Os alvos do whale phishing são executivos de nível C (CEOs, CFOs, COOs), outros executivos seniores, detentores de cargos políticos e líderes organizacionais que podem autorizar grandes pagamentos ou transferências eletrônicas ou a divulgação de informações confidenciais sem a aprovação de outras pessoas. Esses alvos são chamados de whales (baleias), uma gíria para clientes (ou apostadores) que têm acesso a mais dinheiro do que a média das pessoas.

É importante entender como o phishing, o spear phishing e o whale phishing estão relacionados, principalmente porque os termos são frequentemente usados de forma intercambiável, incorreta ou sem contexto.

Phishing é qualquer mensagem de texto, chamada telefônica ou e-mail fraudulento criado para enganar os usuários para baixar malware (por meio de um link malicioso ou anexo de arquivo), compartilhar informações confidenciais, enviar dinheiro a criminosos ou adotar outras ações que os expõem ou expõem suas organizações ao cibercrime.

Qualquer pessoa com um computador ou smartphone recebeu um ataque de phishing em massa (basicamente, uma forma de mensagem que parece ser de uma empresa ou organização bem conhecida, descreve uma situação comum ou crível e exige ação urgente) por exemplo, Seu cartão de crédito foi recusado. Clique no link abaixo para atualizar suas informações de pagamento. Os destinatários que clicam no link são direcionados para um site malicioso que pode roubar o número do cartão de crédito ou fazer o download de malware em seus computadores.

Uma campanha de phishing em massa é um jogo de números: os atacantes enviam mensagens para o maior número de pessoas possível, sabendo que alguma porcentagem será enganada para morder a isca. Um estudo detectou mais de 255 milhões de mensagens de phishing durante um período de seis meses em 2022 (link externo a ibm.com). De acordo com o relatório Cost of a Data Breach 2022 da IBM, phishing foi a segunda causa mais comum de violações de dados em 2022, e o método mais comum para entregar ransomware às vítimas.

Spear phishing é um ataque de phishing que tem como alvo um indivíduo ou grupo específico de indivíduos dentro de uma organização. Geralmente, os ataques de spear phishing são lançados contra gerentes de nível médio que podem autorizar pagamentos ou transferências de dados (gerentes de contas a pagar, diretores de recursos humanos) por um invasor que mascara um colega de trabalho com autoridade sobre o alvo ou um colega (por exemplo, fornecedor, parceiro de negócios, consultor) em quem o alvo confia.

Os ataques de spear phishing são mais personalizados do que os ataques de phishing em massa e exigem mais trabalho e pesquisa. Mas o trabalho extra pode recompensar os cibercriminosos. Por exemplo, os spear phishers roubaram mais de USD 100 milhões do Facebook e do Google entre 2013 e 2015, fazendo-se passar por fornecedores legítimos e enganando os funcionários para que pagassem faturas fraudulentas (link externo a ibm.com).

Um ataque de whale phishing ou whaling é um ataque de phishing de spear destinado exclusivamente a um executivo ou funcionário de alto nível. O invasor normalmente se faz passar por um colega da organização-alvo ou por um colega ou associado de nível igual ou superior de outra organização.

As mensagens de whale phishing são altamente personalizadas: os invasores se esforçam muito para imitar o estilo de escrita do remetente real e, quando possível, fazem referência ao contexto de conversas de negócios reais em andamento. Os golpistas de whale phishing geralmente espionam as conversas entre o remetente e o alvo; muitos tentam sequestrar a conta real de e-mail ou de mensagens de texto do remetente para enviar a mensagem de ataque diretamente de lá, para obter o máximo de autenticidade.

Como os ataques de whaling têm como alvo indivíduos que podem autorizar pagamentos maiores, eles oferecem o potencial de um retorno imediato maior para o invasor.

