O que é o whaling? O whaling é um tipo de ataque informático que visa especificamente executivos de alto nível ou indivíduos importantes numa organização. É uma forma de spear phishing concebida para roubar informações sensíveis ou obter acesso não autorizado a redes empresariais. Neste blogue, discutiremos o que é o whaling, como funciona e o que os funcionários podem fazer para se protegerem a si próprios e às suas organizações contra este tipo de ataque informático.
O que é o whaling?
O whaling phishing, também conhecido como fraude do CEO ou comprometimento do correio eletrónico empresarial, é um ataque direcionado que utiliza técnicas de engenharia social para enganar executivos de alto nível, levando-os a fornecer informações sensíveis ou a efetuar transacções não autorizadas. Os ataques de whaling phishing são normalmente efectuados através de correio eletrónico, em que os cibercriminosos criam mensagens que se fazem passar por uma fonte de confiança, como um CEO ou um CFO. Os e-mails contêm frequentemente pedidos urgentes de transferências bancárias ou instruções que exigem uma ação imediata, como a transferência de fundos ou a partilha de dados sensíveis.
Como é que o whaling phishing funciona?
Os ataques de phishing whaling são altamente direccionados e requerem muita pesquisa por parte dos hackers. Utilizam frequentemente informações publicamente disponíveis, como perfis de redes sociais, para recolher informações sobre os seus alvos. Podem também utilizar e-mails de phishing para recolher credenciais de início de sessão ou outras informações sensíveis que podem ser utilizadas para obter acesso a redes empresariais.
Depois de reunirem informações suficientes, os piratas informáticos criam uma mensagem de correio electrónico convincente que parece vir do CEO ou de outro executivo de alto nível. O e-mail contém frequentemente pedidos urgentes ou instruções que exigem uma acção imediata, como a transferência de fundos ou a partilha de dados sensíveis. A mensagem de correio electrónico inclui normalmente um sentido de urgência, como um pedido de confidencialidade ou um prazo, para pressionar o destinatário a cumprir o pedido.
Porque é que o whaling phishing é eficaz?
O whaling phishing é uma técnica de ataque cibernético eficaz por várias razões. Eis alguns dos principais factores que contribuem para a sua eficácia:
Visar indivíduos de elevado valor: O whaling visa especificamente executivos de alto nível ou indivíduos com acesso a informações sensíveis e recursos financeiros dentro de uma organização. Estes indivíduos têm frequentemente autoridade para aprovar transacções financeiras ou aceder a dados confidenciais, o que os torna alvos atractivos para os cibercriminosos. Ao concentrarem-se em indivíduos com tais privilégios, os atacantes aumentam as suas hipóteses de violar com êxito as defesas de segurança da organização.
Técnicas de engenharia social: Os ataques whaling utilizam técnicas sofisticadas de engenharia social para enganar os seus alvos. Os atacantes investem tempo e esforço na recolha de informações detalhadas sobre as suas vítimas, tais como as suas funções, responsabilidades e preferências pessoais. Podem estudar perfis de redes sociais, sites de empresas ou artigos de notícias para criar e-mails de phishing personalizados e convincentes. Ao adaptarem as suas mensagens para parecerem legítimas e urgentes, os atacantes podem manipular as emoções e os processos de tomada de decisão do alvo, aumentando a probabilidade de uma exploração bem sucedida.
Exploração da confiança e da autoridade: Os ataques whaling baseiam-se na exploração da confiança e da autoridade associadas aos executivos de alto nível. Quando um e-mail parece vir de um CEO, CFO ou outro funcionário de alto nível, os destinatários tendem a assumir que a mensagem é legítima e a cumprir as acções solicitadas. A autoridade e a urgência percebidas nestas mensagens de correio eletrónico podem sobrepor-se ao ceticismo normal, levando as pessoas a agir rapidamente sem verificar cuidadosamente a autenticidade da comunicação.
Exposição e controlo limitados: Os ataques whaling são normalmente muito direccionados, incidindo sobre um pequeno número de indivíduos seleccionados dentro de uma organização. Ao contrário das campanhas de phishing em massa, que lançam uma rede mais alargada e podem ser assinaladas por filtros de spam, os ataques whaling são concebidos para passar despercebidos. O número limitado de alvos reduz as hipóteses de deteção e aumenta a probabilidade de sucesso. Além disso, os executivos de alto nível podem receber menos sessões de formação de sensibilização para a segurança do que os outros funcionários, o que os torna mais vulneráveis a este tipo de ataques.
Impacto financeiro e potencial para danos em grande escala: Os ataques whaling têm frequentemente como objetivo extrair ganhos financeiros substanciais ou informações empresariais sensíveis. Os ataques bem sucedidos podem resultar em perdas financeiras significativas para as organizações, prejudicar a sua reputação e comprometer a sua vantagem competitiva. Ao visar executivos com autoridade para tomar decisões financeiras, os atacantes podem explorar o seu acesso a fundos e recursos, o que pode conduzir a prejuízos financeiros substanciais.
