Phishing ou whaling ? Les cybercriminels envahissent les entreprises

Le phishing, ou "hameçonnage", ne vous est pas étranger. Les emails malveillants pullulent dans les messageries personnelles.

Il existe un autre phénomène de piratage informatique qui concerne tout particulièrement les dirigeants : le whaling.

L’aspect professionnel de ce type de piratage est encore plus sournois. Apprenez à les reconnaître.

​Phishing ou whaling ? C’est quoi la différence ?

Le phishing est une attaque généralement faite par l’envoi d’un email frauduleux adressé à des cibles au hasard. Vous vous êtes certainement déjà retrouvé face à ce type de message qui vous demande de valider des coordonnées bancaires en cliquant sur un lien ?
 
Le « whaling », encore appelé « fraude au Président », c’est un piratage du même genre dirigé exclusivement vers des personnes très haut placé dans les entreprises, cadres mais surtout, les PDG.
 
Le but principal : trouver une brèche pour voler des données en se faisant passer pour un « grand ponte » de l’entreprise sans qu’aucun employé ne se doute de quelque chose. Les arnaqueurs se contentent souvent de surfer sur les réseaux sociaux, d’y trouver des photos de fêtes ou d’animation d’entreprise, de retrouver des noms, des prénoms, etc.
 
Puis, ils créent une adresse mail quasi identique et un site web frauduleux vers lequel toutes les données demandées seront envoyées si un employé répond au mail.
 
L’indice de confiance d’un message reçu par un « haut gradé » de l’entreprise est très élevé. Les employés réfléchiront à peine avant de répondre favorablement aux demandes.

Qu'est-ce qui est volé par les cybercriminels ?

En créant cette première brèche dans l’entreprise, via un employé zélé, les cybercriminels volent avant tout des données ultra-sensibles, personnelles et d’entreprise :

• Informations financières,
• Numéros de comptes bancaires, de cartes de paiement,
• Les fournisseurs, les clients, via la base de données du CRM,
• Le lieu d’habitation du directeur, ses habitudes, etc.

« Les données, c’est la nouvelle monnaie du 21è siècle ». Helena PONS-CHARLET, Microsoft

Qui sont les responsables de la fuite de données en entreprise ?

Il est un point crucial à souligner ici : les hackers, même s’ils sont dangereux et qu’ils parviennent souvent à leurs fins, ne représentent que 2% des fuites en entreprise.
 
Ce sont les collaborateurs qui arrivent en tête de liste des fraudeurs et qui, pour certains, vendent les données ; d’autres ne font tout simplement pas attention : un écran d’ordinateur laissé ouvert à la vue de tous peut être terriblement préjudiciable ! Ensuite, on peut imaginer les failles dans la confidentialité des partenaires et prestataires.
 
Mais revenons à nos moutons et à nos « hackers », adeptes du whaling.
 
Le travail principal d’un hacker consistera à récupérer le plus d’informations possibles sur le dirigeant d’une société par l’intermédiaire des réseaux sociaux, professionnel ou personnel, des cookies de navigation, ou des « fuites » ou vol de données.
 
Pour atteindre un collaborateur, rien de plus simple : avec la dimension exponentielle qu’a pris la numérisation des entreprises, donc des données, l’espionnage informatique via les « clouds » rend les systèmes informatiques extrêmement vulnérables. Trouver une brèche informatique dans le réseau et atteindre le patron via un employé est un système très bien rôdé et qui fonctionne.
 
Pour exemple :

• Pathé Cinéma a fait l’objet d’un whaling en règle en 2017, pour un préjudice final de
  19 millions d’euros.
• Microsoft Outlook a été récemment victime d’un piratage des serveurs de messagerie avec un accès aux historiques d’e-mails des clients. Le résultat à attendre : une vaste campagne de phishing à prévoir !
• Plus récemment, nous savons que l’Assistance Publique-Hôpitaux de Paris a été piratée et que des millions de résultats de tests PCR ont été volés.

---

---

​Les différentes méthodes de « contact » de phishing ou whaling

Que ce soit par le phishing ou le whaling, l’attaque est souvent menée de la même façon : un mail frauduleux, un manque de sécurité informatique et hop ! Une brèche est ouverte.
 
Le mail de « prétexte » peut vous donner des sueurs froides. Récemment, j’ai reçu un mail d’Interpol qui me disait que « dans le cadre d’un accident, je devais être un témoin », blablabla.
Il se trouve qu’en deux secondes j’ai compris l’arnaque, mais sur le coup, l’impact psychologique est indéniable.
 
Vous pouvez recevoir également un mail soi-disant de votre banque, indiquant que vos coordonnées ne sont plus à jour.
 
