Engenharia Social: O que é Whaling?

Whaling é uma forma de phishing attack dirigido a executivos de alto nível. Ao se passar por um profissional altamente conceituado, os cibercriminosos tentam enganar suas vítimas para que façam ações desfavoráveis. Eles geralmente tentam obter grandes transferências eletrônicas, informações confidenciais ou inserir malware com links fraudulentos. Com os dois últimos, a engenharia social a whaling pode ter consequências de longo prazo com novos ataques com base nos dados recuperados.

Qual é a diferença entre phishing e whaling?

Ambos usam comunicações falsas para induzir as vítimas a tomar medidas favoráveis em favor do cibercriminoso. No entanto, embora os golpes de phishing sejam enviados massivamente, a caça às baleias tem como alvo indivíduos específicos considerados “baleias” devido à sua alta posição em uma organização valiosa.

Índice

Como identificar um Whaling attack

Pode ser difícil identificar um ataque de caça às baleias. Os cibercriminosos se esforçam muito para elaborar esses golpes, pois os retornos podem ser enormes. Eles enganaram muitos funcionários altamente qualificados e causaram perdas substanciais para suas empresas. Para evitar isso, as organizações com informações confidenciais ou de alto valor monetário devem manter seus funcionários informados sobre as táticas de engenharia social.

Como reconhecer um whaling e-mail

Os e-mails Whaling podem apresentar as seguintes características:

  • Personalisação: o e-mail whaling provavelmente incluirá informações personalizadas sobre o indivíduo falsificado, a vítima ou a organização para criar um senso de familiaridade.
  • Urgência: transmitir urgência pode fazer com que a vítima aja antes de pensar nas práticas de segurança. Os atacantes também podem tentar assustar as vítimas usando personas poderosas que são difíceis de desobedecer ou com uma ameaça à sua reputação.
  • Idioma: o tom e a linguagem comercial são os mais apropriados para convencer a vítima de que o e-mail foi enviado por uma pessoa de alto escalão. Os invasores costumam usar um cenário em que pede à vítima para fazer uma ação de baixo esforço (como uma transferência rápida de dinheiro para um parceiro de fornecimento) com base em uma ameaça falsa. Eles também podem enfatizar a confidencialidade para evitar que a vítima seja notificada sobre o golpe por outra pessoa.
  • Assinatura legítima: os invasores podem usar um endereço de e-mail confiável, assinatura e um link que leva a um site fraudulento. Mostraremos como reconhecê-los mais adiante no artigo.

Arquivos & Links: os cibercriminosos podem usar anexos ou links para inserir malware ou solicitar informações confidenciais. Se nada acontecer quando você clicar em um link ou enviar informações em seu site, isso pode desencadear um download de malware oculto.

Exemplos de whaling attacks

De ‘dentro’ da empresa

Em 2016, o principal executivo de finanças da Mttel recebeu um e-mail fraudulento de alguém que se fazia passar pelo novo CEO. Eles tinham uma solicitação regular de um novo pagamento de fornecedor para a China. Ao cair no esquema de phishing, a empresa perdeu US $ 3 milhões, mas conseguiu recuperá-los após uma luta árdua.

De um terceiro

O esquema de e-mail a seguir enganou um punhado de executivos de diferentes setores. O cibercriminoso enviou a e-mail falso do Tribunal Distrital dos Estados Unidos com uma intimação para comparecer perante um grande júri em um caso civil. Os e-mails incluíam o nome, empresa e número de telefone dos executivos, enganando-os que era oficial. Quando clicaram no link da intimação, receberam malware.

  • Com ligações

O National Cyber Security Centre (NCSC) do Reino Unido confirma que alguns e-mails sobre caça às baleias foram acompanhados por telefonemas de autores do crime cibernético. Um truque simples como esse pode tornar seu golpe verossímil, mas existem maneiras de evitar que se caia por um.

Como se proteger de um whaling attack

Além de perder dinheiro ou dados, os ataques à caça de baleias afetam a reputação da vítima e de sua organização. Algumas empresas dispensaram funcionários que caíram em táticas de engenharia social, como FACC, quem demitiu seu CEO. E, infelizmente, há um aumento inicial de ataques de cibersegurança junto com um aumento de vítimas específicas, de acordo com a HP

Para evitar fazer parte das estatísticas das vítimas, recomendamos seguir estas dicas:

1 – Esteja ciente

Saiba que existem diferentes tipos de ataques e que podem ser bem disfarçados. Ao receber uma solicitação específica, lembre-se de:

  1. Verifique novamente o e-mail do remetente, se for de um colega. Quando se trata de um terceiro, procure o autêntico.
  2. Verifique se o domínio no link é um pouco diferente daquele pelo qual ele tenta passar. Em caso afirmativo, é um site fraudulento. Se o link estiver embutido em uma palavra ou imagem, passe o mouse sobre ele. Você verá o domínio aparecer no canto inferior direito do seu navegador.
  3. Verifique a idade do domínio do site fraudulento para ver se ele corresponde ao confiável. Se o domínio fraudulento for mais jovem, ele não será confiável.
  4. Questione a validade do pedido de dinheiro ou informações confidenciais.

