Dal 2013, le aziende statunitensi hanno involontariamente trasferito oltre 12 miliardi di dollari ai criminali responsabili di attacchi di whaling. Potresti pensare di essere immune dal rischio di cadere nel tranello di un'e-mail che appare sospetta, ma gli attacchi di whaling imitano sin nei minimi dettagli un CEO o CFO e riescono a portare a termine l'obiettivo di rubare i file e le informazioni più preziosi dell'azienda.
Contenuti
Come funziona, quindi, un attacco di whaling? E quali misure puoi subito mettere in atto per respingerlo? In questo post ti illustreremo come fare.
Che cos'è un attacco di whaling?
Un attacco di whaling, altresì noto come "truffa del CEO", prende di mira i piani alti di un'azienda. In questo tipo di attacco un criminale informatico fingerà di essere una persona di alto livello di un'azienda, al fine di rubare informazioni finanziarie e sensibili o accedere ai sistemi informatici.
Il whaling è simile al phishing, in quanto utilizza lo spoofing di e-mail e siti web per indurre con l'inganno dipendenti o clienti a rivelare informazioni sensibili o trasferire denaro. Tuttavia, a differenza del phishing, gli attacchi di whaling fanno apparire un messaggio come se provenisse direttamente da un amministratore delegato o un dirigente di alto livello. In questo modo, i criminali informatici fanno affidamento sull'obbedienza di una persona nei confronti dell'autorità per portare a termine i propri piani di furto.
Esempi di attacchi di whaling
Ora che ne conosci i principi di base, contestualizziamo un attacco di whaling attraverso alcuni esempi.
Il bonifico urgente
Nel tentativo di accaparrarsi del denaro gratis, basato sull'induzione di un senso di stress, il criminale informatico invia un'e-mail "urgente". Di solito ha l'aspetto di un messaggio personale inviato da un dirigente, che instaura un senso di fiducia prima di chiedere un bonifico urgente. Il trasferimento di denaro deve essere effettuato su un conto designato entro una specifica data.
Probabilmente, a questo punto, ti starai chiedendo: "Perché mai dovrei farlo, senza prima rivolgermi al responsabile e chiedere conferma?". Il motivo è semplice: immagina di lavorare in una multinazionale con oltre 10.000 dipendenti. Tra vice direttori, dirigenti di alto livello e responsabili di procedure operative e finanze presenti in ogni reparto aziendale, che si occupano in continuazione di pagamenti di ogni tipo, una richiesta di trasferimento di denaro potrebbe non sembrare una cosa inconsueta.
Una richiesta di invio di file
Immagina di iniziare la tua giornata lavorativa con 45 e-mail non lette. Le esamini rapidamente, occupandoti subito delle questioni urgenti in modo da poter proseguire con le attività della giornata. Il tuo capo vuole che gli mandi un documento che contenga i registri di pagamento e includa i dati delle carte di credito aziendali. Lo invii senza pensarci su due volte, soprattutto perché il "capo" ha bisogno del tuo aiuto. E così, a fronte di uno sforzo minimo da parte del criminale, sei caduto vittima di un attacco di whaling.
Attacchi di whaling: Un disastro da un miliardo di dollari per i CEO
I CEO di alto livello delle mega aziende sono facili da impersonare: voce, tono e ubicazione di queste persone sono spesso di dominio pubblico su internet, pertanto i criminali possano copiare tali informazioni e sfruttarle per il proprio tornaconto. Gli attacchi di whaling aggirano senza problemi i firewall e riescono a eludere anche le difese IT più complesse, con una tale facilità da riuscire a far sentire una persona del tutto incompetente; motivo per cui, spesso, non vengono segnalati. Tra il 60 e il 70% dei CFO negli Stati Uniti sono caduti vittime di attacchi di whaling, che hanno arrecato perdite dell'ordine di grandezza di miliardi di dollari. Poiché tuttavia ammettere di "esserci cascati" potrebbe risultare troppo imbarazzante, ogni possibilità di porre rimedio viene tarpata.
Migliaia di aziende si sono abituate a dilapidare miliardi in "perdite evitabili" ogni anno. È bene però sottolineare che evitare un attacco di whaling è tanto semplice quanto l'attacco in sé.
Come evitare un attacco di whaling?
Il whaling ricorre all'ingegneria sociale per indurre le vittime a consegnare denaro. Ma non bisogna lasciarsi intimidire da un termine che significa semplicemente "attuare comportamenti predatori nei confronti della natura umana". Osservando le cose da questa nuova prospettiva, i rimedi per gli attacchi di whaling diventano a basso costo e altamente efficaci:
Destigmatizzare le segnalazioni di attacchi di whaling
Non importa quali difese tecniche si mettono in atto: la validità di un sistema è quantificabile solo in funzione della preparazione delle persone che ne fanno parte. Un attacco di whaling inizia e termina con un dipendente ignaro: occorre perciò insegnare al personale a identificare le e-mail sospette e a chiedere sempre un secondo parere riguardo a trasferimenti di denaro o all'invio di dati sensibili. Svolgendo attività di formazione con cadenza regolare, volte a destigmatizzare la segnalazione di minacce informatiche, si osserveranno senz'altro dei miglioramenti. Ciò permetterà di creare una sorta di sistema d'allarme umano, indurrà il personale a mantenere alta la guardia e ridurrà i danni arrecati dagli attacchi informatici.
Implementare la doppia autorizzazione per i bonifici
Abbiamo citato la necessità di domandare un secondo parere quando qualcuno richiede un pagamento. Fare in modo che ogni bonifico in uscita debba essere firmato da due persone diverse aiuta sempre a prevenire le minacce di attacchi di whaling.
Il personale di alto livello dovrebbe avere account privati sui social media
Gli attacchi di whaling prendono di mira i piani alti di un'azienda. Se un dirigente di alto livello pubblica un post in cui parla del barbecue a cui ha partecipato nel fine settimana, il criminale potrebbe sfruttare queste informazioni per convincere la vittima di essere proprio lui.
Investi in un buon piano assicurativo contro le minacce informatiche
Le aziende dovrebbero investire in un buon piano assicurativo che le tuteli da tali rischi, con particolare riferimento alla presenza di clausole riguardanti la fedeltà o possibili atti criminali da parte dei propri stessi dipendenti. Un valido piano di assicurazione contro le minacce informatiche ti coprirà anche in caso di attacchi di ingegneria sociale o ransomware.
Proteggi con la crittografia le informazioni sensibili
Oltre a promuovere tutte le buone prassi ovvie, come un'adeguata salute della posta elettronica e il controllo incrociato di richieste e rivendicazioni sospette, adottare un secondo livello di precauzione non ha mai fatto male a nessuno. Proteggi e mantieni al sicuro le informazioni sensibili della tua azienda con NordPass. NordPass utilizza la Crittografia XChaCha20 per memorizzare i dati delle carte di credito e le password di sistema della tua azienda, custodendole all'interno di un vault basato sul cloud e protetto da accessi biometrici. Se un membro del personale dovesse cadere nella trappola di un attacco di whaling, le informazioni più delicate della tua azienda rimarranno protette grazie a una password principale a cui solo i membri autorizzati possono accedere.
Le aziende più piccole possono subire enormi danni a causa degli attacchi di whaling, poiché non hanno il lusso di potersi "permettere" perdite finanziarie come invece fanno le grandi aziende. Iniziando con l'adozione di un valido sistema di gestione delle password aziendali, manterrai i tuoi file sensibili al sicuro dagli accessi non autorizzati e contribuirai a scongiurare potenziali danni irreversibili causati dagli attacchi di whaling.