O que é whale phishing?

É importante entender como phishing, spear phishing e whale phishing estão relacionados, principalmente porque os termos são frequentemente usados de forma intercambiável, incorreta ou sem contexto.

Phishing é qualquer e-mail fraudulento, mensagem de texto ou chamada telefônica projetada para enganar os usuários a baixar malware (através de um link ou anexo malicioso), compartilhar informações sensíveis, enviar dinheiro a criminosos ou tomar outras ações que exponham a si mesmos ou suas organizações ao cibercrime.

Qualquer pessoa com um computador ou smartphone provavelmente já recebeu um ataque de phishing em massa, que é basicamente uma mensagem padrão que parece ser de uma empresa ou organização conhecida, descreve uma situação comum ou credível e exige uma ação urgente, como "Seu cartão de crédito foi recusado. Por favor, clique no link abaixo para atualizar suas informações de pagamento".Os destinatários que clicam no link são levados a um site malicioso que pode roubar seu número de cartão de crédito ou baixar malware em seus computadores.

Uma campanha de phishing em massa é um jogo de números. Os atacantes enviam mensagens para o maior número possível de pessoas, sabendo que uma porcentagem será enganada e morderá a isca.Um estudo detectou mais de 255 milhões de mensagens de phishing durante um período de seis meses em 2022 (link fora de ibm.com). De acordo com o relatório de custo da violação de dados de 2022 da IBM, o phishing foi a segunda causa mais comum de violações de dados em 2022 e o método mais comum para entregar ransomware às vítimas.

Spear phishing é um ataque de phishing que visa um indivíduo específico ou grupo de indivíduos dentro de uma organização. Ataques de spear phishing são tipicamente lançados contra gerentes de nível médio que podem autorizar pagamentos ou transferências de dados, incluindo gerentes de contas a pagar e diretores de recursos humanos, por um atacante se passando por um colega com autoridade sobre o alvo ou como um colega (fornecedor, parceiro de negócios, consultor) que o alvo confia.

Ataques de spear phishing são mais personalizados do que ataques de phishing em massa e exigem mais trabalho e pesquisa. Mas o trabalho extra pode valer a pena para os cibercriminosos. Por exemplo, spear phishers roubaram mais de 100 milhões de dólares do Facebook e do Google entre 2013 e 2015, se passando por fornecedores legítimos e enganando funcionários para pagar faturas fraudulentas (link fora de ibm.com).

Um ataque de whale phishing ou whaling é um ataque de spear phishing que é direcionado exclusivamente a um executivo ou oficial de alto nível. O atacante normalmente se passa por um colega dentro da organização do alvo, ou um colega ou associado de nível igual ou superior de outra organização.

Mensagens de whale phishing são altamente personalizadas. Os atacantes se esforçam para imitar o estilo de escrita do remetente real e, quando possível, referenciam o contexto de conversas de negócios reais em andamento. Os golpistas de whale phishing frequentemente espionam conversas entre o remetente e o alvo; muitos tentam sequestrar a conta de e-mail ou mensagens de texto do remetente para enviar a mensagem de ataque diretamente de lá, para obter a máxima autenticidade.

Como os ataques de whaling têm como alvo indivíduos que podem autorizar pagamentos maiores, eles oferecem o potencial de um retorno imediato maior para o invasor.

O whaling é às vezes equiparado ao comprometimento de e-mail comercial (BEC), outro tipo de ataque de spear phishing no qual o atacante envia ao alvo um e-mail fraudulento que parece vir de um colega de trabalho. BEC nem sempre é whaling (porque frequentemente visa funcionários de nível inferior), e whaling nem sempre é BEC (porque nem sempre envolve e-mail), mas muitos dos ataques de whaling mais caros também envolvem ataques de BEC. Por exemplo:

• Em 2015, Ubiquity Networks perdeu quase USD 47 milhões em apenas 17 dias (link fora de ibm.com) quando atacantes de whale phishing se passando pelo CEO e conselheiro-chefe da empresa enviaram e-mails convencendo o diretor de contabilidade a fazer uma série de transferências bancárias para financiar uma aquisição secreta.
  
  
• Em 2018, Pathe Film Group perdeu EUR 19,2 milhões (USD 21 milhões) (link fora de ibm.com) quando golpistas fingindo ser o CEO na sede da Pathe na França enviaram um e-mail para o CEO do escritório da Pathe na Holanda, solicitando transferências bancárias para financiar uma aquisição.
  
  
• Também em 2018, atacantes se passando pelo CEO, executivos seniores e consultores jurídicos da empresa italiana Tecnimont SpA enganaram o líder da unidade de negócios indiana da empresa para transferir INR 1,3 bilhões (USD 18,25 milhões) para um banco em Hong Kong (link fora de ibm.com), também aparentemente para financiar uma aquisição. Como parte desse golpe, os atacantes deram um passo extra organizando várias conferências telefônicas falsas para discutir os detalhes da "aquisição".

Phishing, spear phishing e whale phishing são todos exemplos de ataques de engenharia social ou ataques que exploram principalmente vulnerabilidades humanas em vez de vulnerabilidades técnicas para comprometer a segurança. Como deixam muito menos evidências digitais do que malware ou hacking, esses ataques podem ser muito mais difíceis para as equipes de segurança e profissionais de cibersegurança detectarem ou prevenirem.

