O que é um Whaling Attack?

O whalling attack, em alusão à pesca da baleia, é essencialmente um ataque de phishing, mas com alvos mais importantes.
Emilia Bertolli
2 minuto de leitura
Ultima atualização 28 de Outubro de 2021

O whalling attack, em alusão à pesca da baleia, é essencialmente um ataque de phishing, mas com alvos mais importantes. Se no Spear Phishing os ataques podem atingir qualquer indivíduo, no Whaling Attack são direcionados a uma pessoa específica: concentrando-se em um executivo ou influenciador de alto nível.

Os cibercriminosos usam os Whaling Attacks para personificar a alta gerência de uma empresa, como o CEO, o CFO ou outros executivos, na esperança de usar sua autoridade para obter acesso a dados confidenciais ou dinheiro. Usam a internet como fonte de informações (e muitas vezes as mídias sociais) para enganar os funcionários – ou outra “baleia” – para que divulguem dados financeiros ou pessoais.

Esses invasores querem usar a autoridade e influência da “baleia” para convencer as pessoas a não questionar uma solicitação fraudulenta

Estatísticas do Whaling Attack
O FBI informou que as empresas norte-americanas perderam quase US$ 215 milhões em 2014 como resultado de ataques de phishing. Em 2016, o relatório da Verizon relatou 61 ataques de phishing direcionados às equipes financeiras. Esse número cresceu para 170 em 2017 – um aumento de quase 200%.

Como funcionam os Whaling Attacks e por que são bem-sucedidos?
Os Whaling Attacks exigem mais pesquisa e planejamento que ataques padrão de phishing e spear phishing. Para chegar a um alvo de alto valor, é preciso dedicar um tempo para descobrir a melhor maneira de soar como o alvo, encontrar uma maneira de abordar o alvo e descobrir que tipo de informações podem ser obtidas.

Os cibercriminosos analisam as mídias sociais e informações públicas da empresa para estabelecer um perfil e um plano de ataque. Podem também usar malware e rootkits para se infiltrar na rede: um e-mail proveniente da conta do CEO é muito mais eficaz que uma conta de e-mail falsificada. E quando esses e-mails incluem detalhes que façam que o ataque venha de uma entidade confiável? Melhor ainda.

Os e-mails são, de longe, o método mais eficaz de phishing (incluindo o Whaling): 98% de todos os ataques de phishing usam e-mail.

Exemplos de Whiling Attacks
Em 2016, um funcionário do Snapchat divulgou todos os dados da folha de pagamento da empresa para um scammer – o funcionário respondeu prontamente a um e-mail que parecia ser do CEO. As equipes de RH e folha de pagamento são alvos frequentes de whailing attacks porque têm acesso a dados pessoais confidenciais.

Em outro ataque, um funcionário de uma empresa de commodities pagou US$ 17,2 milhões em várias parcelas para um banco na China, seguindo uma solicitação que parecia vir do CEO. Como a empresa planejava expandir seus negócios para a China na época,  o pedido parecia totalmente plausível.

Em ambos os incidentes, a vítima não conseguiu identificar o Whailing Attack ou fazer perguntas para validar a solicitação. É fundamental treinar os executivos e a equipe para que sejam vigilantes e atentos a fraudes de phishing.

Dicas para evitar ataques
As mesmas táticas utilizadas para evitar um ataque de phishing devem ser usadas para evitar um whailing attack:

– Eduque os funcionários sobre os whailing attacks e como identificar e-mails de phishing

  • Treine funcionários e executivos para pensar com uma mentalidade de segurança e fazer perguntas
  • Verifique o endereço de e-mail de resposta e confirme se é legítimo
  • Ligue para confirmar solicitações incomuns e urgentes

– Sinalize todos os e-mails que vêm de fora da organização. Isso ajuda a detectar possíveis e-mails fraudulentos.

– Discuta o uso das mídias sociais com a equipe executiva no que se refere aos ataques de phishing e whailing attacks.

  • As mídias sociais são uma mina de ouro de informações que podem ser usadas em golpes
  • Os especialistas em segurança recomendam que os membros das equipes executivas permitam restrições de privacidade em suas contas para reduzir a exposição de informações que possam ser usadas em golpes online.

– Estabeleça um processo de verificação em várias etapas para as solicitações internas e externas de dados confidenciais ou transferências eletrônicas.

– Exercite as políticas de proteção de dados e segurança de dados: monitore atividades de arquivos e e-mails para rastrear e alertar sobre comportamento suspeito e implemente segurança em camadas para proteger sua empresa contra ataques.

Quer aprender mais? Descubra como a Varonis pode ajudá-lo a prevenir e se defender contra ataques e proteja seus dados e dinheiro.

O que devo fazer agora?

Listamos abaixo três recomendações para reduzir os riscos de dados na sua organização:

1

Agende uma demonstração conosco: Veja a usabilidade de Varonis em uma sessão personalizada com base nas necessidades de segurança de dados da sua organização. Responderemos a todas as suas perguntas.

2

Veja um exemplo do nosso Relatório de Risco de Dados: Conheça as ameaças que podem permanecer no seu ambiente. O Relatório da Varonis é gratuito e demonstra claramente como realizar a remediação automatizada.

3

Siga-nos no LinkedIn, YouTube e X (Twitter): Obtenha insights detalhados sobre todos os aspectos da segurança de dados, incluindo DSPM, detecção de ameaças, segurança de IA, entre outros.

Experimente Varonis gratuitamente.

Obtenha um relatório detalhado de risco de dados com base nos dados da sua empresa.
Implanta em minutos.

Keep reading

Varonis tackles hundreds of use cases, making it the ultimate platform to stop data breaches and ensure compliance.

o-que-é-um-ataque-de-força-bruta?
O que é um ataque de força bruta?
Um ataque de força bruta experimenta diferentes combinações de nomes de usuários e senhas para invadir uma rede
principais-tendências-de-segurança-para-2018
Principais tendências de segurança para 2018
As organizações precisam reinventar suas estratégias para se defender das ameaças cada vez mais sofisticadas. Conheça as tendências de segurança para 2018.
como-responder-a-um-incidente-de-segurança
Como responder a um incidente de segurança
Evitar um ataque de violação de dados é ideal, mas nem sempre é possível. Entenda
como-evitar-ameaças-cibernéticas
Como evitar ameaças cibernéticas
Como auxiliar seu time a preservar o compliance em cibersegurança | Varonis