Cos'è un attacco di whaling? Identificare ed evitare le "truffe del CEO"

Quindi, come funziona un attacco di whaling? E cosa puoi fare in questo momento per evitarlo? In questo post troverai preziose informazioni al riguardo.

Che cos'è un attacco di whaling?

Un attacco di whaling, altresì noto come "truffa del CEO", prende di mira i più importanti dirigenti di un'azienda. In questo tipo di attacco un criminale informatico fingerà di essere una persona di alto livello di un'azienda, per sottrarre denaro, rubare informazioni sensibili o accedere ai sistemi informatici.

Il whaling è simile al phishing (viene detto anche whale phishing) in quanto utilizza e-mail e siti web contraffatti per indurre con l'inganno dipendenti o clienti a rivelare informazioni sensibili o trasferire denaro. Tuttavia, a differenza del phishing, gli attacchi di whaling fanno apparire un messaggio come se fosse stato inviato da un amministratore delegato o un dirigente di pari livello. In questo modo, i criminali informatici fanno affidamento sull'obbedienza di una persona nei confronti dell'autorità per portare a termine i propri loschi piani.

Differenze tra phishing, whale phishing e spear phishing

Il phishing, lo spear phishing e il whaling, sebbene abbiano nomi che richiamano ad attività di pesca, sono tre tipi distinti di attacchi informatici che fanno affidamento su comunicazioni ingannevoli per estorcere informazioni da un'ignara vittima. La differenza fra le tre tipologie di attacchi risiede nella precisione e nel profilo delle vittime.

Il phishing è il tipo di attacco più generico, nel quale e-mail indesiderate vengono inviate a un gran numero di persone. Nella maggior parte dei casi, queste e-mail fingono di provenire da un'azienda ben nota con la speranza di indurre l'ignaro destinatario a fornire dati sensibili, come credenziali di accesso e numeri di carte di credito.

Lo spear phishing differisce dal phishing tradizionale per via del fatto che questo tipo di attacco è creato su misura per un individuo o un'azienda. In altre parole, mentre il phishing lancia un'ampia rete, lo spear phishing si concentra su specifiche informazioni personali che riguardano la vittima, spesso acquisite dai social media: ciò rende più probabile che il destinatario dia seguito a queste e-mail.

Il whaling è una forma molto specializzata di spear phishing, in cui è più probabile che gli obiettivi di alto profilo presi di mira siano dirigenti o altre figure importanti di un'azienda. Il motivo per cui è stato adottato il termine "whaling", che si traduce in caccia alle balene, è dovuto al fatto che questi attacchi sono destinati a esponenti importanti di un'azienda: i cosiddetti pesci grossi o, appunto, "balene". Questi attacchi sono spesso molto precisi. Alcuni di essi potrebbero riutilizzare le comunicazioni interne o provenire da un indirizzo molto simile a uno aziendale; sono spesso progettati per estorcere grandi somme di denaro o raccogliere dati sensibili e riservati.

Esempi di attacchi di whaling

Ora che conosci i principi di base, contestualizziamo un attacco di whaling attraverso alcuni esempi.

Il bonifico urgente

Nel tentativo di accaparrarsi del denaro gratis, basato sull'induzione di un senso di stress, il criminale informatico invia un'e-mail "urgente". Di solito ha lo stesso stile di un messaggio personale inviato da un dirigente, che instaura un senso di fiducia prima di chiedere un bonifico urgente; il trasferimento di denaro deve essere effettuato su uno specifico conto entro una precisa data.

Probabilmente, a questo punto, ti starai chiedendo: "Perché mai dovrei farlo, senza prima chiedere conferma al mio capo?". Il motivo è semplice: immagina di lavorare in una multinazionale con oltre 10.000 dipendenti. Tra vicedirettori, dirigenti di alto livello e responsabili di procedure operative e finanze presenti in ogni reparto aziendale, che si occupano in continuazione di pagamenti di ogni tipo, una richiesta di trasferimento di denaro potrebbe non sembrare una cosa inconsueta.

Una richiesta di invio di file

Immagina di iniziare la tua giornata lavorativa con 45 e-mail non lette: le esamini rapidamente, occupandoti delle questioni urgenti in modo da poter proseguire con le attività della giornata. Il tuo capo vuole che gli mandi un documento contenente lo storico dei pagamenti e i dati delle carte di credito aziendali; così lo invii senza pensarci su due volte, soprattutto perché il tuo "capo" ha bisogno di aiuto. E così, a fronte di uno sforzo minimo da parte del criminale, sei l'ennesima vittima di un attacco di whaling.

