Ataque de whaling: Como os golpistas visam os altos executivos

Imagine receber um e-mail urgente do seu CEO, instruindo você a autorizar uma transferência eletrônica de alto valor. Tudo parece legítimo, mas há apenas um problema… é um golpe. Mais especificamente, você é o alvo de um ataque de whaling!

E, embora os ataques de whaling não sejam novos, sua sofisticação cresceu exponencialmente com o avanço da inteligência artificial (IA).

Neste guia, você encontrará detalhes sobre:

• O que é um ataque de whaling;
• Como funcionam os ataques de whaling;
• Casos reais de empresas que perderam milhões;
• Recomendações para detectar e evitar estes ataques.

O que é um ataque de whaling?

Então, o que é um ataque de whaling?

Um ataque whaling é uma forma de phishing que tem como alvo executivos ou gerentes de alto escalão.

Mais especificamente, trata-se de uma forma de spear phishing, ou seja, um ataque de phishing que tem como alvo um indivíduo específico. Só que, nesse caso, o alvo é uma “baleia” — termo derivado do setor de jogos de azar, onde grandes apostadores são chamados assim.

Aqui está um cenário:

1. Jane Doe, CFO de uma empresa de tecnologia em rápido crescimento, está verificando sua caixa de entrada na segunda-feira de manhã. Ela percebe um e-mail de seu CEO marcado como “Urgente”, com o assunto “Transferência eletrônica confidencial necessária”.
   
2. No e-mail, seu (suposto) CEO a informa que eles estão “finalizando uma aquisição importante e precisam que ela transfira US$ 500.000 para a equipe jurídica imediatamente”. O tom é confidencial: “Não discuta com ninguém. Transfira os fundos imediatamente.”
   
3. Jane hesita, mas tudo parece legítimo: a assinatura do e-mail, o logotipo da empresa, o tom de voz. Até mesmo o endereço do remetente do e-mail está correto! Ela inicia a transferência…
   
4. Mais tarde, ela liga para o CEO para confirmar que a transação está concluída. É então que ela descobre que acabou de cometer um erro terrível… Quando o departamento de TI consegue investigar, os fundos já foram transferidos para uma conta offshore não rastreável. A empresa acaba de ser vítima de um ataque de whaling.

Os ataques de whaling se baseiam em muitas das mesmas táticas de engenharia social dos ataques de phishing:

• Confiança: os invasores imitarão os códigos de comunicação da empresa, incluindo logotipos, fontes, estilo de escrita etc;
  
• Obediência à autoridade: como seres humanos, somos naturalmente inclinados a obedecer a figuras de autoridade;
  
• Senso de urgência/perigo: as pessoas geralmente perdem todo o pensamento racional quando se deparam com um súbito senso de pânico ou urgência. Os agressores usam isso a seu favor para atingir seus objetivos.

Ao se passar por um CEO ou um executivo de alto nível, os criminosos cibernéticos usam todas essas três táticas para enganar suas vítimas. Eles geralmente tentam obter grandes transferências eletrônicas e informações confidenciais ou inserir malware com links fraudulentos.

Casos reais de ataques a baleias

Agora que vimos um exemplo teórico, vamos examinar alguns casos reais de ataques de whaling e o que podemos aprender com eles.

A fraude do CEO da FACC

Em 2016, a FACC, uma fabricante aeroespacial austríaca, foi vítima de um ataque de whaling que custou à empresa US$ 40 milhões.

Nesse ataque em larga escala, os criminosos cibernéticos se fizeram passar pelo CEO, Walter Stephan, e enviaram um e-mail ao departamento financeiro da empresa solicitando uma transferência urgente para um “projeto comercial secreto”.

Acreditando que a solicitação era legítima, a equipe financeira autorizou a transação. Quando a fraude foi descoberta, os fundos haviam sido transferidos para contas bancárias no exterior e desapareceram. Felizmente, cerca de US$ 10 milhões foram recuperados. Mas outros US$ 40 milhões desapareceram para sempre.

Esse ataque de whaling foi uma aplicação clássica de várias táticas de engenharia social:

• Spoofing de e-mail: os invasores usaram um domínio de e-mail falso muito parecido com o da empresa. Em seguida, eles pesquisaram o estilo de escrita e o tom de voz do CEO para fazer com que o e-mail parecesse autêntico;
  
• Urgência: o e-mail enfatizava a natureza urgente da transação e que o funcionário precisava agir rapidamente;
  
• Autoridade: o e-mail se fazia passar diretamente pelo CEO, acrescentando um nível de credibilidade ao ataque.

Para saber mais sobre esse caso, confira este artigo da imprensa aqui.

Google e Facebook perdem US$ 100 milhões

Em 2019, um hacker chamado Evaldas Rimasauskas foi condenado a 5 anos de prisão por um dos maiores ataques a baleias da história.

Entre 2013 e 2015, ele executou um dos mais sofisticados golpes de whaling da história, roubando um total de US$ 100 milhões do Google e do Facebook.

