)
)
Dal 2013, le aziende statunitensi hanno inconsapevolmente trasferito più di 12 miliardi di dollari ai criminali che si celano dietro attacchi di tipo whaling. Potresti pensare che non ti faresti mai ingannare da un'email sospetta. Eppure, gli attacchi di tipo whaling imitano perfettamente il tuo CEO o CFO e riescono a rubare i file e le informazioni più preziosi della tua azienda.
Contenuti:
Quindi, come funziona il whaling? E cosa puoi fare in questo momento per evitarlo? In questo post, ti insegniamo proprio questo.
Che cos'è un attacco whaling?
Un attacco whaling, noto anche come frode del CEO, prende di mira la figura più importante di un'azienda. In questo tipo di attacco, un criminale informatico assumerà le sembianze di un membro di alto livello di un'azienda per rubare finanze e informazioni sensibili o accedere a sistemi informatici.
Il whaling è simile a phishing — e può essere indicato come whale phishing — in quanto utilizza lo spoofing di email e siti web per ingannare dipendenti o clienti e convincerli a rivelare informazioni sensibili o trasferire denaro. Ma a differenza del phishing, gli attacchi whaling fanno apparire il messaggio come se fosse stato inviato dal CEO o da un dirigente di pari livello. In questo modo, i criminali informatici fanno affidamento sull’obbedienza di una persona all’autorità per eseguire il loro piano dalle mani lunghe.
Differenze tra phishing, whaling phishing e spear phishing
Phishing, spear phishing, e whaling, sebbene suonino tutti come tipi di attività di pesca, sono tre tipi distinti di attacchi informatici che fanno affidamento su una comunicazione ingannevole per estorcere informazioni da un individuo ignaro. La differenza tra i tre tipi di attacchi risiede nella precisione e nel profilo delle vittime.
Phishing è il tipo di attacco più generico in cui email indesiderate vengono inviate a un gran numero di persone. Nella maggior parte dei casi, tali e-mail fingono di provenire da un'azienda ben nota con la speranza di indurre l'ignaro presunto destinatario a fornire dati sensibili come credenziali di accesso e numeri di carta di credito.
Spear Phishing differisce dal phishing tradizionale in quanto questo tipo di attacco è considerato su misura per un individuo o un'azienda. A differenza del phishing, che lancia un'ampia rete, lo spear phishing si concentra su qualsiasi informazione personale che riguarda la vittima, spesso acquisita dai social media. Ciò rende più probabile che il destinatario dia seguito a queste email.
Whaling è una forma molto specializzata di spear phishing, in cui gli obiettivi di alto profilo è più probabile che siano dirigenti o altre figure importanti in un'azienda. Il motivo per cui è stato adottato il termine "whaling", ossia balena, è perché questi attacchi sono destinati a figure importanti in un'azienda, i cosiddetti pesci grossi, o appunto le "balene". Questi attacchi sono spesso molto precisi. Alcuni di loro potrebbero riutilizzare le comunicazioni interne o provenire da un indirizzo che è molto simile a un indirizzo aziendale. Sono spesso progettati per estorcere grandi somme di denaro o raccogliere dati sensibili e riservati.
Esempi di whaling
Ora che hai capito in cosa consistono, mettiamo un attacco whaling nel contesto con alcuni esempi.
Il bonifico urgente
Nel tentativo di creare pressione e mettere le mani su qualche somma di denaro, l'attaccante invia una mail "urgente". Di solito appare come un messaggio personale dal capo, per stabilire la fiducia prima di chiedere un bonifico bancario urgente. Il bonifico deve essere effettuato su un conto designato entro un giorno determinato.
Forse stai pensando: “Perché dovrei farlo senza contattare il mio capo per avere una conferma prima di procedere?"Beh, immagina un’azienda internazionale con più di 10.000 persone. Con i vicedirettori, i manager di alto livello, e i manager operativi e finanziari in ogni reparto che si occupano costantemente di pagamenti di ogni tipo, una richiesta di trasferimento di denaro potrebbe non essere nulla di straordinario.
Una richiesta per inviare file
Immagina di iniziare la giornata lavorativa con 45 email non lette. Le scorri rapidamente, dando la priorità a quelle urgenti in modo da poter andare avanti con la tua giornata. Il tuo capo ha bisogno di ricevere da te un documento che contiene i registri di pagamento e include i dettagli della carta di credito dell'azienda. Glieli invii senza pensarci due volte, soprattutto perché il tuo "capo" ha bisogno del tuo aiuto. E proprio così, con uno sforzo minimo da parte del criminale, sei stato truffato da un attacco whaling.
