Il whale phishing, o whaling, è un particolare attacco phishing che colpisce funzionari aziendali di alto livello con e-mail, messaggi di testo o telefonate fraudolenti. I messaggi sono scritti con cura, per manipolare il destinatario e indurlo ad autorizzare pagamenti di grandi somme ai criminali informatici, o a divulgare informazioni aziendali o personali sensibili e di valore.
Gli obiettivi del whale phishing sono i dirigenti di primo livello (CEO, CFO, COO), altri dirigenti senior, titolari di cariche politiche e leader aziendali, che possono autorizzare grossi pagamenti, bonifici bancari o il rilascio di informazioni sensibili senza l'approvazione di altri. Questi obiettivi sono chiamati whale (balene), dal termine gergale che indica i clienti (o i giocatori d'azzardo) che possono muovere più denaro della media delle persone.
È importante comprendere la relazione tra phishing, spear phishing e whale phishing, soprattutto perché i termini vengono spesso utilizzati in modo intercambiabile, errato o decontestualizzato.
Il phishing è qualsiasi e-mail, messaggio di testo o telefonata fraudolenta progettata per indurre gli utenti a scaricare malware (tramite un collegamento o un allegato dannoso), condividere informazioni sensibili, inviare denaro a criminali o intraprendere altre azioni che espongono se stessi o le proprie organizzazioni alla criminalità informatica.
Tutti quelli che su un computer o uno smartphone hanno subito un attacco di phishing massivo, sostanzialmente un messaggio che sembra provenire da un'azienda od organizzazione ben nota, descrivono una situazione comune o credibile che richiede un'azione urgente, ad esempio: La tua carta di credito è stata rifiutata. Fai clic sul collegamento sottostante per aggiornare le informazioni di pagamento. I destinatari che fanno clic sul link vengono indirizzati a un sito web malevole che potrebbe sottrarre il numero della loro carta di credito o scaricare malware sui loro computer.
Una campagna di phishing massivo è una questione di numeri: gli aggressori inviano messaggi al maggior numero di persone possibile, sapendo che una certa percentuale abboccherà all'amo. Uno studio ha rilevato oltre 255 milioni di messaggi di phishing durante un periodo di sei mesi nel 2022 (link esterno a ibm.com). Secondo il rapporto Cost of a Data Breach 2022 di IBM, il phishing è stata la seconda causa più comune di violazione dei dati nel 2022 e il metodo più comune per fornire ransomware alle vittime.
Lo spear phishing è un attacco di phishing che prende di mira uno specifico individuo o gruppo di individui all'interno di un'organizzazione. Gli attacchi di spear phishing vengono tipicamente lanciati contro manager di medio livello che possono autorizzare pagamenti o trasferimenti di dati, come i responsabili dei conti correnti e i direttori delle risorse umane, da un aggressore che si spaccia per un collega competente sull'operazione o per un collega (ad es. un fornitore, un partner commerciale, un consulente) di cui l'obiettivo si fida.
Gli attacchi di spear phishing sono più personalizzati rispetto agli attacchi di phishing massivi e richiedono più lavoro e ricerca. Un lavoro extra che può ripagare abbondantemente i criminali informatici. Ad esempio, gli spear phisher hanno rubato più di USD 100 milioni a Facebook e Google tra il 2013 e il 2015 spacciandosi per veri fornitori e inducendo i dipendenti a pagare fatture fraudolente (link esterno a ibm.com ).
Un whale phishing o whaling attack è un attacco di spear phishing rivolto esclusivamente a un dirigente o funzionario di alto livello. L'aggressore impersona tipicamente un pari grado all'interno dell'azienda dell'obiettivo, oppure un collega o un associato di pari livello o di livello superiore di un'altra azienda.
I messaggi di whale phishing sono altamente personalizzati: gli aggressori si preoccupano di impersonare lo stile di scrittura del mittente reale e, quando possibile, di fare riferimento al contesto delle conversazioni commerciali in corso. I truffatori di whale phishing spesso spiano le conversazioni tra il mittente e l'obiettivo; molti provano a prendere il controllo dell'effettivo account di posta elettronica o di messaggistica del mittente per inviare il messaggio di attacco direttamente da lì, con la massima autenticità.
Poiché i whaling attack sono rivolti a persone che possono autorizzare pagamenti più consistenti, offrono all'aggressore la possibilità di ottenere un guadagno immediato più elevato.