Attacchi di whaling: un disastro da miliardi di dollari per gli amministratori delegati

Gli AD delle grandi aziende sono facili da impersonare: la voce, il tono e l'ubicazione di queste persone sono spesso di dominio pubblico su internet, pertanto i criminali possono copiare tali informazioni e sfruttarle per il proprio tornaconto. Gli attacchi di whaling aggirano senza problemi i firewall e riescono a eludere anche le difese IT più complesse, con una tale facilità da riuscire a far sentire una persona del tutto incompetente; motivo per cui, spesso, non vengono segnalati. Tra il 60 e il 70% dei direttori finanziari negli Stati Uniti sono caduti vittime di attacchi di whaling, che hanno arrecato perdite dell'ordine di grandezza di miliardi di dollari. Poiché tuttavia ammettere di "esserci cascati" potrebbe risultare troppo imbarazzante, ogni possibilità di porre rimedio viene tarpata.

Ogni anno, migliaia di aziende si sono abituate a dilapidare miliardi in "perdite evitabili"; è bene però sottolineare che le strategie per evitare un attacco di whaling sono tanto semplici quanto l'attacco in sé.

Come evitare un attacco di whaling?

Gli attacchi informatici di whaling utilizzano l'ingegneria sociale per raggirare le vittime e indurle con l'inganno a trasferire denaro. Ma non bisogna lasciarsi intimidire da un termine che significa semplicemente "approfittare delle debolezze umane". Osservando le cose da questa nuova prospettiva, i rimedi per gli attacchi di whaling diventano a basso costo e altamente efficaci:

1. Consapevolezza del personale

Per combattere adeguatamente il whaling, è necessario che le sessioni di formazione per i dipendenti sulla sensibilizzazione alla sicurezza vadano oltre le nozioni di base. È bene, ad esempio, implementare simulazioni avanzate che riflettano situazioni del mondo reale, così da migliorare le capacità del personale di riconoscere gli attacchi di whaling e rispondere di conseguenza. In queste sessioni di formazione avanzate è opportuno approfondire anche le tattiche psicologiche utilizzate per gli attacchi di whaling, come l'impersonificazione e la manipolazione. Inoltre si dovrebbe prendere in considerazione la possibilità di effettuare workshop che coinvolgono diversi reparti dell'azienda, in quanto possono aiutare a garantire che il personale di ogni livello, dai semplici dipendenti alla dirigenza, siano sulla stessa lunghezza d'onda per quanto riguarda la vigilanza generale. Promuovendo l'apprendimento continuo e incoraggiando i dipendenti a rimanere aggiornati sulle più recenti tecniche di whaling, è possibile costruire un team in grado di difendersi da questi tipi di attacchi.

2. Implementare la doppia autorizzazione per i bonifici

Abbiamo accennato in precedenza alla necessità di ottenere un secondo parere quando qualcuno richiede un pagamento. Fare in modo che ogni bonifico in uscita debba essere firmato da due persone diverse aiuta sempre a prevenire i potenziali attacchi di whaling.

3. Il personale di alto livello dovrebbe avere account privati sui social

Gli attacchi di whaling prendono di mira gli esponenti più importanti di un'azienda: se un dirigente di alto livello pubblica un post in cui parla della grigliata che ha fatto nel weekend, il criminale potrebbe sfruttare queste informazioni per impersonarlo e convincere la vittima di essere proprio lui.

4. Linee guida e politiche sulla sicurezza informatica

Stabilire un perimetro organizzativo sicuro richiede un approccio articolato. Quando si parla di whaling, è fondamentale implementare una strategia che affronti in modo completo ed esauriente tutti gli aspetti della comunicazione. L'approccio dovrebbe includere l'analisi in tempo reale dei contenuti di posta elettronica per automatizzare il rilevamento di potenziali tentativi di phishing basati sull'ingegneria sociale; inoltre, è opportuno prendere in considerazione anche l'utilizzo di strumenti di sicurezza avanzati come firewall, crittografia e sistemi di rilevamento anti-intrusione.

5. Proteggi con la crittografia le informazioni sensibili

Oltre a promuovere tutte le buone prassi ovvie, come un'adeguata igiene della posta elettronica e il controllo incrociato di richieste e rivendicazioni sospette, adottare un secondo livello di precauzione non ha mai fatto male a nessuno. Proteggi e mantieni al sicuro le informazioni sensibili della tua azienda con NordPass: questo software utilizza la crittografia XChaCha20 per memorizzare i dati delle carte di credito e le password di sistema della tua azienda, custodendoli all'interno di una cassaforte basata su cloud e con accesso protetto da biometria. Se un membro del personale dovesse cadere nella trappola di un attacco di whaling, le informazioni più sensibili della tua impresa rimarranno comunque protette grazie a una password principale a cui solo i membri autorizzati possono accedere.

Le aziende più piccole possono subire enormi danni a causa degli attacchi di whaling poiché, a differenza delle grandi imprese, non possono "permettersi" il lusso di perdite finanziarie. Adottando un buon gestore di password per aziende manterrai i tuoi file sensibili al sicuro dagli accessi non autorizzati e contribuirai a scongiurare i potenziali danni irreversibili causati dagli attacchi di whaling.