whale phishing

Whaling phishing: hacker a pesca di dirigenti aziendali

Avete mai sentito parlare di phishing?
E di tecniche di ingegneria sociale?

Se siete dei dirigenti in una azienda la risposta è sicuramente sì e probabilmente avete preso parte a dei corsi di sicurezza informatica per difendervi e difendere la vostra azienda da questo tipo di minaccia informatica.

Sapete anche che esistono attacchi informatici specifici che mirano a raggirare esclusivamente i dirigenti di un’azienda?
Alcune tecniche di attacco informatico sono progettate per prendervi di mira personalmente con il fine di ottenere accesso a dati e permessi che solo voi avete.

Una delle tecniche che rientra in questa categoria è proprio il whaling phishing, una minaccia concreta per i dipendenti senior e i vertici di ogni società.

Se non ne avete mai sentito parlare o se comunque non avete le idee chiare sul whaling phishing, prendetevi qualche minuto per scoprire meglio di che cosa si tratta e soprattutto per capire come prevenire le catastrofiche conseguenze che un attacco di questo tipo porterebbe alla vostra azienda.

Sommario

Che cos è il whaling phishing

Il whaling phishing o whale phishing è una forma più evoluta e sofisticata del classico phishing via e-mail.

In questo caso, come suggerisce il nome (che rimanda alla caccia alle balene) gli hacker prendono di mira esclusivamente i “pesci grossi” di una società ossia:

  1. Manager
  2. CEO
  3. CFO
  4. CIO
  5. tutti gli altri elementi della struttura aziendale che possono rientrare nel C-level.

Questa tecnica è più ambiziosa delle altre in quanto sceglie come bersaglio esclusivamente profili che hanno un potere decisionale, di spesa o che comunque sono in possesso di informazioni riservate e permessi nelle reti aziendali che un comune dipendente non ha.

Anche in questa variante del phishing, così come nello spear phishing, richiede che l’hacker si sia informato accuratamente sul suo bersaglio, perché la credibilità della sua e-mail sarà fondamentale per il successo della truffa.

L’obiettivo è, come sempre, quello di ingannare la vittima affinché condivida informazioni sensibili utili ai piani malevoli dell’hacker e di conseguenza dannosi per l’azienda. Ma non solo, con il passare del tempo gli hacker hanno affinato le loro capacità e hanno elaborato strategie combinate per risultare più credibili.

Ad esempio, ci sono casi in cui alla e-mail truffaldina sia seguita una telefonata per far cadere anche le eventuali resistenze dell’impiegato preso di mira.
In altre situazioni, gli hacker hanno prima violato una azienda fornitrice e hanno sfruttato i suoi indirizzi mail legittimi per ingannare la società scelta come target.

Come funziona un attacco di Whale phishing

Anche in questa tipologia di phishing è possibile ritrovare delle fasi consecutive, eccole elencate qui di seguito:

Fase di progettazione

Il criminale informatico sceglie l’azienda target e inizia a raccogliere informazioni sulla sua struttura e su chi siano i dirigenti che possono fare al caso suo.

Fase di organizzazione

Il malintenzionato analizza le pagine social e tutte le altre informazioni disponibili sui dirigenti che ha individuato come obiettivi.

  • A cosa stanno lavorando in questo momento?
  • Sono sotto pressione per qualche progetto in essere?
  • Hanno delle scadenze in avvicinamento?
  • Quali sono i clienti più importanti con cui si interfaccia?

Questa tecnica di cyber attack evidenzia chiaramente quale leva possa ingannare l’attenzione di un C-level ma anche che trarre in inganno un dirigente d’azienda sia ben più difficile che raggirare un utente medio qualsiasi.

Se si punta a profili di alto livello difficilmente sarà sufficiente un tentativo maldestro, si tratta di personale competente e di esperienza che di sicuro conosce i rischi della navigazione in rete e del phishing.

Inoltre, le aziende spesso forniscono ai loro dirigenti tutti i servizi di sicurezza informatica necessari per mettersi al sicuro da i rischi di questo tipo di attacco. Di conseguenza, l’hacker dovrà redigere la sua e-mail fittizia in modo da essere assolutamente credibile. D’altro canto, se la vittima designata è un personaggio di spicco, ci saranno molte tracce nel web dei suoi lavori che un malintenzionato potrebbe sfruttare.

Fase di realizzazione

L’attaccante invia la sua e-mail utilizzando un linguaggio tecnico adeguato e riferendosi a situazioni attuali, come ad esempio un affare in corso, facendo riferimenti ad altri colleghi o a dei fornitori o clienti che si occupano della questione.

Tutte queste informazioni servono a dare l´impressione che si stia parlando con qualcuno che ha a che fare in prima persona (chi altri potrebbe avere informazioni così circostanziate?) con l’affare in questione e quindi ad essere disponibile nei suoi confronti in quanto “lavoriamo per uno stesso obiettivo” oppure “sembra plausibile che questa persona mi chieda questa cosa”.

Per ultimo potrebbero essere state utilizzate anche tecniche di spoofing.
Ad esempio, l’e-mail potrebbe apparente mente venire dall’amministratore delegato o da un cliente storico, da un altro dipendente o da una azienda partner.

