Whale phishing, ou whaling, é um tipo especial de ataque de phishing que tem como alvo executivos corporativos de alto nível com e-mails, mensagens de texto ou chamadas telefônicas fraudulentos.As mensagens são cuidadosamente redigidas para manipular o destinatário a autorizar grandes pagamentos a cibercriminosos ou divulgar informações corporativas ou pessoais confidenciais ou valiosas.
Os alvos do whale phishing são executivos de nível C (CEOs, CFOs, COOs), outros executivos seniores, detentores de cargos políticos e líderes organizacionais que podem autorizar grandes pagamentos ou transferências eletrônicas ou a divulgação de informações confidenciais sem a aprovação de outras pessoas. Esses alvos são chamados de whales (baleias), uma gíria para clientes (ou apostadores) que têm acesso a mais dinheiro do que a média das pessoas.
É importante entender como o phishing, o spear phishing e o whale phishing estão relacionados, principalmente porque os termos são frequentemente usados de forma intercambiável, incorreta ou sem contexto.
Phishing é qualquer mensagem de texto, chamada telefônica ou e-mail fraudulento criado para enganar os usuários para baixar malware (por meio de um link malicioso ou anexo de arquivo), compartilhar informações confidenciais, enviar dinheiro a criminosos ou adotar outras ações que os expõem ou expõem suas organizações ao cibercrime.
Qualquer pessoa com um computador ou smartphone recebeu um ataque de phishing em massa (basicamente, uma forma de mensagem que parece ser de uma empresa ou organização bem conhecida, descreve uma situação comum ou crível e exige ação urgente) por exemplo, Seu cartão de crédito foi recusado. Clique no link abaixo para atualizar suas informações de pagamento. Os destinatários que clicam no link são direcionados para um site malicioso que pode roubar o número do cartão de crédito ou fazer o download de malware em seus computadores.
Uma campanha de phishing em massa é um jogo de números: os atacantes enviam mensagens para o maior número de pessoas possível, sabendo que alguma porcentagem será enganada para morder a isca. Um estudo detectou mais de 255 milhões de mensagens de phishing durante um período de seis meses em 2022 (link externo a ibm.com). De acordo com o relatório Cost of a Data Breach 2022 da IBM, phishing foi a segunda causa mais comum de violações de dados em 2022, e o método mais comum para entregar ransomware às vítimas.
Spear phishing é um ataque de phishing que tem como alvo um indivíduo ou grupo específico de indivíduos dentro de uma organização. Geralmente, os ataques de spear phishing são lançados contra gerentes de nível médio que podem autorizar pagamentos ou transferências de dados (gerentes de contas a pagar, diretores de recursos humanos) por um invasor que mascara um colega de trabalho com autoridade sobre o alvo ou um colega (por exemplo, fornecedor, parceiro de negócios, consultor) em quem o alvo confia.
Os ataques de spear phishing são mais personalizados do que os ataques de phishing em massa e exigem mais trabalho e pesquisa. Mas o trabalho extra pode recompensar os cibercriminosos. Por exemplo, os spear phishers roubaram mais de USD 100 milhões do Facebook e do Google entre 2013 e 2015, fazendo-se passar por fornecedores legítimos e enganando os funcionários para que pagassem faturas fraudulentas (link externo a ibm.com).
Um ataque de whale phishing ou whaling é um ataque de phishing de spear destinado exclusivamente a um executivo ou funcionário de alto nível. O invasor normalmente se faz passar por um colega da organização-alvo ou por um colega ou associado de nível igual ou superior de outra organização.
As mensagens de whale phishing são altamente personalizadas: os invasores se esforçam muito para imitar o estilo de escrita do remetente real e, quando possível, fazem referência ao contexto de conversas de negócios reais em andamento. Os golpistas de whale phishing geralmente espionam as conversas entre o remetente e o alvo; muitos tentam sequestrar a conta real de e-mail ou de mensagens de texto do remetente para enviar a mensagem de ataque diretamente de lá, para obter o máximo de autenticidade.
Como os ataques de whaling têm como alvo indivíduos que podem autorizar pagamentos maiores, eles oferecem o potencial de um retorno imediato maior para o invasor.
Às vezes, o whaling se equipara ao comprometimento de e-mail de negócios (BEC), outro tipo de ataque de spear phishing no qual o invasor envia ao alvo um e-mail fraudulento que parece vir de um colega de trabalho ou par. O BEC nem sempre é whaling (porque frequentemente tem como alvo funcionários de nível inferior), e o whaling nem sempre é BEC (porque nem sempre envolve e-mail), mas muitos dos ataques de whaling mais caros também envolvem ataques de BEC. Por exemplo:
Phishing, spear phishing e whale phishing são exemplos de ataques de engenharia social— ataques que exploram principalmente vulnerabilidades humanas em vez de vulnerabilidades técnicas para comprometer a segurança. Como deixam muito menos evidências digitais do que malware ou hackers, esses ataques podem ser muito mais difíceis de serem detectados ou evitados pelas equipes de segurança e profissionais de segurança.
A maioria dos ataques de whaling visa roubar grandes somas de dinheiro de uma organização, induzindo um funcionário de alto nível a fazer, autorizar ou solicitar uma transferência bancária para um fornecedor ou conta bancária fraudulenta. Mas ataques de whaling podem ter outros objetivos, incluindo
Novamente, a maioria dos ataques de whale phishing são motivados por ganância. Mas eles também podem ser motivados por uma vingança pessoal contra um executivo ou uma empresa, pressões competitivas ou ativismo social ou político. Ataques de whaling contra funcionários de alto escalão do governo podem ser atos de terrorismo cibernético independentes ou patrocinados pelo Estado.
