Produtos

Explore as nossas soluções personalizadas de formação em sensibilização para a segurança e gestão de riscos humanos - Equipe a sua equipa com as competências essenciais para se defender contra as ciberameaças modernas. A nossa plataforma oferece tudo, desde simulações de phishing até à gestão abrangente de políticas, capacitando a sua força de trabalho para melhorar a segurança e garantir a conformidade de forma eficaz.

Automação da Sensibilização para a Segurança

Programe a sua campanha anual de sensibilização em apenas alguns cliques

Simulação de phishing

Impeça os ataques de phishing no seu caminho com o premiado software de phishing

Conteúdo de eLearning

Cyber Security eLearning para explorar a nossa biblioteca de eLearning premiada, adaptada a cada departamento

Gestão da conformidade

Simplifique a gestão de políticas, privacidade e incidentes para uma conformidade total

Indústrias

Explore a versatilidade das nossas soluções em diversos sectores. Desde o dinâmico sector tecnológico até aos cuidados de saúde, descubra como as nossas soluções estão a fazer ondas em vários sectores. 


Serviços Financeiros

Criando uma primeira linha de defesa para organizações de serviços financeiros

Empresas

Uma solução de formação de sensibilização para a segurança para grandes empresas

Sector da Educação

Formação de sensibilização para a segurança no sector da educação

Indústria tecnológica

Transformar a formação em sensibilização para a segurança na indústria tecnológica

Governos

Uma solução de sensibilização para a segurança para os governos

Trabalhadores à distância

Incorporar uma cultura de sensibilização para a segurança - mesmo em casa

Trabalhadores do sector da saúde

Veja a nossa sensibilização para a segurança personalizada para profissionais de saúde

Conformidade NIS2

Apoie os seus requisitos de conformidade Nis2 com iniciativas de sensibilização para a cibersegurança

Recursos

Desde cartazes e políticas a guias definitivos e estudos de casos, os nossos recursos de sensibilização gratuitos podem ser utilizados para ajudar a melhorar a sensibilização para a cibersegurança na sua organização.

Visão geral dos recursos
Cyber Security Awareness For Dummies - MetaCompliance

Um recurso indispensável para criar uma cultura de ciberconsciência

Guia definitivo para phishing

Educar os funcionários sobre como detetar e prevenir ataques de phishing

Política anti-phishing

Criar uma cultura consciente da segurança e promover a sensibilização para as ameaças à cibersegurança

Terminologia de Segurança Cibernética A-Z

Glossário de termos de cibersegurança obrigatórios

Coisas grátis

Descarregue os nossos activos de sensibilização gratuitos para melhorar a sensibilização para a cibersegurança na sua organização

Guia de Segurança Cibernética para Principiantes Elearning

O melhor guia para implementar uma aprendizagem eficaz sobre cibersegurança

Cartazes de consciencialização gratuitos

Descarregue estes cartazes gratuitos para aumentar a vigilância dos empregados

Estudos de casos

Saiba como estamos a ajudar os nossos clientes a promover comportamentos positivos nas suas organizações

Modelo de maturidade comportamental em cibersegurança

Audite a sua formação de sensibilização e compare a sua organização com as melhores práticas

Sobre

Com mais de 18 anos de experiência no mercado da cibersegurança e da conformidade, a MetaCompliance oferece uma solução inovadora para a sensibilização do pessoal para a segurança da informação e para a automatização da gestão de incidentes. A plataforma MetaCompliance foi criada para responder às necessidades dos clientes de uma solução única e abrangente para gerir os riscos pessoais relacionados com a cibersegurança, a proteção de dados e a conformidade.

Porquê escolher-nos

Saiba por que a Metacompliance é o parceiro de confiança para o treinamento de conscientização sobre segurança

Carreiras

Junte-se a nós e torne a cibersegurança pessoal

Equipa de liderança

Conheça a Equipa de Liderança da MetaCompliance

Especialistas em envolvimento de empregados

Facilitamos o envolvimento dos funcionários e a criação de uma cultura de consciencialização cibernética

MetaBlog

Mantenha-se informado sobre tópicos de formação de sensibilização cibernética e mitigue os riscos na sua organização.

