Whaling – czyli jak złowić grubą rybę?

Phishing to zdecydowanie najczęściej stosowane narzędzie do przeprowadzania cyberataków, jednakże nie każda jego wersja jest tak samo prymitywna, jak coś w stylu „naciśnij tutaj, aby odebrać nagrodę”. Jedną z bardziej wysublimowanych technik phishingowych jest whaling, czyli phishing ukierunkowany na osoby zajmujące wysokie stanowiska w organizacjach (zazwyczaj decydenci).

Nie są to masowe ataki ale precyzyjnie zaplanowane operacje, których celem są prezesi, dyrektorzy, menedżerowie wyższego szczebla oraz inne osoby mające dostęp do poufnych informacji lub możliwości dysponowania środkami finansowymi. Przeprowadzenie kampanii typu whaling kosztuje bardzo wiele wysiłku, ponieważ jeden skuteczny atak może przynieść ogromne zyski.

Sprawdźmy dziś jak wygląda whaling w praktyce oraz jak się przed nim chronić.

Jak działa whaling?

Whaling opiera się na dokładnym profilowaniu ofiary, poprzez analizę dostępnych publicznie informacji takich jak np. dane z mediów społecznościowych, strony internetowe firm (kadry zarządzającej, adresy e-mail w domenie firmowej), raporty (dane o dużych kontraktach, przejęciach, wynikach finansowych) lub wyciekłe bazy danych (jeśli np. e-mail i hasło prezesa danej firmy wyciekły, to istnieje duża szansa, że hasło zostało użyte także gdzie indziej.

Na podstawie tych informacji atakujący tworzą wysoce spersonalizowaną wiadomość, która wygląda, jakby pochodziła z zaufanego źródła – np. wieloletniego klienta, prawnika, innego członka zarządu.

Wyobraźmy sobie, że organizacja publiczna przeprowadza audyt, którego wyniki wysyła do oceny swoim prawnikom, podczas trwania całego przedsięwzięcia, niezaangażowany mocno prezes dostaje fałszywą wiadomość od prawnika w stylu „Szanowny Panie Prezesie, z uwagi na uzupełnienie rekomendacji wynikających z audytu, proszę o przesłanie dokumentów na adres XYZ.”

Nieświadomy zagrożenia Prezes spełnia prośbę, czym finalnie doprowadza do wycieku poufnych danych.

Często również wysyłane są załączniki zawierające malware, który kradnie dane logowania.

E-maile zazwyczaj są perfekcyjnie sformatowane oraz napisane profesjonalnym językiem, często zawierają rzeczywiste nazwiska oraz stanowiska.

Czasem phishing nie kończy się na e-mailu – dla uwiarygodnienia stosowane są czasem telefony, które przy wykorzystaniu nowoczesnych metod sztucznej inteligencji potrafią przekonywująco podszyć się pod daną osobę.

Dlaczego whaling jest tak skuteczny?

Składa się na to kilka czynników:

1. Wiarygodność – wiadomości są tak dobrze dopracowane, że nie wyglądają podejrzanie, nie ma w nich literówek czy jakiś podejrzanych linków.
2. Presja czasu – mail często sugerują pilność sprawy (nacisk na natychmiastowe działanie), co utrudnia racjonalne myślenie poprzez wywołanie presji czasowej.
3. Wykorzystanie autorytetu – jeśli dyrektor finansowy dostaje maila od „prezesa”, czyli osoby wyżej, poprze brak świadomości może go nie zweryfikować, tylko zrobi, co trzeba.
4. Łudząco podobne adresy – często adresy, z których przychodzą maile różnią się tylko jedną literą od prawdziwej domeny firmowej, co może mylić na pierwszy rzut oka, gdyż różnica jest niemal niezauważalna, a nawet jeśli ktoś ją dostrzeże, w natłoku spraw łatwo to przeoczyć.

Jak się bronić przed whalingiem?

1. Szkolenia dla osób decyzyjnych

Ataki cybernetyczne celowane są w osoby, które nie zajmują się technologią na co dzień, dlatego szkolenia muszą być dostosowane do potrzeb kadry decyzyjnej. Powinni oni wiedzieć:

• Jak działają ataki phishingowe.
• Na co zwracać uwagę w wiadomościach e-mail.
• Jakie procedury stosować, aby nie dopuścić do wywołania incydentu

Własna głowa to najlepszy system antywirusowy, dlatego warto wzbogacać go o kolejne moduły w postaci wiedzy, przyjętej podczas szkoleń dotyczących świadomości cyberbezpieczeństwa!

2. Weryfikacja procedur transakcji

Chodzi tutaj o podstawowe zasady jak np.:

• Każda zmiana numeru konta bankowego kontrahenta powinna być potwierdzona telefonicznie.
• Jeśli „prezes” wysyła maila z prośbą o nagły przelew – należy to zweryfikować osobiście lub telefonicznie.

3. Wdrożenie systemów ochrony poczty

Konfiguracja mechanizmów antyspamowych chroni przed złośliwymi załącznikami, weryfikuję pocztę przychodzą analizując treść wiadomości pod kątem podejrzanych fraz. Systemy te pozwalają sprawdzić, czy wiadomość faktycznie pochodzi z autoryzowanego serwera firmy.

4. Symulacje phishingowe

Regularne przeprowadzanie testów phishingowych pozwala sprawdzić, czy osoby decyzyjne faktycznie stosują się do procedur bezpieczeństwa.

Dziękujemy, że dotarli Państwo do końca naszej lektury.

Polecamy usługi Grupy E, polegające na wdrażaniu systemów cyberbezpieczeństwa, a także zapraszamy do bezpłatnej konsultacji dot. poprawy poziomu cyberodporności.