Co to jest atak wielorybniczy?

Blog

W ataku typu Whaling, atakujący obierają za cel osoby, które zajmują autorytarne lub decyzyjne stanowiska w organizacji, aby wyłudzić pieniądze od firmy.

YunesTarada

Ostatnia aktualizacja:
Czas odczytu: 5 min
Co to jest atak wielorybniczy?
Spis treści-

Ataki wielorybów są synonimem oszustwami CEO, czyli popularnej taktyki stosowanej przez cyberprzestępców w celu oszukania firm. W ataku typu whaling atakujący wybierają osoby zajmujące stanowiska kierownicze lub decyzyjne w organizacji, takie jak członkowie kadry kierowniczej wyższego szczebla i urzędnicy wysokiego szczebla. Jest to skuteczna, wysoce ukierunkowana forma phishingu lub spear phishingu , mająca na celu nakłonienie osób o wysokiej wartości (HVT) do ujawnienia informacji firmowych, danych uwierzytelniających, kliknięcia złośliwych linków, otwarcia złośliwych plików lub zainicjowania przelewów bankowych. Celem jest często kradzież poufnych danych, uzyskanie dostępu do krytycznych systemów (np. zawierających dane finansowe) lub wykorzystanie skradzionych danych uwierzytelniających do dalszych złośliwych działań. Ataki phishingowe pozostają poważnym zagrożeniem; CISCO odkryło, że 86% firm miało co najmniej jednego pracownika, który padł ofiarą oszustwa phishingowego w badaniach przeprowadzonych w 2021 r., a Grupa Robocza ds. Zwalczania Phishingu (APWG) odnotowała ponad milion unikalnych ataków phishingowych tylko w pierwszym kwartale 2022 roku.

Kluczowe wnioski

  1. Ataki wielorybnicze wykorzystują wyrafinowane badania, aby wycelować w wysoko postawionych menedżerów w celu uzyskania poufnych danych korporacyjnych lub dostępu do systemu.
  2. Whaling różni się od zwykłego phishingu specyficznym ukierunkowaniem, wyższym poziomem wyrafinowania i potencjalnie bardziej niszczycielskimi konsekwencjami (finansowymi, reputacyjnymi).
  3. Skuteczna ochrona wymaga wielowarstwowego podejścia łączącego uwierzytelnianie poczty e-mail (DMARC przy p=reject), najlepsze praktyki bezpieczeństwa (2FA, aktualizacje) i szkolenia uświadamiające pracowników.
  4. Atakujący często badają cele przy użyciu mediów społecznościowych i informacji publicznych, aby tworzyć przekonujące, spersonalizowane wiadomości e-mail dotyczące wielorybów.
  5. Wdrożenie DMARC, SPF i DKIM ma kluczowe znaczenie dla blokowania spoofingu domen w atakach typu whaling i monitorowania zagrożeń.

Jak odbywa się atak na wieloryby?

Aby zrozumieć, w jaki sposób odbywa się whaling ,spróbujmy najpierw zrozumieć różnicę między atakami whalingowymi, phishingiem i spear phishingiem:

Co to jest zwykły Phishing?

Inżynieria społecznalub zwykły phishing polega na nakłonieniu osób do ujawnienia poufnych informacji, takich jak dane logowania lub informacje finansowe. Atakujący często podszywa się pod godną zaufania instytucję, np. bank lub agencję rządową, i wysyła wiadomość e-mail lub SMS z prośbą o podanie informacji lub linkiem do fałszywej strony internetowej. Zwykłe ataki phishingowe są często wysyłane do dużych grup osób w nadziei, że niewielki odsetek z nich da się nabrać na ten trik.

