Cos'è il whaling phishing?

Il whaling, o whale phishing, si riferisce ad attacchi di phishing diretti specificamente a obiettivi di alto profilo. Gli attacchi di whaling richiedono un elevato grado di personalizzazione.

Obiettivi di apprendimento

Dopo aver letto questo articolo sarai in grado di:

  • Definire il whaling
  • Capire come i truffatori personalizzano e ottimizzano i loro messaggi di whaling.
  • Spiegare come prevenire gli attacchi di whaling

Copia link dell'articolo

Cos'è il whaling?

Il whaling o il whale phishing è un tipo di attacco che prende di mira i dirigenti di alto livello, di solito tramite canali digitali come e-mail, messaggi di testo o messaggi istantanei. Il whaling è una forma di spear phishing, altamente personalizzato e solitamente richiede una grande quantità di ricerche da parte del truffatore. L'obiettivo di un attacco di whale phishing è ottenere dati, accesso o denaro. Poiché il whaling prende di mira i membri della dirigenza o altri dirigenti senior, i truffatori tendono a essere interessati a dati estremamente sensibili, livelli di accesso elevati o grandi quantità di denaro.

Come altri tipi di phishing, il whaling utilizza il social engineering per indurre la vittima ad agire rapidamente. I truffatori utilizzano diverse tecniche per nascondere la loro vera identità, dallo spoofing del dominio alla sostituzione di persona.

Gli attacchi di whaling, sebbene costosi e dispendiosi in termini di tempo (per l'autore di un attacco) e quindi più rari, possono avere un enorme impatto negativo su un'azienda. Le organizzazioni devono proteggersi dagli attacchi di whaling, oltre alle loro tipiche difese contro il phishing, poiché il whaling utilizza tattiche che possono aggirare le normali misure di sicurezza.

Quali tattiche di social engineering sono utilizzate negli attacchi di whaling?

I truffatori possono fare di tutto per organizzare le loro campagne di whaling. Dal loro punto di vista, gli attacchi di whaling valgono la pena perché mirano a un grosso guadagno. Alcune delle principali tattiche utilizzate sono:

Inserire dati personali per ottenere legittimità: la personalizzazione aiuta a far sembrare autentico il messaggio. I dettagli sul lavoro o sulla vita personale della vittima designata possono provenire da una varietà di fonti.

Aumentare la posta in gioco: i messaggi di whaling possono incitare il bersaglio ad agire immediatamente, prima che si verifichino conseguenze negative. Per aggiungere urgenza, gli attacchi di whaling sono spesso correlati a eventi importanti o altamente visibili, come fusioni aziendali, indagini legali, importanti transazioni finanziarie o violazioni dei dati.

Impersonare una persona di fiducia: i truffatori utilizzano lo spoofing del dominio, falsi indirizzi di messaggistica istantanea o persino numeri di telefono scambiati con SIM per fingere di essere qualcuno che la vittima conosce. Possono imitare lo stile di scrittura della persona fidata o utilizzare deepfake per imitare la sua voce o l’aspetto. Gli autori di attacchi di whaling possono persino utilizzare l'account effettivo della persona fidata se lo hanno compromesso in una precedente campagna di acquisizione dell'account. Una versione comune di questa tattica prevede che il truffatore si spacci per il CEO e contatti i dirigenti delle risorse umane o i membri di alto livello del dipartimento finanziario.

Interazioni multiple, non una sola e-mail come in un banale attacco di phishing. Il truffatore può mirare a ottenere la fiducia della vittima designata per un periodo di settimane o mesi. Ad esempio, un truffatore che finge di essere il CEO di Acme Corp. potrebbe inviare e-mail al Direttore delle risorse umane di Acme Corp. da un indirizzo e-mail leggermente diverso da quello del vero CEO, ma con messaggi legittimi in modo che il Direttore delle risorse umane si abitui a rispondere a tali e-mail. Poi, una volta guadagnata la fiducia, avanzano la loro richiesta dannosa.

Inserire un messaggio come parte di una conversazione o transazione in corso: andando oltre l'impersonificazione, gli aggressori possono inviare messaggi come parte di thread preesistenti. Ciò è difficile da realizzare, ma i precedenti attacchi di acquisizione dell'account riusciti possono renderlo possibile.

In che modo gli autori di attacchi di whaling personalizzano i loro messaggi?

I truffatori hanno a disposizione diversi canali per ottenere le informazioni di cui hanno bisogno per personalizzare i propri messaggi, facendosi conoscere dalla vittima designata.

  • Informazioni disponibili al pubblico: gli obiettivi del whaling possono ricoprire ruoli molto visibili, il che significa che possono essere disponibili al pubblico numerose informazioni su di loro. Gli autori di attacchi possono utilizzare queste informazioni per decidere chi prendere di mira, per pianificare i propri attacchi e per personalizzare i singoli messaggi che inviano.
  • Informazioni sui social media: ad esempio, se un CTO ha appena partecipato a una conferenza a Las Vegas, in Nevada, e ha pubblicato un post al riguardo, un aggressore potrebbe fingere di essere un contatto incontrato durante quella conferenza.
  • Ricerca della gerarchia e delle funzioni aziendali: gran parte della gerarchia di un'azienda può essere scoperta consultando il suo sito Web o le piattaforme dei social media.
  • Dati precedentemente compromessi: le raccolte di informazioni personali, comprese le informazioni di contatto, sono disponibili per l’acquisto sul dark Web oppure il truffatore potrebbe aver ottenuto tali informazioni da attacchi precedenti.
  • Partecipazione privilegiata (intenzionale o non intenzionale): gli autori di attacchi potrebbero utilizzare il social engineering per manipolare i dipendenti di un'azienda e indurli a rivelare informazioni riservate sulla struttura e sul funzionamento dell'azienda oppure sulle abitudini dei suoi dirigenti. In alternativa, personale interno malintenzionato e spie aziendali possono comunicare deliberatamente queste informazioni ai whaler.

