O que é o ataque de whaling? (Phishing do tipo whaling)

Definição de ataque de whaling

O ataque de whaling, também conhecido como ataque de phishing do tipo whaling, é um tipo de ataque de engenharia social que visa especificamente funcionários ou executivos do alto escalão, com o propósito de roubar dinheiro ou informações, ou obter acesso ao computador da pessoa para executar outros ciber ataques. Os ataques de whaling conseguem gerar altos retornos porque o agressor se disfarça atrás de um nome ou grupo confiável, como outro funcionário do alto escalão da organização, para enganar a vítima e fazê-la agir sem pensar.

Todos os ataques de engenharia social são baseados em fraude. Um alvo é persuadido a realizar uma ação, como clicar em um link malicioso. Enquanto os ataques de phishing não são específicos e os ataques de spear phishing são direcionados a determinado grupo demográfico, empresa ou setor, os ataques de whaling usam técnicas de comprometimento de e-mail corporativo (BEC) altamente direcionadas para realizar cada ataque exclusivo.

Como funciona um ataque de whaling?

Os ataques de whaling conseguem enganar pessoas instruídas porque são baseados em pesquisas profundas. Por exemplo, o CEO de uma empresa pode receber um e-mail que parece ser do CFO, que ele sabe que está de férias. O e-mail pode dizer algo como: “Estou prestes a embarcar no meu voo, preciso pagar urgentemente o fornecedor X ou uma remessa crítica vai atrasar. Você poderia fazer uma transferência de US$ 2 milhões para essa conta que vou te passar…”

O CEO sabe que o CFO está viajando. O CEO sabe que o fornecedor é legítimo. O estilo de escrita corresponde ao estilo de escrita do CFO. O endereço de e-mail parece estar correto. Como isso é possível?

Os golpistas usam diversas técnicas, como engenharia social e spoofing de e-mail e de conteúdo, para criar e-mails de whaling altamente convincentes. Eles pesquisam a pessoa por quem vão se passar, bem como a pessoa que estão tentando enganar, explorando as redes sociais e outras fontes de dados públicas. Eles podem usar um ataque de phishing como estágio preliminar, obtendo acesso ao computador de um funcionário de nível inferior para invadir os registros de RH e ver quando os principais funcionários da empresa estão programados folgas, ou podem espionar caixas de entrada de e-mail específicas para descobrir detalhes pessoais que podem ser usados para criar mensagens confiáveis. Eles podem até usar técnicas presencias de engenharia social, como frequentar um café conhecido por ser popular entre os funcionários da empresa-alvo.

Como reconhecer um e-mail de whaling

Embora as empresas tenham melhorado muito em exigir treinamento de conscientização sobre segurança, é menos provável que funcionários do alto escalão participem desses programas. Isso pode ocorrer quando o supervisor desses funcionários decide que eles não precisam do treinamento, porque é inconveniente para eles ou porque o treinamento criado para funcionários comuns não é relevante para as necessidades de um executivo.

E não importa quão rigorosos sejam seus esforços antiwhaling, sempre há uma chance de que um e-mail de whaling consiga superar suas defesas. A única maneira de proteger a empresa contra golpes entregues na caixa de entrada dos executivos é protegendo o alvo, ou seja, fornecendo aos executivos treinamentos de conscientização de segurança relevantes para seus cargos.

Mesmo que funcionários seniores já saibam das ameaças de comprometimento de e-mails comerciais, eles precisam entender que e-mails de whaling são muito mais sofisticados do que e-mails de phishing ou spear phishing, e que até mesmo a pessoa mais cautelosa pode ser enganada. Ensine-os a ficar atentos ao seguinte:

• Conteúdo: o primeiro sinal de alerta é a natureza da solicitação. Se a solicitação for de transferência de fundos ou dados confidenciais, é preciso mais atenção
• Urgência: se a solicitação for urgente e sugerir consequências negativas caso o prazo não seja cumprido, considere-a altamente suspeita e inicie um processo de verificação minucioso, com várias etapas, inclusive submetendo o caso ao crivo da equipe de segurança
• Domínio: o domínio deve corresponder exatamente ao domínio corporativo da marca original. Fique atento a nomes de domínio que substituam “rn” por “m”, “vv” por “w”, etc.

Alvos dos ataques de whaling

Todo esse esforço vale a pena para os golpistas porque os retornos podem ser enormes. Vítimas de whaling que foram notícia incluem uma empresa de grãos que perdeu US$ 17,2 milhões e uma empresa cinematográfica que perdeu US$ 21 milhões. Um fabricante de peças para aviões perdeu US$ 54 milhões e demitiu seu CEO que trabalhava na empresa há 17 anos.

Outras empresas relatam a exfiltração de grandes quantidades de dados confidenciais. Um fabricante de discos rígidos enviou dados de imposto de renda de vários funcionários e dados confidenciais de milhares de outros para um golpista. A empresa acabou processada pelo próprio funcionário. Uma empresa de mídia social enviou informações da folha de pagamento dos funcionários a pedido de um golpista, que se passava pelo CEO da organização. Informações roubadas podem ser vendidas na dark web ou utilizadas por atores de um estado-nação para fins políticos.

O ataque de whaling comum não produz resultados tão vultosos, mas os valores exigidos pelos invasores vêm crescendo. O valor médio pedido nas transferências eletrônicas aumentou de US$ 48 mil para US$ 75 mil considerando apenas os últimos três meses de 2020. Os setores mais visados pelo whaling em 2020 foram instituições financeiras, webmail e infraestruturas de SaaS (software como serviço).

Como evitar ataques de whaling

Como os ataques de whaling são feitos da mesma forma que os ataques de phishing, muitas das proteções atuais podem ajudar também a proteger a empresa contra o whaling. incluindo:

• Expor endereços falsos ao bloquear e-mails de fora da rede se o domínio for suspeito – por exemplo, se um e-mail aparentemente de widget.com for na verdade de Vvidget.com.
• Implementar softwares de DLP (prevenção contra perda de dados) que bloqueiam e-mails que violam as regras da empresa e sinalizam e-mails com base na idade do domínio em comparação com a idade do domínio do suposto remetente, a inclusão de frases suspeitas como "transferência eletrônica" ou outros atributos.
• Estabelecer práticas de prevenção ao whaling, como institucionalizar uma regra que determina que solicitações por e-mail de informações confidenciais ou transferências eletrônicas acima de um determinado valor devem ser verificadas por telefone e uma segunda pessoa deve assinar tais transações.
• Exigir que os funcionários restrinjam seus perfis de mídia social apenas para amigos, a fim de evitar que golpistas os acessem em busca de detalhes úteis.
• Oferecer treinamento especializado sobre conscientização de segurança para executivos, que têm vulnerabilidades e necessidades diferentes dos demais usuários.