Comment se protéger contre les attaques de Whaling ?

Bien que son mode opératoire ressemble au Spear phishing (ou hameçonnage ciblé), le whaling (chasse à la baleine) ne cible pas des victimes « ordinaires» mais vise, essentiellement, les hauts dirigeants influents au sein d’une entreprise en usurpant l’identité d’un haut responsable (directeur financier ou même le PDG) dans le but d’avoir accès à des informations confidentielles ou sensibles et leurrer (piéger) les victimes en les incitant à approuver et à effectuer des virements électroniques frauduleux.  

Par quels moyens ?

Le whaling est un cyber-subterfuge qui exploite ces techniques :

Le spoofing d’adresse e-mail : En usurpant l’identité d’un haut responsable, l’attaquant exploite les messageries électroniques pour leurrer (piéger) les collaborateurs en leur envoyant un e-mail très personnalisé tout en leur faisant croire qu’il émane de leurs supérieurs hiérarchiques ou collègues. Ce message est, généralement, accompagné d’une pièce jointe ou d’un hyperlien qui peuvent infecter la machine de leur victime.

L’ingénierie sociale : La technique du Whaling repose, essentiellement, sur les liens de confiance qui peuvent se créer dans le milieu professionnel, ainsi, la plupart des victimes se fient au message personnalisé envoyé par l’attaquant et ne prennent, généralement, pas le temps de vérifier la véracité des informations ou requêtes inclues dans l’e-mail frauduleux. De plus, les attaquants peuvent collecter et exploiter des informations personnelles que les hauts dirigeants partagent sur les réseaux sociaux afin d’élaborer un stratagème beaucoup plus adapté aux habitudes des victimes afin de leurrer leurs collaborateurs.

Comment se protéger du Whaling ?

Former et sensibiliser les employés 

La sensibilisation reste le moyen le plus efficace pour contrecarrer les attaques qui reposent sur l’ingénierie sociale et il est important d’opter pour des formations approfondies pour les hauts dirigeants et cadres de l’entreprise, car ils sont les cibles de choix des attaquants. En effet, les hauts responsables doivent être capables de protéger leurs informations personnelles et de sécuriser leur environnement de travail grâce à de simples reflexes tel que le survol du nom de l’émetteur du mail pour révéler son adresse complète.

Mettre en place une politique de sécurité rigoureuse

Le processus de validation des opérations financières ou la communication d’informations confidentielles doit faire l'objet d'une stratégie de sécurité rigoureuse faisant partie de la politique de sécurité de l'entreprise. En effet, il faut envisager de modifier la procédure de validation des opérations sensibles. Enfin, il est conseillé d'appliquer une politique de sécurité spécifique qui cible la sphère des cadres et hauts dirigeants de l'entreprise.

Utiliser un programme antip-phishing

Même si le Whaling exploite, essentiellement, l’ingénierie sociale pour piéger les victimes, la mise en place d’un logiciel d’anti-phishing au sein de l’entreprise et qui offre des services tels que l'analyse d'URL et la validation de liens peut améliorer le niveau de sécurité face à ce type d’attaque.

Réaliser des simulations d’attaques-types

Les RSSI doivent réaliser des simulations d’attaques pour que les employés acquièrent les gestes barrières face à elles et notamment la vérification de la source des e-mails frauduleux ou la détection des faux sites web.