Il whaling viene talvolta equiparato al business email compromise (BEC), un altro tipo di attacco di spear phishing in cui l'aggressore invia all'obiettivo e-mail fraudolente che sembrano provenire da un collega. La BEC non è sempre whaling (perché spesso prende di mira dipendenti di livello inferiore) e il whaling non è sempre BEC (perché non sempre coinvolge la posta elettronica), ma molti degli attacchi whaling più riusciti coinvolgono anche attacchi BEC. Per esempio:
- Nel 2015, Ubiquity Networks ha perso quasi USD 47 milioni in soli 17 giorni (link esterno a ibm.com) quando gli aggressori di whale phishing, spacciandosi per CEO e Chief Counsel dell'azienda, hanno inviato e-mail convincendo il Chief Accounting Officer a effettuare una serie di bonifici bancari per finanziare un'acquisizione segreta.
- Nel 2018, Pathe Film Group ha perso EUR 19,2 milioni (USD 21 milioni) (link esterno a ibm.com) quando i truffatori che fingevano di essere il CEO della sede centrale di Pathe in Francia hanno inviato un'e-mail al CEO della sede olandese, richiedendo bonifici bancari per finanziare un'acquisizione.
- Sempre nel 2018, gli aggressori che si sono spacciati per CEO, alti dirigenti e consulenti legali dell'azienda italiana Tecnimont SpA hanno ingannato il responsabile della business unit indiana dell'azienda inducendolo a trasferire INR 1,3 miliardi (USD 18,25 milioni) a una banca di Hong Kong (link esterno a IBM.com), anche qui per finanziare una finta acquisizione. In questa truffa, gli aggressori hanno fatto un passo ulteriore organizzando diverse false teleconferenze per discutere i dettagli dell'acquisizione.
Phishing, spear phishing e whale phishing sono tutti esempi di attacchi di ingegneria sociale, attacchi che sfruttano principalmente le vulnerabilità umane piuttosto che quelle tecniche per compromettere la sicurezza. Poiché lasciano molte meno tracce digitali rispetto al malware o all'hacking, questi attacchi possono essere molto più difficili da rilevare o prevenire per i team di sicurezza e i professionisti della cybersecurity.
La maggior parte dei whaling attack mira a sottrarre ingenti somme di denaro a un'organizzazione, inducendo con l'inganno un funzionario di alto livello a effettuare, autorizzare o ordinare un bonifico bancario verso un fornitore o un conto bancario fraudolento. Ma i whaling attack possono avere altri obiettivi, tra cui
- Rubare dati sensibili o informazioni riservate. Ciò può includere il furto di dati personali, come informazioni sulle buste paga dei dipendenti o dati finanziari personali dei clienti. Ma le truffe di whale phishing possono colpire anche la proprietà intellettuale, i segreti commerciali e altre informazioni sensibili.
- Rubare le credenziali degli utenti. Alcuni criminali informatici lanciano un attacco preliminare di whale phishing per rubare le credenziali di posta elettronica, in modo da poter lanciare un successivo attacco di whale phishing dall'account di posta elettronica compromesso. Altri rubano e utilizzano le credenziali per ottenere un accesso di alto livello alle risorse o ai dati sulla rete dell'obiettivo.
- Impiantare il malware. Una parte relativamente piccola degli attacchi di whale phishing cerca di ingannare gli obiettivi per diffondere ransomware o altre minacce informatiche aprendo un allegato dannoso o visitando un sito web malevole.
Anche in questo caso, la maggior parte degli attacchi di whale phishing sono motivati dal denaro. Ma possono anche essere motivati da una vendetta personale nei confronti di un dirigente o di un'azienda, da pressioni della concorrenza o da attivismo sociale o politico. I whaling attack contro funzionari governativi di alto livello possono essere atti di cyberterrorismo indipendente o sponsorizzato da altri Stati.
I criminali informatici scelgono una whale con accesso al loro obiettivo e un mittente con accesso alla loro whale. Ad esempio, un criminale informatico che desidera intercettare i pagamenti verso un partner della supply chain di un'azienda, potrebbe inviare una fattura richiedendone il pagamento al CEO del partner della supply chain. Un utente malintenzionato che desidera rubare i dati dei dipendenti potrebbe spacciarsi per il CFO e richiedere informazioni sui salari al vicepresidente delle risorse umane.