Fase di guadagno

In definitiva se il dirigente cade nella trappola potrebbe:

  • Fornire direttamente per email le informazioni richieste
  • Pagare finte fatture o comunque fare inconsapevolmente versamenti al cyber criminale
  • Fare click su un link che lo reindirizza ad una pagina di accesso la cui verosimiglianza con quella legittima é curata in ogni piccolo particolare
  • Aprire allegati infetti che installino dei malware sul suo computer che possano spiare le attività del dirigente fornendo informazioni per altre email di phishing, oppure potrebbero farsi largo nella struttura della rete aziendale fino a scagliare un attacco informatico ben più pericoloso, bloccando processi produttivi o chiedendo un riscatto per file crittografati.
  • Fare click su un collegamento che porta ad un sito infetto estremamente simile a quello reale e scaricare così un’eseguibile pericoloso.

Come difendersi dal whale phishing

Come abbiamo già detto per poter ingannare un dirigente di alto livello ci vuole un’e-mail che sia assolutamente verosimili e la cura meticolosa dei dettagli è l’unica chiave per il successo.

Questo rende gli attacchi di whale phishing estremamente difficili da rilevare anche dalle tecnologie più avanzate.
Ciononostante alcune accortezze possono mitigare il rischio di abboccare all’amo degli attaccanti.

  • Adottate un atteggiamento dubbioso su ogni e-mail, anche familiare che ricevete.
    In particolare, quando si tratta di un vostro superiore o di un cliente importate e quando la richiesta trasmette un senso di urgenza.
    In questo caso è sufficiente una telefonata per risolvere il dubbio e mantenersi al sicuro da gravi conseguenze per la società.
  • Prima di fare clic su allegati o collegamenti o di autorizzare delle transazioni chiedetevi: questa e-mail era in qualche modo attesa?
    La richiesta è insolita? In ogni caso controllate sempre gli URL prima di aprire i collegamenti alla ricerca di qualcosa di strano.
  • Siate critici nel fidarvi delle e-mail solo perché sembrano venire da una fonte affidabile, contengono loghi ufficiali o perché contengono linguaggio appropriato e informazioni che difficilmente coloro che non lavorano al progetto conoscono.
    Ricordate che questo tipo di attacco non ha luogo senza un uno studio meticoloso delle vostre abitudini.

Difendere la propria azienda dal whale phishing

Così come per i dipendenti C-level anche le aziende possono impegnarsi per prevenire questi attacchi.
Come? Ecco qualche consiglio pratico:

  • La consapevolezza è un arma indispensabile (ma non sempre risolutiva) contro il phishing in tutte le sue sfumature.
    Se già per i tutti i collaboratori è importantissima la formazione sui temi della sicurezza informatica, per i dirigenti è assolutamente fondamentale.
  • Organizzate delle simulazioni di whaling per affinare con l’esercizio le capacità dei dirigenti.
  • Incoraggiate tutto il vostro personale a verificare tramite un secondo canale le richieste urgenti o che fanno riferimento a conseguenze catastrofiche. Ci si impiega pochissimo tempo e sono tutti più sicuri. Basta una chiamata, un SMS o se possibile un riscontro faccia a faccia.
  • Limitate la condivisione di informazioni sui vostri dipendenti nei vostri canali social.
  • Chiedete al vostro reparto IT di etichettare automaticamente le e-mail che provengono dall’esterno della rete aziendale.
    In questo modo sarà più facile riconoscere i contenuti fraudolenti che cercano di sembrare provenienti dall’interno dell’organizzazione e invece non lo sono.
  • Potreste modificare i protocolli aziendali in modo siano necessarie le firme di due persone diverse per autorizzare i pagamenti.
    In questo modo si aggiunge un secondo fattore di controllo.

Differenze tra spear phishing e whaling phishing

Sebbene spear phishing e whaling phishing abbiano entrambe un target ben definito e gli hacker abbiano raccolto informazioni su di lui presentano anche delle differenze.

Lo spear phishing si rivolge ad una persona o una categoria di vittime con una certa caratteristica.
Il whale phishing invece è una tecnica che prevede vengano presi di mira esclusivamente i vertici di una specifica azienda.

Inoltre nel whale phishing la mail sembra provenire da un dirigente più alto in grado, da un collega o da una persona con la quale si collabora attivamente nell’ambito lavorativo, mentre nello spear phishing non é necessariamente così.

Considerazioni conclusive

Il whale phishing è una minaccia concreta e sempre più diffusa che mira a raggirare le personalità ai vertici di una società per ottenerne un vantaggio.
Non si parla più di truffa generica ma bensì di cucita su misura per i “pesci grossi” che possono fornire informazioni, e credenziali di accesso.

Le e-mail fraudolente contengono sempre:

  • Informazioni personalizzate sull’organizzazione o su altri individui che ci lavorano

  • Trasmettono senso di urgenza e prevedono conseguenze terribili

  • Usano un linguaggio specifico e adeguato al contesto aziendale

Proprio per questo difendersi è molto difficile ma ci sono delle strategie per ridurre il rischio che possono evitare delle conseguenze gravissime per la vostra organizzazione.

Chi è Onorato Informatica?

Azienda specializzata in sicurezza informatica da oltre 15 anni, certificata ISO 9001 e 27001

Onorato Informatica è un’azienda informatica, specializzata in sicurezza informatica, da oltre 15 anni.
Forniamo servizi di Vulnerability Assessment e Penetration Test a oltre 4500 clienti in tutta Italia.

Ci occupiamo di Cyber Security dalle nostre sedi di Mantova, Parma, Milano e Los Angeles. Siamo un’azienda certificata ISO 9001ISO 27001 e azienda etica.

Se vuoi conoscere i servizi di sicurezza informatica e sapere come possiamo aiutarti, contattaci.