Attacchi whaling: un disastro da miliardi di dollari per gli amministratori delegati
Gli amministratori delegati delle mega-aziende sono facili da impersonare: la loro voce, il tono, e la posizione sono spesso diffusi online a visibili al mondo, cosicché i criminali li possano copiare e sfruttare. Gli attacchi whaling possono casualmente superare e aggirare i firewall e anche le più complesse difese IT con una facilità tale da far sentire una persona completamente incompetente, che è il motivo per cui spesso non vengono segnalati. Tra il 60-70% dei CFO negli Stati Uniti sono stati truffati da un attacco whaling che ha provocato perdite da miliardi di dollari. Ma poiché ammettere di “essere stati ingannati" potrebbe apparire troppo imbarazzante, ogni possibilità di rimedio viene soffocata.
Migliaia di imprese si sono abituate ad ammortizzare miliardi ogni anno in "perdite evitabili". Ma evitare un attacco whaling è facile come l'attacco stesso.
Come evitare un attacco whaling?
Gli attacchi whaling utilizzano l'ingegneria sociale per ingannare le vittime inducendole a cedere denaro. Ma non farti intimidire da un termine che significa semplicemente “predare la natura umana”. Da questo nuovo punto di vista, i rimedi per gli attacchi whaling diventano a basso costo ed estremamente efficaci:
Consapevolezza a livello di team
Per combattere adeguatamente il whaling, le sessioni di formazione sulla sensibilizzazione alla sicurezza per i dipendenti dovrebbero andare oltre le nozioni di base. Potresti voler implementare simulazioni avanzate che riflettono scenari del mondo reale, che migliorano la capacità dei dipendenti di riconoscere e rispondere agli attacchi whaling. Sessioni di formazione avanzate dovrebbero sottolineare le tattiche psicologiche utilizzate per gli attacchi whaling, come l'impersonazione e la manipolazione. Inoltre, si dovrebbe prendere in considerazione la possibilità di effettuare workshop interdipartimentali, perché possono contribuire a garantire che tutti i livelli di personale, da quelli base a quelli executive siano sulla stessa lunghezza d'onda per quanto riguarda la vigilanza in generale. Promuovendo l'apprendimento continuo e incoraggiando i dipendenti a rimanere aggiornati sulle più recenti tecniche di whaling, è possibile costruire un team in grado di difendersi dal whaling.
2. Attuare la doppia autorizzazione sui bonifici
Abbiamo parlato della necessità di richiedere una seconda opinione quando qualcuno chiede un pagamento. Chiedere la firma di due persone per autorizzare qualsiasi bonifico in uscita aiuta sempre a prevenire un attacco whaling incombente.
3. Il personale con più anzianità di lavoro dovrebbe avere account di social media privati
Gli attacchi di whaling colpiscono i "pesci grossi" di un'azienda. Se un funzionario senior scrive un post su di un barbecue che ha fatto nel fine settimana, chi vuole compiere un attacco whaling potrebbe utilizzare queste informazioni per convincere la vittima di essere davvero colui che si spaccia di essere.
4. Linee guida e politiche per la cibersicurezza
Linee guida e politiche per la cibersicurezza. Stabilire un perimetro organizzativo sicuro richiede un approccio articolato. Quando si tratta di whaling, è fondamentale attuare una strategia globale che copra tutti gli aspetti della comunicazione. L'approccio dovrebbe includere l'analisi in tempo reale dei contenuti di posta elettronica per automatizzare il rilevamento di potenziali tentativi di phishing di ingegneria sociale. Inoltre, si dovrebbe anche prendere in considerazione il ricorso a strumenti di sicurezza avanzati come firewall, crittografia e sistemi di rilevamento anti-intrusione.
5. Crittografa le tue informazioni sensibili
Oltre a promuovere tutte le cose ovvie come una buona igiene della casella e-mail e controlli incrociati sulle richieste e sui reclami sospetti, una seconda precauzione è sempre un'ottima scelta. Proteggi e metti al sicuro le informazioni sensibili della tua azienda con NordPass. NordPass utilizza la crittografia XChaCha20 Crittografia XChaCha20 per memorizzare i dettagli della carta di credito della tua azienda e le password di sistema, bloccandoli all'interno di una cassaforte cloud-based, protetta con serrature biometrice. Se un membro dello staff dovesse farsi ingannare da un messaggio di whaling, le informazioni più compromettenti della tua azienda rimarranno protette con una password principale a cui solo i membri autorizzati possono accedere.
Le aziende più piccole possono subire enormi perdite dagli attacchi whaling poiché non possono permettersi di ammortizzare le perdite come le grandi aziende. Iniziare con un buon gestore di password aziendali manterrà i tuoi file sensibili al sicuro dall'accesso casuale e contribuirà a scoraggiare qualsiasi danno irreversibile causato da attacchi whaling.