Che cos'è la caccia alle balene?
Il whaling è un tipo sofisticato di attacco di spear phishing in cui gli attori delle minacce prendono di mira direttamente gli attori di alto livello di un'organizzazione o si fingono tali per ingannare gli altri. Un esempio comune è quello di prendere di mira l'amministratore delegato di un'azienda o di fingere di essere l'amministratore delegato per ingannare altri essential componenti di un'organizzazione, come i direttori finanziari, i reparti paghe, i team di sicurezza o i portavoce.
I criminali informatici possono utilizzare complesse strategie di social engineering per eseguire con successo gli attacchi whaling, perché sanno che i leader delle organizzazioni moderne utilizzano diverse strategie e strumenti di mitigazione del phishing. Purtroppo, può essere difficile catturare gli aggressori perché spesso mascherano la loro posizione e nascondono le loro impronte digitali.
Che cos'è il whaling rispetto al phishing?
Prima di approfondire cos'è il whaling o come funzionano gli attacchi, dovremmo rispondere alla domanda più frequente: cos'è il phishing nella sicurezza informatica? In poche parole, il phishing è quando gli attori delle minacce si presentano falsamente come parti fidate per ottenere la fiducia di una vittima e rubarle denaro o informazioni sensibili. Contrariamente a quanto si pensa, gli attacchi di phishing non si limitano alle e-mail. Ad esempio, gli attacchi di phishing che utilizzano i messaggi di testo sono chiamati smishing, mentre gli attacchi di phishing che utilizzano le comunicazioni vocali sono chiamati vishing.
Le e-mail di phishing sono solitamente rivolte a molti utenti di Internet e sono più facili da individuare perché gli attori delle minacce le progettano per un pubblico di massa. Infatti, inviano miliardi di e-mail di phishing ogni giorno. Tuttavia, gli attacchi di phishing possono anche essere più mirati.
Che cos'è un attacco di spear-phishing?
Un attacco di spear-phishing è un tipo di attacco di phishing più mirato in cui gli attori delle minacce personalizzano le e-mail per attaccare un gruppo specifico di persone, come i dipendenti di un dipartimento finanziario. Possono raccogliere dati da spyware o da fonti su Internet come le pagine dei social media per raccogliere nomi, titoli di lavoro, indirizzi e-mail e altro ancora per progettare un attacco di spear-phishing persuasivo. Tattiche simili possono aiutare gli hacker a lanciare attacchi di tipo whaling.
Perché si chiama attacco alle balene?
I termini phishing, spear-phishing e whaling sono tutti analoghi alla pesca. Mentre i pescatori gettano in acqua una lenza con un'esca, sperando di catturare uno dei tanti pesci presenti nel mare, un hacker invia e-mail di phishing a molte persone sperando di catturare almeno una vittima. Allo stesso modo, proprio come alcuni esperti di pesca usano le lance per cacciare singoli pesci, gli attori delle minacce usano il phishing con lance per obiettivi specifici.
Per quanto riguarda le balene, questi mammiferi sono i pesci più grandi del mare e un obiettivo di grande valore per alcuni pescatori. Allo stesso modo, anche gli attacchi di cybersecurity mirano a obiettivi lucrativi come i dirigenti di un'azienda.
Come funziona un attacco baleniero?
Poiché gli obiettivi di alto livello sono diffidenti nei confronti degli attacchi di phishing, gli hacker utilizzano varie strategie per far sì che la loro campagna di whaling abbia successo. Ad esempio, possono prelevare la pagina LinkedIn di un dirigente per dare un tocco personale alla loro campagna. In effetti, le violazioni della sicurezza sono il motivo per cui forse non si dovrebbe usare affatto LinkedIn. Un aggressore può anche ricercare il gergo del settore per apparire legittimo e sfruttare le emozioni dell'obiettivo offrendo un'opportunità commerciale redditizia. Dopo aver completato la fase di raccolta delle informazioni, può utilizzare i seguenti vettori di attacco whale phishing:
- E-mail: Come già menzionato in precedenza, le e-mail create su misura per manipolare gli obiettivi sono un vettore di attacco comune e utilizzano allegati, link o siti Web dannosi.
