L’hameçonnage a été le cybercrime le plus couramment signalé à l’Internet Crime Complaint Center(nouvelle fenêtre) en 2024. Nous avons écrit sur ce qu’est l’hameçonnage et donné quelques exemples de messages d’hameçonnage convaincants sur notre blog, mais les cybercriminels ajustent toujours leurs attaques pour agrandir leur rendement.

Une version plus efficace de l’hameçonnage est lorsque les attaquants ciblent des personnes spécifiques, ce qui s’appelle le whaling ou le spear phishing. Alors que l’hameçonnage peut cibler des individus ou des entreprises, le whaling et le spear phishing ciblent spécifiquement ceux au sein d’une entreprise. Il est important de comprendre la différence entre ces termes, ainsi que la manière de les repérer et de vous protéger contre eux.

Quelle est la différence entre le whaling, l’hameçonnage et le spear phishing ?

L’hameçonnage est une méthode que les pirates utilisent pour vous inciter à partager des informations sensibles avec eux. Si vous avez déjà reçu un message d’apparence suspecte d’un service comme Amazon, Google ou PayPal vous disant que votre compte a été gelé, vous avez été ciblé par une tentative d’hameçonnage. Ces attaques sont larges et visent à obtenir autant de réponses que possible. Vous les recevrez à votre adresse e-mail personnelle ainsi qu’à votre adresse e-mail professionnelle.

Les attaques de spear phishing et de whaling utilisent les mêmes tactiques que l’hameçonnage, mais les déploient sur un ensemble de cibles beaucoup plus petit et spécifique au sein d’une entreprise. Les deux types d’attaques tombent largement dans la catégorie de l’hameçonnage, mais il est utile de comprendre comment la cible d’un pirate affecte les tactiques qu’il utilise.

Qu’est-ce que le spear phishing ?

Le spear phishing reprend les mêmes techniques larges utilisées pour les attaques d’hameçonnage et les adapte à des individus spécifiques. Les individus ciblés par le spear phishing travaillent souvent dans les services juridiques ou financiers, leur donnant accès à des données particulièrement sensibles et précieuses.

Selon une recherche publiée par Barracuda Networks(nouvelle fenêtre), plus de 80 % des attaques de spear phishing impliquent une usurpation d’identité de marque. Après avoir analysé 360 000 messages d’hameçonnage sur trois mois, la société a constaté que Microsoft et Apple sont les marques les plus usurpées, les attaques étant les plus susceptibles de se produire entre le mardi et le jeudi et de grimper autour d’événements tels que la saison des impôts. Ce niveau de planification de la part des escrocs témoigne de la précision avec laquelle ils étudient les employés et planifient leurs attaques.

Le rapport suggère que les trois principaux objets utilisés par les attaques de spear phishing sont une variation de ce qui suit :

  1. Demande
  2. Suivi
  3. Urgent/Important

Il n’est pas surprenant que les objets créent soit un sentiment d’urgence, soit l’impression que vous avez déjà été en contact avec l’expéditeur. Il peut également y avoir des motivations politiques pour les attaques de spear phishing. En 2024, Microsoft a publié des renseignements(nouvelle fenêtre) concernant l’ingérence iranienne dans l’élection américaine. Le compte Microsoft Hotmail d’un ancien conseiller principal a été compromis afin de lancer une attaque ciblant un haut responsable d’une campagne présidentielle.

Qu’est-ce que le whaling ?

Là où le spear phishing cible plusieurs individus de haut niveau, le whaling cible… eh bien, les baleines. Le whaling est effectivement du spear phishing dirigé vers une cible très précieuse, comme un PDG ou un directeur financier. Ces attaques sont hautement personnalisées et méticuleusement documentées. Les cybercriminels espèrent gagner de l’argent, ainsi que potentiellement accéder à des données sensibles telles que la propriété intellectuelle ou les informations sur les investisseurs, faire chanter leurs cibles et causer d’énormes dommages à la réputation.

Les attaques de whaling prennent des mois, voire des années, pour être planifiées efficacement, et les criminels ciblent les entreprises traversant des événements turbulents pour exploiter le chaos. En 2015, des attaquants ont ciblé des cadres dirigeants de Mattel avec une attaque de whaling élaborée(nouvelle fenêtre) alors que l’entreprise se restructurait et changeait sa politique de paiement. Une cadre financière a reçu une note du nouveau PDG de l’entreprise demandant un nouveau paiement fournisseur vers la Chine, un pays où Mattel tentait de s’étendre. Suite aux changements de politique de paiement, les transferts nécessitaient l’approbation de deux responsables de haut rang au sein de Mattel, donc la destinataire a donné son approbation, et le transfert a été effectué. Ce n’est qu’après la disparition de l’argent que la cadre a mentionné le paiement au nouveau PDG, qui n’avait pas fait la demande.

Grâce au 1er mai étant un jour férié bancaire en Chine, Mattel a pu geler le compte qui détenait les fonds volés, et l’argent a été récupéré en deux jours. Mais cette attaque hautement ciblée aurait pu coûter 3 millions de dollars à Mattel avec un seul message.

Whaling vs spear phishing

Pour résumer les différences entre les trois types d’attaques :

PhishingCible tout le monde avec des attaques génériques
Spear phishingCible des personnes spécifiques avec des attaques spécifiques
WhalingCible les VIP et les dirigeants d’entreprise avec des attaques personnalisées

La spécificité de la cible dicte la quantité de recherche et de ciblage qui entre dans chaque attaque. Mais peu importe le type d’attaque, il y a un processus similaire que les pirates suivront pour la planification et l’exécution.

