O que é um ataque whaling (whale phishing)?

Whaling é um tipo sofisticado de ataque de spear phishing em que criminosos cibernéticos visam diretamente figuras de alto escalão em uma organização ou se fazem passar por eles para enganar os outros.

.st0{fill:#0D3ECC;} DOWNLOAD MALWAREBYTES FOR FREE

Também para Windows, iOS, Android, Chromebook e Para Empresas

O que é whaling?

Whaling é um tipo sofisticado de spear phishing em que criminosos cibernéticos visam diretamente figuras de alto escalão em uma organização ou se fazem passar por eles para enganar outras partes essenciais, como CFOs, departamentos de folha de pagamento, equipes de segurança ou porta-vozes.

Os cibercriminosos podem usar estratégias complexas de engenharia social para executar ataques de whaling com sucesso, pois sabem que os líderes de organizações modernas usam várias estratégias e ferramentas de mitigação de phishing. Infelizmente, pode ser desafiador capturar os atacantes, já que eles frequentemente mascaram suas localizações e escondem seus rastros digitais.

Qual é a diferença entre whaling e phishing

Antes de nos aprofundarmos no que é whaling ou como funcionam os ataques whaling, provavelmente devemos responder à pergunta frequente: o que é phishing em segurança cibernética? Em poucas palavras, phishing é quando os agentes de ameaças se apresentam falsamente como partes confiáveis para ganhar a confiança de uma vítima e roubar seu dinheiro ou informações confidenciais. Ao contrário do que se pensa, os ataques de phishing não se limitam a e-mails. Por exemplo, os ataques de phishing que usam mensagens de texto são chamados de smishinge os ataques de phishing que usam comunicações de voz são chamados de vishing.

E-mails de phishing geralmente visam muitos usuários da Internet e são mais fáceis de detectar porque os criminosos cibernéticos os designam para uma audiência em massa. Na verdade, eles enviam bilhões de e-mails de phishing todos os dias. No entanto, os ataques de phishing também podem ser mais direcionados. 

O que é um ataque de spear phishing?

Um ataque de spear phishing é um tipo mais direcionado de ataque de phishing, onde criminosos cibernéticos adaptam e-mails para atacar um grupo específico de pessoas, como funcionários de um departamento financeiro. Eles podem coletar dados de spyware ou fontes na Internet, como páginas de redes sociais, para reunir nomes, cargos, endereços de e-mail, entre outros, a fim de criar um ataque de spear phishing persuasivo. Táticas similares podem ajudar hackers a lançarem ataques de whaling.

Por que se chama ataque de whaling?

Os termos phishing, spear-phishing e whaling são todos análogos à pesca. Enquanto os pescadores lançam uma linha de pesca com isca na água, na esperança de pegar um dos muitos peixes no mar, um hacker envia e-mails de phishing para muitas pessoas, na esperança de pegar pelo menos uma vítima. Da mesma forma, assim como alguns especialistas em pesca usam lanças para caçar um único peixe, os agentes de ameaças usam o spear-phishing para alvos específicos.

Quanto às baleias, esses mamíferos são os maiores peixes do mar e um alvo de alto valor para alguns pescadores. Da mesma forma, os ataques de baleia na segurança cibernética também visam alvos lucrativos, como os executivos de uma empresa.

Como funciona um ataque de whaling?

Com alvos de alto nível cautelosos em relação a ataques de phishing, os hackers usam várias estratégias para que sua campanha de whaling seja bem-sucedida. Por exemplo, eles podem acessar a página do LinkedIn de um executivo para dar um toque pessoal à sua campanha. De fato, as violações de segurança são o motivo pelo qual talvez você não deva usar o LinkedIn. Um atacante whaling também pode pesquisar o jargão do setor para parecer legítimo e explorar as emoções de um alvo oferecendo uma oportunidade de negócios lucrativa. Após concluir a fase de coleta de informações, ele pode utilizar os seguintes vetores de ataque de whale phishing:

  • E-mails: Conforme mencionado acima, os e-mails adaptados para manipular seus alvos são um vetor de ataque comum e utilizam anexos, links ou sites mal-intencionados.
  • Telefone: O National Cyber Security Center do Reino Unido observou que os invasores podem usar e-mails e chamadas telefônicas em uma estratégia de 1-2 punch, em que a chamada telefônica segue o e-mail para reforçar o phishing.
  • Pretexto: Os golpistas podem fazer amizade com um alvo nas mídias sociais fingindo ser um possível parceiro de negócios, um interesse amoroso, um colega do setor ou uma figura de autoridade, como um funcionário do fisco.
  • Isca: O invasor pode induzir o alvo a usar uma unidade USB infectada de aparência autêntica, deixando-a no escritório, no armário da academia ou enviando-a pelo correio para sua casa.

Qual é o objetivo dos ataques de whaling?

  • Dinheiro: Os atacantes podem usar o ataque de spear-phishing para enganar as vítimas e fazê-las enviar dinheiro por meio de uma transferência eletrônica ou extorquir uma organização após a exfiltração de dados.
  • Controle: Um hacker pode usar credenciais roubadas para movimentação lateral na rede de uma organização ou para abrir backdoors.
  • Ataque à cadeia de suprimentos: Um ataque à cadeia de suprimentos ocorre quando os hackers atacam as organizações violando elementos vulneráveis em sua cadeia de suprimentos. Com o whale phishing, um criminoso cibernético poderia teoricamente atacar um governo invadindo seu fornecedor para um ataque man-in-the-middle.
  • Espionagem corporativa: Com um ataque bem-sucedido de whaling, um hacker pode roubar propriedade intelectual ou outros segredos comerciais para ajudar os concorrentes, às vezes em outro país.
  • Malware: Uma gangue de criminosos cibernéticos pode enganar as vítimas de ataques whaling para que instalem malware perigoso, como ransomware, keyloggers ou rootkits.
  • Vingança pessoal: a vítima de um ataque à baleia pode sofrer uma perda catastrófica em sua reputação.

Qual é um exemplo de whaling?

Ao longo dos anos, houve muitos ataques de baleias, que algumas organizações de mídia também chamam de golpes de e-mail de CEOs. Aqui estão alguns exemplos:

2015: Uma subsidiária de Hong Kong da empresa sem fio Ubiquiti Networks Inc. foi fraudada em US$ 46,7 milhões depois que um e-mail falso enganou um funcionário do setor financeiro.

2015: Um executivo financeiro da gigante da fabricação de brinquedos Mattel transferiu US$ 3 milhões para um golpista depois de receber uma solicitação fraudulenta que parecia ser do novo CEO.

2016: Um fabricante aeroespacial austríaco chamado FACC demitiu seu CEO depois de perder US$ 58 milhões em um esquema de e-mail de caça às baleias.

2016: Um funcionário do RH do Snapchat vazou dados da folha de pagamento dos funcionários após um golpe de e-mail do CEO.

2017: Hackers roubaram US$ 50.000 de um proprietário de uma pequena empresa em um ataque "man-in-the-middle whaling".

2020: Os criminosos cibernéticos usaram um link malicioso para atacar o cofundador de um fundo de hedge australiano com fraude, forçando o fechamento da empresa.

Como prevenir ataques de whaling?

Uma organização pode diminuir a ameaça de ataques de whaling aprendendo a detectar tentativas de phishing de hackers, como verificar o URL, o endereço de e-mail, os links e os anexos em um e-mail para detectar sinais de alerta. Da mesma forma, a linguagem, o tom e a gramática de um e-mail podem ser um sinal de alerta. Além do treinamento antiphishing, os ataques simulados de whaling também podem aprimorar as habilidades de detecção de phishing de uma equipe. Para maior proteção, as empresas devem usar um software de segurança cibernética que bloqueie vetores de ataques de whaling, como sites fraudulentos.