Cos'è un attacco alla balena?

Blog

In un attacco Whaling, gli aggressori prendono di mira gli individui che sono nelle posizioni autoritarie o decisionali in un'organizzazione, per frodare una società.

di YunesTarada

Ultimo aggiornamento:
Tempo di lettura: 5 min
Cos'è un attacco alla balena?
Indice dei contenuti-

Gli attacchi alle balene sono sinonimo di frodi ai danni dei CEO, una tattica molto diffusa tra i criminali informatici per frodare le aziende. In un attacco di whaling, gli aggressori prendono di mira individui che ricoprono posizioni di autorità o decisionali all'interno di un'organizzazione, come dirigenti senior e funzionari di alto livello. Si tratta di una forma potente e altamente mirata di phishing o spear phishing progettata per indurre obiettivi di alto valore (HVT) a rivelare informazioni aziendali, credenziali, cliccare su link dannosi, aprire file dannosi o avviare bonifici bancari. L'obiettivo è spesso quello di rubare dati sensibili, ottenere l'accesso a sistemi critici (come quelli con dettagli finanziari) o utilizzare credenziali compromesse per ulteriori attività dannose. Gli attacchi di phishing rimangono una minaccia significativa; CISCO ha scoperto che l'86% delle aziende ha avuto almeno un dipendente vittima di una truffa di phishing nella sua ricerca del 2021, e l' Anti-Phishing Working Group (APWG) ha registrato oltre un milione di attacchi di phishing unici solo nel primo trimestre del 2022.

I punti chiave da prendere in considerazione

  1. Gli attacchi di whaling utilizzano ricerche sofisticate per prendere di mira dirigenti di alto livello per ottenere dati aziendali sensibili o accesso al sistema.
  2. Il whaling si differenzia dal normale phishing per l'obiettivo specifico, la maggiore sofisticazione e le conseguenze potenzialmente più devastanti (finanziarie e reputazionali).
  3. Una difesa efficace richiede un approccio a più livelli che combini l'autenticazione delle e-mail (DMARC con p=rifiuto), le best practice di sicurezza (2FA, aggiornamenti) e la formazione dei dipendenti.
  4. Gli aggressori spesso ricercano gli obiettivi utilizzando i social media e le informazioni pubbliche per creare e-mail di balena convincenti e personalizzate.
  5. L'implementazione di DMARC, SPF e DKIM è fondamentale per bloccare lo spoofing dei domini negli attacchi whaling e per monitorare le minacce.

Come avviene un attacco alla balena?

Per capire come avviene il whaling cerchiamo prima di tutto di capire la differenza tra attacchi whaling, phishing e spear phishing:

Che cos'è il phishing regolare?

L'ingegneria sociale, o phishing tradizionale, consiste nell'ingannare le persone per indurle a rivelare informazioni sensibili, come credenziali di accesso o dati finanziari. L'autore dell'attacco spesso si finge un'entità affidabile, come una banca o un ente governativo, e invia un'e-mail o un messaggio in cui richiede informazioni o un link a un sito web falso. Gli attacchi di phishing tradizionali vengono spesso inviati a grandi gruppi di persone nella speranza che una piccola percentuale di esse cada nel tranello.