Os criminosos cibernéticos escolhem uma baleia com acesso ao seu objetivo e um remetente com acesso à baleia. Por exemplo, um cibercriminoso que deseja interceptar pagamentos para um parceiro da cadeia de suprimentos de uma empresa pode enviar ao CFO da empresa uma fatura e solicitar o pagamento do CEO do parceiro da cadeia de suprimentos. Um invasor que queira roubar dados de funcionários pode se passar pelo diretor financeiro e solicitar informações sobre a folha de pagamento ao vice-presidente de recursos humanos.
Para tornar as mensagens dos remetentes críveis e convincentes, os golpistas de whaling pesquisam minuciosamente seus alvos e remetentes, bem como as organizações onde trabalham.
Graças à quantidade de compartilhamento e conversa que as pessoas realizam nas mídia social e em outros lugares on-line, os golpistas podem encontrar muitas das informações de que precisam apenas pesquisando sites de mídia social ou na web. Por exemplo, simplesmente estudando o perfil do LinkedIn de um alvo em potencial, um invasor pode aprender o cargo, as responsabilidades, o endereço de e-mail da empresa, o nome do departamento, os nomes e títulos de colegas de trabalho e parceiros de negócios, eventos dos quais participou recentemente e planos de viagens de negócios.
Dependendo do alvo, a mídia convencional, comercial e local pode fornecer informações adicionais (por exemplo, negócios rumorosos ou concluídos, projetos para licitação, custos de construção projetados) que os golpistas podem usar. De acordo com um relatório da analista do setor Omdia, os hackers podem criar um e-mail de spear phishing convincente após cerca de 100 minutos de pesquisa geral do Google (link externo a ibm.com).
Mas, ao se preparar para um ataque de whale phishing, os golpistas muitas vezes realizam a importante etapa extra de hackear o alvo e o remetente para coletar material adicional. Isso pode ser tão simples quanto infectar os computadores do alvo e do remetente com spyware, que permite que o golpista visualize o conteúdo de arquivos para pesquisas adicionais. Golpistas mais ambiciosos invadirão a rede do remetente e obterão acesso às contas de e-mail ou mensagens de texto do remetente, onde poderão observar e se inserir em conversas reais.
Quando for a hora de atacar, o golpista enviará a(s) mensagem(s) de ataque. As mensagens de whale phishing mais eficazes parecem ser adequadas ao contexto de uma conversa contínua, incluem referências detalhadas a um projeto ou negócio específico, apresentam uma situação crível (uma tática de engenharia social chamada pretexting) e fazem uma solicitação igualmente crível. Por exemplo, um invasor disfarçado como CEO da empresa pode enviar esta mensagem ao CFO:
De acordo com a nossa conversa ontem, está anexa uma fatura dos advogados que lidam com a aquisição da BizCo. Por favor, faça o pagamento até às 17h ET amanhã, conforme especificado no contrato. Agradeço sua atenção.
Neste exemplo, a fatura anexada pode ser uma cópia de uma fatura do escritório de advocacia, modificada para direcionar o pagamento à conta bancária do golpista.
Para parecer autêntico para o alvo, as mensagens de whaling podem incorporar várias táticas de engenharia social, incluindo:
Ataques de whale phishing (como todos os ataques de phishing) estão entre os ciberataques mais difíceis de combater, pois nem sempre podem ser identificados pelas ferramentas tradicionais de segurança cibernética (baseadas em assinatura). Em muitos casos, o invasor só precisa passar pelas defesas de segurança "humanas". Ataques de whale phishing são especialmente desafiadores porque sua natureza direcionada e seu conteúdo personalizado os tornam ainda mais convincentes para o alvo ou observadores.
Ainda assim, existem medidas que as organizações podem tomar para ajudar a mitigar o impacto do whale phishing, se não evitar esses tipos de ataques completamente.
Treinamento de conscientização de segurança. Como o whale phishing explora vulnerabilidades humanas, o treinamento dos funcionários é uma importante linha de defesa contra esses ataques. O treinamento antiphishing pode incluir
Autenticação de vários fatores e adaptativa. Implementar a autenticação de vários fatores (exigir uma ou mais credenciais além de um nome de usuário e senha) e/ou autenticação adaptativa (exigir credenciais adicionais quando os usuários fazem login em diferentes dispositivos ou locais) pode impedir que hackers obtenham acesso à conta de e-mail de um usuário, mesmo que eles possam roubar a senha de e-mail do usuário.
Software de segurança. Nenhuma ferramenta de segurança isolada pode impedir totalmente o whale phishing, mas várias ferramentas podem desempenhar um papel na prevenção de ataques de whale phishing ou na minimização dos danos que eles causam:
Detecte ameaças avançadas que outras pessoas simplesmente não percebem. O QRadar SIEM aproveita a análise de dados e a IA para monitorar informações sobre ameaças, anomalias de comportamento da rede e do usuário e priorizar onde a atenção imediata e a correção são necessárias.
O IBM Trusteer Rapport ajuda as instituições financeiras a detectar e prevenir infecções por malware e ataques de phishing, protegendo seus clientes de negócios e de varejo.
Proteja endpoints contra ciberataques, detecte comportamentos anômalos e corrija em tempo real com esta solução sofisticada, porém fácil de usar, de detecção e resposta de endpoints (EDR).
Leia sobre as últimas tendências e técnicas de prevenção de whale phishing no Security Intelligence, o blog de liderança de pensamento hospedado pela IBM Security.
Ransomware é uma forma de malware que ameaça destruir ou reter os dados ou arquivos da vítima, a menos que um resgate seja pago ao invasor para descriptografar e restaurar o acesso aos dados.
Agora, em seu 17º ano, esse relatório compartilha os mais recentes insights sobre o cenário de ameaças em expansão e oferece recomendações para economizar tempo e limitar as perdas.