O que é whaling na cibersegurança e como evitá-lo?

Whaling Phishing: O que é whaling em cibersegurança?

sobre o autor

Partilhar esta publicação

O que é o whaling? O whaling é um tipo de ataque informático que visa especificamente executivos de alto nível ou indivíduos importantes numa organização. É uma forma de spear phishing concebida para roubar informações sensíveis ou obter acesso não autorizado a redes empresariais. Neste blogue, discutiremos o que é o whaling, como funciona e o que os funcionários podem fazer para se protegerem a si próprios e às suas organizações contra este tipo de ataque informático.

O que é o whaling?

O whaling phishing, também conhecido como fraude do CEO ou comprometimento do correio eletrónico empresarial, é um ataque direcionado que utiliza técnicas de engenharia social para enganar executivos de alto nível, levando-os a fornecer informações sensíveis ou a efetuar transacções não autorizadas. Os ataques de whaling phishing são normalmente efectuados através de correio eletrónico, em que os cibercriminosos criam mensagens que se fazem passar por uma fonte de confiança, como um CEO ou um CFO. Os e-mails contêm frequentemente pedidos urgentes de transferências bancárias ou instruções que exigem uma ação imediata, como a transferência de fundos ou a partilha de dados sensíveis.

Como é que o whaling phishing funciona?

Os ataques de phishing whaling são altamente direccionados e requerem muita pesquisa por parte dos hackers. Utilizam frequentemente informações publicamente disponíveis, como perfis de redes sociais, para recolher informações sobre os seus alvos. Podem também utilizar e-mails de phishing para recolher credenciais de início de sessão ou outras informações sensíveis que podem ser utilizadas para obter acesso a redes empresariais.

Depois de reunirem informações suficientes, os piratas informáticos criam uma mensagem de correio electrónico convincente que parece vir do CEO ou de outro executivo de alto nível. O e-mail contém frequentemente pedidos urgentes ou instruções que exigem uma acção imediata, como a transferência de fundos ou a partilha de dados sensíveis. A mensagem de correio electrónico inclui normalmente um sentido de urgência, como um pedido de confidencialidade ou um prazo, para pressionar o destinatário a cumprir o pedido.

Porque é que o whaling phishing é eficaz?

O whaling phishing é uma técnica de ataque cibernético eficaz por várias razões. Eis alguns dos principais factores que contribuem para a sua eficácia:

    Visar indivíduos de elevado valor: O whaling visa especificamente executivos de alto nível ou indivíduos com acesso a informações sensíveis e recursos financeiros dentro de uma organização. Estes indivíduos têm frequentemente autoridade para aprovar transacções financeiras ou aceder a dados confidenciais, o que os torna alvos atractivos para os cibercriminosos. Ao concentrarem-se em indivíduos com tais privilégios, os atacantes aumentam as suas hipóteses de violar com êxito as defesas de segurança da organização.

    Técnicas de engenharia social: Os ataques whaling utilizam técnicas sofisticadas de engenharia social para enganar os seus alvos. Os atacantes investem tempo e esforço na recolha de informações detalhadas sobre as suas vítimas, tais como as suas funções, responsabilidades e preferências pessoais. Podem estudar perfis de redes sociais, sites de empresas ou artigos de notícias para criar e-mails de phishing personalizados e convincentes. Ao adaptarem as suas mensagens para parecerem legítimas e urgentes, os atacantes podem manipular as emoções e os processos de tomada de decisão do alvo, aumentando a probabilidade de uma exploração bem sucedida.

    Exploração da confiança e da autoridade: Os ataques whaling baseiam-se na exploração da confiança e da autoridade associadas aos executivos de alto nível. Quando um e-mail parece vir de um CEO, CFO ou outro funcionário de alto nível, os destinatários tendem a assumir que a mensagem é legítima e a cumprir as acções solicitadas. A autoridade e a urgência percebidas nestas mensagens de correio eletrónico podem sobrepor-se ao ceticismo normal, levando as pessoas a agir rapidamente sem verificar cuidadosamente a autenticidade da comunicação.

