Il whale phishing, o whaling, è un particolare attacco phishing che colpisce funzionari aziendali di alto livello con e-mail, messaggi di testo o telefonate fraudolenti. I messaggi sono scritti con cura, per manipolare il destinatario e indurlo ad autorizzare pagamenti di grandi somme ai criminali informatici, o a divulgare informazioni aziendali o personali sensibili e di valore.
Gli obiettivi del whale phishing sono i dirigenti di primo livello (CEO, CFO, COO), altri dirigenti senior, titolari di cariche politiche e leader aziendali, che possono autorizzare grossi pagamenti, bonifici bancari o il rilascio di informazioni sensibili senza l'approvazione di altri. Questi obiettivi sono chiamati whale (balene), dal termine gergale che indica i clienti (o i giocatori d'azzardo) che possono muovere più denaro della media delle persone.
È importante comprendere la relazione tra phishing, spear phishing e whale phishing, soprattutto perché i termini vengono spesso utilizzati in modo intercambiabile, errato o decontestualizzato.
Il phishing è qualsiasi e-mail, messaggio di testo o telefonata fraudolenta progettata per indurre gli utenti a scaricare malware (tramite un collegamento o un allegato dannoso), condividere informazioni sensibili, inviare denaro a criminali o intraprendere altre azioni che espongono se stessi o le proprie organizzazioni alla criminalità informatica.
Tutti quelli che su un computer o uno smartphone hanno subito un attacco di phishing massivo, sostanzialmente un messaggio che sembra provenire da un'azienda od organizzazione ben nota, descrivono una situazione comune o credibile che richiede un'azione urgente, ad esempio: La tua carta di credito è stata rifiutata. Fai clic sul collegamento sottostante per aggiornare le informazioni di pagamento. I destinatari che fanno clic sul link vengono indirizzati a un sito web malevole che potrebbe sottrarre il numero della loro carta di credito o scaricare malware sui loro computer.
Una campagna di phishing massivo è una questione di numeri: gli aggressori inviano messaggi al maggior numero di persone possibile, sapendo che una certa percentuale abboccherà all'amo. Uno studio ha rilevato oltre 255 milioni di messaggi di phishing durante un periodo di sei mesi nel 2022 (link esterno a ibm.com). Secondo il rapporto Cost of a Data Breach 2022 di IBM, il phishing è stata la seconda causa più comune di violazione dei dati nel 2022 e il metodo più comune per fornire ransomware alle vittime.
Lo spear phishing è un attacco di phishing che prende di mira uno specifico individuo o gruppo di individui all'interno di un'organizzazione. Gli attacchi di spear phishing vengono tipicamente lanciati contro manager di medio livello che possono autorizzare pagamenti o trasferimenti di dati, come i responsabili dei conti correnti e i direttori delle risorse umane, da un aggressore che si spaccia per un collega competente sull'operazione o per un collega (ad es. un fornitore, un partner commerciale, un consulente) di cui l'obiettivo si fida.
Gli attacchi di spear phishing sono più personalizzati rispetto agli attacchi di phishing massivi e richiedono più lavoro e ricerca. Un lavoro extra che può ripagare abbondantemente i criminali informatici. Ad esempio, gli spear phisher hanno rubato più di USD 100 milioni a Facebook e Google tra il 2013 e il 2015 spacciandosi per veri fornitori e inducendo i dipendenti a pagare fatture fraudolente (link esterno a ibm.com ).
Un whale phishing o whaling attack è un attacco di spear phishing rivolto esclusivamente a un dirigente o funzionario di alto livello. L'aggressore impersona tipicamente un pari grado all'interno dell'azienda dell'obiettivo, oppure un collega o un associato di pari livello o di livello superiore di un'altra azienda.
I messaggi di whale phishing sono altamente personalizzati: gli aggressori si preoccupano di impersonare lo stile di scrittura del mittente reale e, quando possibile, di fare riferimento al contesto delle conversazioni commerciali in corso. I truffatori di whale phishing spesso spiano le conversazioni tra il mittente e l'obiettivo; molti provano a prendere il controllo dell'effettivo account di posta elettronica o di messaggistica del mittente per inviare il messaggio di attacco direttamente da lì, con la massima autenticità.
