I cybercriminali sono come i cacciatori di tesori: più grande è la loro ricompensa, meglio è. Anche se le ricompense più grandi sono accompagnate da maggiori rischi, per ottenerle richiede anche più abilità, il che significa più diritto di vantarsi per il nefasto. Non c’è ricompensa più grande che atterrare una balena in uno schema di phishing.

Più accesso o potere percepito ha una persona nella sua organizzazione, più è probabile che i criminali informatici cercheranno di rubare le loro credenziali. L’accesso all’account di un solo dipendente di alto livello potrebbe significare l’accesso a conti bancari aziendali, informazioni riservate e informazioni personali dei dipendenti.

Fare parte del team di leadership di un’azienda significa che sei più a rischio di attacchi di phishing mirati, quindi è importante sapere il più possibile su questo tipo di attacchi e su come prevenirli.

Per aiutare a capire meglio cos’è il whaling e come si differenzia dagli altri metodi di phishing, inizieremo spiegando prima il phishing.

Che cos’è il phishing?

Il phishing è una tecnica usata dai criminali informatici per acquisire informazioni personali (come i numeri delle carte di credito o le credenziali di accesso) inviando un’email che è progettata per sembrare provenire da una fonte legittima, ma ha lo scopo di indurti a cliccare su un link dannoso o a scaricare un allegato potenzialmente pieno di malware.

I phisher in genere creano email false che sembrano provenire da qualcuno di cui ti fidi, come una banca, una società di carte di credito o un sito web popolare. L’email può chiederti di “confermare i dettagli del tuo account” e indirizzarti a un sito web che sembra quello reale, ma il cui unico scopo è rubare informazioni.

Gli attacchi di phishing possono verificarsi con individui a casa, in ufficio, al telefono, e anche attraverso messaggi di testo, quindi è importante rimanere vigili, non importa quale dispositivo si sta utilizzando.

Che cos’è il Whale Phishing o Whaling?

Whaling, o whale phishing, è un tipo di attacco di phishing altamente mirato, diretto verso il c-suite di una società. Questi obiettivi di alto valore generalmente hanno un ampio accesso alle risorse di un’organizzazione che li rende “balene”.

Se lo spear phishing è rivolto di solito ai dipendenti o alle piccole imprese (i “pesci”), allora la “balena” nel whaling è il “Big Fish” di un membro di alto livello di un’organizzazione. Per attirare la loro attenzione, le email possono sembrare minacce legali o reclami importanti.

L’obiettivo di un criminale per il whaling è lo stesso di qualsiasi altro attacco di phishing: ingannare un individuo a rivelare informazioni sensibili che possono essere utilizzate per violare la rete di un’organizzazione.

Come puoi proteggere la tua organizzazione dal whale phishing?

Il whale phishing può essere prevenuto nello stesso modo in cui ti proteggeresti da qualsiasi altro attacco di email phishing:

• Sopra i link nelle email per verificare la destinazione prima di cliccarci sopra.
• Cancellare le email sospette con oggetto sensazionale come “Bisogna agire ora” o che contengono errori di ortografia non professionali nel corpo del messaggio.
• Aprire solo gli allegati da fonti affidabili.
• In caso di dubbio, chiamare il mittente al telefono per verificare che abbia inviato l’email.

Perché gli attacchi di phishing delle balene prendono di mira i top manager dell’azienda, è importante che abbiano una formazione mirata sulla consapevolezza della sicurezza basata sul ruolo, in modo che siano consapevoli dei tipi specifici di attacchi che dovranno affrontare a causa del loro titolo.

Anche l’invio di campagne di simulazione di phishing può aiutare a prevenire questi attacchi insegnando agli individui con l’esempio. Scopri di più sul simulatore anti-phishing di Inspired eLearning, PhishProof™.