O whalling attack, em alusão à pesca da baleia, é essencialmente um ataque de phishing, mas com alvos mais importantes. Se no Spear Phishing os ataques podem atingir qualquer indivíduo, no Whaling Attack são direcionados a uma pessoa específica: concentrando-se em um executivo ou influenciador de alto nível.
Os cibercriminosos usam os Whaling Attacks para personificar a alta gerência de uma empresa, como o CEO, o CFO ou outros executivos, na esperança de usar sua autoridade para obter acesso a dados confidenciais ou dinheiro. Usam a internet como fonte de informações (e muitas vezes as mídias sociais) para enganar os funcionários – ou outra “baleia” – para que divulguem dados financeiros ou pessoais.
Esses invasores querem usar a autoridade e influência da “baleia” para convencer as pessoas a não questionar uma solicitação fraudulenta
Estatísticas do Whaling Attack
O FBI informou que as empresas norte-americanas perderam quase US$ 215 milhões em 2014 como resultado de ataques de phishing. Em 2016, o relatório da Verizon relatou 61 ataques de phishing direcionados às equipes financeiras. Esse número cresceu para 170 em 2017 – um aumento de quase 200%.
Como funcionam os Whaling Attacks e por que são bem-sucedidos?
Os Whaling Attacks exigem mais pesquisa e planejamento que ataques padrão de phishing e spear phishing. Para chegar a um alvo de alto valor, é preciso dedicar um tempo para descobrir a melhor maneira de soar como o alvo, encontrar uma maneira de abordar o alvo e descobrir que tipo de informações podem ser obtidas.
Os cibercriminosos analisam as mídias sociais e informações públicas da empresa para estabelecer um perfil e um plano de ataque. Podem também usar malware e rootkits para se infiltrar na rede: um e-mail proveniente da conta do CEO é muito mais eficaz que uma conta de e-mail falsificada. E quando esses e-mails incluem detalhes que façam que o ataque venha de uma entidade confiável? Melhor ainda.
Os e-mails são, de longe, o método mais eficaz de phishing (incluindo o Whaling): 98% de todos os ataques de phishing usam e-mail.
Exemplos de Whiling Attacks
Em 2016, um funcionário do Snapchat divulgou todos os dados da folha de pagamento da empresa para um scammer – o funcionário respondeu prontamente a um e-mail que parecia ser do CEO. As equipes de RH e folha de pagamento são alvos frequentes de whailing attacks porque têm acesso a dados pessoais confidenciais.
Em outro ataque, um funcionário de uma empresa de commodities pagou US$ 17,2 milhões em várias parcelas para um banco na China, seguindo uma solicitação que parecia vir do CEO. Como a empresa planejava expandir seus negócios para a China na época, o pedido parecia totalmente plausível.
Em ambos os incidentes, a vítima não conseguiu identificar o Whailing Attack ou fazer perguntas para validar a solicitação. É fundamental treinar os executivos e a equipe para que sejam vigilantes e atentos a fraudes de phishing.
Dicas para evitar ataques
As mesmas táticas utilizadas para evitar um ataque de phishing devem ser usadas para evitar um whailing attack:
– Eduque os funcionários sobre os whailing attacks e como identificar e-mails de phishing
– Sinalize todos os e-mails que vêm de fora da organização. Isso ajuda a detectar possíveis e-mails fraudulentos.
– Discuta o uso das mídias sociais com a equipe executiva no que se refere aos ataques de phishing e whailing attacks.
– Estabeleça um processo de verificação em várias etapas para as solicitações internas e externas de dados confidenciais ou transferências eletrônicas.
– Exercite as políticas de proteção de dados e segurança de dados: monitore atividades de arquivos e e-mails para rastrear e alertar sobre comportamento suspeito e implemente segurança em camadas para proteger sua empresa contra ataques.
Quer aprender mais? Descubra como a Varonis pode ajudá-lo a prevenir e se defender contra ataques e proteja seus dados e dinheiro.