Per rendere i messaggi dei mittenti credibili e convincenti, i truffatori di whaling effettuano ricerche approfondite sui loro obiettivi e sui mittenti, nonché sulle organizzazioni in cui lavorano.
Grazie alla grande quantità di condivisioni e chat che le persone conducono sui social media e online, i truffatori possono trovare gran parte delle informazioni di cui hanno bisogno semplicemente effettuando una ricerca sui social media o sul web. Ad esempio, studiando semplicemente il profilo LinkedIn di un potenziale obiettivo, un aggressore può conoscere il titolo di lavoro, le responsabilità, l'indirizzo e-mail aziendale, il nome del dipartimento, i nomi e i titoli dei colleghi e dei partner commerciali, gli eventi a cui ha partecipato di recente e i piani di viaggio per lavoro.
A seconda dell'obiettivo, i media tradizionali, commerciali e locali possono fornire ulteriori informazioni che i truffatori possono utilizzare, come offerte in corso o già concluse, progetti per gare e costi di costruzione previsti. Secondo un rapporto dell'analista di settore Omdia, gli hacker possono creare un'e-mail di spear phishing convincente dopo circa 100 minuti di ricerche generiche su Google (link esterno a ibm.com).
Ma quando si preparano a un attacco di whale phishing, i truffatori spesso compiono il decisivo passo in più di hackerare l'obiettivo e il mittente per raccogliere ulteriore materiale. Una cosa che può essere semplice come infettare i computer del bersaglio e del mittente con uno spyware che consenta al truffatore di visualizzare i contenuti dei file per affinare le ricerche. I truffatori più ambiziosi si introducono nella rete del mittente e ottengono l'accesso ai suoi account di posta elettronica o di messaggistica, dove possono osservare e inserirsi nelle conversazioni reali.
Quando è il momento di colpire, il truffatore invia i messaggi di attacco. I messaggi di whale phishing più efficaci sembrano inserirsi nel contesto di una conversazione in corso, includendo riferimenti dettagliati a un progetto o a un affare specifico, presentando una situazione credibile (una tattica di ingegneria sociale chiamata pretexting) e facendo una richiesta altrettanto credibile. Ad esempio, un utente malintenzionato nei panni del CEO dell'azienda potrebbe inviare questo messaggio al CFO:
Come da nostra conversazione di ieri, in allegato trova la fattura degli avvocati che si occupano dell'acquisizione di BizCo. La prego di procedere al pagamento entro le 17 CET di domani, come specificato nel contratto. Grazie.
In questo esempio, la fattura allegata potrebbe essere una copia di una fattura dello studio legale, modificata per effettuare il pagamento direttamente sul conto bancario del truffatore.
Per apparire autentici all'obiettivo, i messaggi di whaling possono contenere più tattiche di ingegneria sociale, tra cui:
- Domini di posta elettronica contraffatti. Se gli aggressori non possono accedere all'account di posta elettronica del mittente, creeranno domini di posta elettronica simili (ad esempio, bill.smith@cornpany.com per bill.smith@company.com). Le e-mail di whaling possono anche contenere firme e-mail copiate, dichiarazioni sulla privacy e altri riferimenti visuali che le fanno apparire autentiche a prima vista.
- Un senso di urgenza. La pressione delle tempistiche, ad esempio riferimenti a scadenze critiche o penali per ritardi, può spingere l'obiettivo ad agire più velocemente, senza un'attenta considerazione della richiesta.
- Insistenza sulla riservatezza. I messaggi di whaling spesso contengono istruzioni come ad esempio tienilo per te per ora per evitare che l'obiettivo contatti altri che potrebbero mettere in dubbio la richiesta.
- Backup del phishing vocale (vishing). Sempre più spesso i messaggi di phishing includono numeri di telefono che l'obiettivo può chiamare per avere conferma. Alcuni truffatori fanno seguire alle e-mail di phishing messaggi di posta vocale che utilizzano un'imitazione basata sull'intelligenza artificiale della voce del presunto mittente.
Gli attacchi di whale phishing, come tutti gli attacchi di phishing, sono tra gli attacchi informatici più difficili da combattere, perché non possono sempre essere identificati dai tradizionali strumenti di sicurezza informatica (basati su firma). In molti casi, l'aggressore deve solo superare le difese di sicurezza 'umane'. Gli attacchi di whale phishing sono particolarmente impegnativi perché la loro natura mirata e i contenuti personalizzati li rendono ancora più convincenti per l'obiettivo o per gli osservatori.
