Blog

Qu'est-ce que la chasse à la baleine et comment la repérer et l'éviter

Qu



La chasse à la baleine est une forme de phishing. Est-ce en fait une forme de hameçonnage . Le phishing est une escroquerie en ligne qui vise à récupérer des informations privées auprès des membres du grand public, en particulier les informations de connexion aux applications de messagerie, de paiement et bancaires.

Contenu [ cacher ]



Une arnaque de phishing typique utilise l'ingénierie sociale pour se faire passer pour une partie de confiance, souvent une figure d'autorité, et incite la victime à divulguer volontairement les informations ciblées. Cela commence souvent par un e-mail d’apparence officielle. L'e-mail vous avertit que vous êtes sur le point de perdre l'accès à un site important, comme votre compte de messagerie, par exemple. Le corps de l'e-mail comprend un lien vers le site Internet sur lequel vous devez saisir votre nom d'utilisateur et votre mot de passe. . Dans ce scénario, l'e-mail a été envoyé à partir d'une fausse adresse et le lien renvoie vers une page qui copie le logo, la mise en page et les graphiques du site réel. Lorsque vous entrez votre nom d'utilisateur et votre mot de passe pour vous connecter, ces informations sont envoyées au fraudeur.

Avec le spear phishing et le whaling, l’objectif final est le même : accéder au(x) compte(s) d’une personne. La principale différence entre le phishing et le spear phishing/whaling est que la cible de l'arnaque est un individu. . Alors qu’une escroquerie de phishing normale est envoyée à des milliers de personnes dans l’espoir que quelques-unes cliqueront sur le lien, un e-mail de spear phishing n’est envoyé qu’à une seule personne ou à un très petit groupe de personnes. La différence entre le spear phishing et le whaling est que la cible du whaling est généralement une personne très importante. - un gros poisson.



Qui sont les cibles de la chasse à la baleine ?

La chasse à la baleine demande beaucoup de temps et d'efforts et fait partie d'une campagne ciblée. Il est personnalisé et adapté, et nécessite donc beaucoup de recherches sur un individu (appelées « doxxing ').

Les maîtres chanteurs et les chroniqueurs de potins utilisent la chasse à la baleine pour tromper les riches et célèbres à dévoiler leurs secrets.

Dans le monde des affaires, les hackers ciblent cadres et cadres supérieurs pour les amener à transférer de l’argent ou à glaner des informations privilégiées sur les activités de l’entreprise. Par exemple, si une fusion est envisagée, obtenir des actions de la société cible avant que quiconque soit informé de l’opération rapporterait à l’investisseur un bénéfice énorme une fois que la valeur de l’action augmenterait à l’annonce de l’opération. Ces informations pourraient être extrêmement précieuses pour la bonne personne.

Un autre objectif de la chasse à la baleine dans le monde des affaires est d'obtenir un accès au réseau et au serveur avec un compte administrateur de haut niveau. administrateurs réseaux et systèmes pourrait être ciblé. Un escroc expérimenté peut même utiliser des techniques de chasse à la baleine pour se retrouver dans une position où il peut donner des instructions comme s'il était un dirigeant de l'entreprise.

Quelles sont les techniques de chasse à la baleine ?

Il n’existe pas de stratégie définie pour la chasse à la baleine. Cependant, les outils utilisés par les pirates lors d’une enquête sur la chasse à la baleine sont standards. Les stratégies de phishing reposent sur des appels à l'action contenus dans les e-mails, généralement sous la forme d'un lien vers un site faux ou infecté.

Une avenue est phishing de chat , où le pirate informatique se fera passer pour un ami de la cible, ou attirera cette personne dans une nouvelle amitié, avec la promesse de relations sexuelles ou d'un gain financier. Un exercice de phishing pour la chasse à la baleine commence par des recherches. Qu’est-ce que la cible aime ? Par exemple, un homme gay ne sera probablement pas intéressé par les photos nues d’une femme. Quelqu'un qui aime le yachting pourrait être attiré par un e-mail d'ouverture prétendant provenir d'un courtier ayant conclu une offre sensationnelle sur l'un des meilleurs yachts du port. Un amateur de vin pourrait être tenté par l'annonce de l'arrivée d'un vin rare en stock, et un fumeur pourrait être accroché par l'offre d'un cigare cubain interdit.

