Un attacco di whaling è un metodo utilizzato dai cybercriminali per presentarsi come un dirigente di un'organizzazione e prendere di mira direttamente dirigenti o altri membri importanti dell'organizzazione, allo scopo di rubare denaro o informazioni sensibili o accedere ai sistemi informatici per scopi criminosi. Noto anche come frode del CEO, il whaling è simile al phishing in quanto utilizza metodi come lo spoofing di e-mail e siti Web per indurre un bersaglio a eseguire azioni specifiche, come rivelare dati sensibili o trasferire denaro.
Mentre le truffe di phishing non prendono di mira persone specifiche e lo spear-phishing è mirato contro particolari individui, il whaling porta ancora più avanti quest'ultima tecnica, non solo prendendo di mira persone chiave, ma facendo anche in modo che le comunicazioni fraudolente inviate sembrino provenire da un importante membro dell'organizzazione. Si tratta dei "pezzi grossi" dell'azienda, come l'amministratore delegato o il direttore finanziario. Ciò aggiunge un ulteriore elemento di social engineering, perché il personale è riluttante a rifiutare una richiesta da parte di qualcuno che ritiene importante.
La minaccia è molto reale e in continua crescita. Nel 2016, l'ufficio paghe di Snapchat ha ricevuto un'e-mail di whaling apparentemente inviata dal CEO in cui si chiedevano informazioni sulle buste paga dei dipendenti. L'anno scorso, il gigante dei giocattoli Mattel è rimasto vittima di un attacco di whaling dopo che un alto dirigente finanziario ha ricevuto un'e-mail in cui si richiedeva un trasferimento di denaro da un truffatore che si spacciava per il nuovo CEO. Come risultato, la società ha quasi perso 3 milioni di dollari.
Come funzionano gli attacchi di whaling e come proteggersi
Come accennato in precedenza, il whaling differisce dallo spear-phishing in quanto le comunicazioni fraudolente sembrano provenire da qualcuno di alto livello. Questi attacchi possono essere resi ancora più credibili quando i cybercriminali effettuano ricerche significative attraverso risorse disponibili liberamente come i social media per creare un approccio su misura per gli individui presi di mira.
Un'e-mail che sembra provenire da un senior manager potrebbe includere un riferimento a qualcosa che un truffatore potrebbe aver trovato online, ad esempio vedendo sui social media alcune foto di una persona alla festa di Natale in ufficio: "Ciao John, sono Steve. Eri piuttosto ubriaco giovedì scorso!" Spero che tu sia riuscito a togliere quella macchia di birra dalla tua maglietta rossa!"
Inoltre, l'indirizzo e-mail del mittente in genere sembra provenire da una fonte credibile e potrebbe persino contenere loghi aziendali o collegamenti a un sito Web fraudolento progettato per sembrare legittimo. Dal momento che il livello di fiducia e di accesso di un membro importante dell'organizzazione tende ad essere elevato, per il cybercriminale vale la pena dedicare tempo e impegno per far sembrare il più credibile possibile la richiesta.
La difesa dagli attacchi di whaling inizia con l'educare le persone chiave all'interno dell'organizzazione per garantire che siano costantemente in guardia sulla possibilità di essere prese di mira. Occorre invitare i membri chiave del personale a mantenere un sano livello di sospetto quando si tratta di contatti non richiesti, soprattutto in relazione a informazioni importanti o transazioni finanziarie. Dovrebbero sempre chiedersi se si aspettavano l'e-mail, l'allegato o il collegamento. La richiesta è in qualche modo insolita?
Dovrebbero anche essere formati a prestare attenzione ai segni rivelatori di un attacco, come indirizzi e-mail e nomi falsificati. Basta posizionare il cursore su un nome in un'e-mail per visualizzare l'indirizzo completo. Osservando attentamente, è possibile individuare se corrisponde perfettamente al nome e al formato dell'azienda. Il reparto IT dovrebbe anche svolgere simulazioni di whaling per testare la reazione del personale chiave.
I dirigenti dovrebbero anche imparare a prestare particolare attenzione quando pubblicano e condividono informazioni online su siti di social media come Facebook, Twitter e LinkedIn. Dettagli come compleanni, hobby, vacanze, posizioni lavorative, promozioni e relazioni possono essere utilizzati dai criminali informatici per realizzare attacchi più sofisticati.
Un metodo eccellente per ridurre il pericolo rappresentato dalle e-mail di spoofing consiste nel richiedere al reparto IT di contrassegnare automaticamente per la revisione le e-mail che provengono dall'esterno della rete. Il whaling spesso si basa sul fatto che i cybercriminali ingannano dipendenti chiave facendo loro credere che i messaggi provengano dall'interno dell'organizzazione, come la richiesta di un responsabile finanziario di inviare denaro su un conto. Contrassegnare le e-mail esterne rende più semplice individuare le e-mail false che in apparenza sembrano legittime, anche per chi ha un occhio inesperto.
È anche consigliabile l’implementazione di un software anti-phishing specializzato che fornisca servizi come lo screening degli URL e la convalida dei collegamenti. È inoltre utile considerare l'aggiunta di un ulteriore livello di convalida quando si tratta di divulgare informazioni sensibili o di trasferire una grande quantità di fondi. Ad esempio, un incontro di persona o una telefonata possono essere il sistema migliore per gestire attività critiche o sensibili, anziché eseguire semplicemente la transazione in formato elettronico.
Inoltre, quando si tratta di truffe su Internet, la prudenza non è mai troppa. Prendete in considerazione la possibilità di modificare le procedure dell'organizzazione in modo che due persone, anziché una, debbano firmare i pagamenti. Questo non solo dà a una persona un secondo punto di vista per confrontarsi su eventuali dubbi, ma elimina anche il timore di essere puniti dal membro più importante dell'organizzazione qualora questo fosse infastidito da un rifiuto, perché la paura è una tattica chiave di social engineering su cui fanno affidamento gli autori degli attacchi.