No golpe, Rimasauskas criou e-mails convincentes usando contas falsas, fingindo ser um fornecedor do Facebook e do Google. Esses e-mails de phishing incluíam faturas falsas de quantias multimilionárias, que os funcionários tinham o hábito de processar.

Por fim, os funcionários foram induzidos a transferir mais de US$ 100 milhões antes de perceber que algo estava errado. Esse ataque de whaling destaca duas técnicas específicas usadas pelos golpistas:

• Esquema de fornecedor falso: os atacantes pesquisam a cadeia de suprimentos de uma empresa para que possam se passar por uma empresa real, adicionando uma camada de autenticidade ao ataque;
  
• Falsificação sofisticada: os documentos falsos eram altamente convincentes e incluíam faturas falsas, contratos falsos, selos corporativos de aparência oficial, assinaturas e muito mais.

Você pode saber mais sobre esse caso no comunicado à imprensa do Departamento de Justiça dos EUA aqui.

O golpe do CEO com deepfake

Em 2019, o mundo testemunhou um dos primeiros ataques de whaling assistidos por IA. Uma empresa de energia sediada no Reino Unido perdeu € 220.000 (US$ 243.000) depois que criminosos cibernéticos usaram áudio deepfake gerado por IA para se passar pelo CEO da empresa.

Um funcionário recebeu uma ligação que soava exatamente como seu CEO, instruindo-o a transferir dinheiro para um “fornecedor”.

O funcionário seguiu as instruções – só para depois perceber que a voz foi gerada artificialmente usando a tecnologia deepfake. A essa altura, os fundos já haviam desaparecido em uma conta húngara, para nunca mais serem vistos.

A chamada parecia vir de um número de empresa conhecido, o que dava mais legitimidade a esse ataque. Os invasores ainda enviaram e-mails falsos confirmando as transações. Você pode saber mais sobre esse caso aqui.

Esse caso marcou uma virada nos ataques de whaling: a integração da IA. Mais sobre isso na próxima seção…

O papel da IA nos ataques de whaling

O surgimento da IA revolucionou os ataques de engenharia social, e isso inclui os ataques de whaling.

Em particular, graças à IA, esses ataques se tornaram mais convincentes, escalonáveis e mais difíceis de detectar do que nunca.

Vamos explorar mais detalhadamente as diferentes maneiras pelas quais a IA está ajudando os golpistas a criar ataques mais sofisticados.

Clonagem de voz com tecnologia de IA

Uma das aplicações mais alarmantes da IA nos ataques de whaling é a clonagem de voz por meio de deepfakes. Nessa técnica, os invasores usam a IA para replicar a voz de um CEO ou executivo sênior.

Graças à IA, os invasores podem gerar clones de voz realistas com amostras da voz de um alvo.

Essas amostras podem ser obtidas em entrevistas públicas, chamadas telefônicas vazadas ou até mesmo nas mídias sociais. O mais importante é que, graças a softwares com tecnologia de IA, como o VALL-E ou o ElevenLabs, os golpistas só precisam de alguns minutos de áudio para reproduzir uma voz de forma realista!

Os clones de voz podem então ser usados em tempo real para se passar por um CEO ou CFO e instruir um funcionário a fazer uma transferência eletrônica.

Vídeos Deepfake

O próximo passo depois da clonagem de voz? A clonagem de rostos!

No que hoje é comumente conhecido como “deepfake”, os golpistas podem replicar a aparência física por meio de imagens altamente realistas, geradas por IA, de executivos falando em chamadas de vídeo.

Quando feitas corretamente, essas falsificações profundas se tornaram quase indistinguíveis dos vídeos autênticos. E a tecnologia está apenas começando… Os invasores agora podem inserir um CEO falso em uma chamada do Zoom ou do Microsoft Teams, em que o “CEO” instrui pessoalmente os funcionários a fazer pagamentos ou compartilhar dados confidenciais. Os funcionários, vendo um rosto confiável, obedecem sem suspeitar.

Em 2024, esse tipo de ataque de baleia ganhou destaque com o deepfake de um CFO baseado em Hong Kong, levando à perda de US$ 25 milhões.

Falsificação de sites com tecnologia de IA

Os sites de phishing tradicionais geralmente apresentavam sinais reveladores, como erros de tipografia, formatação incorreta ou URLs suspeitos.

A IA mudou isso. Os algoritmos de aprendizado de máquina agora podem gerar clones quase perfeitos de sites corporativos para induzir os funcionários a inserir credenciais ou aprovar transações.

Os invasores agora usam rastreadores da Web com IA para extrair sites reais e recriá-los pixel por pixel. As técnicas de falsificação de domínio criam URLs semelhantes (por exemplo, maifence.com em vez de mailfence.com). Os chatbots de IA podem até simular agentes reais de atendimento ao cliente para criar credibilidade.

Golpes de e-mail com tecnologia de IA

No passado, os e-mails de ataque às baleias geralmente continham erros gramaticais, o que os tornava mais fáceis de detectar.