En mode « phishing », le plus classique est de vous envoyer des tonnes de mails concernant un thème en vogue (Black Friday, Noël, etc.), ou de surfer sur la « peur » en mode « Covid », vous allez tous mourir !
 
En mode whaling, il est assez courant que les entreprises soient purement et simplement bloquées et qu’on leur demande des rançons. Peu de témoignages sortent à ce sujet, car il en va de la notoriété et de l’image de marque des sociétés concernées. Toutefois, C'est un fait certain : cela arrive très régulièrement.
 
L’argent une fois versé, le commun des mortels n’en saura rien ; les données, une fois dérobées, seront revendues au plus offrant sur le Dark Web.

---

​Sécurité informatique et phishing

​Comment contrer de telles attaques ? On sait aujourd’hui que les technologies avancées des antivirus, même si elles sont performantes, ne sont pas suffisantes.
 
C’est avant tout l’utilisateur derrière son écran qui doit être le premier sensibilisé à ces pratiques. C’est l’ultime rempart contre toute attaque. C’est pourquoi certaines entreprises forment leurs équipes et les sensibilisent à la cybercriminalité.
 
En effet, un salarié qui reçoit un mail de son « boss » (le faux), lui demandant un code d’accès à tel ou tel serveur, ne saura pas forcément dire « non ». Le travail à distance imposé ces dernières années n’a pas arrangé les choses. C’est donc une étape cruciale de faire comprendre à chaque salarié qu'il doit être vigilant en matière de sécurité informatique.

Comment identifier un mail de hacker ?

• Un mail à l’objet étrange, pressant, ou inquiétant : Police judiciaire, Interpol, Compte bloqué…
• Vérifier l’adresse e-mail de l’envoi : les pirates n’ont pas toujours d’imagination ou de possibilité de vous tromper. Souvent, l’adresse est à rallonge, avec une suite de lettres et de chiffres interminable. Pensez à cliquer sur « détails » si l’adresse n’est pas affichée en entier.
• Un lien à cliquer dans le corps du mail. 

Une solution classique : les programmes anti-phishing des antivirus classiques, qui fonctionnent plutôt bien. En tant que particulier, il faut découvrir et paramétrer correctement votre antivirus pour être sûr qu’il fonctionnera bien, et comme vous le voulez.

Un site comme : https://isitphishing.ai vous permet d’entrer une adresse URL, ou mail, ou autre afin de vous indiquer si oui ou non votre entreprise est ciblée par une ou plusieurs attaques. 

Exemples de phishing

• Facture à payer « rapidement ».
• Alertes de sécurité : votre mot de passe est arrivé à échéance et doit être changé, sinon, votre compte va fermer.
• Votre moyen de paiement va expirer.

 
Exemples de whaling

• Attaque de fichiers partagés (One Drive, Sharepoint)
• Document à télécharger
• Demandes de codes
• Blocage de site internet de l’entreprise via un « déni de service » ou DDoS. Il s’agit d’un envoi très important de requêtes au même moment à un site internet qui ne pourra plus y répondre. Dans ce type d’attaque, qui nuit fortement à l’image de marque, il faut environ ½ journée pour s’en rendre compte en interne, puis ½ journée pour réparer les dégâts, au mieux. Manque à gagner assuré !
• Copie de site internet : j’ai en tête le site BNP PARIBAS, maintes fois copié, assez bien égalé !

---

---

​Cybersécurité contre cybercriminalité

Les TPE/PME sont ciblées à 90 % et attaquées chaque jour. Force est de constater que leurs systèmes informatiques sont assez peu sécurisés.
 
Les solutions contre le phishing ou le whaling existent comme nous l’avons exposé en parlant antivirus et sensibilisation du personnel. Mais ce n’est pas tout !
 

• Il faut changer de mots de passe TRES régulièrement. Certaines grandes entreprises en ont l’obligation et bloque votre PC si vous ne l’avez pas fait.

 

• Il est impératif d’exécuter les mises à jour de logiciels, d’antivirus, de messageries.

 

• Il ne faut JAMAIS transmettre des codes ou mots de passe par mails, ou par téléphone, même si c’est le big boss qui vous les a demandé (que ce soit vrai, ou pas). Dans le doute, vérifiez et demandez de vive voix à la personne concernée ou son secrétariat s’il est bien à l’origine de la demande.

 
Les cybercriminels frappent au hasard grâce à la puissance cumulée de leurs installations ou à cause de l’ignorance ou naïveté des utilisateurs.

Les TPE/PME doivent se sentir concernées avant qu’une attaque ruine votre travail au sens propre, comme au sens figuré !

---

Et pensez à LIKEZ et PARTAGEZ cet article !