Whaling VS Phishing

  • Obiettivi: Un normale attacco di phishing non prende di mira persone specifiche di alto livello, ma getta una rete ampia che mira a un vasto pubblico. Un attacco whaling mira specificamente a dirigenti e funzionari di alto livello ("balene" o "pesci grossi").
  • Sofisticatezza: I normali attacchi di phishing sono spesso semplici. Gli attacchi di whaling sono in genere più elaborati, ben realizzati e personalizzati, spesso utilizzando loghi ufficiali, linguaggio e indirizzi e-mail apparentemente legittimi dopo un'attenta ricerca del ruolo, delle responsabilità e delle abitudini dell'obiettivo.
  • Informazioni prese di mira: Il phishing normale spesso cerca credenziali di accesso o informazioni finanziarie personali. Il whaling mira a ottenere informazioni aziendali sensibili di alto valore, come segreti commerciali, documenti riservati o accesso a conti e sistemi finanziari aziendali.
  • Tattiche: Il phishing normale può utilizzare tattiche generiche di paura. Il whaling può utilizzare tattiche più elaborate, come la creazione di siti web falsi che rispecchiano quelli legittimi o la creazione di un falso senso di urgenza legato a questioni commerciali.
  • Impatto: Sebbene qualsiasi phishing possa essere dannoso, un attacco di whaling riuscito è spesso più devastante a causa dell'accesso di alto livello e dei dati sensibili coinvolti, che possono causare perdite finanziarie significative e danni alla reputazione. Un attacco di whaling è doppiamente efficace e pericoloso, poiché fa leva sull'affidabilità e sull'autorità di un individuo esistente per ingannare le vittime.
  • Modalità di attacco: Entrambi utilizzano spesso l'e-mail, ma la caccia alle balene potrebbe anche comportare telefonate mirate o altri metodi di comunicazione.

Whaling VS Spear Phishing

  • Gli attacchi di spear phishing sono anche attacchi di phishing altamente mirati, che prendono di mira personalità o gruppi specifici all'interno di un'organizzazione per lanciare campagne fraudolente.
  • Il whaling si differenzia dal generale spear phishing per il fatto che sceglie come obiettivo principale solo i dirigenti aziendali più anziani (le "balene").

Nel whaling un aggressore invia un'e-mail di phishing a un dirigente di alto livello, spacciandosi per il suo manager, il CEO o il CFO, o talvolta prendendo di mira un dipendente di livello inferiore spacciandosi per un dirigente. L'e-mail istigherà un bonifico bancario di fondi aziendali o chiederà le credenziali aziendali che consentiranno all'aggressore di accedere al sistema dell'organizzazione.

Definizione di attacco alla balena

Il termine "balena" viene utilizzato per indicare i dirigenti aziendali o i pesci grossi come il CEO e il CFO. Poiché queste persone occupano posizioni di alto livello nell'azienda, hanno accesso a informazioni sensibili come nessun altro. Per questo motivo, impersonarli o ingannarli può rivelarsi dannoso per l'attività e la reputazione di un'azienda, causando potenziali perdite finanziarie, violazioni di dati, perdita di produttività e persino conseguenze legali.

Esempi di attacchi di baleneEsempio di e-mail di attacco alla balena in cui l'amministratore delegato chiede al direttore finanziario un trasferimento urgente

Nell'esempio sopra riportato, John, il responsabile del team finanziario, ha ricevuto un'e-mail da Harry, l'amministratore delegato dell'organizzazione, che gli chiede di avviare un bonifico bancario urgente. In questo caso, se John non verificasse la richiesta attraverso un altro canale o non riconoscesse i segni del phishing, finirebbe per trasferire i fondi a cui ha accesso, cadendo così vittima dell'attacco whaling.

Come fermare gli attacchi Whaling: proteggere la tua organizzazione e i tuoi dati

Per rendere questi attacchi ancora più efficaci come tattica di social engineering, gli aggressori spesso svolgono i loro compiti in modo elaborato e dettagliato. Utilizzano informazioni disponibili pubblicamente, raccolte da piattaforme di social media come Facebook, Twitter e LinkedIn, nonché da siti web aziendali, per conoscere la vita quotidiana, le attività, le responsabilità e le relazioni professionali di un dirigente. Questo li fa apparire come credibili e legittimi, aiutandoli a ingannare facilmente le loro vittime.