Atualmente, as ferramentas de geração de texto com tecnologia de IA (como ChatGPT, Jasper AI e WormGPT) permitem que os invasores criem e-mails perfeitos e altamente personalizados que imitam o estilo e o tom de escrita de um executivo.

Tudo o que os invasores precisam é de acesso a e-mails anteriores para treinar seus modelos de IA. A IA pode então escrever no estilo do CEO, tornando o e-mail altamente convincente.

Como identificar ataques de baleias?

Graças (ou melhor, por causa) da IA, os ataques de whaling, se tornaram mais difíceis de detectar do que nunca.

No entanto, existem alguns sinais que você deve observar se suspeitar de um ataque:

• Personalização: O e-mail usado para iniciar o ataque provavelmente contém informações personalizadas sobre o CEO ou executivo sênior que está sendo personificado, a vítima (geralmente um gerente ou outro executivo) ou a organização. Isso cria uma sensação de familiaridade e confiança.

• Urgência: E-mails fraudulentos que transmitem urgência podem levar a vítima a agir impulsivamente, sem considerar práticas de segurança. Os criminosos costumam usar a figura de autoridades poderosas, como CEOs ou executivos de alto nível, para pressionar a vítima, já que é mais difícil desobedecer a esse tipo de comando.

• Linguagem: O tom e a linguagem corporativos são frequentemente utilizados para convencer a vítima de que o e-mail foi enviado por alguém de alto escalão. Os atacantes criam cenários em que pedem ações de baixo esforço, como uma transferência rápida de dinheiro para um “parceiro de fornecimento”, baseando-se em ameaças falsas. Além disso, eles podem enfatizar a confidencialidade, incentivando a vítima a não discutir o e-mail com outras pessoas. Isso impede que alguém a alerte sobre o golpe.

• Assinatura legítima: Os criminosos podem usar endereços de e-mail aparentemente confiáveis, assinaturas profissionais e links que direcionam para sites fraudulentos. Mais adiante, explicaremos como identificar esses elementos.

• Arquivos e links: Ataques de baleias frequentemente incluem anexos ou links maliciosos que podem instalar malware ou roubar informações confidenciais. Mesmo que nada pareça acontecer ao clicar em um link ou preencher um formulário, isso pode disparar o download de um malware oculto.

Como evitar ataques de baleias?

Você não quer se tornar mais uma estatística em um relatório de ataque de baleia? Então siga estas etapas:

• Verifique o e-mail do remetente com atenção. Se o e-mail for enviado por um colega, principalmente por um executivo de alto escalão da sua organização, confirme a autenticidade. Caso o e-mail venha de uma empresa externa, busque o endereço de e-mail oficial da empresa e compare os dois;
  
• Passe o mouse sobre qualquer link incorporado para verificar a autenticidade do site. Há um erro de digitação no domínio do site ou ele está redirecionando você para algum outro site? Então você deve evitar clicar no link;
  
• Questione a validade de qualquer solicitação de dinheiro ou informações confidenciais, mesmo que a solicitação venha de um gerente ou colega. Em caso de dúvida, entre em contato diretamente com a pessoa por telefone para confirmar a solicitação;
  
• Cuidado com o que você compartilha nas redes sociais. Tudo o que você publica on-line pode ser usado contra você, seja para clonagem de voz ou deepfakes. Os invasores também podem usar nomes, datas e locais sobre os quais você falou on-line para tornar seus ataques mais confiáveis. Como regra geral, defina suas contas de mídia social como privadas.

Considerações finais sobre os ataques de whaling

A IA está redefinindo a escala e a sofisticação dos ataques de whaling. Em breve, a clonagem de voz e os deepfakes devem se tornar indistinguíveis da realidade.

Diante disso, como agir quando não é possível distinguir o falso do real? A resposta é simples: verifique sempre antes de tomar qualquer decisão.

Você acha que um e-mail é suspeito? Ou uma ligação telefônica parece um pouco… estranha? Faça perguntas de sondagem, algo que somente a pessoa real poderia responder. E, em caso de dúvida, não responda ao e-mail e desligue o telefone. Verifique com seu departamento de TI e verifique novamente ligando diretamente para a pessoa em questão. Essas são as melhores práticas para se proteger contra ataques de whaling.

Para elevar ainda mais sua segurança cibernética, o primeiro passo é adotar um provedor de e-mail privado e seguro. Aqui no Mailfence, nós nos orgulhamos de:

• Ferramentas de segurança avançadas: criptografia de ponta a ponta, criptografia simétrica, assinaturas digitais e muito mais.
• Sem rastreamento ou publicidade. Não usamos nenhum rastreador de publicidade ou marketing de terceiros. Não rastreamos sua atividade no aplicativo. O Mailfence é totalmente livre de anúncios.
• Leis de privacidade rígidas. Os servidores do Mailfence estão localizados na Bélgica, onde há leis rigorosas de proteção à privacidade. Somente uma ordem judicial belga válida pode nos obrigar a liberar os dados.

Pronto para levar sua privacidade e segurança cibernética ao próximo nível? Crie sua conta gratuita hoje mesmo!