Che cos'è il whale phishing?

Gli obiettivi del whale phishing sono i dirigenti di primo livello (CEO, CFO, COO), altri dirigenti senior, titolari di cariche politiche e leader aziendali, che possono autorizzare grossi pagamenti, bonifici bancari o il rilascio di informazioni sensibili senza l'approvazione di altri. Questi obiettivi sono chiamati whale (balene), dal termine gergale che indica i clienti (o i giocatori d'azzardo) che possono muovere più denaro della media delle persone.

È importante comprendere la relazione tra phishing, spear phishing e whale phishing, soprattutto perché i termini vengono spesso utilizzati in modo intercambiabile, errato o decontestualizzato.

Il phishing è qualsiasi e-mail, messaggio di testo o telefonata fraudolenta progettata per indurre gli utenti a scaricare malware (tramite un collegamento o un allegato dannoso), condividere informazioni sensibili, inviare denaro a criminali o intraprendere altre azioni che espongono se stessi o le proprie organizzazioni alla criminalità informatica.

Tutti quelli che su un computer o uno smartphone hanno probabilmente subito un attacco di phishing massivo, sostanzialmente un messaggio che sembra provenire da un'azienda od organizzazione ben nota, descrivono una situazione comune o credibile che richiede un'azione urgente, ad esempio: La tua carta di credito è stata rifiutata. Fai clic sul collegamento sottostante per aggiornare le informazioni di pagamento. I destinatari che fanno clic sul link vengono indirizzati a un sito web malevole che potrebbe sottrarre il numero della loro carta di credito o scaricare malware sui loro computer.

Una campagna di bulk phishing è caratterizzata dall'elevata quantità di destinatari. Gli aggressori inviano messaggi a quante più persone possibili, sapendo che una certa percentuale abboccherà. Uno studio ha rilevato oltre 255 milioni di messaggi di phishing durante un periodo di sei mesi nel 2022. Secondo il report Cost of a Data Breach 2024 di IBM, il phishing è stata la seconda causa più comune di violazione dei dati nel 2024 e il metodo più comune per inviare ransomware alle vittime.

Lo spear phishing è un attacco di phishing che prende di mira uno specifico individuo o gruppo di individui all'interno di un'organizzazione. Gli attacchi di spear phishing vengono tipicamente lanciati contro manager di medio livello che possono autorizzare pagamenti o trasferimenti di dati, come i responsabili dei conti correnti e i direttori delle risorse umane, da un aggressore che si spaccia per un collega competente sull'operazione o per un collega (un fornitore, un partner commerciale, un consulente) di cui l'obiettivo si fida.

Gli attacchi di spear phishing sono più personalizzati rispetto agli attacchi di phishing massivi e richiedono più lavoro e ricerca. Un lavoro extra che può ripagare abbondantemente i criminali informatici. Ad esempio, gli spear phisher hanno sottratto più di 100 milioni di dollari a Facebook e Google tra il 2013 e il 2015 spacciandosi per veri fornitori e inducendo gli addetti a pagare fatture false.

Un whale phishing o whaling attack è un attacco di spear phishing rivolto esclusivamente a un dirigente o funzionario di alto livello. L'aggressore impersona tipicamente un pari grado all'interno dell'azienda dell'obiettivo, oppure un collega o un associato di pari livello o di livello superiore di un'altra azienda.

I messaggi di whale phishing sono altamente personalizzati. Gli aggressori si preoccupano di impersonare lo stile di scrittura del mittente reale e, quando possibile, di fare riferimento al contesto delle conversazioni commerciali in corso. I truffatori di whale phishing spesso spiano le conversazioni tra il mittente e l'obiettivo; molti provano a prendere il controllo dell'effettivo account di posta elettronica o di messaggistica del mittente per inviare il messaggio di attacco direttamente da lì, con la massima autenticità.

Poiché i whaling attack sono rivolti a persone che possono autorizzare pagamenti più consistenti, offrono all'aggressore la possibilità di ottenere un guadagno immediato più elevato.

