Whalealing: O que é a Whale Phishing?
Cybercrooks são como caçadores de tesouros em que quanto maior a sua recompensa, melhor. Embora maiores recompensas vêm com maiores riscos, para obtê-los também é preciso mais habilidade, o que significa mais direitos de gabarolice para os nefastos. Não há maior recompensa do que pousar uma baleia num esquema de phishing.
Quanto mais acesso ou poder percebido uma pessoa tem na sua organização, mais provável é que os cibercriminosos procurem roubar as suas credenciais. O acesso a apenas uma conta de funcionário de alto nível pode significar acesso às contas bancárias da empresa, informações confidenciais e informações pessoais dos funcionários.
Fazer parte da equipe de liderança de uma empresa significa que você está mais em risco de ataques de phishing direcionados, então é importante saber o máximo possível sobre esses tipos de ataques e como preveni-los.
Para ajudar a entender melhor o que é a caça à baleia e como ela difere de outros métodos de phishing, vamos começar por explicar primeiro o phishing.
O que é phishing?
Phishing é uma técnica usada por criminosos cibernéticos para adquirir informações pessoais (como números de cartão de crédito ou credenciais de login), enviando um e-mail que é projetado para parecer como se tivesse vindo de uma fonte legítima, mas que tem a intenção de enganá-lo para que você clique em um link malicioso ou baixe um anexo potencialmente ligado com malware.
Phishers normalmente criam e-mails falsos que parecem vir de alguém em quem você confia, como um banco, empresa de cartão de crédito ou um site popular. O e-mail pode pedir-lhe para “confirmar os detalhes da sua conta” e encaminhá-lo para um site que se parece com o site real, mas cujo único propósito é roubar informações.
Ataques de phishing podem ocorrer com indivíduos em casa, no escritório, por telefone, e até mesmo através de mensagens de texto, por isso é importante permanecer vigilante, não importa qual dispositivo você esteja usando.
O que é Whale Phishing ou Whale Phishing?
Whaling, ou whale phishing, é um tipo de ataque de phishing altamente direccionado para a c-suite de uma empresa. Esses alvos de alto valor geralmente têm amplo acesso aos recursos de uma organização tornando-as “baleias”.
Se o phishing de lanças é geralmente direcionado a funcionários ou pequenas empresas (os “peixes”), então a “baleia” na caça à baleia é o “peixe grande” de um membro de alto nível de uma organização. Para atrair sua atenção, e-mails podem parecer ameaças legais ou reclamações importantes.
Um objetivo criminoso para a caça à baleia é o mesmo que qualquer outro ataque de phishing: enganar um indivíduo para revelar informações sensíveis que podem ser usadas para violar a rede de uma organização.
Como você pode proteger sua organização contra phishing de baleias?
O phishing de baleias pode ser evitado da mesma forma que você protegeria contra qualquer outro ataque de phishing por e-mail:
- Passar sobre os links nos e-mails para verificar o destino antes de clicar neles.
- Eliminar e-mails suspeitos com linhas de assunto sensacionais como “Must Act Now” ou que contenham erros de ortografia não profissionais dentro do corpo da mensagem.
- Apenas abra anexos de fontes confiáveis.
- Quando em dúvida, ligue para o remetente no telefone para verificar se ele enviou o e-mail.
Porque os ataques de phishing das baleias têm como alvo os principais executivos da empresa, é importante que eles tenham um treinamento de conscientização de segurança baseado em papéis, para que eles estejam cientes dos tipos específicos de ataques que irão enfrentar por causa de seu título.
O envio de campanhas de simulação de phishing também pode ajudar a prevenir esses ataques, ensinando indivíduos através do exemplo. Saiba mais sobre o simulador anti-phishing do Inspired eLearning, PhishProof™.