O que é Whaling na cibersegurança? Investigando o Whaling Phishing e as estratégias de prevenção

O que é o whaling? Whaling é um tipo de ataque cibernético que visa especificamente executivos de alto nível ou indivíduos importantes numa organização. É uma forma de spear phishing concebida para roubar informações sensíveis ou obter acesso não autorizado a redes empresariais. Neste blogue, vamos discutir o que é o whaling, como funciona e o que os funcionários podem fazer para se protegerem a si próprios e às suas organizações contra este tipo de ataque informático.

O que é o Whaling Phishing?

O whaling phishing, também conhecido como fraude do CEO ou comprometimento do correio eletrónico empresarial, é um ataque direcionado que utiliza técnicas de engenharia social para enganar executivos de alto nível, levando-os a fornecer informações sensíveis ou a efetuar transacções não autorizadas. Os ataques de whaling phishing são normalmente efectuados através de correio eletrónico, em que os cibercriminosos criam mensagens que se fazem passar por uma fonte de confiança, como um CEO ou um CFO. Os e-mails contêm frequentemente pedidos urgentes de transferências bancárias ou instruções que requerem uma ação imediata, como a transferência de fundos ou a partilha de dados sensíveis.

Como funciona o Whaling Phishing?

Os ataques de phishing whaling são altamente direcionados e requerem muita pesquisa por parte dos hackers. Utilizam frequentemente informações publicamente disponíveis, como perfis de redes sociais, para recolher informações sobre os seus alvos. Podem também utilizar e-mails de phishing para recolher credenciais de início de sessão ou outras informações sensíveis que podem ser utilizadas para obter acesso a redes empresariais.

Quando os piratas informáticos tiverem reunido informações suficientes, criam um e-mail convincente que parece vir do CEO ou de outro executivo de alto nível. O e-mail contém frequentemente pedidos urgentes ou instruções que exigem uma ação imediata, como a transferência de fundos ou a partilha de dados sensíveis. O e-mail inclui normalmente um sentido de urgência, como um pedido de confidencialidade ou um prazo, para pressionar o destinatário a cumprir o pedido.

Porque é que o Whaling Phishing é eficaz?

O whaling phishing é uma técnica de ataque cibernético eficaz por várias razões. Aqui estão alguns factores-chave que contribuem para a sua eficácia:

Visa indivíduos de elevado valor: O whaling visa especificamente executivos de alto nível ou indivíduos com acesso a informações sensíveis e recursos financeiros dentro de uma organização. Estes indivíduos têm frequentemente autoridade para aprovar transacções financeiras ou aceder a dados confidenciais, o que os torna alvos atractivos para os cibercriminosos. Ao concentrarem-se em indivíduos com tais privilégios, os atacantes aumentam as suas hipóteses de violar com êxito as defesas de segurança da organização.

Técnicas de engenharia social: Os ataques whaling utilizam técnicas sofisticadas de engenharia social para enganar os seus alvos. Os atacantes investem tempo e esforço na recolha de informações detalhadas sobre as suas vítimas, tais como as suas funções, responsabilidades e preferências pessoais. Podem estudar perfis de redes sociais, sites de empresas ou artigos de notícias para criar e-mails de phishing personalizados e convincentes. Ao adaptarem as suas mensagens para parecerem legítimas e urgentes, os atacantes podem manipular as emoções e os processos de tomada de decisão do alvo, aumentando a probabilidade de uma exploração bem sucedida.

Exploração da confiança e da autoridade: Os ataques whaling baseiam-se na exploração da confiança e da autoridade associadas aos executivos de alto nível. Quando um e-mail parece vir de um CEO, CFO ou outro funcionário de alto nível, os destinatários tendem a assumir que a mensagem é legítima e a cumprir as acções solicitadas. A autoridade e a urgência percebidas nestas mensagens de correio eletrónico podem anular o ceticismo normal, levando as pessoas a agir rapidamente sem verificar cuidadosamente a autenticidade da comunicação.

Exposição e controlo limitados: Os ataques whaling são normalmente muito direcionados, incidindo sobre um pequeno número de indivíduos selecionados dentro de uma organização. Ao contrário das campanhas de phishing em massa, que lançam uma rede mais vasta e podem ser assinaladas por filtros de spam, os ataques whaling são concebidos para passar despercebidos. O número limitado de alvos reduz as hipóteses de deteção e aumenta a probabilidade de sucesso. Além disso, os executivos de alto nível podem receber menos sessões de formação de sensibilização para a segurança do que os outros funcionários, o que os torna mais vulneráveis a este tipo de ataques.

Impacto financeiro e potencial para danos em grande escala: Os ataques whaling têm frequentemente como objetivo extrair ganhos financeiros substanciais ou informações empresariais sensíveis. Os ataques bem sucedidos podem resultar em perdas financeiras significativas para as organizações, prejudicar a sua reputação e comprometer a sua vantagem competitiva. Ao visar executivos com autoridade para tomar decisões financeiras, os atacantes podem explorar o seu acesso a fundos e recursos, o que pode conduzir a prejuízos financeiros substanciais.

