Whaling, ou quando os hackers têm como alvo os peixes grandes

Os riscos de segurança cibernética podem ser encontrados em todos os níveis da empresa. Whaling é um tipo de ataque que visa especificamente os principais membros da organização. É exatamente isso que torna essa técnica tão perigosa.

O que ela envolve de fato? Como você pode se proteger? Descubra como proteger os peixes grandes de sua empresa com nosso guia completo sobre whaling.

Ver todos os software Network Security

O que é whaling?

Definição de whaling

Whaling é uma forma de ataque cibernético de engenharia social que se enquadra na categoria de phishing. A especificidade desse tipo de ameaça é que ela tem como alvo um grupo claramente identificado de indivíduos: as baleias.

O termo "baleia" refere-se a um tomador de decisões, um membro da gerência de uma empresa ou qualquer indivíduo com responsabilidades em uma organização.

Esses alvos são mais vulneráveis do que você imagina. Em primeiro lugar, eles não estão acostumados a esse tipo de ameaça, ao contrário dos funcionários de um nível inferior da empresa, que a enfrentam diariamente.

O outro ponto de vulnerabilidade diz respeito à natureza da mensagem, que é muito mais personalizada do que o phishing tradicional.

Por fim, as informações e os dados recuperados pelo hacker serão mais sensíveis, pois a vítima tem acesso mais restrito do que outros membros da empresa.

Sinais de alerta de um ataque whaling

Para ajudá-lo a reconhecer um ataque whaling, veja a seguir suas principais características:

• Um e-mail que parece vir de um gerente sênior.
• Uma mensagem com conteúdo urgente.
• Uma solicitação que está fora dos processos da empresa.
• Impossibilidade de entrar em contato com o remetente (reunião, indisponibilidade, etc.).
• Uma solicitação de transferência para uma conta desconhecida.

Whaling, phishing, spear phishing: quais são as diferenças?

Phishing é uma técnica fraudulenta criada para enganar um membro de uma organização fingindo ser um terceiro confiável. O objetivo é obter dados valiosos (contas de acesso, senhas, etc.) e/ou detalhes bancários.

O phishing clássico é realizado por meio de mensagens gerais que imitam documentos de instituições bancárias, do governo ou de um serviço de entrega. Em geral, elas são enviadas em massa para vários destinatários.

Spear phishing é uma categoria de phishing mais direcionada. Ele envolve a usurpação da identidade de um contato (colega, parceiro de negócios) para obter as informações pessoais de um indivíduo específico. A mensagem geralmente é personalizada e, portanto, mais difícil de ser detectada.

Whaling é outra subcategoria semelhante ao phishing, mas que tem como alvo os "peixes grandes" da empresa. Ela exige muito mais preparação por parte do hacker.

Como funciona a caça às baleias? 4 etapas

Identificação e coleta de informações

A primeira etapa de um ataque whaling é coletar informações sobre o alvo. Para isso, o invasor primeiro se concentra em fontes públicas, como o site da empresa, que geralmente apresenta o organograma completo da empresa. Ele também se baseia em relatórios confidenciais disponíveis on-line (mas com acesso irrestrito) e em bancos de dados disponíveis na dark net.

Criação de uma estratégia

Com base no resumo das informações coletadas, ele elabora uma estratégia de ataque.

O site ☝️Prenons dá um exemplo para ajudá-lo a entender.

Ao consultar o site da empresa-alvo, o criminoso cibernético identifica que o CEO é muito ativo no LinkedIn. Ele compartilha suas conferências, discursos internacionais, parcerias e assim por diante. Ao mesmo tempo, o criminoso cibernético explorou um relatório de atividades em que descobriu o nome do diretor financeiro da empresa, que gerenciava as transferências para contratos internacionais.

Enquanto o CEO estava em uma viagem à Alemanha, o criminoso cibernético enviou uma mensagem urgente ao CFO, imitando seu estilo e incorporando elementos reais e verificáveis.

Ele solicita que um pagamento seja feito em uma conta diferente sob o pretexto de uma emergência durante sua viagem.

É uma estratégia simples que pode ser altamente lucrativa para o hacker.