Às vezes, o whaling se equipara ao comprometimento de e-mail de negócios (BEC), outro tipo de ataque de spear phishing no qual o invasor envia ao alvo um e-mail fraudulento que parece vir de um colega de trabalho ou par. O BEC nem sempre é whaling (porque frequentemente tem como alvo funcionários de nível inferior), e o whaling nem sempre é BEC (porque nem sempre envolve e-mail), mas muitos dos ataques de whaling mais caros também envolvem ataques de BEC. Por exemplo:

• Em 2015, a Ubiquity Networks perdeu quase USD 47 milhões em apenas 17 dias (link externo a ibm.com) quando invasores de phishing que se faziam passar pelo CEO e pelo advogado-chefe da empresa enviaram e-mails convencendo o diretor de contabilidade a fazer uma série de transferências eletrônicas para financiar uma aquisição secreta.
  
  
• Em 2018, o Pathe Film Group perdeu EUR 19,2 milhões (USD 21 milhões) (link externo a ibm.com) quando golpistas fingindo ser o CEO da sede da Pathe na França enviaram um e-mail ao CEO do escritório da Holanda da Pathe, solicitando transferências eletrônicas para financiar uma aquisição.
  
  
• Além disso, em 2018, invasores que se passavam pelo CEO, executivos seniores e consultores jurídicos da empresa italiana Tecnimont SpA enganaram o líder da unidade de negócios indiana da empresa para transferir INR 1,3 bilhão (USD 18,25 milhões) para um banco em Hong Kong (link externo a ibm.com), também ostensivamente para financiar uma aquisição. Como parte desse golpe, os invasores adotaram a etapa extra de encenar várias chamadas de conferência falsas para discutir os detalhes da "aquisição".

Phishing, spear phishing e whale phishing são exemplos de ataques de engenharia social— ataques que exploram principalmente vulnerabilidades humanas em vez de vulnerabilidades técnicas para comprometer a segurança. Como deixam muito menos evidências digitais do que malware ou hackers, esses ataques podem ser muito mais difíceis de serem detectados ou evitados pelas equipes de segurança e profissionais de segurança.

A maioria dos ataques de whaling visa roubar grandes somas de dinheiro de uma organização, induzindo um funcionário de alto nível a fazer, autorizar ou solicitar uma transferência bancária para um fornecedor ou conta bancária fraudulenta. Mas ataques de whaling podem ter outros objetivos, incluindo

• Roubar dados confidenciais ou informações confidenciais. Isso pode incluir o roubo de dados pessoais, como informações da folha de pagamento dos funcionários ou dados financeiros pessoais dos clientes. Mas os golpes de whale phishing também podem visar propriedade intelectual, segredos comerciais e outras informações confidenciais.
  
  
• Roubar credenciais de usuários. Alguns cibercriminosos lançarão um ataque preliminar de whale phishing para roubar credenciais de e-mail, para que possam iniciar um ataque subsequente de whale phishing de uma conta de e-mail sequestrada.Outros roubarão o uso das credenciais para obter acesso de alto nível a ativos ou dados na rede do alvo.
  
  
• Plantar malware. Uma parte relativamente pequena dos ataques de whale phishing tenta enganar alvos para espalhar ransomware ou outro malware, abrindo um anexo de arquivo malicioso ou visitando um site malicioso.

Novamente, a maioria dos ataques de whale phishing são motivados por ganância. Mas eles também podem ser motivados por uma vingança pessoal contra um executivo ou uma empresa, pressões competitivas ou ativismo social ou político. Ataques de whaling contra funcionários de alto escalão do governo podem ser atos de terrorismo cibernético independentes ou patrocinados pelo Estado.

Os criminosos cibernéticos escolhem uma baleia com acesso ao seu objetivo e um remetente com acesso à baleia. Por exemplo, um cibercriminoso que deseja interceptar pagamentos para um parceiro da cadeia de suprimentos de uma empresa pode enviar ao CFO da empresa uma fatura e solicitar o pagamento do CEO do parceiro da cadeia de suprimentos. Um invasor que queira roubar dados de funcionários pode se passar pelo diretor financeiro e solicitar informações sobre a folha de pagamento ao vice-presidente de recursos humanos.

