Voltar
Formazione Cybersecurity per Aziende | MetaCompliance

Produtos

Descubra o nosso conjunto de soluções personalizadas de formação em sensibilização para a segurança, concebidas para capacitar e educar a sua equipa contra as ciberameaças modernas. Desde a gestão de políticas a simulações de phishing, a nossa plataforma equipa a sua força de trabalho com os conhecimentos e as competências necessárias para proteger a sua organização.

eLearning em Cibersegurança

Cyber Security eLearning para explorar a nossa biblioteca de eLearning premiada, adaptada a cada departamento

Automação da Sensibilização para a Segurança

Programe a sua campanha anual de sensibilização em apenas alguns cliques

Simulação de phishing

Impeça os ataques de phishing no seu caminho com o premiado software de phishing

Gestão de políticas

Centralize as suas políticas num único local e faça uma gestão sem esforço dos ciclos de vida das políticas

Gestão de privacidade

Controlar, monitorizar e gerir a conformidade com facilidade

Gestão de Incidentes

Assuma o controlo dos incidentes internos e corrija o que é importante

Voltar
Indústria

Indústrias

Explore a versatilidade das nossas soluções em diversos sectores. Desde o dinâmico sector tecnológico até aos cuidados de saúde, descubra como as nossas soluções estão a fazer ondas em vários sectores. 


Serviços Financeiros

Criando uma primeira linha de defesa para organizações de serviços financeiros

Governos

Uma solução de sensibilização para a segurança para os governos

Empresas

Uma solução de formação de sensibilização para a segurança para grandes empresas

Trabalhadores à distância

Incorporar uma cultura de sensibilização para a segurança - mesmo em casa

Sector da Educação

Formação de sensibilização para a segurança no sector da educação

Trabalhadores do sector da saúde

Veja a nossa sensibilização para a segurança personalizada para profissionais de saúde

Indústria tecnológica

Transformar a formação em sensibilização para a segurança na indústria tecnológica

Conformidade NIS2

Apoie os seus requisitos de conformidade Nis2 com iniciativas de sensibilização para a cibersegurança

Voltar
Recursos

Recursos

Desde cartazes e políticas a guias definitivos e estudos de casos, os nossos recursos de sensibilização gratuitos podem ser utilizados para ajudar a melhorar a sensibilização para a cibersegurança na sua organização.

Cyber Security Awareness For Dummies - MetaCompliance

Um recurso indispensável para criar uma cultura de ciberconsciência

Guia de Segurança Cibernética para Principiantes Elearning

O melhor guia para implementar uma aprendizagem eficaz sobre cibersegurança

Guia definitivo para phishing

Educar os funcionários sobre como detetar e prevenir ataques de phishing

Cartazes de consciencialização gratuitos

Descarregue estes cartazes gratuitos para aumentar a vigilância dos empregados

Política Anti Phishing

Criar uma cultura consciente da segurança e promover a sensibilização para as ameaças à cibersegurança

Estudos de casos

Saiba como estamos a ajudar os nossos clientes a promover comportamentos positivos nas suas organizações

Terminologia de Segurança Cibernética A-Z

Glossário de termos de cibersegurança obrigatórios

Modelo de maturidade comportamental da cibersegurança

Audite a sua formação de sensibilização e compare a sua organização com as melhores práticas

Coisas grátis

Descarregue os nossos activos de sensibilização gratuitos para melhorar a sensibilização para a cibersegurança na sua organização

Voltar
MetaCompliance | Formazione Cybersicurezza per Aziende

Sobre

Com mais de 18 anos de experiência no mercado da cibersegurança e da conformidade, a MetaCompliance oferece uma solução inovadora para a sensibilização do pessoal para a segurança da informação e para a automatização da gestão de incidentes. A plataforma MetaCompliance foi criada para responder às necessidades dos clientes de uma solução única e abrangente para gerir os riscos pessoais relacionados com a cibersegurança, a proteção de dados e a conformidade.

Porquê escolher-nos

Saiba por que a Metacompliance é o parceiro de confiança para o treinamento de conscientização sobre segurança

Especialistas em envolvimento de empregados

Facilitamos o envolvimento dos funcionários e a criação de uma cultura de consciencialização cibernética

Automação da Sensibilização para a Segurança

Automatize facilmente a formação de sensibilização para a segurança, o phishing e as políticas em minutos

MetaBlog

Mantenha-se informado sobre tópicos de formação de sensibilização cibernética e mitigue os riscos na sua organização.

O que é whaling na cibersegurança e como evitá-lo?

Whaling Phishing: O que é whaling em cibersegurança?

sobre o autor

Partilhar esta publicação

O que é o whaling? O whaling é um tipo de ataque informático que visa especificamente executivos de alto nível ou indivíduos importantes numa organização. É uma forma de spear phishing concebida para roubar informações sensíveis ou obter acesso não autorizado a redes empresariais. Neste blogue, discutiremos o que é o whaling, como funciona e o que os funcionários podem fazer para se protegerem a si próprios e às suas organizações contra este tipo de ataque informático.