Elaboração da mensagem

O ponto central em uma estratégia de whaling é a criação da mensagem, ou seja, o endereço de e-mail, o assunto, o tom e o documento vinculado. Veja a seguir como cada parte deve ser meticulosamente criada:

• Falsificação do endereço de e-mail: o hacker modifica levemente o endereço de e-mail real do CEO para que a modificação seja a mais discreta possível (adicionando um hífen, um "." etc.).
• Escolha do assunto: o assunto do e-mail deve ser confiável, simples e direto. Por exemplo, "Fatura aguardando pagamento". Ele também pode incluir uma ideia de urgência ("Fatura aguardando pagamento - Urgente").
• Um tom profissional: o hacker deve adotar um nível de linguagem que corresponda ao do CEO em suas mensagens habituais. Ele pode incorporar elementos reais e concretos, bem como o jargão típico desse tipo de troca entre funcionários.
• Uma solicitação urgente: a urgência não precisa ser explícita para não levantar suspeitas. No entanto, ela deve ser suficiente para garantir que a solicitação seja realizada em um prazo relativamente curto (alguns dias).
• Fatura falsificada: no caso de uma transferência de fundos, a mensagem deve incluir uma fatura que use exatamente o mesmo formato das faturas anteriores (logotipo, referências etc.). Somente os dados bancários serão alterados.

Manipulação (por que funciona?)

Os ataques whaling e os ataques de phishing em geral funcionam por causa do fator humano. O invasor joga com a confiança usando um tom e um vocabulário apropriados. É certo que a solicitação pode ser incomum, mas permanece consistente. O fato de que ela geralmente vem de um superior acrescenta uma dimensão de estresse que aumenta a confusão da vítima e a deixa complacente.

Alguns dias após o primeiro e-mail, se nenhuma resposta for recebida, o criminoso cibernético enviará um lembrete educado e profissional perguntando, por exemplo, se a fatura foi recebida.

Psicologicamente, esse é um fator decisivo, porque essa segunda mensagem torna a troca parte de um processo normal e rotineiro: uma tarefa simples para a vítima realizar. É exatamente esse aspecto que torna a caça às baleias tão perigosa.

Exemplos de ataques de baleeiros

A primeira etapa para se proteger contra uma ameaça é estar ciente dela. A caça às baleias pode afetar absolutamente qualquer negócio, qualquer organização que não tome as devidas precauções para se proteger contra ela.

Não está convencido? Aqui estão vários exemplos de empresas bem-sucedidas, líderes em seus setores, que sofreram ataques de baleia e perderam milhões de euros:

• A FACC, uma fabricante austríaca de peças aeroespaciais, foi alvo de ataques em 2016. O departamento financeiro da empresa enviou US$ 47 milhões para os criminosos cibernéticos.
• No mesmo ano, um membro da equipe de folha de pagamento do Snapchat enviou as informações bancárias dos funcionários da empresa para um hacker que se fez passar pelo CEO Evan Spiegel.
• Entre 2013 e 2015, o Facebook enviou mais de US$ 100 milhões para um hacker que se fez passar por um de seus antigos fornecedores.

Por que o whaling está em alta?

O phishing é o tipo mais comum de ataque on-line. Houve um aumento de 131% nos casos de whaling nos últimos anos, o que está ligado a uma série de fatores.

O principal motivo desse aumento é a crescente digitalização do mundo profissional e o aumento do teletrabalho. Nesse contexto, em que as equipes não se comunicam mais diretamente no local de trabalho, mas apenas por e-mail, os riscos são multiplicados. Para economizar tempo, os protocolos de segurança são ignorados, o que tende a reduzir a vigilância em casos comprovados de roubo de identidade.

O outro fator na disseminação do phishing e do whaling é a introdução de ferramentas de IA na estratégia de manipulação. A busca de informações, a análise de documentos, a reprodução de um estilo de escrita... A IA permite que os hackers otimizem seus processos. Algumas IAs são capazes até mesmo de gerar vídeos ultrarrealistas, com rostos e vozes clonados. Tudo o que os hackers precisam fazer é simular uma chamada de vídeo do superior hierárquico para solicitar uma transferência de fundos ou validar uma operação confidencial.

O elemento final que explica o "sucesso" do whaling é, obviamente, seu potencial de lucro. Enquanto o phishing em massa pode render apenas algumas centenas de euros por vítima, o whaling pode render milhões em uma única operação.

