O que é a caça à baleia?
O whaling é um tipo sofisticado de ataque de spear phishing em que os agentes da ameaça visam diretamente intervenientes de alto nível numa organização ou se fazem passar por eles para enganar outros. Um exemplo comum é visar o CEO de uma empresa ou fazer-se passar por ele para enganar outros componentes essenciais de uma organização, como os diretores financeiros, os departamentos de salários, as equipas de segurança ou os porta-vozes.
Os cibercriminosos podem utilizar estratégias complexas de engenharia social para executar com êxito os ataques whaling, porque sabem que os líderes das organizações modernas utilizam várias estratégias e ferramentas de atenuação do phishing. Infelizmente, pode ser difícil apanhar os atacantes, porque muitas vezes ocultam a sua localização e escondem as suas pegadas digitais.
O que é whaling vs. phishing?
Antes de nos aprofundarmos no que é o whaling ou como funcionam os ataques whaling, devemos provavelmente responder à pergunta frequente: o que é o phishing na cibersegurança? Em poucas palavras, phishing é quando os agentes de ameaças se apresentam falsamente como partes de confiança para ganhar a confiança de uma vítima e roubar o seu dinheiro ou informações sensíveis. Ao contrário do que se pensa, os ataques de phishing não se limitam aos e-mails. Por exemplo, os ataques de phishing que utilizam mensagens de texto são designados por smishinge os ataques de phishing que utilizam comunicações de voz são designados por vishing.
As mensagens de correio eletrónico de phishing visam normalmente muitos utilizadores da Internet e são mais fáceis de detetar porque os autores das ameaças as concebem para uma audiência em massa. De facto, enviam milhares de milhões de e-mails de phishing todos os dias. No entanto, os ataques de phishing também podem ser mais direcionados.
O que é um ataque de spear-phishing?
Um ataque de spear-phishing é um tipo de ataque de phishing mais direcionado, em que os agentes de ameaças adaptam os e-mails para atacar um grupo específico de pessoas, como os funcionários de um departamento financeiro. Podem recolher dados de spyware ou de fontes na Internet, como páginas de redes sociais, para recolher nomes, cargos, endereços de correio eletrónico, entre outros, para conceber um ataque de spear-phishing persuasivo. Tácticas semelhantes podem ajudar os piratas informáticos a lançar ataques whaling.
Porque é que se chama um ataque à baleia?
Os termos phishing, spear-phishing e whaling são todos análogos à pesca. Enquanto os pescadores lançam uma linha de pesca com isco para a água, na esperança de apanhar um dos muitos peixes no mar, um hacker envia e-mails de phishing a muitas pessoas na esperança de apanhar pelo menos uma vítima. Do mesmo modo, tal como alguns especialistas em pesca utilizam lanças para caçar um único peixe, os agentes de ameaças utilizam o spear-phishing para alvos específicos.
Quanto às baleias, estes mamíferos são o maior peixe do mar e um alvo de elevado valor para alguns pescadores. Do mesmo modo, os ataques à baleia no domínio da cibersegurança também visam alvos lucrativos, como os executivos de uma empresa.
Como é que um ataque à baleia funciona?
Como os alvos de alto nível desconfiam dos ataques de phishing, os hackers utilizam várias estratégias para que a sua campanha de whaling seja bem sucedida. Por exemplo, podem recolher a página do LinkedIn de um executivo para dar um toque pessoal à sua campanha. De facto, as violações de segurança são a razão pela qual talvez não se deva usar o LinkedIn. Um atacante whaling pode também pesquisar o jargão do sector para parecer legítimo e explorar as emoções de um alvo oferecendo uma oportunidade de negócio lucrativa. Depois de concluída a fase de recolha de informações, pode utilizar os seguintes vectores de ataque de whale phishing:
- E-mails: Como mencionado acima, os e-mails concebidos para manipular os seus alvos são um vetor de ataque comum e utilizam anexos, links ou sites maliciosos.
