È importante comprendere la relazione tra phishing, spear phishing e whale phishing, soprattutto perché i termini vengono spesso utilizzati in modo intercambiabile, errato o decontestualizzato.

Il phishing è qualsiasi e-mail, messaggio di testo o telefonata fraudolenta progettata per indurre gli utenti a scaricare malware (tramite un collegamento o un allegato dannoso), condividere informazioni sensibili, inviare denaro a criminali o intraprendere altre azioni che espongono se stessi o le proprie organizzazioni alla criminalità informatica.

Tutti quelli che su un computer o uno smartphone hanno probabilmente subito un attacco di phishing massivo, sostanzialmente un messaggio che sembra provenire da un'azienda od organizzazione ben nota, descrivono una situazione comune o credibile che richiede un'azione urgente, ad esempio: La tua carta di credito è stata rifiutata. Fai clic sul collegamento sottostante per aggiornare le informazioni di pagamento. I destinatari che fanno clic sul link vengono indirizzati a un sito web malevole che potrebbe sottrarre il numero della loro carta di credito o scaricare malware sui loro computer.

Una campagna di phishing massivo si riduce a una questione di numeri. Gli aggressori inviano messaggi a quante più persone possibile, sapendo che una certa percentuale abboccherà. Uno studio ha rilevato oltre 255 milioni di messaggi di phishing durante un periodo di sei mesi nel 2022 (link esterno a ibm.com). Secondo il report Cost of a Data Breach 2022  di IBM, il phishing è stata la seconda causa più comune di violazione dei dati nel 2022 e il metodo più comune per fornire ransomware alle vittime.

Lo spear phishing è un attacco di phishing che prende di mira uno specifico individuo o gruppo di individui all'interno di un'organizzazione. Gli attacchi di spear phishing vengono tipicamente lanciati contro manager di medio livello che possono autorizzare pagamenti o trasferimenti di dati, come i responsabili dei conti correnti e i direttori delle risorse umane, da un aggressore che si spaccia per un collega competente sull'operazione o per un collega (un fornitore, un partner commerciale, un consulente) di cui l'obiettivo si fida.

Gli attacchi di spear phishing sono più personalizzati rispetto agli attacchi di phishing massivi e richiedono più lavoro e ricerca. Un lavoro extra che può ripagare abbondantemente i criminali informatici. Ad esempio, gli spear phisher hanno rubato più di USD 100 milioni a Facebook e Google tra il 2013 e il 2015 spacciandosi per veri fornitori e inducendo i dipendenti a pagare fatture fraudolente (link esterno a ibm.com ).

Un whale phishing o whaling attack è un attacco di spear phishing rivolto esclusivamente a un dirigente o funzionario di alto livello. L'aggressore impersona tipicamente un pari grado all'interno dell'azienda dell'obiettivo, oppure un collega o un associato di pari livello o di livello superiore di un'altra azienda.

I messaggi di whale phishing sono altamente personalizzati. Gli aggressori si preoccupano di impersonare lo stile di scrittura del mittente reale e, quando possibile, di fare riferimento al contesto delle conversazioni commerciali in corso. I truffatori di whale phishing spesso spiano le conversazioni tra il mittente e l'obiettivo; molti provano a prendere il controllo dell'effettivo account di posta elettronica o di messaggistica del mittente per inviare il messaggio di attacco direttamente da lì, con la massima autenticità.

Poiché i whaling attack sono rivolti a persone che possono autorizzare pagamenti più consistenti, offrono all'aggressore la possibilità di ottenere un guadagno immediato più elevato.