Donc, la première étape d'une campagne baleinière consiste à rechercher la cible . La deuxième étape de la campagne pourrait suivre l’une des nombreuses voies en fonction de l’objectif de l’attaque.

À quelles attaques la chasse à la baleine contribue-t-elle ?

Si le but de la chasse à la baleine est d'obtenir malware sur le réseau d’une entreprise via un compte utilisateur de haut niveau, il suffit alors d’amener la cible à visiter une page Web. Dans cette stratégie, vous créeriez une page Web qui couvre un sujet intéressant la cible . Vous intégreriez JavaScript dans la page qui pourrait faire appel aux ressources système sur l’ordinateur de la cible . Les ressources système contactent un serveur de commande et de contrôle qui va alors télécharger des logiciels espions et autres programmes malveillants sur l’ordinateur du dirigeant . Il s’agit d’une infection malveillante sans fichier. Un exemple de whaling utilisé pour faciliter une attaque de malware sans fichier est Opération Cobalt Kitty , qui a été lancée contre une entreprise asiatique en 2017.

Si l’escroc veut obtenir les mots de passe du dirigeant, il devra alors mettre en place une forme de scénario de phishing, mais à des fins de chasse à la baleine. Tu devras créer une copie de la page de connexion d'entreprise puis envoyez à la cible un e-mail usurpé du service informatique lui demandant de suivez un lien vers la page et connectez-vous . Avec un compte utilisateur de haut niveau, un pirate informatique peut se connecter à volonté, voler des informations, mettre en place un logiciel de surveillance ou détruire des données.

Certains baleiniers peuvent tenter du phishing par chat. Cela implique de se faire passer pour un ami ou d'établir une relation . Cet exercice pourrait amener la cible à révéler des informations personnelles ou des détails sur des négociations en cours. Les informations divulguées par la cible pourraient alors être vendues ou utilisées à des fins de chantage.

Usurpation est une méthode de phishing typique. Cela implique de modifier les informations contenues dans l’en-tête d’un e-mail pour usurper l’identité d’une entité de confiance. Par exemple, le nom d'affichage d'un e-mail peut être tout ce que l'escroc souhaite, ou l'adresse e-mail peut donner l'impression qu'elle provient d'une source officielle. Le faux site auquel renvoie un e-mail de phishing peut également être usurpé en utilisant une URL ou un domaine qui semble appartenir au site officiel, mais qui n'en fait pas partie. Ce sont des exemples très courants d’usurpation d’identité.

Mascarade consiste à créer des adresses e-mail qui semblent appartenir à une entreprise ou à une personne, mais qui appartiennent en réalité au pirate informatique. Ceci est nécessaire si le pirate informatique souhaite une réponse. Bien qu’il soit possible pour un pirate informatique de s’introduire dans le compte de messagerie de quelqu’un et d’envoyer un e-mail, l’arnaque pourrait être rapidement découverte et contrecarrée par le véritable titulaire du compte. Le masquage permet à un hacker de se faire passer pour quelqu'un d'autre sans que cette personne ne soit jamais consciente de son sosie. . Selon Mimecast, le masquage représente 72 pour cent des attaques baleinières .

Afin de tirer profit d’une attaque à la baleine, le mascarade aurait besoin de connaître le nom d’un dirigeant et de toutes les personnes avec lesquelles cette personne interagit. Il serait important de connaître l’horaire de la victime et les activités qu’elle exerce régulièrement sur son lieu de travail. Cela crée un profil de comportement acceptable .