O que é o whaling?

O whaling phishing, também conhecido como fraude do CEO ou comprometimento do correio eletrónico empresarial, é um ataque direcionado que utiliza técnicas de engenharia social para enganar executivos de alto nível, levando-os a fornecer informações sensíveis ou a efetuar transacções não autorizadas. Os ataques de whaling phishing são normalmente efectuados através de correio eletrónico, em que os cibercriminosos criam mensagens que se fazem passar por uma fonte de confiança, como um CEO ou um CFO. Os e-mails contêm frequentemente pedidos urgentes de transferências bancárias ou instruções que exigem uma ação imediata, como a transferência de fundos ou a partilha de dados sensíveis.

Como é que o whaling phishing funciona?

Os ataques de phishing whaling são altamente direccionados e requerem muita pesquisa por parte dos hackers. Utilizam frequentemente informações publicamente disponíveis, como perfis de redes sociais, para recolher informações sobre os seus alvos. Podem também utilizar e-mails de phishing para recolher credenciais de início de sessão ou outras informações sensíveis que podem ser utilizadas para obter acesso a redes empresariais.

Depois de reunirem informações suficientes, os piratas informáticos criam uma mensagem de correio electrónico convincente que parece vir do CEO ou de outro executivo de alto nível. O e-mail contém frequentemente pedidos urgentes ou instruções que exigem uma acção imediata, como a transferência de fundos ou a partilha de dados sensíveis. A mensagem de correio electrónico inclui normalmente um sentido de urgência, como um pedido de confidencialidade ou um prazo, para pressionar o destinatário a cumprir o pedido.

Porque é que o whaling phishing é eficaz?

O whaling phishing é uma técnica de ataque cibernético eficaz por várias razões. Eis alguns dos principais factores que contribuem para a sua eficácia:

    Visar indivíduos de elevado valor: O whaling visa especificamente executivos de alto nível ou indivíduos com acesso a informações sensíveis e recursos financeiros dentro de uma organização. Estes indivíduos têm frequentemente autoridade para aprovar transacções financeiras ou aceder a dados confidenciais, o que os torna alvos atractivos para os cibercriminosos. Ao concentrarem-se em indivíduos com tais privilégios, os atacantes aumentam as suas hipóteses de violar com êxito as defesas de segurança da organização.

    Técnicas de engenharia social: Os ataques whaling utilizam técnicas sofisticadas de engenharia social para enganar os seus alvos. Os atacantes investem tempo e esforço na recolha de informações detalhadas sobre as suas vítimas, tais como as suas funções, responsabilidades e preferências pessoais. Podem estudar perfis de redes sociais, sites de empresas ou artigos de notícias para criar e-mails de phishing personalizados e convincentes. Ao adaptarem as suas mensagens para parecerem legítimas e urgentes, os atacantes podem manipular as emoções e os processos de tomada de decisão do alvo, aumentando a probabilidade de uma exploração bem sucedida.

    Exploração da confiança e da autoridade: Os ataques whaling baseiam-se na exploração da confiança e da autoridade associadas aos executivos de alto nível. Quando um e-mail parece vir de um CEO, CFO ou outro funcionário de alto nível, os destinatários tendem a assumir que a mensagem é legítima e a cumprir as acções solicitadas. A autoridade e a urgência percebidas nestas mensagens de correio eletrónico podem sobrepor-se ao ceticismo normal, levando as pessoas a agir rapidamente sem verificar cuidadosamente a autenticidade da comunicação.

    Exposição e controlo limitados: Os ataques whaling são normalmente muito direccionados, incidindo sobre um pequeno número de indivíduos seleccionados dentro de uma organização. Ao contrário das campanhas de phishing em massa, que lançam uma rede mais alargada e podem ser assinaladas por filtros de spam, os ataques whaling são concebidos para passar despercebidos. O número limitado de alvos reduz as hipóteses de deteção e aumenta a probabilidade de sucesso. Além disso, os executivos de alto nível podem receber menos sessões de formação de sensibilização para a segurança do que os outros funcionários, o que os torna mais vulneráveis a este tipo de ataques.

    Impacto financeiro e potencial para danos em grande escala: Os ataques whaling têm frequentemente como objetivo extrair ganhos financeiros substanciais ou informações empresariais sensíveis. Os ataques bem sucedidos podem resultar em perdas financeiras significativas para as organizações, prejudicar a sua reputação e comprometer a sua vantagem competitiva. Ao visar executivos com autoridade para tomar decisões financeiras, os atacantes podem explorar o seu acesso a fundos e recursos, o que pode conduzir a prejuízos financeiros substanciais.