Il whaling viene talvolta equiparato al business email compromise (BEC), un altro tipo di attacco di spear phishing in cui l'aggressore invia all'obiettivo e-mail fraudolente che sembrano provenire da un collega. La BEC non è sempre whaling (perché spesso prende di mira dipendenti di livello inferiore) e il whaling non è sempre BEC (perché non sempre coinvolge la posta elettronica), ma molti degli attacchi whaling più riusciti coinvolgono anche attacchi BEC. Per esempio:

• Nel 2015, Ubiquity Networks ha perso quasi USD 47 milioni in soli 17 giorni (link esterno a ibm.com) quando gli aggressori di whale phishing, spacciandosi per CEO e Chief Counsel dell'azienda, hanno inviato e-mail convincendo il Chief Accounting Officer a effettuare una serie di bonifici bancari per finanziare un'acquisizione segreta.
  
  
• Nel 2018, Pathe Film Group ha perso EUR 19,2 milioni (USD 21 milioni) (link esterno a ibm.com) quando i truffatori che fingevano di essere il CEO della sede centrale di Pathe in Francia hanno inviato un'e-mail al CEO della sede olandese, richiedendo bonifici bancari per finanziare un'acquisizione.
  
  
• Sempre nel 2018, gli aggressori che si sono spacciati per CEO, alti dirigenti e consulenti legali dell'azienda italiana Tecnimont SpA hanno ingannato il responsabile della business unit indiana dell'azienda inducendolo a trasferire INR 1,3 miliardi (USD 18,25 milioni) a una banca di Hong Kong (link esterno a IBM.com), anche qui per finanziare una finta acquisizione. In questa truffa, gli aggressori hanno fatto un passo ulteriore organizzando diverse false teleconferenze per discutere i dettagli dell'"acquisizione".

Phishing, spear phishing e whale phishing sono tutti esempi di attacchi di ingegneria sociale, attacchi che sfruttano principalmente le vulnerabilità umane piuttosto che quelle tecniche per compromettere la sicurezza. Poiché lasciano molte meno tracce digitali rispetto al malware o all'hacking, questi attacchi possono essere molto più difficili da rilevare o prevenire per i team di sicurezza e i professionisti della cybersecurity.

La maggior parte dei whaling attack mira a sottrarre ingenti somme di denaro a un'organizzazione, inducendo con l'inganno un funzionario di alto livello a effettuare, autorizzare o ordinare un bonifico bancario verso un fornitore o un conto bancario fraudolento. Ma i whaling attack possono avere altri obiettivi, tra cui:

• Rubare dati sensibili o informazioni riservate. Ciò può includere il furto di dati personali, come informazioni sulle buste paga dei dipendenti o dati finanziari personali dei clienti. Le truffe di whale phishing possono colpire anche la proprietà intellettuale, i segreti commerciali e altre informazioni sensibili.
  
  
• Rubare le credenziali degli utenti. Alcuni criminali informatici lanciano un attacco preliminare di whale phishing per rubare le credenziali di posta elettronica, in modo da poter lanciare un successivo attacco di whale phishing dall'account di posta elettronica compromesso. Altri utilizzano le credenziali per ottenere un accesso di alto livello alle risorse o ai dati sulla rete dell'obiettivo.
  
  
• Impiantare il malware. Una parte relativamente piccola degli attacchi di whale phishing cerca di ingannare gli obiettivi per diffondere ransomware o altre minacce informatiche aprendo un allegato dannoso o visitando un sito web malevole.

Anche in questo caso, la maggior parte degli attacchi di whale phishing sono motivati dal denaro. Ma possono anche essere motivati da una vendetta personale nei confronti di un dirigente o di un'azienda, da pressioni della concorrenza o da attivismo sociale o politico. I whaling attack contro funzionari governativi di alto livello possono essere atti di cyberterrorismo indipendente o sponsorizzato da altri Stati.

I criminali informatici scelgono una whale con accesso al loro obiettivo e un mittente con accesso alla loro whale. Ad esempio, un criminale informatico che desidera intercettare i pagamenti verso un partner della supply chain di un'azienda, potrebbe inviare una fattura richiedendone il pagamento al CEO del partner della supply chain. Un utente malintenzionato che desidera rubare i dati dei dipendenti potrebbe spacciarsi per il CFO e richiedere informazioni sui salari al vicepresidente delle risorse umane.

