Comment prévenir les attaques de chasse à la baleine: Un guide complet
Vos employés de haut rang sont les gardiens d’un trésor d’informations sensibles sur votre entreprise. Des éléments tels que les numéros de sécurité sociale des employés, les informations de compte bancaire d’entreprise et les numéros de carte de crédit des clients sont cachés au plus profond de votre château de données figuratives. Des choses qui, entre de mauvaises mains, pourraient compromettre l’intégrité de votre marque et / ou coûter des millions de dollars à votre entreprise. Et tout ce qu’il faut, c’est qu’une personne se fasse prendre en train de faire la sieste.
Comme les experts de toute autre industrie, les cybercriminels apprennent et évoluent constamment. L’un de leurs stratagèmes les plus complexes à ce jour est l’attaque de la chasse à la baleine, dans laquelle ils tentent de se faire passer pour vous ou l’un de vos dirigeants et d’arnaquer vos employés.
Alors même que vous lisez ceci, un futur capitaine Achab prépare sa prochaine attaque de chasse à la baleine ultra-sophistiquée – et vous êtes une aussi bonne cible que n’importe quelle autre. Voici un guide de style FAQ, avec tout ce dont vous avez besoin pour vous aider à repérer cette attaque à l’avance et à arrêter le harpon mort sur ses traces.
Qu’est-ce qu’une attaque de chasse à la baleine ?
Une attaque de chasse à la baleine (également connue sous le nom de phishing à la baleine) est une arnaque de phishing soigneusement conçue dans laquelle un imposteur se fait passer pour un dirigeant de haut rang au sein de votre entreprise, dans le but de tromper vos employés en leur envoyant de grosses sommes d’argent ou en révélant des informations confidentielles.
En quoi une attaque de chasse à la baleine est-elle différente d’une attaque de phishing?
Toutes les attaques de chasse à la baleine sont des attaques de phishing, mais toutes les attaques de phishing ne sont pas des attaques de chasse à la baleine.
Les attaques de phishing existent depuis un quart de siècle maintenant. Au milieu des années quatre-vingt-dix, le terme était exclusivement utilisé pour décrire les pirates informatiques qui envoyaient des explosions de courriels comme des « leurres » afin de « phisher » les mots de passe et les numéros de carte de crédit des utilisateurs d’AOL.
De nos jours, il est plus largement défini comme toute arnaque sur Internet dans laquelle quelqu’un essaie de récupérer des informations sensibles par des moyens trompeurs. Prenez note: si vous pouvez craquer pour la farce de votre oncle, vous pouvez craquer pour une arnaque de phishing.
Alors que ces escroqueries ont généralement un large réseau (et ont des taux de réussite relativement faibles), une variante connue sous le nom d’attaques de spear phishing implique une approche personnalisée pour cibler un seul utilisateur. La majorité d’entre eux utilisent l’ingénierie sociale pour attiser émotionnellement la victime.
Les attaques de chasse à la baleine relèvent de cette catégorie, mais dans ces cas, la « lance » est soigneusement conçue avec l’idée de transporter un prix beaucoup plus important.
Comment fonctionnent les attaques de chasse à la baleine ?
L’ingénierie sociale de la chasse à la baleine est incroyablement complexe; le criminel s’efforcera généralement de faire en sorte que son usurpation d’identité d’un cadre supérieur semble hyper réaliste.
Le plus souvent, ils effectueront des recherches approfondies sur a) leur cible au sein de votre organisation et b) le supérieur qu’ils imiteront.
Ce dernier est délicat, mais en utilisant un domaine de messagerie similaire et en incorporant les logos et les signatures électroniques de l’entreprise, ils peuvent créer un déguisement numérique digne d’Halloween. D’autres fois, ils peuvent utiliser une adresse Gmail ordinaire et prétendre envoyer le message depuis leur « compte personnel ».
Quant à la cible, il n’est généralement pas difficile de parcourir le Facebook d’un employé, de trouver une photo d’un happy hour après le travail et d’incorporer des détails que « seul ce cadre pourrait connaître ».
Même si quelques drapeaux rouges obligent votre employé à monter sa garde, l’escroc peut souvent compenser cela en s’attaquant à des choses comme la confiance, l’urgence ou la peur de perdre son emploi s’il ne se conforme pas.
Quel est le pire qui puisse arriver ?
Demandez à Snapchat, victime d’une attaque de chasse à la baleine en 2016. Un représentant des ressources humaines de l’organisation du géant des médias sociaux a fourchu sur les données de paie qui ont révélé les informations personnelles de plusieurs employés, y compris les données sur les options d’achat d’actions et tout ce qui figurait sur leurs W-2.
À peine un mois plus tard, un responsable financier de Mattel a transféré 3 millions de dollars à une banque chinoise après avoir reçu des instructions par courrier électronique du « nouveau PDG ».
Ces escroqueries pourraient même être considérées comme de petites pommes de terre par rapport à certaines attaques à plus grande échelle qui ont coûté des dizaines de millions de dollars aux entreprises. Pire encore, ils ont perdu beaucoup de confiance des consommateurs en raison d’être si facilement compromis.
D’accord, alors comment puis-je empêcher cela de se produire?
Comme un enfant qui sort jouer dans la neige de la mi-janvier, vous aurez besoin de plusieurs couches de protection. Suivez ces conseils et vous vous rendrez moins vulnérable à la vague d’attaques de chasse à la baleine qui se produisent tous les jours.
Éduquez vos cadres et vos employés
La plupart des gens pensent que les escroqueries par hameçonnage sont très imparfaites et faciles à repérer, de sorte qu’ils peuvent ne pas se méfier de l’ingénierie sociale méticuleuse de la chasse à la baleine. Commencez par informer votre équipe que ces escroqueries existent!
Ensuite, entraînez-les
Aider votre équipe à repérer les signes avant-coureurs d’une attaque de chasse à la baleine peut finir par vous faire économiser des millions. Des entreprises informaticiens comme Marco peuvent même simuler une attaque surprise pour vous aider à déterminer à quel point vos employés sont sensibles.
Signaler les e-mails en dehors de votre réseau
C’est un moyen incroyablement simple et efficace d’exposer des adresses e-mail usurpées. La différence entre » @smithlenses.com » et « @smith1enses.com » peut être difficile à repérer dans une certaine police, mais montrer que l’e-mail est hors réseau déclenchera une alarme.
Mettre en place des protocoles de prévention de la chasse à la baleine
La vérification des demandes d’informations sensibles par d’autres canaux, comme un appel téléphonique, en est un bon exemple. Forcer une autre personne à approuver ces demandes est également une excellente idée — il est plus difficile d’arnaquer deux personnes qu’une.
Investissez dans un logiciel DLP
Le logiciel de prévention des pertes de données (DLP) peut bloquer les violations des protocoles que vous avez mis en place. Il peut également signaler les e-mails en fonction du nom et de l’âge du domaine (les nouveaux domaines sont plus suspects), de la similitude du nom d’affichage avec les contacts connus et des mots clés suspects tels que « virement bancaire ».
Demandez aux employés de rendre privés les profils de médias sociaux
La définition des profils LinkedIn et Facebook des employés pour qu’ils soient visibles uniquement par leurs amis rendra plus difficile l’accès à leurs informations personnelles et leur utilisation dans le cadre d’une attaque de chasse à la baleine.
Gardez la garde
La seule façon de prévenir les attaques de chasse à la baleine est de s’y préparer aussi diligemment que possible. Obtenir un peu d’aide d’une entreprise comme Marco en ce moment pourrait vous faire économiser des millions de dollars et un mal de tête de la taille d’une baleine.