CNuisin/Shutterstock.com
Une attaque de phishing en ligne implique généralement un escroc tentant d’usurper l’identité d’un service que vous utilisez dans le but d’obtenir des informations d’identification ou de l’argent de votre part. Une autre version plus ciblée et potentiellement plus lucrative de cette arnaque est appelée chasse à la baleine ou hameçonnage des baleines.
Whale Phishing cible les entreprises et les organisations
La plus grande différence entre une attaque de phishing standard et une attaque de phishing de baleine est la façon dont l’escroc cible les victimes. Alors que les attaques de phishing sont envoyées à des centaines ou des milliers de personnes à la fois, les attaques de phishing à la baleine sont souvent beaucoup plus ciblées.
Une attaque de hameçonnage de baleine peut cibler un seul individu au sein d’une entreprise en utilisant des informations recueillies au sein de cette organisation. Les escrocs feront plus de recherches pour duper leurs cibles, ce qui peut impliquer d’étudier les hiérarchies et les informations sur l’entreprise en ligne, ou d’obtenir des informations au sein de l’entreprise elle-même.
Par exemple, un escroc se fera généralement passer pour un membre du personnel de haut niveau. Il peut s’agir d’un gestionnaire ou d’un technicien, ou encore du PDG ou du propriétaire. Le choix d’une figure d’autorité est crucial pour que l’arnaque fonctionne, car la cible (souvent des employés de niveau inférieur) est plus susceptible de répondre à une demande sans la remettre en question.
Ainsi, dans un scénario, un escroc peut se faire passer pour un gestionnaire de compte principal, attirant l’attention d’un employé sur une facture qui doit être payée. L’e-mail peut contenir un lien vers un site Web externe utilisé pour voler les identifiants de connexion ou contient des instructions pour effectuer un paiement sur un compte contrôlé par l’escroc.
Les objectifs finaux peuvent être nombreux, où les escrocs tentent de voler de l’argent, des informations d’identification et d’implanter des logiciels malveillants. Au fil du temps, cela pourrait entraîner des problèmes de sécurité, des attaques de rançongiciels, de l’espionnage et, bien sûr, beaucoup de détresse pour ceux qui les reçoivent.
Whale Phishing utilise les mêmes vieilles tactiques
Le phishing de baleine est essentiellement du spear phishing avec un paiement plus important (généralement d’entreprise). Le spear phishing est une version légèrement plus sophistiquée du phishing standard, où l’escroquerie est adaptée à la cible. Une « baleine » dans ce scénario est une « prise » plus importante, d’où le terme chasse à la baleine ou hameçonnage des baleines.
Bien qu’une attaque de phishing de baleine nécessite plus d’efforts et de temps de la part de l’escroc, les tactiques utilisées sont similaires à une attaque de phishing standard. Par exemple, l’escroc peut utiliser une adresse e-mail trompeuse qui est usurpée ou qui ressemble beaucoup à une adresse e-mail utilisée par la personne dont il se fait passer pour.
Étant donné que ces attaques reposent sur une composante humaine, le hameçonnage de baleines par téléphone est une autre tactique courante (comme c’est le cas dans de nombreuses escroqueries par hameçonnage). Comme les appels téléphoniques, les messages texte peuvent également être utilisés tels quels dans les attaques de smishing sans cesse croissantes. Une tactique moins courante peut inclure un accès physique, où la cible est « appâtée » avec une clé USB conçue pour fournir une charge utile.
En fin de compte, être vigilant et sceptique est la meilleure défense contre ce type d’attaque.
L’hameçonnage des baleines n’est pas nouveau
Ce type d’escroquerie existe depuis des décennies et continuera probablement d’être une menace pour beaucoup d’autres. La sensibilisation est essentielle pour éviter cela et de nombreux autres types d’escroqueries, des escroqueries sur Facebook Marketplace aux imitateurs de Wordle. Découvrez nos meilleurs conseils pour rester en sécurité en ligne.