- Telefone: O Centro Nacional de Cibersegurança do Reino Unido observou que os atacantes podem utilizar o correio eletrónico e as chamadas telefónicas numa estratégia de 1-2 punch, em que a chamada telefónica se segue ao correio eletrónico para reforçar o phishing.
- Pretextos: Os burlões podem fazer amizade com um alvo através das redes sociais, fingindo ser um potencial parceiro de negócios, um interesse amoroso, um colega do sector ou uma figura de autoridade, como um funcionário das finanças.
- Isco: O atacante pode induzir o alvo a utilizar uma unidade USB infetada de aspeto autêntico, deixando-a no escritório, no cacifo do ginásio ou enviando-a por correio para casa.
Qual é o objetivo dos ataques à baleia?
- Dinheiro: Os atacantes podem usar o ataque de spear-phishing para enganar as vítimas e fazê-las enviar dinheiro através de uma transferência bancária ou extorquir uma organização após a exfiltração de dados.
- Controlo: Um hacker pode utilizar credenciais roubadas para efetuar movimentos laterais na rede de uma organização ou abrir backdoors.
- Ataque à cadeia de abastecimento: Um ataque à cadeia de abastecimento é quando os piratas informáticos atacam as organizações violando elementos vulneráveis da sua cadeia de abastecimento. Com o whale phishing, um cibercriminoso poderia teoricamente atacar um governo pirateando o seu fornecedor para um ataque man-in-the-middle.
- Espionagem empresarial: Com um ataque baleeiro bem sucedido, um pirata informático pode roubar propriedade intelectual ou outros segredos comerciais para ajudar os concorrentes, por vezes noutro país.
- Malware: Um grupo de cibercriminosos pode enganar as vítimas de ataques whaling para que instalem malware perigoso, como ransomware, keyloggers ou rootkits.
- Vingança pessoal: A vítima de um ataque à baleia pode sofrer uma perda catastrófica na sua reputação.
Qual é um exemplo de caça à baleia?
Ao longo dos anos, tem havido muitos ataques à baleia, a que alguns meios de comunicação social também chamam burlas de e-mail de CEO. Eis alguns exemplos:
2015: Uma subsidiária de Hong Kong da empresa sem fios Ubiquiti Networks Inc. foi defraudada em 46,7 milhões de dólares depois de um e-mail falso ter enganado um funcionário da área financeira.
2015: Um executivo financeiro do gigante do fabrico de brinquedos Mattel transferiu 3 milhões de dólares para um burlão depois de receber um pedido fraudulento que parecia ser do novo diretor executivo.
2016: Um fabricante aeroespacial austríaco chamado FACC despediu o seu diretor executivo depois de ter perdido 58 milhões de dólares num esquema de correio eletrónico de caça às baleias.
2016: Um funcionário de RH do Snapchat divulgou dados sobre a folha de pagamentos dos funcionários após um esquema de e-mail do CEO.
2017: Os piratas informáticos roubaram 50 000 dólares a um proprietário de uma pequena empresa num ataque "man-in-the-middle whaling".
2020: Os cibercriminosos utilizaram uma ligação maliciosa para atacar o cofundador de um fundo de cobertura australiano com fraude, forçando o encerramento da empresa.
Como evitar ataques de baleeiros?
Uma organização pode diminuir a ameaça de ataques whaling aprendendo a detetar tentativas de phishing por parte dos hackers, como verificar o URL, o endereço de correio eletrónico, as hiperligações e os anexos de uma mensagem de correio eletrónico para detetar sinais de alerta. Da mesma forma, a linguagem, o tom e a gramática de uma mensagem de correio eletrónico podem ser um sinal de alerta. Para além da formação anti-phishing, os ataques simulados de whaling também podem melhorar as capacidades de deteção de phishing de uma equipa. Para um reforço adicional, as empresas devem utilizar software de cibersegurança que bloqueie vectores de ataques de whaling, como sites fraudulentos.