Poiché i whaling attack sono rivolti a persone che possono autorizzare pagamenti più consistenti, offrono all'aggressore la possibilità di ottenere un guadagno immediato più elevato.
Il whaling viene talvolta equiparato al business email compromise (BEC), un altro tipo di attacco di spear phishing in cui l'aggressore invia all'obiettivo e-mail fraudolente che sembrano provenire da un collega. La BEC non è sempre whaling (perché spesso prende di mira dipendenti di livello inferiore) e il whaling non è sempre BEC (perché non sempre coinvolge la posta elettronica), ma molti degli attacchi whaling più riusciti coinvolgono anche attacchi BEC. Per esempio:
Phishing, spear phishing e whale phishing sono tutti esempi di attacchi di ingegneria sociale, attacchi che sfruttano principalmente le vulnerabilità umane piuttosto che quelle tecniche per compromettere la sicurezza. Poiché lasciano molte meno tracce digitali rispetto al malware o all'hacking, questi attacchi possono essere molto più difficili da rilevare o prevenire per i team di sicurezza e i professionisti della cybersecurity.
La maggior parte dei whaling attack mira a sottrarre ingenti somme di denaro a un'organizzazione, inducendo con l'inganno un funzionario di alto livello a effettuare, autorizzare o ordinare un bonifico bancario verso un fornitore o un conto bancario fraudolento. Ma i whaling attack possono avere altri obiettivi, tra cui
Anche in questo caso, la maggior parte degli attacchi di whale phishing sono motivati dal denaro. Ma possono anche essere motivati da una vendetta personale nei confronti di un dirigente o di un'azienda, da pressioni della concorrenza o da attivismo sociale o politico. I whaling attack contro funzionari governativi di alto livello possono essere atti di cyberterrorismo indipendente o sponsorizzato da altri Stati.
I criminali informatici scelgono una whale con accesso al loro obiettivo e un mittente con accesso alla loro whale. Ad esempio, un criminale informatico che desidera intercettare i pagamenti verso un partner della supply chain di un'azienda, potrebbe inviare una fattura richiedendone il pagamento al CEO del partner della supply chain. Un utente malintenzionato che desidera rubare i dati dei dipendenti potrebbe spacciarsi per il CFO e richiedere informazioni sui salari al vicepresidente delle risorse umane.
Per rendere i messaggi dei mittenti credibili e convincenti, i truffatori di whaling effettuano ricerche approfondite sui loro obiettivi e sui mittenti, nonché sulle organizzazioni in cui lavorano.
Grazie alla grande quantità di condivisioni e chat che le persone conducono sui social media e online, i truffatori possono trovare gran parte delle informazioni di cui hanno bisogno semplicemente effettuando una ricerca sui social media o sul web. Ad esempio, studiando semplicemente il profilo LinkedIn di un potenziale obiettivo, un aggressore può conoscere il titolo di lavoro, le responsabilità, l'indirizzo e-mail aziendale, il nome del dipartimento, i nomi e i titoli dei colleghi e dei partner commerciali, gli eventi a cui ha partecipato di recente e i piani di viaggio per lavoro.
A seconda dell'obiettivo, i media tradizionali, commerciali e locali possono fornire ulteriori informazioni che i truffatori possono utilizzare, come offerte in corso o già concluse, progetti per gare e costi di costruzione previsti. Secondo un rapporto dell'analista di settore Omdia, gli hacker possono creare un'e-mail di spear phishing convincente dopo circa 100 minuti di ricerche generiche su Google (link esterno a ibm.com).
Ma quando si preparano a un attacco di whale phishing, i truffatori spesso compiono il decisivo passo in più di hackerare l'obiettivo e il mittente per raccogliere ulteriore materiale. Una cosa che può essere semplice come infettare i computer del bersaglio e del mittente con uno spyware che consenta al truffatore di visualizzare i contenuti dei file per affinare le ricerche. I truffatori più ambiziosi si introducono nella rete del mittente e ottengono l'accesso ai suoi account di posta elettronica o di messaggistica, dove possono osservare e inserirsi nelle conversazioni reali.