    Para atenuar a eficácia dos ataques "whaling", as organizações devem concentrar-se em medidas de segurança abrangentes. Isto inclui a implementação de protocolos de segurança de correio electrónico robustos, a realização de formação regular dos funcionários sobre a identificação e comunicação de tentativas de phishing e a manutenção de uma cultura de cepticismo e verificação ao lidar com pedidos sensíveis. Combinando as salvaguardas tecnológicas com a consciencialização dos funcionários e as melhores práticas, as organizações podem reduzir significativamente o risco de serem vítimas de ataques de whaling.

    Exemplos de ataques de whaling

    Houve vários exemplos de ataques reais que infligiram danos significativos às empresas:

      Snapchat
      Em Fevereiro de 2016, o Snapchat sofreu um ataque de phishing. Um indivíduo que se fazia passar pelo CEO Evan Spiegel enviou um e-mail a um funcionário dos RH, solicitando dados sobre os salários dos actuais e antigos funcionários, incluindo opções de compra de acções e W-2s.

      Ubiquiti Networks
      Em 2015, a Ubiquiti Networks foi vítima de uma sofisticada burla do CEO. Os burlões conseguiram convencer o departamento financeiro de uma das suas subsidiárias sediadas em Hong Kong a transferir 46,7 milhões de dólares para contas não relacionadas no estrangeiro. Embora a empresa tenha conseguido recuperar 14,9 milhões de dólares, os danos à sua reputação foram irreversíveis.

      FBI
      Em 2008, a campanha de intimação do FBI surgiu como uma das primeiras instâncias documentadas de ataques de whaling. Foram visados cerca de 20.000 directores executivos, tendo 2.000 sido vítimas do esquema ao clicarem numa ligação maliciosa. A ligação estava disfarçada como um complemento seguro para o browser, mas em vez disso instalava um keylogger, capturando as suas credenciais e palavras-passe.

      FACC
      Outro ataque notável que abalou o mundo empresarial ocorreu em 2016, tendo como alvo a FACC, um fabricante aeroespacial austríaco conhecido pela sua produção de peças para a Airbus e a Boeing. Este incidente envolveu a clássica personificação do CEO, resultando na transferência de 55,8 milhões de dólares para contas não reveladas no estrangeiro. Vários funcionários, incluindo o director executivo e o director financeiro, foram posteriormente despedidos.

      Levitas Capital
      A Levitas Capital, um fundo de cobertura australiano, foi vítima de um extenso ataque de whaling facilitado através de um link malicioso do Zoom. Apesar de ter recuperado a maior parte dos fundos, a empresa decidiu cessar a actividade devido aos graves danos causados à sua reputação. 

      O que os trabalhadores podem fazer para se protegerem do whaling?

      Tal como acontece com qualquer tipo de ataque de phishing, a melhor forma de se proteger do whaling é estar ciente da ameaça e estar atento quando se trata de mensagens de correio eletrónico que pedem informações sensíveis ou exigem uma ação imediata. Seguem-se algumas dicas que os funcionários podem utilizar para se protegerem de ataques de whaling:

        Verificar os pedidos: Se receber uma mensagem de correio eletrónico que solicite informações sensíveis ou que peça para tomar medidas urgentes, verifique sempre o pedido junto do suposto remetente utilizando um método de comunicação diferente, como um telefonema ou uma conversa pessoal.

        Seja cauteloso com as ligações e os anexos: Não clique em ligações nem abra anexos em mensagens de correio eletrónico que não esteja à espera ou que provenham de fontes desconhecidas. Mesmo que o correio eletrónico pareça legítimo, pode ser uma tentativa de phishing que instala malware.

        Verificar os endereços de correio eletrónico: Observe atentamente o endereço de correio eletrónico do remetente. Os ataques de whaling utilizam frequentemente endereços de correio eletrónico semelhantes ao endereço de correio eletrónico real do remetente, mas com ligeiras variações, como a adição de uma letra ou número extra.

        Utilizar a autenticação de dois factores: A autenticação de dois factores pode ajudar a impedir o acesso não autorizado a redes empresariais, exigindo uma segunda forma de autenticação, como um código enviado para o seu telemóvel, para além da sua palavra-passe.

        Mantenha-se informado: Mantenha-se atualizado sobre as mais recentes tácticas e esquemas de phishing. Isto pode ajudá-lo a reconhecer e evitar tentativas de phishing, incluindo ataques de whaling.

        As mensagens de correio electrónico "whaling" são uma ameaça séria que pode resultar em perdas financeiras significativas e em danos para a reputação de uma organização. Se estiverem conscientes da ameaça e tomarem medidas para se protegerem, os funcionários podem ajudar a evitar ataques de whaling e manter as suas organizações seguras. Lembre-se de ser sempre cauteloso com mensagens de correio electrónico que solicitem informações sensíveis ou exijam uma acção imediata e de verificar os pedidos junto do suposto remetente utilizando um método de comunicação diferente. Mantenha-se informado e em segurança!

        imagem

        Outros artigos sobre a formação em sensibilização para a cibersegurança que poderão ser do seu interesse