Para atenuar a eficácia dos ataques "whaling", as organizações devem concentrar-se em medidas de segurança abrangentes. Isto inclui a implementação de protocolos de segurança de correio electrónico robustos, a realização de formação regular dos funcionários sobre a identificação e comunicação de tentativas de phishing e a manutenção de uma cultura de cepticismo e verificação ao lidar com pedidos sensíveis. Combinando as salvaguardas tecnológicas com a consciencialização dos funcionários e as melhores práticas, as organizações podem reduzir significativamente o risco de serem vítimas de ataques de whaling.
Exemplos de ataques de whaling
Houve vários exemplos de ataques reais que infligiram danos significativos às empresas:
Snapchat
Em fevereiro de 2016, o Snapchat sofreu um ataque de phishing. Um indivíduo que se fazia passar pelo CEO Evan Spiegel enviou uma mensagem de correio eletrónico a um funcionário dos RH, solicitando dados relativos aos salários dos actuais e antigos funcionários, incluindo opções de compra de acções e W-2s.
Ubiquiti Networks
Em 2015, a Ubiquiti Networks foi vítima de uma sofisticada burla do CEO. Os burlões conseguiram convencer o departamento financeiro de uma das suas subsidiárias sediadas em Hong Kong a transferir 46,7 milhões de dólares para contas não relacionadas no estrangeiro. Embora a empresa tenha conseguido recuperar 14,9 milhões de dólares, os danos à sua reputação foram irreversíveis.
FBI
Em 2008, a campanha de intimação do FBI surgiu como uma das primeiras instâncias documentadas de ataques de whaling. Foram visados cerca de 20.000 diretores executivos, tendo 2.000 sido vítimas do esquema ao clicarem numa ligação maliciosa. A ligação estava disfarçada como um complemento seguro para o browser mas, em vez disso, instalava um keylogger, capturando as suas credenciais e palavras-passe.
FACC
Outro ataque notável que abalou o mundo empresarial ocorreu em 2016, tendo como alvo a FACC, um fabricante aeroespacial austríaco conhecido pela sua produção de peças para a Airbus e a Boeing. Este incidente envolveu a clássica personificação do CEO, resultando na transferência de 55,8 milhões de dólares para contas não reveladas no estrangeiro. Vários funcionários, incluindo o diretor executivo e o diretor financeiro, foram posteriormente despedidos.
Levitas Capital
A Levitas Capital, um fundo de cobertura australiano, foi vítima de um extenso ataque de whaling facilitado através de uma ligação maliciosa do Zoom. Apesar de ter recuperado a maior parte dos fundos, a empresa decidiu cessar a atividade devido aos graves danos causados à sua reputação.
O que os trabalhadores podem fazer para se protegerem do whaling?
Tal como acontece com qualquer tipo de ataque de phishing, a melhor forma de se proteger do whaling é estar ciente da ameaça e estar atento quando se trata de mensagens de correio eletrónico que pedem informações sensíveis ou exigem uma ação imediata. Seguem-se algumas dicas que os funcionários podem utilizar para se protegerem de ataques de whaling:
Verificar os pedidos: Se receber uma mensagem de correio eletrónico que solicite informações sensíveis ou que peça para tomar medidas urgentes, verifique sempre o pedido junto do suposto remetente utilizando um método de comunicação diferente, como um telefonema ou uma conversa pessoal.
Seja cauteloso com as ligações e os anexos: Não clique em ligações nem abra anexos em mensagens de correio eletrónico que não esteja à espera ou que provenham de fontes desconhecidas. Mesmo que o correio eletrónico pareça legítimo, pode ser uma tentativa de phishing que instala malware.
Verificar os endereços de correio eletrónico: Observe atentamente o endereço de correio eletrónico do remetente. Os ataques de whaling utilizam frequentemente endereços de correio eletrónico semelhantes ao endereço de correio eletrónico real do remetente, mas com ligeiras variações, como a adição de uma letra ou número extra.
Utilizar a autenticação de dois factores: A autenticação de dois factores pode ajudar a impedir o acesso não autorizado a redes empresariais, exigindo uma segunda forma de autenticação, como um código enviado para o seu telemóvel, para além da sua palavra-passe.
Mantenha-se informado: Mantenha-se atualizado sobre as mais recentes tácticas e esquemas de phishing. Isto pode ajudá-lo a reconhecer e evitar tentativas de phishing, incluindo ataques de whaling.
Simular. Educar. Defender - O poder do MetaPhish
Os e-mails "whaling" são uma forma sofisticada de phishing que visa executivos de alto nível e pode resultar em graves perdas financeiras e danos à reputação de uma organização. Para combater esta ameaça, é essencial aumentar a consciencialização dos funcionários e reforçar a sua capacidade de reconhecer e responder a comunicações suspeitas. Uma das formas mais eficazes de o fazer é através da simulação de phishing. Com plataformas como o MetaPhish, as organizações podem efetuar simulações de phishing realistas e ministrar formação personalizada que prepara o pessoal para ameaças reais, incluindo ataques de whaling. Estas simulações não só educam como também ajudam a identificar potenciais vulnerabilidades na firewall humana da sua organização.
Incentive a sua equipa a verificar pedidos inesperados de informações confidenciais através de canais de comunicação alternativos. Mantenha-se informado, alerta e protegido com o MetaPhish.