    Exposição e controlo limitados: Os ataques whaling são normalmente muito direccionados, incidindo sobre um pequeno número de indivíduos seleccionados dentro de uma organização. Ao contrário das campanhas de phishing em massa, que lançam uma rede mais alargada e podem ser assinaladas por filtros de spam, os ataques whaling são concebidos para passar despercebidos. O número limitado de alvos reduz as hipóteses de deteção e aumenta a probabilidade de sucesso. Além disso, os executivos de alto nível podem receber menos sessões de formação de sensibilização para a segurança do que os outros funcionários, o que os torna mais vulneráveis a este tipo de ataques.

    Impacto financeiro e potencial para danos em grande escala: Os ataques whaling têm frequentemente como objetivo extrair ganhos financeiros substanciais ou informações empresariais sensíveis. Os ataques bem sucedidos podem resultar em perdas financeiras significativas para as organizações, prejudicar a sua reputação e comprometer a sua vantagem competitiva. Ao visar executivos com autoridade para tomar decisões financeiras, os atacantes podem explorar o seu acesso a fundos e recursos, o que pode conduzir a prejuízos financeiros substanciais.

    Para atenuar a eficácia dos ataques "whaling", as organizações devem concentrar-se em medidas de segurança abrangentes. Isto inclui a implementação de protocolos de segurança de correio electrónico robustos, a realização de formação regular dos funcionários sobre a identificação e comunicação de tentativas de phishing e a manutenção de uma cultura de cepticismo e verificação ao lidar com pedidos sensíveis. Combinando as salvaguardas tecnológicas com a consciencialização dos funcionários e as melhores práticas, as organizações podem reduzir significativamente o risco de serem vítimas de ataques de whaling.

    Exemplos de ataques de whaling

    Houve vários exemplos de ataques reais que infligiram danos significativos às empresas:

      Snapchat
      Em Fevereiro de 2016, o Snapchat sofreu um ataque de phishing. Um indivíduo que se fazia passar pelo CEO Evan Spiegel enviou um e-mail a um funcionário dos RH, solicitando dados sobre os salários dos actuais e antigos funcionários, incluindo opções de compra de acções e W-2s.

      Ubiquiti Networks
      Em 2015, a Ubiquiti Networks foi vítima de uma sofisticada burla do CEO. Os burlões conseguiram convencer o departamento financeiro de uma das suas subsidiárias sediadas em Hong Kong a transferir 46,7 milhões de dólares para contas não relacionadas no estrangeiro. Embora a empresa tenha conseguido recuperar 14,9 milhões de dólares, os danos à sua reputação foram irreversíveis.

      FBI
      Em 2008, a campanha de intimação do FBI surgiu como uma das primeiras instâncias documentadas de ataques de whaling. Foram visados cerca de 20.000 directores executivos, tendo 2.000 sido vítimas do esquema ao clicarem numa ligação maliciosa. A ligação estava disfarçada como um complemento seguro para o browser, mas em vez disso instalava um keylogger, capturando as suas credenciais e palavras-passe.

      FACC
      Outro ataque notável que abalou o mundo empresarial ocorreu em 2016, tendo como alvo a FACC, um fabricante aeroespacial austríaco conhecido pela sua produção de peças para a Airbus e a Boeing. Este incidente envolveu a clássica personificação do CEO, resultando na transferência de 55,8 milhões de dólares para contas não reveladas no estrangeiro. Vários funcionários, incluindo o director executivo e o director financeiro, foram posteriormente despedidos.

      Levitas Capital
      A Levitas Capital, um fundo de cobertura australiano, foi vítima de um extenso ataque de whaling facilitado através de um link malicioso do Zoom. Apesar de ter recuperado a maior parte dos fundos, a empresa decidiu cessar a actividade devido aos graves danos causados à sua reputação. 

      O que os trabalhadores podem fazer para se protegerem do whaling?

