O whaling, ou ataque “baleeiro”, é uma técnica de engenharia social que envolve o envio de emails fraudulentos para enganar os “peixes grandes” da hierarquia empresarial. Trata-se de uma forma de phishing executivo, que como o spear phishing, visa atingir indivíduos específicos. A seguir explicamos mais sobre o que é whaling e como se proteger.
Mailfence - Obtenha seu e-mail seguro e gratuito.
4.1 baseado em 177 avaliações de usuários
O que é whaling?
O whaling em engenharia social é uma forma de phishing direcionado a executivos e gerentes de alto nível. Ao se passar por um profissional altamente conceituado, o cibercriminoso tenta induzir a vítima a tomar decisões desfavoráveis para a sua empresa. Geralmente, o objetivo é obter grandes transferências de dinheiro, informações confidenciais ou infectar a rede de computadores da organização. Por este motivo, os ataques de whaling em engenharia social podem ter consequências catastróficas e duradouras, abrindo caminho para outros golpes cibernéticos.
Qual é a diferença entre phishing e whaling?
Tanto os ataques de phishing quanto os ataques de whaling utilizam comunicações falsas para induzir as vítimas a agir de maneira desfavorável. No entanto, diferente do phishing, a “caça às baleias” visa atingir indivíduos específicos, considerados “peixes grandes” devido ao seu alto perfil profissional. Em outras palavras, enquanto os emails de phishing são enviados em massa, os emails de whaling são altamente específicos e direcionados.
Como identificar ataques de whaling
Devido ao alto perfil dos alvos e dos enormes retornos que estão em jogo para os cibercriminosos, este tipo de golpe depende de um plano elaborado para ser bem sucedido. Como resultado, pode ser bastante difícil (mas não impossível) detectar e prevenir ataques baleeiros.
O melhor caminho para empresas e organizações que lidam com informações confidenciais ou de alto valor é a conscientização de toda a equipe. Cada funcionário deve ser educado sobre comportamentos potencialmente perigosos, por menores que eles possam parecer.
Como reconhecer emails de whaling
Os emails de whaling geralmente apresentam as seguintes características:
- Personalização: Os email de whaling costumam ser altamente personalizados com informações pessoais (roubo de identidade) para dar mais autenticidade ao golpe. Informações sobre a vítima e/ou a organização para a qual ela trabalha também são utilizadas para criar uma sensação de familiaridade.
- Urgência: As pessoas tendem a agir sem pensar quando se deparam com uma situação de urgência. Por este motivo, os invasores também costumam tentar assustar as vítimas, fazendo ameaças ou se passando por autoridades que não podem ser desobedecidas.
- Linguagem: Uma linguagem comercial é usada para dar mais autenticidade às mensagens fraudulentas. Os invasores criam cenários falsos nos quais a vítima é induzida a realizar ações de baixo esforço (como transferências e envios de informação). A confidencialidade também pode ser enfatizada pelos criminosos, para que o alvo evite falar sobre o email que recebeu. O resultado é que ninguém pode alertar a vítima sobre o quão suspeita é a situação.
- Assinatura legítima: Os invasores podem usar um endereço de email, assinaturas e links aparentemente confiáveis para que levar o alvo até um site fraudulento. Falaremos mais sobre isso adiante.
- Arquivos e links: Os cibercriminosos podem usar anexos ou links para solicitar informações confidenciais ou infectar os dispositivos do alvo com malware. Links que não abrem são uma forma comum de desencadear downloads ocultos de malware.
Exemplos de ataques de whaling
- Ataque “interno”
Em 2016, o principal executivo de finanças da Mttel recebeu um email fraudulento. O criminoso se fazia passar pelo novo CEO e o email continha uma solicitação de transferência recorrente para um fornecedor da China. Ao cair no esquema de phishing, a empresa perdeu US $ 3 milhões, mas conseguiu recuperá-los após uma luta árdua.
- Ataque externo
Importantes executivos de diferentes setores receberam um email aparentemente enviado pelo Tribunal Distrital dos Estados Unidos. A mensagem continha uma intimação para um júri referente a um caso civil. Ela também incluía o nome, empresa e número de telefone dos executivos. Ao clicar no link de confirmação, as vítimas tiveram seus dispositivos infectados por malware.
- Telefonemas
O Centro Nacional de Segurança Cibernética do Reino Unido já confirmou que os emails de whaling podem ser acompanhados por telefonemas. É um recurso simples, mas que dá mais autenticidade ao cenário fabricado pelo criminoso. Felizmente, existem formas de evitar cair nesse tipo de cilada.
Como se proteger contra ataques de whaling
As perdas financeiras e o vazamento de informações não são os únicos problemas causados por whaling attacks. Este tipo de golpe também pode afetar a reputação da vítima e da organização para a qual ela trabalha. Por este motivo, várias empresas adotam a demissão de funcionários comprometidos como parte de sua política de segurança.