A maioria dos ataques de whaling visa roubar grandes quantias de dinheiro de uma organização enganando um oficial de alto nível para fazer, autorizar ou ordenar uma transferência bancária para um fornecedor ou conta bancária fraudulenta. Mas ataques de whaling podem ter outros objetivos, incluindo:

• Roubo de dados sensíveis ou informações confidenciais.Isso pode incluir o roubo de dados pessoais, como informações de folha de pagamento de funcionários ou dados financeiros pessoais de clientes. Golpes de whale phishing também podem visar propriedade intelectual, segredos comerciais e outras informações sensíveis.
  
  
• Roubo de credenciais de usuários. Alguns cibercriminosos lançarão um ataque preliminar de whale phishing para roubar credenciais de e-mail para que possam iniciar um ataque subsequente de whale phishing a partir de uma conta de e-mail sequestrada. Outros usam as credenciais para obter acesso de alto nível a ativos ou dados na rede do alvo.
  
  
• Plantar malware. Uma parte relativamente pequena dos ataques de whale phishing tenta enganar alvos para espalhar ransomware ou outro malware, abrindo um anexo de arquivo malicioso ou visitando um site malicioso.

Novamente, a maioria dos ataques de whale phishing é motivada pela ganância. Mas eles também podem ser motivados por uma vingança pessoal contra um executivo ou empresa, pressões competitivas ou ativismo social ou político. Ataques de whaling contra altos funcionários do governo podem ser atos de terrorismo cibernético independentes ou patrocinados pelo estado.

Os cibercriminosos escolhem uma "whale" (baleia) com acesso ao seu objetivo e um remetente com acesso à sua "whale". Por exemplo, um cibercriminoso que deseja interceptar pagamentos para o parceiro de cadeia de suprimentos de uma empresa pode enviar ao CFO da empresa uma fatura e uma solicitação de pagamento do CEO do parceiro de cadeia de suprimentos. Um atacante que deseja roubar dados de funcionários pode se passar pelo CFO e solicitar informações de folha de pagamento ao vice-presidente de recursos humanos.

Para tornar as mensagens dos remetentes credíveis e convincentes, os golpistas de whaling pesquisam minuciosamente seus alvos e remetentes, juntamente com as organizações onde trabalham.

Graças à quantidade de compartilhamento e conversas que as pessoas realizam nas redes sociais e em outros lugares on-line, os golpistas podem encontrar muitas das informações de que precisam apenas pesquisando em sites de redes sociais ou na web. Por exemplo, ao simplesmente estudar o perfil do LinkedIn de um alvo potencial, um atacante pode aprender o cargo da pessoa, responsabilidades, endereço de e-mail da empresa, nome do departamento, nomes e cargos de colegas de trabalho e parceiros de negócios, eventos recentemente atendidos e planos de viagem de negócios.

Dependendo do alvo, a mídia convencional, de negócios e local pode fornecer informações adicionais, como negócios rumores ou concluídos, projetos em licitação e custos de construção projetados que os golpistas podem usar. Os hackers muitas vezes conseguem criar um e-mail de spear phishing convincente com apenas uma busca geral no Google.

Mas, ao se preparar para um ataque de whale phishing, os golpistas muitas vezes realizam a importante etapa extra de hackear o alvo e o remetente para coletar material adicional. Isso pode ser tão simples quanto infectar os computadores do alvo e do remetente com spyware, que permite que o golpista visualize o conteúdo de arquivos para pesquisas adicionais. Golpistas mais ambiciosos invadirão a rede do remetente e obterão acesso às contas de e-mail ou mensagens de texto do remetente, onde poderão observar e se inserir em conversas reais.

Quando for a hora de atacar, o golpista enviará a(s) mensagem(s) de ataque. As mensagens de whale phishing mais eficazes parecem ser adequadas ao contexto de uma conversa contínua, incluem referências detalhadas a um projeto ou negócio específico, apresentam uma situação crível (uma tática de engenharia social chamada pretexting) e fazem uma solicitação igualmente crível. Por exemplo, um invasor disfarçado como CEO da empresa pode enviar esta mensagem ao CFO:

De acordo com a nossa conversa ontem, está anexa uma fatura dos advogados que lidam com a aquisição da BizCo. Por favor, faça o pagamento até às 17h ET amanhã, conforme especificado no contrato. Agradeço sua atenção.

Neste exemplo, a fatura anexada pode ser uma cópia de uma fatura do escritório de advocacia, modificada para direcionar o pagamento à conta bancária do golpista.

Para parecer autêntico para o alvo, as mensagens de whaling podem incorporar várias táticas de engenharia social, incluindo:

• Spoofing de domínios de e-mail. Se os atacantes não conseguirem invadir a conta de e-mail do remetente, eles criarão domínios de e-mail parecidos (bill.smith@cornpany.com para bill.smith@company.com). Os e-mails de whaling também podem conter assinaturas de e-mail copiadas, declarações de privacidade e outros sinais visuais que os fazem parecer autênticos à primeira vista.
  
  
• Um senso de urgência. A pressão de tempo—referências a prazos críticos ou taxas de atraso—pode levar o alvo a agir mais rapidamente sem considerar cuidadosamente a solicitação.
  
  
• Insistência na confidencialidade. As mensagens de whaling geralmente contêm instruções como por favor, guarde isso para si mesmo por enquanto para evitar que o alvo consulte outras pessoas que possam questionar o pedido.
  
  
• Apoio com voice phishing (vishing). Cada vez mais, as mensagens de phishing incluem números de telefone para os quais o alvo pode ligar para obter confirmação. Alguns golpistas acompanham os e-mails de phishing com mensagens de correio de voz que usam uma imitação baseada em inteligência artificial da voz do suposto remetente.