Quando è il momento di colpire, il truffatore invia i messaggi di attacco. I messaggi di whale phishing più efficaci sembrano inserirsi nel contesto di una conversazione in corso, includendo riferimenti dettagliati a un progetto o a un affare specifico, presentando una situazione credibile (una tattica di ingegneria sociale chiamata pretexting) e facendo una richiesta altrettanto credibile. Ad esempio, un utente malintenzionato nei panni del CEO dell'azienda potrebbe inviare questo messaggio al CFO:
Come da nostra conversazione di ieri, in allegato trova la fattura degli avvocati che si occupano dell'acquisizione di BizCo. La prego di procedere al pagamento entro le 17 CET di domani, come specificato nel contratto. Grazie.
In questo esempio, la fattura allegata potrebbe essere una copia di una fattura dello studio legale, modificata per effettuare il pagamento direttamente sul conto bancario del truffatore.
Per apparire autentici all'obiettivo, i messaggi di whaling possono contenere più tattiche di ingegneria sociale, tra cui:
Gli attacchi di whale phishing, come tutti gli attacchi di phishing, sono tra gli attacchi informatici più difficili da combattere, perché non possono sempre essere identificati dai tradizionali strumenti di sicurezza informatica (basati su firma). In molti casi, l'aggressore deve solo superare le difese di sicurezza 'umane'. Gli attacchi di whale phishing sono particolarmente impegnativi perché la loro natura mirata e i contenuti personalizzati li rendono ancora più convincenti per l'obiettivo o per gli osservatori.
Tuttavia, ci sono misure che le organizzazioni possono adottare per contribuire a mitigare l'impatto del whale phishing, se non a prevenire del tutto questo tipo di attacchi.
Formazione sulla sensibilizzazione alla sicurezza. Poiché il whale phishing sfrutta le vulnerabilità umane, la formazione dei dipendenti è un'importante linea di difesa contro questi attacchi. La formazione anti-phishing può includere
Autenticazione a più fattori e adattativa. L'implementazione dell'autenticazione a più fattori (richiedendo una o più credenziali in aggiunta a nome utente e password) e/o dell'autenticazione adattiva (richiedendo ulteriori credenziali quando gli utenti effettuano l'accesso da diversi dispositivi o posizioni) può impedire agli hacker di accedere all'account e-mail di un utente, anche se sono in grado di rubare la password e-mail dell'utente.
Software di sicurezza. Nessun singolo strumento di sicurezza può prevenire del tutto il whale phishing, ma diversi strumenti possono svolgere un ruolo nel prevenire questo tipo di attacchi o ridurre al minimo i danni che causano:
Individua le minacce avanzate che altri semplicemente non vedono. QRadar SIEM sfrutta gli analytics e l'AI per monitorare le informazioni sulle minacce, le anomalie della rete e del comportamento degli utenti e per stabilire le priorità in cui è necessario porre attenzione immediata e correggere.
IBM Trusteer Rapport aiuta le istituzioni finanziarie a rilevare e prevenire le infezioni da malware e gli attacchi di phishing proteggendo i clienti retail e business.
Proteggi gli endpoint dagli attacchi informatici, rileva i comportamenti anomali e correggili quasi in tempo reale con questa soluzione di rilevamento e risposta degli endpoint (EDR) evoluta ma facile da usare.
Scopri le ultime tendenze del whale phishing e le tecniche di prevenzione su Security Intelligence, il blog degli opinion leader ospitato da IBM Security.
Il ransomware è una forma di malware che minaccia di distruggere o trattenere i dati o i file della vittima a meno che non venga pagato un riscatto all'aggressore per decodificare e ripristinare l'accesso ai dati.
Giunto alla sua 17a edizione, questo report condivide le ultime informazioni sul dilagante panorama delle minacce e offre consigli per risparmiare tempo e limitare le perdite.