Tuttavia, ci sono misure che le organizzazioni possono adottare per contribuire a mitigare l'impatto del whale phishing, se non a prevenire del tutto questo tipo di attacchi.
Formazione sulla sensibilizzazione alla sicurezza. Poiché il whale phishing sfrutta le vulnerabilità umane, la formazione dei dipendenti è un'importante linea di difesa contro questi attacchi. La formazione anti-phishing può includere
- Insegnare ai dipendenti le tecniche per riconoscere le e-mail sospette (ad es. controllare i nomi dei mittenti di posta elettronica per riconoscere i nomi di dominio fraudolenti)
- Dare suggerimenti su come evitare la 'condivisione eccessiva' sui social network
- Promuovere abitudini di lavoro sicure, ad esempio non aprire mai allegati non richiesti, confermare richieste di pagamento insolite attraverso un secondo canale, telefonare ai fornitori per confermare le fatture, navigare direttamente nei siti web invece di fare clic sui collegamenti all'interno delle e-mail
- Simulazioni di whale phishing in cui i dirigenti possono applicare ciò che apprendono.
Autenticazione a più fattori e adattativa. L'implementazione dell'autenticazione a più fattori (richiedendo una o più credenziali in aggiunta a nome utente e password) e/o dell'autenticazione adattiva (richiedendo ulteriori credenziali quando gli utenti effettuano l'accesso da diversi dispositivi o posizioni) può impedire agli hacker di accedere all'account e-mail di un utente, anche se sono in grado di rubare la password e-mail dell'utente.
Software di sicurezza. Nessun singolo strumento di sicurezza può prevenire del tutto il whale phishing, ma diversi strumenti possono svolgere un ruolo nel prevenire questo tipo di attacchi o ridurre al minimo i danni che causano:
- Alcuni strumenti di sicurezza della posta elettronica, tra cui i software anti-phishing basati sull'AI, i filtri antispam e i gateway di posta elettronica sicuri, possono aiutare a rilevare e deviare le e-mail di whale phishing.
- Il software antivirus può aiutare a neutralizzare lo spyware o il malware che gli aggressori potrebbero utilizzare per hackerare le reti obiettivo, per condurre ricerche, intercettare conversazioni o assumere il controllo degli account di posta elettronica. (Può anche aiutare a neutralizzare le infezioni da ransomware o malware causate dal whale phishing).
- Le patch di sistema e dei software possono chiudere le vulnerabilità tecniche comunemente sfruttate dagli spear phisher.
- I gateway web sicuri e gli altri strumenti di filtraggio web possono bloccare i siti dannosi collegati alle e-mail di whale phishing.
- Le soluzioni di sicurezza aziendali possono aiutare i team di sicurezza e i centri operativi di sicurezza (SOC) a rilevare e intercettare il traffico malevole e l'attività di rete legati agli attacchi di whale phishing. Queste soluzioni comprendono, tra le altre, l'orchestrazione della sicurezza, l'automazione e la risposta (SOAR), la gestione degli incidenti e degli eventi di sicurezza (SIEM), il rilevamento degli endpoint e la risposta (EDR), il rilevamento della rete e la risposta (NDR) e il rilevamento esteso e la risposta (XDR).
Individua le minacce avanzate che altri semplicemente non vedono. QRadar SIEM sfrutta gli analytics e l'AI per monitorare le informazioni sulle minacce, le anomalie della rete e del comportamento degli utenti e per stabilire le priorità in cui è necessario porre attenzione immediata e correggere.
IBM Trusteer Rapport aiuta le istituzioni finanziarie a rilevare e prevenire le infezioni da malware e gli attacchi di phishing proteggendo i clienti retail e business.
Proteggi gli endpoint dagli attacchi informatici, rileva i comportamenti anomali e correggili quasi in tempo reale con questa soluzione di rilevamento e risposta degli endpoint (EDR) evoluta ma facile da usare.
Scopri le ultime tendenze del whale phishing e le tecniche di prevenzione su Security Intelligence, il blog degli opinion leader ospitato da IBM Security.
Il ransomware è una forma di malware che minaccia di distruggere o trattenere i dati o i file della vittima a meno che non venga pagato un riscatto all'aggressore per decodificare e ripristinare l'accesso ai dati.
Giunto alla sua 17a edizione, questo report condivide le ultime informazioni sul dilagante panorama delle minacce e offre consigli per risparmiare tempo e limitare le perdite.