Menos conhecido que o phishing, mas muito mais temível, o Whaling tem como alvo gerentes e executivos. Graças à inteligência artificial e ao trabalho meticuloso de pesquisa, os hackers podem abordar os seus alvos de forma personalizada e extorquir grandes quantias de dinheiro.

Durante anos, e-mails maliciosos de phishing foram usados ​​em quase todos os ataques de computador (mais de 90%) voltados para empresas. O objetivo é sempre o mesmo e muitas vezes é alcançado: enganar um funcionário para criar uma brecha na rede de computadores da empresa. Isso abre caminho para todos os tipos de fraude, de ransomware a roubo de dados, incluindo ataques muito mais sofisticados e direcionados.

Mas existem variantes, talvez menos conhecidas, mas muito eficazes. Não necessariamente novo (e muitas vezes mantido em segredo …), o whaling é uma variante do phishing e ainda causa muitos danos às empresas. Whaling, também conhecido como fraude do presidente, é um phishing direcionado que visa atingir os executivos e executivos seniores da empresa (literalmente, o “peixe grande”), para induzi-los a realizar uma transferência bancária significativa. E funciona muito bem.

As violações de dados, mídias sociais e cookies estão cheios de informações

Onde os phishers “tradicionais” utilizam o medo (Covid-19, etc.) ou os temas atuais (vendas, Black Friday, declarações de IRS, etc.) para divulgar amplamente os seus e-mails, os adeptos do whaling fazem muito trabalho de preparação e invesigação sobre a sua vítima. O objetivo: identificar o seu alvo antes de atacá-lo, reunindo o máximo de informações possíveis sobre o líder, o gerente, o responsável de departamento ou qualquer outra pessoa com cargo importante. E essa informação não falta: vem de redes sociais profissionais ou pessoais, base de dados ilegais  ou cookies de navegação.

Com um pouco de paciência e um bom trabalho de engenharia social, é bastante simples para um hacker saber que um novo executivo acaba de assumir o cargo na empresa, saber os nomes de seus principais fornecedores e até mesmo coletar informações mais privadas: o local de férias do CEO ou de seus executivos seniores, seus interesses e hobbies, o nome de seu banco, etc.

Essas informações são a base de um e-mail de whaling: perfeitamente direcionado, contendo informações personalizadas e enviadas na hora certa.

E não se engane, isso acontece com muitas empresas, inclusive em Portugal, e muitas são  aquelas que perderam centenas de milhares ou até milhões de euros. Em 2018, utilizando a técnica da whaling, os piratas conseguiram incitar várias vezes os funcionários da cadeia de cinemas Pathé a transferirem enormes quantias, com um prejuízo final de mais de 19 milhões de euros!

A inteligência artificial oferece recursos de coleta automática de informações

Nos últimos anos, o phishing mudou de era: agora é dopado com Inteligência Artificial. Os hackers contam com mecanismos de IA que varrem a web e até mesmo a dark net para recolher informações relevantes e detalhadas sobre indivíduos e empresas a partir de uma grande quantidade de dados.
Também está estabelecido que a multiplicação de exposições de dados gera sistematicamente ondas de ataques de phishing e, claro, ataques de whaling. Também está provado que a recente invasão maciça de servidores de e-mail profissionais do Microsoft Outlook, amplamente usados ​​por  pequenas e médias empresas, oferecerá aos hackers uma fonte inestimável de informações contidas nos históricos de e-mails e resultará em grandes ondas de phishing e whaling …

Uma cibercultura para incutir na empresa

O phishing, e mais ainda o whaling, não pode ser resolvido só com o uso de várias tecnologias de segurança. A tecnologia é certamente um barreira que permite, por exemplo, evitar que um grande número de emails cheguem à caixa de correio de destino, mas não pode garantir 100% de eficâcia. Portanto, o usuário deve desempenhar o papel de último elo na cadeia de segurança. Infelizmente, não só a sensibilização à esse tipo de ataque tem um custo, mas na maioria das vezes as empresas não contam com especialistas capazes de lidar com o assunto para divulgar as boas práticas. Cabe, portanto, ao gestor, que muitas vezes também tem o mais a perder, assumir o controle do assunto e, gradativamente, incutir gradualmente uma cibercultura na sua equipa.
Isto envolve ações de sensibilização e educação (o que é phishing? Como reconhecer um ataque deste tipo? Etc.), mas também pela implementação de processos de validação mais complexos no âmbito de ações sensíveis: por exemplo, um processo de validação bi ou mesmo tripartido para qualquer transferência bancária ou partilha de informações confidenciais com o exterior.

O aumento do teletrabalho torna a cibersegurança ainda mais complexa

Com a generalização do teletrabalho, muitos gerentes trabalham remotamente. Certos executivos foram recrutados durante a pandemia de Covid-19 ou durante um período de confinamento e ainda conhecem bem as suas equipas.
Este contexto é totalmente favorável ao whaling e deveria, de fato, levar a novas medidas de segurança. Portanto, como a situação está condenada a perdurar ao longo do tempo, por que não integrar a rede informática dos gerentes em casa com gestão de TI “tradicional” da empresa?
De facto, por algumas centenas de euros, a rede informática de casa – pelo menos a do gerente e dos diretores com atividades confidenciais – pode ser protegida usando um firewall profissional de empresa. Quando sabemos a quantidade de perdas potenciais relacionadas aos ataques de whaling, a questão de um orçamento adicional para estender a segurança além do perímetro tradicional deve necessariamente surgir.