Para atenuar a eficácia dos ataques “whaling”, as organizações devem concentrar-se em medidas de segurança abrangentes. Isto inclui a implementação de protocolos de segurança de correio eletrónico robustos, a realização de formação regular dos funcionários sobre a identificação e comunicação de tentativas de phishing e a manutenção de uma cultura de ceticismo e verificação ao lidar com pedidos sensíveis. Combinando as salvaguardas tecnológicas com a consciencialização dos funcionários e as melhores práticas, as organizações podem reduzir significativamente o risco de serem vítimas de ataques de whaling.

Exemplos de ataques de baleeiros

Houve vários exemplos de ataques reais que infligiram danos significativos às empresas:

Snapchat
Em fevereiro de 2016, o Snapchat sofreu um ataque de phishing. Um indivíduo que se fazia passar pelo CEO Evan Spiegel enviou um e-mail a um funcionário dos RH, solicitando dados sobre os salários dos actuais e antigos funcionários, incluindo opções de compra de acções e W-2s.

Ubiquiti Networks
Em 2015, a Ubiquiti Networks foi vítima de uma sofisticada fraude do CEO. Os burlões conseguiram convencer o departamento financeiro de uma das suas subsidiárias sediadas em Hong Kong a transferir 46,7 milhões de dólares para contas não relacionadas no estrangeiro. Embora a empresa tenha conseguido recuperar 14,9 milhões de dólares, os danos à sua reputação foram irreversíveis.

FBI
Em 2008, a campanha de intimação do FBI surgiu como uma das primeiras instâncias documentadas de ataques de whaling. Cerca de 20.000 CEOs foram visados, tendo 2.000 sido vítimas do esquema ao clicarem numa ligação maliciosa. A ligação estava disfarçada como um complemento seguro para o browser mas, em vez disso, instalava um keylogger, capturando as suas credenciais e palavras-passe.

FACC
Outro ataque notável que abalou o mundo empresarial ocorreu em 2016, tendo como alvo a FACC, um fabricante aeroespacial austríaco conhecido pela sua produção de peças para a Airbus e a Boeing. Este incidente envolveu a clássica personificação do CEO, resultando na transferência de 55,8 milhões de dólares para contas não reveladas no estrangeiro. Vários funcionários, incluindo o CEO e o CFO, foram posteriormente despedidos.

Levitas Capital
A Levitas Capital, um fundo de cobertura australiano, foi vítima de um extenso ataque de whaling facilitado através de um link malicioso do Zoom. Apesar de ter recuperado a maior parte dos fundos, a empresa decidiu cessar as suas actividades devido aos graves danos causados à sua reputação.

O que podem os trabalhadores fazer para se protegerem da caça à baleia?

Tal como acontece com qualquer tipo de ataque de phishing, a melhor forma de te protegeres do whaling é estares ciente da ameaça e estares atento quando se trata de mensagens de correio eletrónico que pedem informações sensíveis ou exigem uma ação imediata. Aqui estão algumas dicas que os funcionários podem usar para se protegerem de ataques de whaling:

Verifica os pedidos: Se receberes uma mensagem de correio eletrónico que solicite informações sensíveis ou que te peça para tomar medidas urgentes, verifica sempre o pedido junto do suposto remetente utilizando um método de comunicação diferente, como um telefonema ou uma conversa pessoal.

Sê cauteloso com as ligações e os anexos: Não cliques em ligações nem abras anexos em e-mails que não esperas ou que provêm de fontes desconhecidas. Mesmo que o e-mail pareça legítimo, pode ser uma tentativa de phishing que instala malware.

Verifica os endereços de correio eletrónico: Observa atentamente o endereço de correio eletrónico do remetente. Os ataques de whaling utilizam frequentemente endereços de correio eletrónico semelhantes ao endereço de correio eletrónico real do remetente, mas com ligeiras variações, como a adição de uma letra ou número extra.

Utiliza a autenticação de dois factores: A autenticação de dois factores pode ajudar a impedir o acesso não autorizado a redes empresariais, exigindo uma segunda forma de autenticação, como um código enviado para o telemóvel, para além da palavra-passe.

Mantém-te informado: Mantém-te atualizado sobre as mais recentes tácticas e esquemas de phishing. Isto pode ajudar-te a reconhecer e evitar tentativas de phishing, incluindo ataques de whaling.

Simula. Educa. Defende-te – O poder do MetaPhish

Os e-mails “whaling” são uma forma sofisticada de phishing que visa executivos de alto nível e pode resultar em graves perdas financeiras e danos à reputação de uma organização. Para combater esta ameaça, é essencial sensibilizar os colaboradores e reforçar a sua capacidade de reconhecer e responder a comunicações suspeitas. Uma das formas mais eficazes de o fazer é através da simulação de phishing. Com plataformas como o MetaPhish, as organizações podem efetuar simulações de phishing realistas e ministrar formação personalizada que prepara o pessoal para ameaças reais, incluindo ataques de whaling. Estas simulações não só educam como também ajudam a identificar potenciais vulnerabilidades na firewall humana da sua organização.

Encoraja a tua equipa a verificar pedidos inesperados de informação sensível através de canais de comunicação alternativos. Mantém-te informado, alerta e protegido com o MetaPhish.

[faq_posts]