Le point suivant consiste à créer une copie du site Web de l’entreprise cible, ou du moins de son domaine, afin qu’il soit possible d’envoyer des e-mails sous ce nom. Alors imaginez que vous vouliez vous faire passer pour Barry Hartnell, PDG de Magimeg Corp à Houston, au Texas. Disons que le site Web de Magimeg Corp possède le domaine magimeg.com. L'escroc achète le domaine magimegcorp.com et configure un compte de messagerie dans le tableau de bord du compte d'hébergement pour [email protected]. Ils peuvent alors commencer à envoyer des instructions au CFO pour transférer des fonds vers un compte aux îles Caïmans.

Une telle arnaque aurait plus de chances de réussir si les lieux et les actions dans vos messages sont liés à la personne que vous imitez . Ainsi, dans l’exemple ci-dessus, si Barry Hartnell était toujours assis dans son bureau lorsque vous avez envoyé l’e-mail, l’arnaque s’effondrerait dès que le directeur financier marcherait dans le couloir pour demander confirmation à Barry. Cependant, si Barry Hartnell se trouvait effectivement aux îles Caïmans à ce moment-là pour effectuer un rachat d'une entreprise locale, alors la demande de transfert de fonds serait tout à fait logique.

Une attaque baleinière n’est peut-être pas aussi simple que de demander à quelqu’un de virer de l’argent. Un dirigeant d’entreprise peut également envoyer des instructions pour acheter des produits , les paiements étant effectués sur un faux compte même si ces marchandises n'arriveront jamais. Le directeur RH pourrait demander au service informatique de créer un compte utilisateur avec des privilèges système pour le nouvel administrateur réseau qui travaillera à domicile. Un pirate informatique peut accomplir de nombreuses tâches dommageables grâce à une expédition baleinière réussie.

Exemples d'attaques baleinières commerciales

Les entreprises qui ont été touchées par tout type d’attaque de pirate informatique ne souhaitent souvent pas que la nouvelle de l’attaque soit divulguée. Donc, il est très difficile d'avoir une idée complète de la prévalence de la chasse à la baleine . L’exemple de l’opération Cobalt Kitty donné ci-dessus est un cas où une expédition baleinière a été utilisée comme point d’entrée pour des logiciels malveillants sur le réseau d’une entreprise.

Il semble difficile de croire qu’une entreprise puisse disposer de systèmes permettant à un dirigeant de transférer de l’argent simplement en envoyant un e-mail, mais beaucoup le font. Les pirates ont demandé aux employés d'Ubiquiti Networks de transférer 46 millions de dollars en 2015.

Dans ce qui fut probablement l'escroquerie baleinière la plus rentable de tous les temps, une banque belge, Crelan, a été escroquée en pratiquant la chasse à la baleine. transférer plus de 70 millions d'euros . Les bénéfices d’une expédition baleinière réussie sont potentiellement énormes , c'est pourquoi cela peut valoir la peine pour une équipe de hackers de consacrer du temps et des efforts à des recherches très détaillées sur une cible et les personnes qui l'entourent.

Comment puis-je protéger mon entreprise contre la chasse à la baleine ?

Quelles que soient les méthodes de détection que vous mettez en place, il existe probablement un pirate informatique capable de les contourner. Par exemple, si un dirigeant ou un administrateur est victime de chantage, les instructions qui mettent en œuvre le vol proviendront en réalité du personne réelle dans l'organisation et pas un escroc prétendant être cette personne .

Comme pour tout type de stratégie de défense d’entreprise, les procédures commerciales doivent éviter de donner trop de pouvoir à une seule personne ou un accès illimité à toutes les ressources de l'entreprise.

Dans les cas où le whaling est utilisé pour introduire des logiciels malveillants via un compte de haut niveau, des contrôles d’accès plus stricts bloqueraient l’infection , le révéler, ou du moins limiter sa propagation. Dans le cas de l’Opération Cobalt Kitty, par exemple, l’utilisation du compte du dirigeant a permis à un logiciel malveillant de répliquer sur tout le réseau et sur des serveurs et des bases de données . Nécessitant des connexions distinctes pour différentes ressources et utilisant authentification à deux facteurs peut empêcher la propagation des logiciels malveillants et limiter l’infection à l’ordinateur de bureau de la cible.