Per rendere i messaggi dei mittenti credibili e convincenti, i truffatori di whaling effettuano ricerche approfondite sui loro obiettivi e sui mittenti, nonché sulle organizzazioni in cui lavorano.

Grazie alla grande quantità di condivisioni e chat che le persone conducono sui social media e online, i truffatori possono trovare gran parte delle informazioni di cui hanno bisogno semplicemente effettuando una ricerca sui social media o sul web. Ad esempio, studiando semplicemente il profilo LinkedIn di un potenziale obiettivo, un aggressore può conoscere il titolo di lavoro, le responsabilità, l'indirizzo e-mail aziendale, il nome del dipartimento, i nomi e i titoli dei colleghi e dei partner commerciali, gli eventi a cui ha partecipato di recente e i piani di viaggio per lavoro.

A seconda dell'obiettivo, i media tradizionali, commerciali e locali possono fornire ulteriori informazioni che i truffatori possono utilizzare, come offerte in corso o già concluse, progetti per gare e costi di costruzione previsti. Gli hacker spesso riescono a creare un'e-mail di spear phishing convincente semplicemente effettuando una ricerca generica su Google.

Ma quando si preparano a un attacco di whale phishing, i truffatori spesso compiono il decisivo passo in più di hackerare l'obiettivo e il mittente per raccogliere ulteriore materiale. Una cosa che può essere semplice come infettare i computer del bersaglio e del mittente con uno spyware che consenta al truffatore di visualizzare i contenuti dei file per affinare le ricerche. I truffatori più ambiziosi si introducono nella rete del mittente e ottengono l'accesso ai suoi account di posta elettronica o di messaggistica, dove possono osservare e inserirsi nelle conversazioni reali.

Quando è il momento di colpire, il truffatore invia i messaggi di attacco. I messaggi di whale phishing più efficaci sembrano inserirsi nel contesto di una conversazione in corso, includendo riferimenti dettagliati a un progetto o a un affare specifico, presentando una situazione credibile (una tattica di ingegneria sociale chiamata pretexting) e facendo una richiesta altrettanto credibile. Ad esempio, un utente malintenzionato nei panni del CEO dell'azienda potrebbe inviare questo messaggio al CFO:

Come da nostra conversazione di ieri, in allegato trova la fattura degli avvocati che si occupano dell'acquisizione di BizCo. La prego di procedere al pagamento entro le 17 CET di domani, come specificato nel contratto. Grazie.

In questo esempio, la fattura allegata potrebbe essere una copia di una fattura dello studio legale, modificata per effettuare il pagamento direttamente sul conto bancario del truffatore.

Per apparire autentici all'obiettivo, i messaggi di whaling possono contenere più tattiche di ingegneria sociale, tra cui:

• Domini di posta elettronica contraffatti. Se gli aggressori non possono accedere all'account di posta elettronica del mittente, creeranno domini di posta elettronica simili (ad esempio, bill.smith@cornpany.com per bill.smith@company.com). Le e-mail di whaling possono anche contenere firme e-mail copiate, dichiarazioni sulla privacy e altri riferimenti visuali che le fanno apparire autentiche a prima vista.
  
  
• Un senso di urgenza. La pressione delle tempistiche, ad esempio riferimenti a scadenze critiche o penali per ritardi, può spingere l'obiettivo ad agire più velocemente, senza un'attenta considerazione della richiesta.
  
  
• Insistenza sulla riservatezza. I messaggi di whaling spesso contengono istruzioni come ad esempio tienilo per te per ora per evitare che l'obiettivo contatti altri che potrebbero mettere in dubbio la richiesta.
  
  
• Backup del phishing vocale (vishing). Sempre più spesso i messaggi di phishing includono numeri di telefono che l'obiettivo può chiamare per avere conferma. Alcuni truffatori fanno seguire alle e-mail di phishing messaggi di posta vocale che utilizzano un'imitazione basata sull'intelligenza artificiale della voce del presunto mittente.