Para investigar os links antes de abri-los, você pode usar estas ferramentas online:

Verificar o redirecionamento de URL: mostra o caminho para onde um link o levará.

Serviço de captura de tela do site: captura de tela um site ao fornecer um link, permitindo que você o visualize antes de acessá-lo.

Verificador de idade do domínio: insira um link questionável e um link do site autêntico para ver se suas idades correspondem.

2 – Conheça o poder das redes sociais

Qualquer coisa postada online pode funcionar contra o seu favor. Um e-mail baleeiro pode ser personalizado com fotos, nomes, datas e muitos outros detalhes encontrados nas redes sociais. Também é comum publicar conteúdo de conferências ou eventos da empresa, o que significa que os funcionários devem prestar atenção extra aos golpes depois de participarem deles, uma vez que os golpistas provavelmente se referirão a eles.

Uma boa prática é definir contas pessoais de mídia social como privadas. No entanto, ele não protege totalmente de conteúdo publicado pelos canais públicos da empresa (boletins informativos, mídia social, site, etc.). A próxima dica pode ajudar com esse problema.

3 – Adote políticas de proteção de dados em toda a empresa

Um entendimento comum de que tipo de informação pode ser compartilhada publicamente impede que os invasores cibernéticos as usem. Ao estabelecer as melhores práticas de segurança cibernética em sua organização, um senso de responsabilidade e responsabilidade também pode aumentar entre os colegas, protegendo contra perdas substanciais.

Algumas políticas de proteção de dados que as empresas adotam são:

  • Sinalizar e-mails de terceiros: torna mais fácil identificar golpes de e-mail fingindo ser colegas.
  • Verificar solicitações: ao receber solicitações específicas ou urgentes do e-mail de um colega, é uma boa ideia confirmar com ele. Falar pessoalmente, por meio de uma mensagem ou por telefone pode garantir que não se trata de um golpe.
  • Verificação em várias etapas: qualquer solicitação de transferência eletrônica ou informações confidenciais deve passar por várias verificações com diferentes pessoas antes de ser realizada. Por exemplo, ter duas pessoas assinando cada transferência de dinheiro de alto valor pode ser uma solução simples. Também diminui o fator medo de ser o único funcionário responsável por tais transações, permitindo mais clareza para tomar uma decisão importante.

4 – Ferramentas e cursos anti-phishing

Quanto às ferramentas, existem softwares anti-phishing que podem reconhecer links fraudulentos e downloads de malware. Além disso, um provedor de e-mail seguro e privado, como Mailfence, pode evitar spam, anúncios, rastreadores, hackers e solicitações. Essas ferramentas podem dar aos usuários tranquilidade com muitos truques de engenharia social.

Quanto às ferramentas, existem softwares anti-phishing que podem reconhecer links fraudulentos e downloads de malware. Além disso, um provedor de e-mail seguro e privado, como Mailfence, pode evitar spam, anúncios, rastreadores, hackers e solicitações. Essas ferramentas podem dar aos usuários tranquilidade com muitos truques de engenharia social.

Obtenha suas mensagens privadas

O que fazer se você cair em um whaling attack

Se você sofreu com engenharia social e / ou seu e-mail foi hackeado, leia nossa postagem do blog em Etapas a serem executadas quando seu e-mail for hackeado. Ele explica como controlar os danos, relatá-los e prevenir futuros ataques de hackers.

Se você estava usando um dispositivo ou conta de trabalho, comunique-se com seu supervisor e com o departamento de TI o mais rápido possível. Eles podem alertar outros funcionários e garantir que tudo esteja seguro novamente. Além disso, quanto mais cedo você relatar o incidente, menos tempo os invasores terão para piorar o dano. E sua organização pode fazer um plano de comunicação completo que envolve todas as partes afetadas anteriormente.

Como prevenir outros tipos de engenharia social

Conforme mencionado antes, a melhor maneira de evitar ataques de phishing é se informar. Para este propósito, Mailfence criou um gratuito e fácil de seguir Curso de segurançpa de e-mail e conscientização sobre privacidade.

O curso ajuda os usuários a entender seu perfil de ameaça para saber quais dicas precisam. Com base nisso, uma série de artigos da Mailfence compartilham conhecimentos sobre os diferentes níveis de segurança contra ameaças cibernéticas encontradas em e-mails.

Mantenha-se atualizado com nossos artigos mais recentes, seguindo-nos no Twitter e Reddit. Para mais informações sobre Mailfence’s e-mail encriptado suíte, não hesite em nos contatar em support@mailfence.com.

Equipe Mailfence

Você pode gostar...