Para tornar as mensagens dos remetentes críveis e convincentes, os golpistas de whaling pesquisam minuciosamente seus alvos e remetentes, bem como as organizações onde trabalham.

Graças à quantidade de compartilhamento e conversa que as pessoas realizam nas mídia social e em outros lugares on-line, os golpistas podem encontrar muitas das informações de que precisam apenas pesquisando sites de mídia social ou na web. Por exemplo, simplesmente estudando o perfil do LinkedIn de um alvo em potencial, um invasor pode aprender o cargo, as responsabilidades, o endereço de e-mail da empresa, o nome do departamento, os nomes e títulos de colegas de trabalho e parceiros de negócios, eventos dos quais participou recentemente e planos de viagens de negócios.

Dependendo do alvo, a mídia convencional, comercial e local pode fornecer informações adicionais (por exemplo, negócios rumorosos ou concluídos, projetos para licitação, custos de construção projetados) que os golpistas podem usar. De acordo com um relatório da analista do setor Omdia, os hackers podem criar um e-mail de spear phishing convincente após cerca de 100 minutos de pesquisa geral do Google (link externo a ibm.com).

Mas, ao se preparar para um ataque de whale phishing, os golpistas muitas vezes realizam a importante etapa extra de hackear o alvo e o remetente para coletar material adicional. Isso pode ser tão simples quanto infectar os computadores do alvo e do remetente com spyware, que permite que o golpista visualize o conteúdo de arquivos para pesquisas adicionais. Golpistas mais ambiciosos invadirão a rede do remetente e obterão acesso às contas de e-mail ou mensagens de texto do remetente, onde poderão observar e se inserir em conversas reais.

Quando for a hora de atacar, o golpista enviará a(s) mensagem(s) de ataque. As mensagens de whale phishing mais eficazes parecem ser adequadas ao contexto de uma conversa contínua, incluem referências detalhadas a um projeto ou negócio específico, apresentam uma situação crível (uma tática de engenharia social chamada pretexting) e fazem uma solicitação igualmente crível. Por exemplo, um invasor disfarçado como CEO da empresa pode enviar esta mensagem ao CFO:

De acordo com a nossa conversa ontem, está anexa uma fatura dos advogados que lidam com a aquisição da BizCo. Por favor, faça o pagamento até às 17h ET amanhã, conforme especificado no contrato. Agradeço sua atenção.

Neste exemplo, a fatura anexada pode ser uma cópia de uma fatura do escritório de advocacia, modificada para direcionar o pagamento à conta bancária do golpista.

Para parecer autêntico para o alvo, as mensagens de whaling podem incorporar várias táticas de engenharia social, incluindo:

• Spoofing de domínios de e-mail. Se os invasores não puderem invadir a conta de e-mail do remetente, eles criarão domínios de e-mail semelhantes (por exemplo, bill.smith@cornpany.com para bill.smith@company.com). Os e-mails de whaling também podem conter assinaturas de e-mail, declarações de privacidade e outras dicas visuais copiadas que os fazem parecer autênticos à primeira vista.
  
  
• Uma sensação de urgência. A pressão do tempo (por exemplo, referências a prazos críticos ou multas por atraso) pode levar o alvo a agir mais rapidamente sem considerar cuidadosamente a solicitação.
  
  
• Insistência na confidencialidade. As mensagens de whaling geralmente contêm instruções como por favor, guarde isso para si mesmo por enquanto para evitar que o alvo consulte outras pessoas que possam questionar o pedido.
  
  
• Apoio com voice phishing (vishing). Cada vez mais, as mensagens de phishing incluem números de telefone para os quais o alvo pode ligar para obter confirmação. Alguns golpistas acompanham os e-mails de phishing com mensagens de correio de voz que usam uma imitação baseada em inteligência artificial da voz do suposto remetente.