Qu’est-ce que la chasse à la baleine ?
Le « Whaling » est une forme spécifique de phishing visant les cadres supérieurs, les gestionnaires, etc. Il diffère de l’hameçonnage normal en ce que la chasse à la baleine, les e-mails ou les pages Web servant des escroqueries prennent une apparence plus sérieuse ou formelle et sont souvent ciblées sur des personnes spécifiques.
Pour la perspective, le phishing régulier sans chasse à la baleine est généralement une tentative d’obtenir les informations de connexion de quelqu’un à un site de médias sociaux ou à une banque. Dans ces cas, l’e-mail/le site Web de phishing semble assez standard, tandis que dans le cas de la chasse à la baleine, la conception de la page est explicitement destinée au responsable/à la direction attaqué.
Quel est le but de la chasse à la baleine ?
Le but est d’inciter la haute direction à révéler des informations confidentielles sur l’entreprise. Cela se présente souvent sous la forme de mots de passe de compte sensibles, auxquels les attaquants peuvent ensuite accéder pour obtenir plus de données.
Le but ultime de toutes les attaques de phishing (comme la chasse à la baleine) est de faire peur au destinataire en lui faisant croire qu’il doit prendre des mesures pour continuer, comme éviter les frais juridiques, empêcher la résiliation, empêcher une entreprise de faire faillite, etc.
À quoi ressemble une escroquerie à la baleine ?
La chasse à la baleine, comme tout jeu d’escroquerie par hameçonnage, consiste à se faire passer pour une page Web ou un e-mail légitime et urgent. Les escrocs les conçoivent pour qu’ils ressemblent à un e-mail professionnel important ou à quelque chose d’une autorité externe ou interne au sein de l’entreprise elle-même.
Une tentative de chasse à la baleine peut ressembler à un lien vers un site Web que vous connaissez bien. Il peut vous demander vos informations de connexion comme vous vous en doutez. Mais que se passe-t-il ensuite si vous ne faites pas attention.
Lorsque vous essayez de soumettre des informations dans le champ de connexion, une notification apparaît indiquant que les informations sont incorrectes et que vous devez réessayer. Aucun mal n’a été fait, n’est-ce pas ? Vous venez d’entrer le mauvais mot de passe – c’est une arnaque !
Ce qui se passe dans les coulisses, c’est que lorsque vous entrez des informations sur un faux site Web (qui ne peut pas vous connecter car ce n’est pas réel), les informations que vous entrez sont envoyées à l’attaquant et vous êtes redirigé vers le vrai site Web. Vous essayez à nouveau votre mot de passe et cela fonctionne bien.
À ce stade, vous ne savez pas que la page est fausse et que quelqu’un a volé votre mot de passe. Cependant, l’attaquant dispose désormais du nom d’utilisateur et du mot de passe du site Web auquel vous pensez être connecté.
Les escroqueries par hameçonnage peuvent vous obliger à télécharger un programme pour afficher des documents ou des images au lieu de liens. Le programme, réel ou non, a une nuance malveillante et peut suivre tout ce que vous tapez ou le supprimer de votre ordinateur.
En quoi la chasse à la baleine est différente des autres escroqueries par hameçonnage
Dans une escroquerie par hameçonnage classique, la page Web/l’e-mail peut être un faux avertissement de votre banque ou de PayPal. Les fausses pages peuvent intimider les cibles en prétendant que leur compte a été débité ou piraté et qu’elles doivent saisir leur identifiant et leur mot de passe pour confirmer la facturation ou vérifier leur identité.
Dans le cas de la chasse à la baleine, les pages Web/courriels déguisés prendront une forme plus sérieuse au niveau administratif. Le contenu sera destiné à la haute direction comme le PDG, ou même simplement aux cadres qui peuvent avoir beaucoup d’influence sur l’entreprise ou qui peuvent avoir des informations d’identification précieuses sur les clients.
Les e-mails ou les sites Web de chasse à la baleine peuvent prendre la forme de fausses assignations à comparaître, de fausses informations du FBI ou d’une sorte de plainte légale importante.
Comment puis-je me protéger de la chasse à la baleine?
Le moyen le plus simple de vous protéger contre les escroqueries à la baleine est de savoir sur quoi vous cliquez. C’est si simple. Étant donné que la chasse à la baleine se fait par e-mail et sites Web, vous pouvez éviter tous les liens malveillants en sachant ce qui est réel et ce qui ne l’est pas.
Maintenant, il n’est pas toujours possible de savoir ce qui est faux. De temps en temps, vous recevrez de nouveaux e-mails de personnes auxquelles vous n’avez jamais envoyé d’e-mail auparavant, et ils pourraient vous envoyer quelque chose qui semble parfaitement légitime.
Cependant, si vous regardez l’URL dans un navigateur Web et assurez-vous de parcourir le site, même brièvement, pour trouver quelque chose qui sort un peu de l’ordinaire, vous pouvez réduire considérablement vos chances d’être attaqué de cette manière.
Les cadres et les managers aimeront-ils vraiment ces e-mails baleiniers ?
Oui, malheureusement, les managers tombent souvent dans le piège des escroqueries par e-mail. Prenez l’escroquerie à la baleine du FBI en 2008, par exemple.
Les escrocs ont ciblé environ 20 000 PDG d’entreprises, dont environ 2 000 ont été victimes d’une escroquerie à la baleine en cliquant sur un lien dans un e-mail. Ils pensent qu’il télécharge un plug-in de navigateur spécial pour afficher l’intégralité de l’assignation.
En fait, le logiciel lié était un enregistreur de frappe qui enregistrait secrètement les mots de passe du PDG et les transmettait aux escrocs. En conséquence, maintenant que les attaquants disposaient des informations dont ils avaient besoin, chacune des 2 000 entreprises compromises était encore plus compromise.
Merci de nous en informer!
Recevez les dernières nouvelles technologiques publiées quotidiennement
abonnement
Dites-nous pourquoi !
D’autres détails ne sont pas assez difficiles à comprendre