      Tal como acontece com qualquer tipo de ataque de phishing, a melhor forma de se proteger do whaling é estar ciente da ameaça e estar atento quando se trata de mensagens de correio eletrónico que pedem informações sensíveis ou exigem uma ação imediata. Seguem-se algumas dicas que os funcionários podem utilizar para se protegerem de ataques de whaling:

        Verificar os pedidos: Se receber uma mensagem de correio eletrónico que solicite informações sensíveis ou que peça para tomar medidas urgentes, verifique sempre o pedido junto do suposto remetente utilizando um método de comunicação diferente, como um telefonema ou uma conversa pessoal.

        Seja cauteloso com as ligações e os anexos: Não clique em ligações nem abra anexos em mensagens de correio eletrónico que não esteja à espera ou que provenham de fontes desconhecidas. Mesmo que o correio eletrónico pareça legítimo, pode ser uma tentativa de phishing que instala malware.

        Verificar os endereços de correio eletrónico: Observe atentamente o endereço de correio eletrónico do remetente. Os ataques de whaling utilizam frequentemente endereços de correio eletrónico semelhantes ao endereço de correio eletrónico real do remetente, mas com ligeiras variações, como a adição de uma letra ou número extra.

        Utilizar a autenticação de dois factores: A autenticação de dois factores pode ajudar a impedir o acesso não autorizado a redes empresariais, exigindo uma segunda forma de autenticação, como um código enviado para o seu telemóvel, para além da sua palavra-passe.

        Mantenha-se informado: Mantenha-se atualizado sobre as mais recentes tácticas e esquemas de phishing. Isto pode ajudá-lo a reconhecer e evitar tentativas de phishing, incluindo ataques de whaling.

        As mensagens de correio electrónico "whaling" são uma ameaça séria que pode resultar em perdas financeiras significativas e em danos para a reputação de uma organização. Se estiverem conscientes da ameaça e tomarem medidas para se protegerem, os funcionários podem ajudar a evitar ataques de whaling e manter as suas organizações seguras. Lembre-se de ser sempre cauteloso com mensagens de correio electrónico que solicitem informações sensíveis ou exijam uma acção imediata e de verificar os pedidos junto do suposto remetente utilizando um método de comunicação diferente. Mantenha-se informado e em segurança!

        imagem

        Perguntas frequentes sobre Whaling e Security Awareness Training

        O que é whaling na cibersegurança e por que o whaling phishing é tão eficaz?

        Whaling é uma forma sofisticada de ataque cibernético que tem como alvo executivos de alto nível ou indivíduos significativos dentro de uma organização, frequentemente chamado de fraude de CEO. Esse tipo de spear phishing envolve atacantes que se passam por uma fonte confiável, como um CEO ou CFO, para enganar a vítima e obter informações sensíveis ou autorizar transações não autorizadas. Devido ao alto nível de autoridade e acesso desses alvos, os ataques de whaling podem ser particularmente prejudiciais. Implementar um treinamento eficaz de cybersecurity phishing awareness pode ajudar a educar executivos e outros funcionários sobre como reconhecer e responder a esses tipos de ameaças.

        Qual é o papel do treinamento de conscientização de segurança na prevenção de ataques de baleia?

        O treinamento de conscientização de segurança desempenha um papel crucial na prevenção de ataques de whaling ao educar os funcionários, especialmente aqueles em posições de alto nível, sobre a natureza dessas ameaças sofisticadas. Através de programas direcionados de treinamento de conscientização de segurança, os funcionários aprendem a identificar e-mails suspeitos, verificar solicitações e reconhecer sinais de possíveis ataques de whaling. O treinamento regular ajuda a reforçar as melhores práticas e garante que os indivíduos estejam preparados para lidar com essas ameaças de forma eficaz. Essa abordagem proativa reduz significativamente a probabilidade de se tornar vítima de ataques de caça à baleia e melhora a segurança geral da organização.

        Outros artigos sobre a formação em sensibilização para a cibersegurança que poderão ser do seu interesse