Como se proteger contra o whaling: nossas 5 dicas de segurança cibernética

Treine todos os gerentes e funcionários

A primeira linha de defesa contra ameaças cibernéticas é humana. A vigilância é a chave para evitar muitos riscos, especialmente quando se trata de ataques de engenharia social. Todos os funcionários devem estar cientes das técnicas clássicas de phishing e spear phishing. Entretanto, os gerentes e executivos, em especial, precisam ser treinados sobre os riscos de whaling. É essencial envolvê-los em casos concretos de whaling e organizar ataques simulados. Ao serem diretamente confrontados com uma ameaça, eles se tornarão verdadeiramente conscientes dos riscos aos quais estão se expondo.

Controle de sua pegada digital e proteção de seus dados

Para estabelecer uma estratégia eficaz de caça às baleias, os hackers precisam de informações e documentos para explorar. Para tornar a tarefa deles mais complexa, controle os dados que você publica nas redes sociais e no site da empresa.

Além disso, conscientize os gerentes seniores sobre os perigos de compartilhar muitas informações profissionais e pessoais em suas redes.

Para isso, estabeleça uma política clara de divulgação de dados para que todos em sua organização saibam o que podem e o que não podem compartilhar.

Com essa abordagem, será muito mais fácil reconhecer os e-mails de "whaling", pois eles não conterão mais informações válidas.

Estabeleça protocolos de verificação rigorosos

Um ataque de whaling é sempre realizado fora dos procedimentos habituais de uma empresa.

Por isso, é essencial estabelecer protocolos rígidos (especialmente para solicitações financeiras) e respeitá-los sem exceção.

Para comunicações confidenciais, a configuração de uma senha ou código secreto também acrescenta uma camada extra de segurança.

Nunca concorde em modificar seus processos com base em um simples e-mail ou mensagem telefônica. Esse tipo de solicitação deve ser oficial e validado, pessoalmente, por um gerente de linha.

Fortaleça a segurança técnica de sua empresa

A tecnologia digital está agora em toda parte, e os riscos cibernéticos estão se multiplicando. As empresas que usam a nuvem e um ecossistema complexo de aplicativos não podem mais se dar ao luxo de ficar sem uma segurança cibernética eficaz.

Seja para combater malware, ransomware ou phishing, sua empresa precisa de um arsenal completo de ferramentas de proteção.

Em termos concretos, para se proteger contra o whaling, os recursos de segurança essenciais são

• Um sistema de autenticação multifator para aplicativos essenciais.
• Uma solução avançada de filtragem de e-mail para detectar tentativas de falsificação.
• Uma ferramenta para bloquear nomes de domínio arriscados em tempo real.

Aplicar uma política de "privilégio mínimo"

Esse tipo de política é difícil de ser implementado em uma empresa. No entanto, é a melhor maneira de evitar a disseminação de informações que podem acabar na dark web. Aqui estão as principais diretrizes para a implementação dessa estratégia de "privilégio mínimo":

• Limitar o acesso a recursos confidenciais àqueles que realmente precisam deles.
• Segmentar os sistemas de informações para limitar a propagação no caso de um comprometimento.
• Revisar regularmente os direitos de acesso para contas de alto privilégio.

7 ferramentas para ajudá-lo em sua estratégia contra a caça às baleias

Altospam

Altospam

+200 Resenhas

VER SOFTWARE

Solução Completa Anti-Spam para Empresas

Mais informação sobre Altospam

A Altospam desenvolveu o Mailsafe, um software que protege suas caixas de correio corporativas contra phishing e whaling em particular. Ele combina análise heurística e comportamental eficaz para detectar e-mails com conteúdo suspeito. Ele incorpora a funcionalidade de IA para um desempenho de detecção ainda mais impressionante (- 0,01% de falsos positivos). O Altospam oferece integração ideal com ferramentas essenciais de e-mail, como o Gmail e o Outlook.

Proteção de e-mail Barracuda

A Barracuda Network oferece uma solução completa de segurança de TI. Um de seus módulos foi especialmente projetado para lidar com os riscos de phishing e whaling: o Barracuda Email Protection. O software é baseado em três recursos:

• Um modo de detecção completo (heurístico e comportamental).
• Uma ferramenta de proteção contra roubo de identidade.
• Um sistema de validação de nome de domínio.