Il whaling viene talvolta equiparato al business email compromise (BEC), un altro tipo di attacco di spear phishing in cui l'aggressore invia all'obiettivo e-mail fraudolente che sembrano provenire da un collega. La BEC non è sempre whaling (perché spesso prende di mira dipendenti di livello inferiore) e il whaling non è sempre BEC (perché non sempre coinvolge la posta elettronica), ma molti degli attacchi whaling più riusciti coinvolgono anche attacchi BEC. Per esempio:

• Nel 2015, Ubiquity Networks ha perso quasi 47 milioni di dollari in soli 17 giorni quando dei criminali informatici hanno utilizzato il whale phishing spacciandosi per il CEO e il Chief Counsel dell'azienda, inviando e-mail in cui convincevano il Chief Accounting Officer a eseguire una serie di bonifici bancari per finanziare un'acquisizione segreta.
  
  
• Nel 2018, Pathe Film Group ha perso 19,2 milioni di euro (21 milioni di dollari) quando alcuni truffatori che si spacciavano per il CEO alla sede centrale di Pathe in Francia hanno inviato un email al direttore della filiale olandese, richiedendo bonifici bancari per finanziare un'acquisizione.
  
  
• Sempre nel 2018, i criminali informatici che si sono spacciati per il CEO, i dirigenti e i consulenti legali dell'azienda italiana Tecnimont SpA sono riusciti a ingannare il leader dell'unità di business indiana dell'azienda, convincendolo a trasferire 1,3 miliardi di INR (18,25 milioni di dollari) a una banca di Hong Kong, sempre apparentemente per finanziare un'acquisizione. Nell'ambito di questa truffa, gli aggressori hanno fatto un passo in più, inscenando diverse false conferenze telefoniche per discutere i dettagli dell'acquisizione.

Phishing, spear phishing e whale phishing sono tutti esempi di attacchi di ingegneria sociale, attacchi che sfruttano principalmente le vulnerabilità umane piuttosto che quelle tecniche per compromettere la sicurezza. Poiché lasciano molte meno tracce digitali rispetto al malware o all'hacking, questi attacchi possono essere molto più difficili da rilevare o prevenire per i team di sicurezza e i professionisti della cybersecurity.

La maggior parte dei whaling attack mira a sottrarre ingenti somme di denaro a un'organizzazione, inducendo con l'inganno un funzionario di alto livello a effettuare, autorizzare o ordinare un bonifico bancario verso un fornitore o un conto bancario fraudolento. Ma i whaling attack possono avere altri obiettivi, tra cui:

• Rubare dati sensibili o informazioni riservate. Ciò può includere il furto di dati personali, come informazioni sulle buste paga dei dipendenti o dati finanziari personali dei clienti. Le truffe di whale phishing possono colpire anche la proprietà intellettuale, i segreti commerciali e altre informazioni sensibili.
  
  
• Rubare le credenziali degli utenti. Alcuni criminali informatici lanciano un attacco preliminare di whale phishing per rubare le credenziali di posta elettronica, in modo da poter lanciare un successivo attacco di whale phishing dall'account di posta elettronica compromesso. Altri utilizzano le credenziali per ottenere un accesso di alto livello alle risorse o ai dati sulla rete dell'obiettivo.
  
  
• Impiantare il malware. Una parte relativamente piccola degli attacchi di whale phishing cerca di ingannare gli obiettivi per diffondere ransomware o altre minacce informatiche aprendo un allegato dannoso o visitando un sito web malevole.

Anche in questo caso, la maggior parte degli attacchi di whale phishing sono motivati dal denaro. Ma possono anche essere motivati da una vendetta personale nei confronti di un dirigente o di un'azienda, da pressioni della concorrenza o da attivismo sociale o politico. I whaling attack contro funzionari governativi di alto livello possono essere atti di cyberterrorismo indipendente o sponsorizzato da altri Stati.