Wielorybnictwo VS Phishing

  • Targetowanie: Zwykły atak phishingowy nie jest wymierzony w konkretne osoby o wysokiej randze; zarzuca on szeroką sieć skierowaną do szerokiego grona odbiorców. Atak typu "whaling" jest ukierunkowany na kadrę kierowniczą wyższego szczebla i urzędników wysokiego szczebla ("wieloryby" lub "grube ryby").
  • Wyrafinowanie: Zwykłe ataki phishingowe są często proste. Ataki wielorybnicze są zazwyczaj bardziej skomplikowane, dobrze przygotowane i spersonalizowane, często wykorzystują oficjalne logo, język i pozornie legalne adresy e-mail po dokładnym zbadaniu roli, obowiązków i nawyków celu.
  • Informacje będące celem ataku: Zwykły phishing często ma na celu uzyskanie danych logowania lub osobistych informacji finansowych. Whaling ma na celu uzyskanie poufnych informacji korporacyjnych o wysokiej wartości, takich jak tajemnice handlowe, poufne dokumenty lub dostęp do firmowych kont i systemów finansowych.
  • Taktyka: Zwykły phishing może wykorzystywać ogólne taktyki zastraszania. Whaling może wykorzystywać bardziej wyszukane taktyki, takie jak tworzenie fałszywych stron internetowych odzwierciedlających legalne witryny lub tworzenie fałszywego poczucia pilności związanego ze sprawami biznesowymi.
  • Skutki: Chociaż każdy phishing może być szkodliwy, udany atak typu "whaling" jest często bardziej niszczycielski ze względu na dostęp na wysokim szczeblu i wrażliwe dane, potencjalnie powodując znaczne straty finansowe i szkody dla reputacji. Atak typu whaling jest podwójnie skuteczny i niebezpieczny, ponieważ wykorzystuje wiarygodność i autorytet istniejącej osoby, aby oszukać ofiary.
  • Sposób ataku: Obaj często używają poczty elektronicznej, ale wielorybnictwo może również obejmować ukierunkowane rozmowy telefoniczne lub inne metody komunikacji.

Wielorybnictwo VS Spear Phishing

  • Ataki typu spear phishing to również wysoce ukierunkowane ataki phishingowe, które wyznaczają określone osoby lub grupy w organizacji do uruchamiania oszukańczych kampanii.
  • Whaling różni się od zwykłego spear phishingu tym, że za główny cel obierają tylko osoby na najwyższych stanowiskach kierowniczych w firmie ("wieloryby").

Atakujący wysyła wiadomość phishingową do kierownika wyższego szczebla, podając się za jego przełożonego, dyrektora generalnego lub dyrektora finansowego, a czasami atakuje pracownika niższego szczebla, podszywając się pod kierownika. Ta wiadomość e-mail zainicjuje przelew środków firmowych lub poprosi o dane uwierzytelniające firmy, które pomogą atakującemu uzyskać dostęp do systemu organizacji.

Atak wielorybniczy Definicja

Termin "wielorybnictwo" jest używany do określenia kadry kierowniczej firmy lub grubych ryb, takich jak CEO i CFO. Ponieważ osoby te zajmują wysokie stanowiska w firmie, mają dostęp do poufnych informacji jak nikt inny. Dlatego też podszywanie się pod nie lub oszukiwanie ich może okazać się szkodliwe dla działalności i reputacji firmy, prowadząc do potencjalnych strat finansowych, naruszenia danych, utraty produktywności, a nawet konsekwencji prawnych.

Przykłady ataków wielorybniczychPrzykładowa wiadomość e-mail dotycząca ataku wielorybów, w której dyrektor generalny prosi kierownika finansowego o pilny przelew

W powyższym przykładzie John, kierownik zespołu finansowego, otrzymał wiadomość e-mail od Harry'ego, dyrektora generalnego organizacji, z prośbą o zainicjowanie pilnego przelewu. W tym przypadku, jeśli John nie zweryfikuje żądania za pośrednictwem innego kanału lub nie rozpozna oznak phishingu, w końcu przeleje środki, do których ma dostęp, a tym samym padnie ofiarą ataku wielorybniczego.

Jak powstrzymać ataki wielorybów: ochrona organizacji i danych

Aby ataki te były jeszcze bardziej skuteczne jako taktyka socjotechniczna, atakujący często odrabiają swoją pracę domową bardzo szczegółowo. Wykorzystują publicznie dostępne informacje zebrane z platform mediów społecznościowych, takich jak Facebook, Twitter i LinkedIn, a także stron internetowych firm, aby zrozumieć codzienne życie, działania, obowiązki i relacje zawodowe kierownictwa. To sprawia, że wyglądają na wiarygodnych i legalnych, co pomaga im łatwo oszukać swoje ofiary.