Quel est le processus d’une attaque de whaling ou de spear phishing ?

  1. Reconnaissance : Le pirate fait des recherches sur sa cible en examinant sa présence en ligne pour créer un profil des déclencheurs probables de réponse de sa cible. Cela inclut les profils de réseaux sociaux, les sites internet d’entreprise et tout autre endroit où sa cible pourrait apparaître en ligne. Il utilisera également des courtiers en données et potentiellement le dark web pour obtenir des informations personnelles.
  2. Création de l’appât : Le pirate met ensuite en place un plan d’attaque. Il créera un message conçu pour convaincre sa cible qu’il est un collègue, un service tiers ou une agence gouvernementale. Il collectera autant d’informations que possible pour tromper sa cible, peut-être en pratiquant l’hameçonnage plus largement au sein de l’entreprise.
  3. Livraison : Les attaquants enverront le message sur mesure à leur cible. Il pourrait ressembler à une facture et contenir un lien vers un site internet malveillant, invitant le lecteur à saisir des informations de paiement, ou une demande du service informatique de l’entreprise pour des identifiants et des mots de passe.
  4. Exploitation : Le message peut être chargé de logiciels malveillants ou de rançongiciels, lier vers un site usurpé, ou demander des identifiants, des informations sensibles ou des paiements. Il existe plusieurs façons pour les pirates d’exploiter votre réseau une fois qu’ils y ont accédé, comme établir un accès dérobé et s’octroyer des privilèges d’admin.
  5. Impact : Si l’attaque réussit, le pirate continuera l’hameçonnage pour plus d’accès ou commencera à effectuer des transactions, télécharger des données ou prendre le contrôle de comptes. L’entreprise fait face à une perte financière, une fuite de données, une atteinte à la réputation ou tout cela à la fois.

Les attaques prennent de nombreuses formes, ce qui rend difficile d’être toujours sur ses gardes. En général, plus votre rôle est élevé ou plus vous avez accès à des données sensibles, plus la vérification devient importante.

Comment pouvez-vous vous protéger contre les attaques ?

Il y a deux volets pour vous protéger contre les cyberattaques : L’infrastructure de votre entreprise et votre propre sensibilisation.

D’abord, regardons ce que vous pouvez faire personnellement.

  • Faites confiance mais vérifiez. Si vous recevez une demande concernant un paiement ou l’octroi d’un accès à des données sensibles, parler à la personne qui vous aurait envoyé la demande est votre meilleur pari. Si vous avez déjà rencontré la personne, appelez-la ou parlez-lui en face à face et confirmez que la demande est légitime. Si ce n’est pas le cas, vérifiez son identité via des canaux approuvés, comme un collègue ayant des connexions ou un individu de rang supérieur dans son entreprise.
  • Ne laissez pas l’urgence vous pousser à faire une erreur. Les fraudeurs utilisent une fausse urgence pour vous encourager à prendre une décision rapide. Vous ne regretterez pas d’attendre pour vérifier une demande, mais vous pourriez regretter de ne pas en avoir vérifié une.
  • Vérifiez attentivement l’adresse e-mail de l’expéditeur. Lorsqu’un pirate fait croire que son message provient d’un expéditeur légitime, cela s’appelle l’usurpation d’adresse e-mail (spoofing). Assurez-vous que le nom de domaine est correct et qu’il n’y a pas d’erreurs d’orthographe dans l’adresse e-mail elle-même. Découvrez-en plus sur la façon de vous protéger de l’usurpation d’adresse e-mail (spoofing).

  • Éduquez votre équipe sur les risques des attaques d’hameçonnage. Un seul message d’hameçonnage réussi peut avoir des conséquences dévastatrices pour une entreprise.

Être conscient des menaces potentielles ne signifie pas se méfier de chaque message que vous recevez, mais cela signifie vous assurer que vous prenez des mesures pour protéger à la fois vous-même et votre lieu de travail.

Comment Proton vous aide à réduire votre risque

Une autre façon efficace de protéger votre lieu de travail est d’adopter des outils sécurisés et chiffrés de bout en bout qui vous aident à garder le contrôle de vos données :

  • Proton Pass est un gestionnaire de mots de passe sécurisé qui vous aide à créer, stocker et gérer les mots de passe d’entreprise. Permettre à votre équipe de partager en toute sécurité ses identifiants aide tout le monde à identifier les demandes illégitimes d’identifiants ou de données — si l’on demande à quelqu’un d’envoyer un mot de passe par message plutôt que de le partager en toute sécurité dans Proton Pass, il peut signaler la demande comme suspecte. Vous pouvez également vous assurer que si vos données apparaissent sur le dark web, vous êtes immédiatement alerté afin de pouvoir prendre des mesures pour prévenir les tentatives d’hameçonnage.
  • Proton Mail est une boite mail sécurisée et un calendrier qui garde vos messages professionnels protégés. Notre protection avancée contre l’hameçonnage, PhishGuard, vous défend contre les tentatives d’hameçonnage en signalant pour vous les adresses e-mail potentiellement usurpées. Tous les identifiants ou changements de compte suspects sont identifiés et vous sont signalés automatiquement, et la protection des liens vous aide à voir les URL complètes avant de les ouvrir pour éviter d’ouvrir accidentellement un lien d’hameçonnage.

Si vous êtes prêt à vous protéger, vous et votre entreprise, contre le whaling, le spear phishing et les attaques d’hameçonnage, commencez dès aujourd’hui en voyant quel abonnement Proton est le meilleur pour vous.