C'è un modo per fermare gli attacchi delle baleniere? Sì, esiste! Di seguito sono riportate alcune misure proattive che potete adottare per aiutarvi a combattere il phishing, lo spoofing, il whaling e altre forme di attacchi di social engineering. La cosa migliore è un approccio a più livelli:

  1. Protocolli di autenticazione e-mail:
    • Sender Policy Framework (SPF) vi aiuta ad autorizzare le vostre fonti di invio legittime. Se utilizzate più domini o terze parti per inviare e-mail, un record SPF vi aiuterà a specificarli in modo da identificare i domini dannosi che si spacciano per vostri.
    • DomainKeys Identified Mail o DKIM è un protocollo di autenticazione delle e-mail che utilizza firme crittografiche per garantire che i messaggi siano inalterati durante il loro percorso.
    • E infine, DMARC (Domain-based Message Authentication, Reporting, and Conformance) aiuta ad allineare gli identificatori SPF o DKIM e a specificare ai server di ricezione delle e-mail come si desidera gestire i messaggi di whaling falsi inviati dal proprio dominio (ad esempio, rifiutarli). Un criterio DMARC impostato su `p=rifiuto` può combattere efficacemente lo spoofing del dominio diretto usato nel whaling. Consente di rifiutare le e-mail che non superano i controlli, di richiedere l'autenticazione per le e-mail in uscita e di bloccare la consegna delle e-mail falsificate.
  2. Segnalazione DMARC: Dopo aver applicato la modalità del criterio, attivare i rapporti Rapporti DMARC aggregati e forensi per monitorare le fonti di posta elettronica, comprendere la deliverability e individuare rapidamente eventuali tentativi di attacco al vostro dominio. Uno strumento di analisi DMARC può aiutare a gestire questi report e ad aggiornare in modo sicuro le policy.
  3. Formazione e addestramento dei dipendenti: Assicurarsi che i dipendenti, in particolare i dirigenti di alto livello e i team finanziari, siano consapevoli dei rischi di whaling e siano addestrati a riconoscere le e-mail sospette, a verificare le richieste (soprattutto quelle finanziarie) attraverso un canale di comunicazione separato e a evitare di cliccare su link sconosciuti o di aprire allegati inaspettati. Una formazione regolare sulla consapevolezza informatica è fondamentale.
  4. Autenticazione forte: Implementare l'autenticazione a due fattori (2FA) o l'autenticazione a più fattori (MFA) ogni volta che è possibile, soprattutto per l'accesso alle e-mail e ai sistemi sensibili.
  5. Sicurezza delle password: Applicare criteri per password forti e uniche per tutti gli account.
  6. Software per il filtraggio e la sicurezza delle e-mail: Utilizzate soluzioni robuste di filtraggio della posta elettronica per bloccare le e-mail sospette o segnalarle per la revisione. Impiegate la sicurezza degli endpoint, come l'antivirus e il firewall.
  7. Aggiornamenti regolari del software: Mantenere tutti i software, i sistemi operativi e i browser aggiornati con le ultime patch di sicurezza per prevenire lo sfruttamento delle vulnerabilità.
  8. Sicurezza della rete: Implementare solide misure di sicurezza della rete, tra cui potenzialmente la segmentazione della rete e controlli di accesso rigorosi.
  9. Piano di risposta agli incidenti: Disporre di un piano chiaro per rispondere agli incidenti di sicurezza, come gli attacchi di phishing o di whaling, per ridurre al minimo i danni e consentire un rapido recupero.

Con queste misure di sicurezza, è possibile ridurre il tasso di successo degli attacchi di social engineering rivolti ai dipendenti dell'azienda. Combinare controlli tecnici come il DMARC con una formazione e una sensibilizzazione continue è la chiave per costruire una solida difesa contro il whaling. L'implementazione di DMARC può anche aprire la strada a tecnologie come BIMIche consentono di allegare il logo del vostro marchio verificato alle e-mail, aumentando ulteriormente la fiducia e il riconoscimento.

Invito all'azione di PowerDMARC

Ultimi messaggi di Yunes Tarada (vedi tutti)
Ultimo aggiornamento:
Migliorare la sicurezza del dominio con l'analisi DMARCanalisi dmarcCos'è la vulnerabilità DMARCCos'è la vulnerabilità DMARC?