"La caccia alle balene" è una forma specifica di phishing rivolta a dirigenti aziendali, dirigenti e simili. È diverso dal phishing ordinario in quanto con la caccia alle balene, le e-mail o le pagine web che servono la truffa assumono un aspetto più ufficiale o serio e di solito prendono di mira qualcuno in particolare.
Per prospettiva, il phishing regolare non di whaling è solitamente un tentativo di ottenere le informazioni di accesso di qualcuno su un sito di social media o una banca. In questi casi, il sito / email di phishing sembra abbastanza normale, mentre, nella caccia alle balene, la pagina è progettata per indirizzare specificamente il manager / dirigente su cui è posto l'attacco.
Nota: "Spear phishing" è un attacco di phishing contro qualcuno specifico, come un individuo o un'azienda. Pertanto, la caccia alle balene può anche essere considerata spear phishing.
Qual è l'obiettivo di "caccia alle balene"?
Il punto è quello di truffare qualcuno nel manager superiore per divulgare le informazioni aziendali riservate. Questo di solito si presenta sotto forma di una password per un account sensibile, che l'utente malintenzionato può quindi accedere per ottenere maggiori informazioni.
Il gioco finale in tutti gli attacchi di phishing come la caccia alle balene è quello di spaventare il destinatario; per convincerli che devono agire per procedere, come evitare le spese legali, per evitare di essere licenziati, per fermare la società dalla bancarotta, ecc.
Che aspetto ha una truffa 'Whaling'?
La caccia alla balena, come ogni gioco di phishing, coinvolge una pagina web o una mail che si maschera da uno che è legittimo e urgente. Sono progettati per apparire come un'e-mail aziendale critica o qualcosa da qualcuno con un'autorità legittima, esternamente o addirittura internamente dall'azienda stessa.
Il tentativo di caccia alle balene potrebbe sembrare un collegamento a un normale sito web con cui hai familiarità. Probabilmente richiede le tue informazioni di accesso esattamente come ti aspetteresti. Tuttavia, se non stai attento, ciò che succede dopo è il problema.
Quando provi a inviare le tue informazioni nei campi di accesso, probabilmente ti viene detto che le informazioni non sono corrette e che dovresti riprovare. Nessun danno è stato fatto, giusto? Hai appena inserito la tua password in modo errato - questa è la truffa, però!
Quello che succede dietro le quinte è che quando inserisci le tue informazioni nel sito fasullo (che non ti può accedere realmente perché non è reale), le informazioni che hai inserito vengono inviate all'attaccante e quindi ti viene reindirizzato al vero sito web. Provi di nuovo la tua password e funziona perfettamente.
A questo punto, non hai idea che la pagina fosse falsa e che qualcuno abbia appena rubato la tua password. Tuttavia, l'utente malintenzionato ora ha il tuo nome utente e la password per il sito web che pensavi di aver effettuato l'accesso.
Invece di un link, la truffa di phishing potrebbe farti scaricare un programma per visualizzare un documento o un'immagine. Il programma, reale o meno, ha anche un sottotono malevolo che viene utilizzato per tenere traccia di tutto ciò che digiti o cancella le cose dal tuo computer.
Come "La caccia alle balene" è diversa dalle altre truffe di phishing
In una normale truffa di phishing, la pagina web / email potrebbe essere un falso avviso dalla tua banca o PayPal. La pagina simulata potrebbe spaventare il bersaglio con affermazioni che il suo account è stato accusato o attaccato e che devono inserire il loro ID e password per confermare l'addebito o per verificare la loro identità.
Nel caso della caccia alle balene, la pagina web / email mascherata assumerà un formato di livello esecutivo più serio. Il contenuto sarà creato per rivolgersi a un dirigente superiore come l'amministratore delegato o anche solo un supervisore che potrebbe avere un sacco di attrazione in azienda o che potrebbe avere credenziali per conti preziosi.
L'e-mail o il sito Web di whaling potrebbero presentarsi sotto forma di una falsa citazione, di un falso messaggio dell'FBI o di una sorta di reclamo legale critico.
Come posso proteggermi dagli attacchi della "caccia alla balena"?
Il modo più semplice per proteggersi dal cadere per una truffa sulla caccia alle balene è essere consapevoli di ciò che si fa clic. È davvero così semplice. Dal momento che la caccia alle balene avviene tramite e-mail e siti Web, puoi evitare tutti i falsi link capendo cosa è reale e cosa non lo è.
Ora, non è sempre possibile sapere cosa è falso. A volte, ricevi una nuova email da qualcuno che non hai mai inviato prima e che potrebbe inviarti qualcosa che sembra del tutto legittimo.
Tuttavia, se guardi l'URL nel tuo browser web e assicurati di guardare intorno al sito, anche brevemente, per cose che sembrano un po 'fuori, puoi ridurre notevolmente le tue probabilità di essere attaccato in questo modo.
I dirigenti e i manager si innamorano davvero di queste e-mail "Whaling"?
Sì, sfortunatamente, i gestori sono spesso vittime di truffe via email con la caccia alle balene. Prendiamo come esempio la truffa sulla caccia alle balene dell'FBI del 2008.
Circa 20.000 CEO aziendali sono stati attaccati e circa 2000 di loro sono caduti per la truffa della baleneria facendo clic sul link nell'email. Credevano che avrebbe scaricato un componente aggiuntivo speciale del browser per visualizzare l'intero mandato di comparizione.
In verità, il software collegato era un keylogger che registrava segretamente le password dei CEO e inoltrava tali password ai truffatori. Di conseguenza, ciascuna delle 2000 società compromesse è stata compromessa ancora di più ora che gli aggressori avevano le informazioni di cui avevano bisogno.
