à payer. L’e-mail peut contenir un lien vers un site Web externe utilisé pour voler les identifiants de connexion ou contenir des instructions pour effectuer un paiement sur un compte contrôlé par l’escroc.

Les objectifs finaux peuvent être nombreux, les escrocs tentant de voler de l’argent, des informations d’identification et d’installer des logiciels malveillants. Au fil du temps, cela peut entraîner des problèmes de sécurité, des attaques par ransomware, de l’espionnage et, bien sûr, une grande détresse pour les personnes qui en sont les victimes.

Le hameçonnage à la baleine utilise les mêmes vieilles tactiques

Le hameçonnage à la baleine est essentiellement du harponnage avec un gain plus important (généralement pour les entreprises). Le spear phishing est une version légèrement plus sophistiquée du phishing standard, où l’arnaque est adaptée à la cible. Dans ce scénario, une « baleine » est une « prise » plus importante, d’où le terme de « whaling » ou « whale phishing ».

Bien qu’une attaque de phishing à la baleine exige plus d’efforts et de temps de la part de l’escroc, les tactiques utilisées sont similaires à une attaque de phishing standard. Par exemple, l’escroc peut utiliser une adresse électronique trompeuse qui est soit usurpée, soit rendue très similaire à une adresse électronique utilisée par la personne dont il se fait passer pour un autre.

Étant donné que ces attaques reposent sur un élément humain, le hameçonnage par téléphone est une autre tactique courante (comme c’est le cas dans de nombreuses escroqueries par phishing). Tout comme les appels téléphoniques, les messages textuels peuvent également être utilisés, comme c’est le cas dans les attaques de smishing en constante augmentation. Une tactique moins courante peut être l’accès physique, où la cible est « appâtée » avec une clé USB conçue pour délivrer une charge utile.

En fin de compte, la vigilance et le scepticisme sont la meilleure défense contre ce type d’attaque.

Le hameçonnage à la baleine n’est pas nouveau

Ce type d’escroquerie existe depuis des décennies et restera probablement une menace pendant encore longtemps. La sensibilisation est essentielle pour éviter ce type d’escroquerie et bien d’autres encore, qu’il s’agisse d’escroqueries sur Facebook Marketplace ou d’usurpations d’identité sur Wordle. Consultez nos principaux conseils pour rester en sécurité en ligne.