Certains baleiniers veulent simplement que la cible ouvre un lien infecté. Donc, une politique d’entreprise doit stipuler que personne, pas même les dirigeants, ne doit utiliser les ressources de l’entreprise pour sa navigation privée sur le Web. . De même, vous devriez interdire à tous les utilisateurs du système d'accéder à la messagerie privée sur le réseau de l'entreprise et sensibiliser tous les utilisateurs aux dangers des attachements . Étant donné qu’une grande partie des recherches sur la chasse à la baleine se concentrent sur la vie personnelle de la cible, l’arrêt de l’utilisation personnelle des ressources de l’entreprise bloquera de nombreuses astuces que les baleiniers espèrent utiliser pour accéder au réseau de l’entreprise.

Obtenir un serveur de messagerie capable analyser les adresses des correspondants et filtrer les spams peut aider à éliminer les attaques de masquage.

Suivi de l'appareil utilisateur les logiciels constituent une autre défense utile contre les conséquences de la chasse à la baleine. Connexions multiples par le même utilisateur dans plusieurs emplacements physiques devrait mettre en évidence les comptes compromis.

Comment puis-je me protéger contre la chasse à la baleine ?

Le point de départ de la chasse à la baleine est le doxxing, une recherche sur la vie d’une personne. Malheureusement, la popularité des médias sociaux et la tendance des gens à se vanter font qu'il peut être très facile de compiler des informations détaillées sur la vie de la majorité de la population. . Si vous ne voulez pas que les gens connaissent votre vie, ne publiez pas de détails sur les réseaux sociaux . N'acceptez que les demandes d'amis de personnes que vous connaissez et demandez à vos amis et à votre famille de ne pas publier de commentaires sur vous en ligne. Ne soyez pas tenté de parler de votre propre vie dans les flux Twitter, tenez-vous-en aux problèmes commerciaux . Essayez également de limiter les informations que vous écrivez sur vous-même sur LinkedIn.

Supprimer les informations personnelles de tout profil en ligne vous aidera à limiter votre exposition à la chasse à la baleine. En tant que personne de haut niveau, ce serait une tâche subalterne de découvrir où vous avez travaillé lors de votre dernier emploi, et un escroc pourrait l'utiliser pour établir un contact avec vous. Quelles que soient les informations disponibles sur vous, soyez prudent avec toute personne trop amicale dans les échanges commerciaux et ne vous laissez pas tenter par des appels à l’action qui suscitent un sentiment d’urgence.

De nombreuses tentatives de phishing tentent d'effrayer la cible pour qu'elle divulgue des informations ou visite les pages de connexion. Lisez tous les e-mails avec scepticisme. Si vous recevez un avertissement indiquant qu'un service en ligne que vous utilisez à des fins professionnelles est sur le point d'être fermé, à moins que vous n'agissiez. , contactez directement l’équipe de support client de ce service plutôt que de suivre les instructions contenues dans l’e-mail. Ne cliquez jamais sur aucun lien dans ces e-mails d’avertissement et ne téléchargez jamais de pièces jointes. En cas de doute, appelez l’entreprise dont est censé provenir l’e-mail d’avertissement.

Soyez conscient du doxxing et de la chasse à la baleine

La chasse à la baleine et la pratique qui la soutient doxxing sont des techniques relativement nouvelles. À mesure que les types d’escroqueries deviennent connues, leur efficacité diminue . La chasse à la baleine a fait ses preuves dans le passé, mais vous pouvez faire partie de la solution. Ne faites pas trop confiance à vos relations commerciales et ne considérez pas les contacts professionnels que vous n’avez jamais rencontrés comme autre chose que des étrangers. Assurez-vous de vérifier l’identité des personnes que vous connaissez en ligne par d’autres moyens que le courrier électronique.

Image: Craquelins par elhombredenegro via Flickr. Autorisé sous CC BY-SA 2.0

^