As seguintes dicas vão ajudar você e a sua equipe a evitar este tipo de situação:
Seja consciente
Existem diferentes tipos de golpes e eles podem estar muito bem disfarçados. Ao receber um email suspeito, lembre-se de:
- Verificar a identidade do remetente, mesmo que a mensagem tenha sido enviada por um colega de trabalho ou superior. Emails provenientes de fontes internas também devem ser verificados.
- Verificar a autenticidade de qualquer link recebido. O domínio de email do remetente deve ser compatível com o link. Caso contrário, pode se tratar de uma fraude. Passe o mouse sobre links incorporados no email antes de clicar neles. A URL será exibida no canto inferior esquerdo da sua tela.
- Verificar a idade do domínio. Domínios mais recentes tendem a ser mais perigosos, principalmente se a empresa a qual eles se referem já tem anos de mercado.
- Questionar a validade de solicitações de dinheiro ou de informações confidenciais, mesmo que a mensagem tenha sido enviada por um superior. Em caso de dúvida, contate os responsáveis por telefone para confirmar a solicitação.
Entenda o poder das redes sociais
Tudo o que é postado nas redes sociais pode um dia ser usado contra você. Os emails de whaling costumam ser personalizados com fotos, nomes, datas e outros detalhes encontrados online. Os ciberataques também costumam usar conteúdo publicado após conferências ou eventos realizados pela empresa. Ou seja, os cuidados devem ser redobrados durante e logo após este tipo de ocasião.
É sempre uma boa ideia definir contas pessoais nas redes sociais como privadas. No entanto, o mesmo não pode ser feito com os canais públicos da empresa (boletins informativos, redes sociais, site, etc.). Felizmente, a próxima dica pode ajudar com esse problema.
Adote políticas de proteção de dados
Políticas internas sobre quais informações podem ser compartilhadas publicamente são uma ótima forma de prevenir vazamentos. Ao estabelecer boas práticas de segurança, você permite que equipes e colaboradoras desenvolvam uma cultura de consciência e responsabilidade. Estas medidas podem ajudar a prevenir não somente os whaling attacks, mas também outros ataques de engenharia social.
Outras políticas de proteção de dados frequentemente adotadas por empresas e organizações incluem:
- Sinalização de e-mails externos: Isso facilita a identificação de emails externos se fazendo passar por colegas, gerentes e executivos.
- Verificação de solicitações: Solicitações específicas ou urgentes, enviadas por colegas e superiores devem ser confirmadas em outro canal. Falar com o remetente em pessoa, por mensagem ou por telefone é a melhor forma de evitar cair em um golpe.
- Verificação em várias etapas: Solicitações de pagamento e envios de informações confidenciais devem passar por várias etapas de verificação antes de serem concluídos. Uma solução simples é exigir que tais transações sejam sempre verificadas e assinadas por pelo menos duas pessoas. Isso também diminui o fator medo de ser o único funcionário responsável, permitindo mais confiança nas tomadas de decisão.
Ferramentas e cursos anti-phishing
Os cibercriminosos estão sempre um passo à frente do usuário. No entanto, existem formas de identificar e prevenir os ataques baleeiros, começando por diversos cursos de segurança cibernética. Treinamentos baseados em exemplos práticos também são uma ótima forma de abordar o assunto. Ao testar as reações da sua equipe a emails de whaling simulados, por exemplo, você pode abrir caminho para feedback e conversas de conscientização.
Além disso, existem softwares e ferramentas anti-phishing capazes de reconhecer links fraudulentos e malwares. Provedores de email seguros e privados, como Mailfence, também podem ser usados para bloquear spam, anúncios, rastreadores, hackers e solicitações. Essas ferramentas dão aos usuários mais tranquilidade no combate aos diferentes tipos de engenharia social.
O que fazer se você cair em um ataque whaling
Acha que foi vítima de um ataque de engenharia social ou teve a sua conta de email invadida? Não entre em pânico. Leia nosso artigo sobre as etapas a serem seguidas quando um email é hackeado. Nele explicamos como controlar os danos, denunciar o ataque e prevenir golpes futuros.
Se você estiver usando um dispositivo ou conta de trabalho, comunique-se com seu supervisor e departamento de TI o mais rápido possível. Isso permitirá que outros funcionários sejam alertados, garantindo que tudo permaneça seguro. Além disso, quanto mais cedo você relatar o incidente, menos tempo os invasores terão para agravar os danos. Sua empresa também pode desenvolver um plano de ação completo, cobrindo todas as partes afetadas desde o início.
Como prevenir outros ataques de engenharia social
Agora que você sabe o que é whaling, é hora de botar medidas de proteção em prática. Como já mencionado, a melhor maneira de evitar este tipo de golpe é se manter informado. Pensando nisso, a Mailfence criou um curso de segurança de email e conscientização sobre privacidade.
O curso é gratuito e muito fácil de seguir. Ele ajuda os usuários a entender seu próprio perfil como alvo de ameaças cibernéticas e como se proteger de forma adequada. Também preparamos um artigo sobre como identificar e prevenir ataques de engenharia social.
Para mais informações sobre os serviços empresariais da Mailfence, entre em contato conosco pelo email support@mailfence.com.