O ataque de whaling é um método que criminosos virtuais usam para se disfarçar como se fosse um participante de alto escalão de uma organização e atingir diretamente outras pessoas importantes, visando roubar dinheiro e informações sigilosas ou obter acesso a seus sistemas de computadores para fins criminosos. Também conhecido como fraude do CEO, o whaling é semelhante ao phishing, e usa métodos como a falsificação de e-mails e sites para enganar um alvo e fazê-lo realizar ações específicas, como revelar dados confidenciais ou transferir dinheiro.
Enquanto os golpes de phishing atingem indivíduos não específicos e os golpes de spear-phishing atingem indivíduos específicos, o whaling leva a tática do spear-phishing a um novo nível, não só visando pessoas importantes, mas fazendo isso de forma que os comunicados fraudulentos pareçam vir de alguém muito experiente ou influente na organização. Podemos pensar nesses alvos como os “peixes grandes” ou “whales” (baleias) da empresa, como o CEO ou o gerente financeiro. Isso adiciona um elemento extra de engenharia social à composição do golpe, pois os funcionários relutam em recusar uma solicitação de alguém que eles consideram importante.
A ameaça é real e cresce continuamente. Em 2016, o departamento de financeiro do Snapchat recebeu um e-mail de whaling que parecia ter sido enviado pelo CEO e pedia informações da folha de pagamento dos funcionários. No ano passado, a gigante de brinquedos Mattel foi vítima de um ataque de whaling quando um dos principais executivos financeiros recebeu um e-mail de um fraudador que se passava pelo novo CEO de empresa, solicitando uma transferência bancária. Como resultado, a empresa quase perdeu US$ 3 milhões.
Como os ataques de whaling funcionam e como se proteger deles
Como mencionado, o whaling é diferente do spear-phishing porque a comunicação fraudulenta parece ter sido enviada por alguém experiente. Esses ataques podem ser ainda mais convincentes quando os criminosos virtuais fazem pesquisas significativas em recursos disponíveis publicamente, como mídias sociais, para criar uma abordagem personalizada para os alvos.
Isso pode incluir um e-mail que parece ser de um gerente sênior ou uma referência a algo que o criminoso observou on-line. Por exemplo, quando o criminoso vê a pessoa mencionada em fotos da festa de natal do escritório publicadas em mídias sociais: "Oi, João. É o Felipe de novo. Você estava bem bêbado na quinta passada! Espero que você tenha conseguido tirar aquela mancha de cerveja da sua camiseta vermelha!"
Além disso, geralmente o endereço de e-mail do remetente parece vir de uma fonte confiável e pode até conter logotipos corporativos ou links para um site fraudulento, que também foram criados para parecerem autênticos. Como o nível de confiança e acesso de um peixe grande costuma ser alto na empresa, é interessante para o criminoso virtual dedicar tempo e energia para que o golpe seja convincente.
A defesa contra ataques de whaling começa com a orientação dos principais colaboradores da sua organização para garantir que estejam sempre atentos quanto à possibilidade de serem visados. Incentive os membros mais importantes da equipe a manter um nível saudável de suspeita quanto a contatos não solicitados, especialmente quando eles se referem a informações importantes ou transações financeiras. Eles sempre devem se perguntar se estavam esperando aquele e-mail, anexo ou link. A solicitação é incomum de alguma forma?
Eles também devem ser treinados para ficarem alertas e identificarem sinais de um ataque, como endereços de e-mail e nomes falsos. Basta passar o cursor sobre um nome em um e-mail para ver seu endereço completo. Analisando cuidadosamente, é possível identificar se ele é perfeitamente compatível com o nome e o formato da empresa. Seu departamento de TI também deve realizar exercícios de simulação de whaling para testar a reação dos principais funcionários.
Os executivos também devem tomar cuidado ao publicar e compartilhar informações on-line em sites de mídias sociais como Facebook, Twitter e LinkedIn. Detalhes como aniversários, hobbies, férias, cargos, promoções e relacionamentos podem ser usados por criminosos cibernéticos para criar ataques mais sofisticados.
Um ótimo método para reduzir o perigo dos e-mails falsificados é solicitar que o departamento de TI sinalize automaticamente os e-mails recebidos de fora da sua rede. Em geral, o whaling consiste em fazer funcionários importantes acreditarem que as mensagens estão vindo de dentro da organização, por exemplo, a solicitação do gerente financeiro para transferir dinheiro para determinada uma conta. Ao sinalizar os e-mails externos, fica mais fácil identificar mensagens falsas que parecem autênticas, até para quem não tem o olho treinado.
Também é recomendável implementar um software antiphishing especializado que forneça serviços como a verificação de URLs e a validação de links. Outro procedimento que deve ser considerado é a inclusão de um nível adicional de confirmação no caso de divulgação de informações sigilosas ou de liberação de grandes quantias de dinheiro. Por exemplo, uma reunião presencial ou uma ligação telefônica podem ser a melhor estratégia para tratar de tarefas críticas ou sigilosas, em vez de simplesmente realizar uma transação eletrônica.
Além disso, ao lidar com golpes na Internet, duas cabeças pensam melhor do que uma. Pense na possibilidade de alterar os procedimentos da organização para que duas pessoas, em vez de uma, precisem autorizar pagamentos. Além de apresentar outro ponto de vista em caso de dúvidas, isso também elimina o medo de retaliação dos funcionários mediante a negação de um pedido do suposto executivo sênior. O medo é uma tática essencial da engenharia social usada por esses criminosos.