In che modo gli attacchi di whale phishing sfruttano l'intelligenza artificiale?

  • Per generare messaggi: i modelli linguistici di grandi dimensioni (LLM) rendono molto più semplice creare messaggi o e-mail convincenti e privi di errori.
  • Per imitare le parti fidate: l'intelligenza artificiale può aiutare i truffatori a imitare lo stile di scrittura di qualcuno o la sua voce al telefono.
  • Codifica Vibe per l'imitazione del marchio: con la codifica Vibe è possibile creare siti Web falsi o design di e-mail dall'aspetto autentico più velocemente che mai.
  • Automazione: parte del processo di identificazione di potenziali obiettivi, compromissione dei conti a valle o altri aspetti del ciclo di vita della caccia alle balene possono essere automatizzati utilizzando l'intelligenza artificiale.

Whaling e Business Email Compromise (BEC)

Gli attacchi di whaling hanno dei punti in comune con gli attacchi BEC (Business Email Compromise). Come gli attacchi BEC, gli attacchi di whaling si basano fortemente sul social engineering piuttosto che su malware o collegamenti dannosi, quindi è più probabile che sfuggano ai filtri di sicurezza della posta elettronica. Tuttavia, gli attacchi BEC possono colpire membri di basso o medio livello di un'organizzazione, mentre il whaling prende di mira esclusivamente i dirigenti o altre figure di spicco e di alto livello. Poiché gli aggressori si aspettano un guadagno maggiore, gli attacchi di whaling potrebbero essere strutturati in modo ancora più complesso rispetto alle tipiche campagne BEC e gli aggressori potrebbero essere molto persistenti.

Il whaling può avvenire anche tramite canali diversi dalla posta elettronica. In effetti, gli attacchi multicanale sono diventati più comuni in tutti i tipi di phishing.

Come prevenire gli attacchi di whaling

È probabile che gli autori di attacchi che investono abbastanza risorse e tempo per eseguire un attacco di whaling si assicurino che le loro e-mail superino i controlli di sicurezza di base come DMARC, DKIM e SPF. Ovviamente non è sempre così e vale la pena utilizzare questi controlli di sicurezza, ma non ci si dovrebbe affidare esclusivamente a essi. Gli attacchi di whale phishing potrebbero anche non riuscire a far scattare i tradizionali gateway di posta elettronica sicuri perché solitamente non includono link o allegati dannosi e gli aggressori potrebbero fare attenzione a evitare di inviarli da indirizzi IP noti come dannosi.

Per questi motivi, i filtri di sicurezza della posta elettronica che analizzano la reputazione del mittente, il sentimento del messaggio e il contesto della conversazione, insieme ad altri attributi, sono essenziali per rilevare potenziali attacchi whaling (come nel caso della prevenzione BEC). Le richieste o i messaggi insoliti possono essere contrassegnati come sospetti e analizzati o bloccati.

Infine, tutti i dipendenti, i collaboratori e i dirigenti di un'organizzazione dovrebbero essere formati regolarmente su come individuare potenziali campagne di phishing e su come contattare il presunto mittente di un'e-mail o di un messaggio tramite un altro canale attendibile prima di completare transazioni importanti.

Scopri come Cloudflare Email Security blocca il whaling e gli attacchi BEC prima che si verifichino.

 

DOMANDE FREQUENTI

Cos'è il whaling e chi è solitamente il suo bersaglio?

Il whaling, noto anche come whale phishing, è un attacco digitale specializzato che prende di mira i leader di alto livello e i dirigenti di alto livello. A differenza dei tentativi di phishing su larga scala, questi attacchi sono altamente personalizzati e comportano ricerche approfondite per colpire individui con notevole autorità o accesso.

In cosa differisce un attacco di whaling dalla compromissione della posta elettronica aziendale (BEC) standard?

Sebbene entrambi i metodi utilizzino il social engineering, il whaling prende di mira specificamente figure di spicco e di alto rango all'interno di un'organizzazione. Poiché le potenziali ricompense sono maggiori, le campagne di whaling sono spesso più persistenti e progettate in modo più complesso rispetto ai tipici attacchi BEC, che possono colpire dipendenti a qualsiasi livello.

Quali sono le motivazioni principali alla base degli attacchi di whaling?

I truffatori effettuano attacchi di whaling per ottenere ingenti somme di denaro, accedere a sistemi sicuri o rubare dati aziendali altamente sensibili.

Quali tecniche di social engineering utilizzano gli aggressori per creare fiducia?

Gli aggressori possono interagire con un bersaglio per settimane o mesi per stabilire un senso di legittimità prima di inoltrare una richiesta dannosa. Spesso utilizzano dati personali, imitano lo stile di scrittura di una persona specifica o addirittura sfruttano deepfake e account compromessi per apparire autentici.

In che modo i truffatori sfruttano l'urgenza per manipolare le loro vittime?

I messaggi di whaling spesso aumentano la posta in gioco collegando le loro richieste a eventi critici come indagini legali, fusioni aziendali o violazioni dei dati. Ciò spinge il dirigente ad agire immediatamente per evitare una conseguenza negativa percepita.

Informazioni sulla gestione degli accessi