Para levar a segurança ao próximo nível, o Barracuda oferece o "Impersonation Protection", um modelo de análise baseado em IA.

Check Point Anti-phishing

Compliance Checkpoint

2 Resenhas

VER SOFTWARE

Soluções Avançadas para Gestão de Conformidade Empresarial

Mais informação sobre Compliance Checkpoint

A tecnologia Harmony Email & Office da Check Point protege sua empresa contra os ataques de phishing mais sofisticados. O software é capaz de bloquear tentativas de roubo de identidade antes que elas cheguem às suas equipes.

A Check Point oferece proteção abrangente para todas as suas vulnerabilidades: e-mail, dispositivos móveis e estações de trabalho.

Cada mensagem é analisada em profundidade usando uma tecnologia de IA robusta e de alto desempenho que examina mais de 300 indicadores de ameaças de phishing.

Proteger (Mailinblack)

Protect by Mailinblack

VER SOFTWARE

Soluções Avançadas de Proteção de Email e Antivírus

Mais informação sobre Protect by Mailinblack

O Protect from Mailinblack é uma solução antiphishing que filtra e-mails fraudulentos com grande eficiência. Seus recursos de detecção são alimentados pela tecnologia de aprendizagem profunda treinada em bilhões de e-mails por ano. Suas equipes estão protegidas contra phishing, spearphishing, whaling, ransomware e spam.

O Protect oferece :

• Detecção em tempo real com análise comportamental e contextual de e-mails.
• Um sistema de filtragem inteligente que utiliza inteligência artificial.
• Análise completa de anexos e links nas mensagens.

A Mailinblack também oferece uma versão mais avançada de seu software, o Protect Advanced.

Phishing

Phished

139 Resenhas

VER SOFTWARE

Treinamento Inteligente de Segurança Cibernética para Empresas

Mais informação sobre Phished

A Phished, como o próprio nome sugere, é uma empresa especializada em phishing e whaling. O que há de especial nessa plataforma é que ela se concentra no treinamento, e não na tecnologia, para proteger seu sistema de computador. Seu slogan é o seguinte: "Construa seu firewall humano".

Os resultados dessa abordagem falam por si. Atualmente, mais de 3.500 empresas implementaram suas estratégias de defesa e observaram uma queda significativa na taxa de ataques de phishing bem-sucedidos.

GravityZone Small Business Security (Bitdefender)

GravityZone by Bitdefender

70 Resenhas

VER SOFTWARE

Cibersegurança em camadas para PMEs sem equipe de TI

Mais informação sobre GravityZone by Bitdefender

O GravityZone Small Business Security é uma solução de segurança cibernética especialmente projetada para atender às necessidades das pequenas e médias empresas. Graças à sua interface fácil de usar, ele não requer a intervenção de uma equipe de TI. O software oferece proteção abrangente contra todas as ameaças cibernéticas, com foco em phishing. Para esse tipo de ataque, o GravityZone Small Business Security bloqueia o acesso a sites de phishing e exibe avisos claros aos usuários.

Cofesa

A Cofense é uma solução de proteção que usa exemplos para aumentar a conscientização e treinar os funcionários. Sua principal plataforma, a Cofense PhishMe, oferece simulações realistas e personalizadas de ataques de phishing. A empresa também oferece uma plataforma para relatar tentativas de phishing e whaling para antecipar futuras técnicas de phishing.

Ver todos os software Network Security

Resumo sobre a caça às baleias

O whaling é uma ameaça que não deve ser considerada levianamente. Em geral, acredita-se que as equipes de gerenciamento sênior estão menos expostas aos riscos de TI, pois são mais vigilantes por motivos de responsabilidade. Mas é exatamente isso que as torna tão vulneráveis a ataques whaling bem preparados.

Um e-mail fraudulento, seguido de uma mensagem de acompanhamento e uma chamada telefônica (ou uma videoconferência deepfake) pode enganar qualquer pessoa. Há apenas três maneiras de se proteger: treinamento, vigilância e proteção técnica. Não corra o risco de se expor e fortaleça seu arsenal de segurança humana e tecnológica o mais rápido possível.