Czy istnieje sposób na powstrzymanie ataków wielorybników? Tak, istnieje! Poniżej przedstawiono pewne proaktywne środki, które można wdrożyć, aby pomóc w walce z phishingiem, spoofingiem, whalingiem i innymi formami ataków socjotechnicznych. Najlepsze jest podejście wielowarstwowe:

  1. Protokoły uwierzytelniania poczty e-mail:
    • Sender Policy Framework (SPF) pomaga autoryzować legalne źródła wysyłania. Jeśli używasz wielu domen lub stron trzecich do wysyłania wiadomości e-mail, rekord SPF pomoże ci je określić, aby złośliwe domeny podszywające się pod twoje mogły zostać zidentyfikowane.
    • DomainKeys Identified Mail lub DKIM to protokół uwierzytelniania poczty e-mail, który wykorzystuje podpisy kryptograficzne, aby zapewnić, że wiadomości są niezmienione podczas ich podróży.
    • I wreszcie, DMARC (Domain-based Message Authentication, Reporting, and Conformance) pomaga wyrównać identyfikatory SPF lub DKIM i określa serwerom odbierającym pocztę e-mail, w jaki sposób chcesz obsługiwać fałszywe wiadomości typu whaling wysyłane z Twojej domeny (np. odrzucać je). Polityka DMARC ustawiona na `p=reject` może skutecznie zwalczać bezpośredni spoofing domeny używany w whalingu. Umożliwia ona odrzucanie wiadomości e-mail, które nie przejdą kontroli, wymaganie uwierzytelniania dla wychodzących wiadomości e-mail i zatrzymywanie dostarczania sfałszowanych wiadomości e-mail.
  2. Raportowanie DMARC: Po wymuszeniu trybu polityki, włącz DMARC raporty zbiorcze i kryminalistyczne aby monitorować źródła wiadomości e-mail, zrozumieć dostarczalność i szybko wychwycić wszelkie próby ataków na domenę. Narzędzie do analizy DMARC może pomóc w zarządzaniu tymi raportami i bezpiecznej aktualizacji polityk.
  3. Edukacja i szkolenie pracowników: Upewnij się, że pracownicy, zwłaszcza kadra kierownicza wysokiego szczebla i zespoły finansowe, są świadomi zagrożeń związanych z wielorybnictwem i przeszkoleni w zakresie rozpoznawania podejrzanych wiadomości e-mail, weryfikowania żądań (zwłaszcza finansowych) za pośrednictwem oddzielnego kanału komunikacji oraz unikania klikania nieznanych linków lub otwierania nieoczekiwanych załączników. Regularne szkolenia z zakresu świadomości cybernetycznej mają kluczowe znaczenie.
  4. Silne uwierzytelnianie: Wdrażaj uwierzytelnianie dwuskładnikowe (2FA) lub wieloskładnikowe (MFA) wszędzie tam, gdzie to możliwe, szczególnie w przypadku poczty e-mail i dostępu do wrażliwych systemów.
  5. Bezpieczeństwo haseł: Egzekwowanie zasad dotyczących silnych, unikalnych haseł dla wszystkich kont.
  6. Oprogramowanie do filtrowania i zabezpieczania poczty e-mail: Korzystaj z solidnych rozwiązań do filtrowania wiadomości e-mail, aby blokować podejrzane wiadomości lub oznaczać je do sprawdzenia. Stosuj zabezpieczenia punktów końcowych, takie jak programy antywirusowe i zapory sieciowe.
  7. Regularne aktualizacje oprogramowania: Aktualizuj całe oprogramowanie, systemy operacyjne i przeglądarki do najnowszych poprawek bezpieczeństwa, aby zapobiec wykorzystaniu luk w zabezpieczeniach.
  8. Bezpieczeństwo sieci: Wdrożenie silnych środków bezpieczeństwa sieci, potencjalnie obejmujących segmentację sieci i ścisłą kontrolę dostępu.
  9. Plan reagowania na incydenty: Posiadaj jasny plan reagowania na incydenty bezpieczeństwa, takie jak phishing lub ataki typu whaling, aby zminimalizować szkody i umożliwić szybkie odzyskanie danych.

Dzięki tym środkom bezpieczeństwa można zdecydowanie zmniejszyć wskaźnik powodzenia ataków socjotechnicznych skierowanych przeciwko pracownikom organizacji. Połączenie technicznych środków kontroli, takich jak DMARC, z ciągłą edukacją i świadomością jest kluczem do zbudowania silnej obrony przed whalingiem. Wdrożenie DMARC może również utorować drogę dla technologii takich jak BIMIumożliwiając dołączenie zweryfikowanego logo marki do wiadomości e-mail, co dodatkowo zwiększa zaufanie i rozpoznawalność.

Wezwanie do działania PowerDMARC

Najnowsze posty autorstwa Yunes Tarada (zobacz wszystkie)
Ostatnia aktualizacja:
Poprawa bezpieczeństwa domeny dzięki analizie DMARCanaliza dmarcCzym jest podatność DMARCCo to jest DMARC Vulnerability?