I criminali informatici scelgono una whale con accesso al loro obiettivo e un mittente con accesso alla loro whale. Ad esempio, un criminale informatico che desidera intercettare i pagamenti verso un partner della supply chain di un'azienda, potrebbe inviare una fattura richiedendone il pagamento al CEO del partner della supply chain. Un utente malintenzionato che desidera rubare i dati dei dipendenti potrebbe spacciarsi per il CFO e richiedere informazioni sui salari al vicepresidente delle risorse umane.

Per rendere i messaggi dei mittenti credibili e convincenti, i truffatori di whaling effettuano ricerche approfondite sui loro obiettivi e sui mittenti, nonché sulle organizzazioni in cui lavorano.

Grazie alla grande quantità di condivisioni e chat che le persone conducono sui social media e online, i truffatori possono trovare gran parte delle informazioni di cui hanno bisogno semplicemente effettuando una ricerca sui social media o sul web. Ad esempio, studiando semplicemente il profilo LinkedIn di un potenziale obiettivo, un aggressore può conoscere il titolo di lavoro, le responsabilità, l'indirizzo e-mail aziendale, il nome del dipartimento, i nomi e i titoli dei colleghi e dei partner commerciali, gli eventi a cui ha partecipato di recente e i piani di viaggio per lavoro.

A seconda dell'obiettivo, i media tradizionali, commerciali e locali possono fornire ulteriori informazioni che i truffatori possono utilizzare, come offerte in corso o già concluse, progetti per gare e costi di costruzione previsti. Gli hacker spesso riescono a creare un'e-mail di spear phishing convincente semplicemente effettuando una ricerca generica su Google.

Ma quando si preparano a un attacco di whale phishing, i truffatori spesso compiono il decisivo passo in più di hackerare l'obiettivo e il mittente per raccogliere ulteriore materiale. Una cosa che può essere semplice come infettare i computer del bersaglio e del mittente con uno spyware che consenta al truffatore di visualizzare i contenuti dei file per affinare le ricerche. I truffatori più ambiziosi si introducono nella rete del mittente e ottengono l'accesso ai suoi account di posta elettronica o di messaggistica, dove possono osservare e inserirsi nelle conversazioni reali.

Quando è il momento di colpire, il truffatore invia i messaggi di attacco. I messaggi di whale phishing più efficaci sembrano inserirsi nel contesto di una conversazione in corso, includendo riferimenti dettagliati a un progetto o a un affare specifico, presentando una situazione credibile (una tattica di ingegneria sociale chiamata pretexting) e facendo una richiesta altrettanto credibile. Ad esempio, un utente malintenzionato nei panni del CEO dell'azienda potrebbe inviare questo messaggio al CFO:

Come da nostra conversazione di ieri, in allegato trova la fattura degli avvocati che si occupano dell'acquisizione di BizCo. La prego di procedere al pagamento entro le 17 CET di domani, come specificato nel contratto. Grazie.

In questo esempio, la fattura allegata potrebbe essere una copia di una fattura dello studio legale, modificata per effettuare il pagamento direttamente sul conto bancario del truffatore.

Per apparire autentici all'obiettivo, i messaggi di whaling possono contenere più tattiche di ingegneria sociale, tra cui:

• Domini di posta elettronica contraffatti. Se gli aggressori non possono accedere all'account di posta elettronica del mittente, creeranno domini di posta elettronica simili (ad esempio, bill.smith@cornpany.com per bill.smith@company.com). Le e-mail di whaling possono anche contenere firme e-mail copiate, dichiarazioni sulla privacy e altri riferimenti visuali che le fanno apparire autentiche a prima vista.
  
  
• Un senso di urgenza. La pressione delle tempistiche, ad esempio riferimenti a scadenze critiche o penali per ritardi, può spingere l'obiettivo ad agire più velocemente, senza un'attenta considerazione della richiesta.
  
  
• Insistenza sulla riservatezza. I messaggi di whaling spesso contengono istruzioni come ad esempio tienilo per te per ora per evitare che l'obiettivo contatti altri che potrebbero mettere in dubbio la richiesta.
  