- Telefono: Il National Cyber Security Center del Regno Unito ha osservato che gli aggressori potrebbero utilizzare e-mail e telefonate in una strategia 1-2 punch in cui la telefonata segue l'e-mail per rafforzare il phishing.
- Pretesto: I truffatori possono fare amicizia con un obiettivo sui social media fingendo di essere un potenziale partner commerciale, un interesse amoroso, un collega del settore o una figura autoritaria come un funzionario del fisco.
- Adescamento: L'aggressore può invogliare l'obiettivo a utilizzare un'unità USB infetta dall'aspetto autentico, lasciandola in ufficio, nell'armadietto della palestra o spedendola a casa.
Qual è l'obiettivo degli attacchi alle balene?
- Denaro: Gli aggressori possono utilizzare l'attacco di spear-phishing per indurre le vittime a inviare denaro tramite bonifico bancario o per estorcere denaro a un'organizzazione dopo l'esfiltrazione dei dati.
- Controllo: Un hacker può utilizzare le credenziali rubate per spostarsi lateralmente nella rete di un'organizzazione o per aprire backdoor.
- Attacco alla catena di approvvigionamento: Un attacco alla catena di approvvigionamento è quando gli hacker colpiscono le organizzazioni violando gli elementi vulnerabili della loro catena di approvvigionamento. Con il whale phishing, un criminale informatico potrebbe teoricamente attaccare un governo violando il suo fornitore per un attacco man-in-the-middle.
- Spionaggio aziendale: Con un attacco di whaling riuscito, un hacker può rubare proprietà intellettuale o altri segreti commerciali per aiutare i concorrenti, a volte in un altro Paese.
- Malware: Una banda di criminali informatici può ingannare le vittime di un attacco whaling e indurle a installare malware pericolosi come ransomware, keylogger o rootkit.
- Vendetta personale: la vittima di un attacco baleniero può subire una perdita catastrofica della propria reputazione.
Qual è un esempio di caccia alle balene?
Nel corso degli anni si sono verificati numerosi attacchi alle balene, che alcuni media chiamano anche truffe via e-mail di CEO. Ecco alcuni esempi:
2015: Una filiale di Hong Kong della società wireless Ubiquiti Networks Inc. è stata defraudata di 46,7 milioni di dollari dopo che una falsa e-mail ha ingannato un dipendente della finanza.
2015: Un dirigente finanziario del gigante della produzione di giocattoli Mattel ha versato 3 milioni di dollari a un truffatore dopo aver ricevuto una richiesta fraudolenta che sembrava provenire dal nuovo CEO.
2016: Un produttore aerospaziale austriaco di nome FACC ha licenziato il suo amministratore delegato dopo aver perso 58 milioni di dollari in una truffa via e-mail con le balene.
2016: Un dipendente delle risorse umane di Snapchat ha fatto trapelare i dati delle buste paga dei dipendenti dopo una truffa via e-mail del CEO.
2017: Gli hacker hanno truffato un piccolo imprenditore di 50.000 dollari con un attacco man-in-the-middle di tipo whaling.
2020: I criminali informatici hanno utilizzato un link maligno per attaccare il co-fondatore di un hedge fund australiano con una frode, costringendo l'azienda a chiudere.
Come prevenire gli attacchi delle balene?
Un'organizzazione può ridurre la minaccia di attacchi whaling imparando a rilevare i tentativi di phishing da parte degli hacker, ad esempio controllando l'URL, l'indirizzo e-mail, i link e gli allegati di un'e-mail alla ricerca di segnali rossi. Allo stesso modo, il linguaggio, il tono e la grammatica di un'e-mail possono essere un indizio. Oltre all'addestramento anti-phishing, anche la simulazione di attacchi whaling può migliorare le capacità di individuazione del phishing di un team. Per un'ulteriore protezione, le aziende dovrebbero utilizzare un software di cybersecurity che blocchi i vettori di attacco whaling, come i siti web di truffa.