Tout comme le pêcheur en eau douce ou en eau salée, les cybercriminels ciblent des proies de tout type et de toutes tailles dans leurs tentatives d’hameçonnage. Si chacun de nous peut être victime d’une tentative d’hameçonnage, certains cybercriminels ciblent des gens qui sont plus susceptibles de leur rapporter gros. Les cybercriminels appellent ces cibles des « baleines », c’est-à-dire des gens importants, comme des présidents ou des dirigeants de compagnie qui constituent des cibles de choix en raison de leur poste (d’accord avec vous : techniquement, on ne pêche pas la baleine à l’hameçon, mais faisons comme si…).
Les attaques de type chasse à la baleine touchent un grand nombre de compagnies canadiennes chaque année. Voici ce que vous devez savoir pour vous protéger ainsi que les personnes de votre entourage.
Hameçonnage par courriel, par message texte ou chasse à la baleine
Pour diverses raisons, le monde de la cybersécurité est truffé de mots qui sont des métaphores du monde des poissons et il n’est pas toujours facile de s’y retrouver. Alors voici de quoi il en retourne :
L’hameçonnage est un type de cyberattaque par messagerie électronique, par texto ou par tout autre service de messagerie directe qui tente d’imiter une source légitime et qui a pour but d’amener le destinataire à divulguer des renseignements personnels. Lorsqu’elles réussissent, ces attaques peuvent faire en sorte que vous perdrez le contrôle sur votre compte, mais aussi votre argent et votre identité.
Le harponnage est un type d’hameçonnage qui utilise une information qui semble provenir d’une personne que vous connaissez, comme un collègue de travail.
La chasse à la baleine est un type d’hameçonnage qui cible des gens importants comme de hauts dirigeants d’entreprise ou de hauts fonctionnaires. Puisque ces gens sont susceptibles de détenir des renseignements confidentiels, les enjeux sont beaucoup plus importants que dans le cas d’une simple attaque d’hameçonnage.
Se défendre contre les attaques de type chasse à la baleine
On se protège d’une attaque de type chasse à la baleine de la même façon que tout autre type d’attaques. Mais parce que l’enjeu est bien plus grand, les cybercriminels mettent beaucoup d’efforts pour concevoir des messages qui réussiront à tromper leur cible. Dès lors, il sera plus difficile de détecter que ces messages sont faux.
Ainsi, avant de répondre à un message, prenez le temps de vérifier les indices d’hameçonnage :
- L’adresse de courriel correspond-elle à l’adresse de la personne ou de l’entité que l’expéditeur prétend représenter? Est-ce que l’adresse ou le nom de domaine contiennent des lettres ou des chiffres additionnels qui ne devraient pas y figurer?
- Est-ce que le formatage du message est adéquat? Y a-t-il des fautes d’orthographe ou grammaticales qu’un expéditeur légitime ne ferait pas? Ce genre d’erreur peut en dire beaucoup sur la légitimité d’un message.
- Est-ce que le message comporte un langage menaçant ou vous demande de répondre sur-le-champ? De telles demandes urgentes peuvent être un indice d’une tentative d’hameçonnage.
Il est relativement facile de recueillir sur internet des renseignements sur la vie des gens qui ont atteint une réelle notoriété. Ne soyez pas dupe de certains messages où l’expéditeur vous souhaite joyeux anniversaire, vous demande comment se sont déroulées vos vacances ou comment se porte votre épouse. Ces messages ne signifient pas toujours que l’expéditeur est digne de confiance.
Si vous n’êtes pas absolument certain de la légitimité d’un message, tentez de rejoindre l’expéditeur par un autre moyen que le courriel, par exemple, en téléphonant. Cela pourra sembler fastidieux, mais pourrait vous permettre d’économiser votre temps et de protéger votre argent.
Faites confiance à votre équipe
En matière de cybersécurité, une entreprise n’est jamais mieux protégée que son employé le plus vulnérable. Il faut donc vous assurer que tous les employés, à tous les niveaux hiérarchiques de l’entreprise, sont capables de reconnaître une attaque d’hameçonnage. C’est là une condition essentielle pour assurer la confidentialité de ce qui doit être… confidentiel.
Quant au personnel qui œuvre sous la direction des hauts dirigeants, il doit être formé pour reconnaître les tentatives d’hameçonnage et les attaques de type chasse à la baleine. Ces gens constituent la première ligne de défense contre les cyberattaques.
Conclusion
Les attaques de type hameçonnage ne consistent pas uniquement en des messages qui affirment qu’un prince étranger a fait de vous son héritier, ou alors que vous avez gagné le premier prix d’un concours ou d’une loterie. Les attaques de type chasse à la baleine sont beaucoup plus subtiles et difficiles à identifier. Cela les rend d’autant plus dangereuses et c’est la raison pour laquelle vous-même et vos employés devez rester vigilants.
Les attaques d’hameçonnage peuvent tromper n’importe qui, même les personnes les plus au fait des technologies. Assurez-vous donc que vous savez comment fonctionnent les cybercriminels et comment reconnaître les indices d’une tentative d’hameçonnage de façon à vous protéger et à protéger votre réputation et votre organisation.