  
• Backup del phishing vocale (vishing). Sempre più spesso i messaggi di phishing includono numeri di telefono che l'obiettivo può chiamare per avere conferma. Alcuni truffatori fanno seguire alle e-mail di phishing messaggi di posta vocale che utilizzano un'imitazione basata sull'intelligenza artificiale della voce del presunto mittente.

Gli attacchi di whale phishing, come tutti gli attacchi di phishing, sono tra gli attacchi informatici più difficili da combattere, perché non possono sempre essere identificati dai tradizionali strumenti di cybersecurity (basati sulla firma). In molti casi, l'aggressore deve solo superare le difese di sicurezza "umane". Gli attacchi di whale phishing sono particolarmente impegnativi, perché la loro natura mirata e i contenuti personalizzati li rendono ancora più convincenti per la vittima o per gli osservatori.

Tuttavia, ci sono misure che le organizzazioni possono adottare per contribuire a mitigare l'impatto del whale phishing, se non a prevenire del tutto questo tipo di attacchi.

Formazione sulla sensibilizzazione alla sicurezza.Poiché il whale phishing approfitta delle vulnerabilità umane, la formazione dei dipendenti rappresenta un'importante linea di difesa contro questi attacchi. La formazione anti-phishing può includere:

• Insegnare ai dipendenti le tecniche per riconoscere le e-mail sospette (controllando i nomi dei mittenti di posta elettronica per riconoscere i nomi di dominio fraudolenti)
  
  
• Dare suggerimenti su come evitare la "condivisione eccessiva" sui social network
  
  
• Promuovere abitudini di lavoro sicure, ad esempio non aprire mai allegati non richiesti, confermare richieste di pagamento insolite attraverso un secondo canale, telefonare ai fornitori per confermare le fatture, navigare direttamente nei siti web invece di fare clic sui collegamenti all'interno delle e-mail
  
  
• Simulazioni di whale phishing in cui i dirigenti possono applicare ciò che apprendono

Autenticazione a più fattori e adattiva. L'implementazione dell'autenticazione a più fattori (richiedendo una o più credenziali oltre a nome utente e password) e/o dell'autenticazione adattiva (richiedendo ulteriori credenziali quando gli utenti effettuano l'accesso da diversi dispositivi o luoghi) può impedire agli hacker di accedere all'account e-mail di un utente, anche se sono in grado di rubarne la password.

Software di sicurezza. Nessun singolo strumento di sicurezza può prevenire del tutto il whale phishing, tuttavia diversi strumenti possono svolgere un ruolo nel prevenire questo tipo di attacchi o ridurre al minimo i danni che causano:

• Alcuni strumenti di sicurezza della posta elettronica, tra cui i software anti-phishing basati sull'AI, i filtri antispam e i gateway di posta elettronica sicuri, possono aiutare a rilevare e deviare le e-mail di whale phishing.
  
  
• Il software antivirus può aiutare a neutralizzare lo spyware o il malware che gli aggressori potrebbero utilizzare per hackerare le reti obiettivo, per condurre ricerche, intercettare conversazioni o assumere il controllo degli account di posta elettronica. Può anche aiutare a neutralizzare le infezioni da ransomware o malware causate dal whale phishing.
  
  
• Le patch di sistema e software possono chiudere le vulnerabilità tecniche comunemente sfruttate dagli autori di spear phishing.
  
  
• I gateway web sicuri e altri strumenti di filtraggio web possono bloccare i siti web dannosi collegati alle e-mail di whale phishing.
  
  
• Le soluzioni per la sicurezza aziendale possono aiutare i team addetti alla sicurezza e i centri operativi per la sicurezza (SOC) a rilevare e intercettare il traffico dannoso e l'attività di rete legati agli attacchi di whale phishing. Queste soluzioni comprendono (ma non solo) l'orchestrazione della sicurezza, l'automazione e la risposta (SOAR), la gestione degli incidenti e degli eventi di sicurezza (SIEM), il rilevamento degli endpoint e la risposta (EDR), il rilevamento e la risposta della rete (NDR) e il rilevamento e la risposta estesi (XDR).