<img alt="" src="https://secure.leadforensics.com/779964.png" style="display:none;">
Ogólna kategoria

Polowanie na wieloryba, czyli whaling phishing jako zagrożenie dla firmy

Sagenso Team
21 sierpień 2023
SHARE

Phishing to bardzo chętnie wykorzystywana przez cyberprzestępców metoda wyłudzania danych. Każdego dnia setki firm są narażone na atak z użyciem spreparowanych wiadomości. Cyberzagrożenia mają to do siebie, że lubią ewoluować i przekształcać się w coraz to nowe formy, dlatego obecnie mamy do czynienia z kilkoma rodzajami phishingu. Postanowiliśmy przyjrzeć się bliżej się temu, który celuje w duże firmy i korporacje, czyli whaling phishingowi. Czym dokładnie jest whaling phishing i w jaki sposób może zaszkodzić firmie? Jak wygląda polowanie na wieloryba w świecie wirtualnym? Dowiesz się poniżej.

 

Czym jest whaling phishing?

 

Wyjaśniając w innym artykule, czym jest spear phishing, posłużyliśmy się metaforą morza. Teraz użyjemy jej ponownie, gdyż idealne pasuje również do whaling phishingu.

 

Otóż załóżmy, że internet stanowi ogromne morze, w którym pływają różnorodne stworzenia, a więc użytkownicy. Najmniejsze rybki to osoby prywatne, z kolei większe to pracownicy i szefowie małych i średnich firm. Czasami pomiędzy nimi przepływa ogromny wieloryb, a więc członek kadry zarządzającej w dużym przedsiębiorstwie lub korporacji. Taka osoba ma dostęp do niezwykle smakowitych danych firmowych, na które ma ochotę haker.

 

Cyberprzestępca jako doświadczony rybak postanawia zapolować na cenną zdobycz. Gdyby sięgnął po wędkę i czekał cierpliwie, aż na przynętę złapie się jakakolwiek ryba, mielibyśmy do czynienia z klasycznym phishingiem. Jednak jemu marzy się coś specjalnego, a więc wieloryb.

 

Żeby pochwycić taki wielki okaz, haker musi włożyć znacznie więcej wysiłku, niż gdyby łowił mniejsze rybki. Nie wystarczy już zwykła wędka (a więc wiadomość phishingowa rozsyłana do przypadkowych odbiorców). Trzeba najpierw wypatrzyć konkretnego wieloryba pod powierzchnią wody i dowiedzieć się jak najwięcej o jego zwyczajach, żeby zrozumieć, jak go złapać. Potem należy upleść mocną i misterną sieć (czyli silnie spersonalizowaną wiadomość phishingową). Konieczna jest też duża ostrożność przy zarzucaniu sieci, gdyż inaczej wieloryb zwietrzy podstęp i odpłynie w siną dal.

 

Whaling phishing stanowi zatem bardzo wyrafinowaną odmianę phishingu, skierowaną na kadrę zarządzającą i urzędników wysokiego szczebla w dużych firmach i korporacjach. Dzięki personalizacji okazuje się niesamowicie skuteczny.

 

Na czym polega whaling phishing?

 

Whaling phishing skupia się na wysoko postawionych osobach w firmie. Posiadają one dostęp do poufnych informacji, z jakimi nie ma do czynienia szeregowy pracownik. Poza tym są decyzyjne, na przykład mogą autoryzować przelew na wielomilionową kwotę. Mało kto zakwestionuje ich działania. Jeżeli uwierzą w otrzymaną wiadomość i na tej podstawie podejmą decyzję, firmę czekają trudne chwile.

 

Atakujący najczęściej podszywa się pod dyrektora generalnego, dyrektora finansowego czy wyższego rangą menedżera. Wysyła starannie spreparowaną wiadomość phishingową do wybranej osoby z kadry zarządzającej. Prosi na przykład o pilną autoryzację ważnego przelewu, podzielenie się danymi uwierzytelniającymi do zasobów firmowych albo przesłanie poufnej dokumentacji. Wszystko na pierwszy rzut oka wydaje się bardzo wiarygodne – wygląd i treść wiadomości e-mail, a także szczegóły zawodowe lub prywatne, o jakich teoretycznie nie powinna wiedzieć osoba postronna.

 

Wiele zależy od tego, jak dogłębny research udało się wykonać oszustowi. Zazwyczaj zaczyna od przeglądania kont na portalach społecznościowych (np. LinkedIn, Facebook), dzięki czemu poznaje mnóstwo szczegółów na temat pracy oraz życia osobistego ofiary. Ludzie często nie zdają sobie sprawy, jak dużo da się wyczytać z takich źródeł. Zaatakowany może nawet nie pamiętać, że informacją na własny temat, jaka pojawiła się w treści wiadomości phishingowej, sam kiedyś podzielił się na swoim profilu. Wydaje mu się zatem, że pisze do niego osoba, która naprawdę go zna.

 

Według danych Mimecast w 70% przypadków whaling phishingu przestępcy wykorzystują domain spoofing. Tworzą konto e-mailowe z adresem niemal identycznym jak oryginalny, różniące się jedną literą albo wykorzystujące podobieństwo znaków (np. litera “I” i cyfra “1”). Jeżeli odbiorca nie wczyta się starannie w nazwę, nie wychwyci różnicy.

 

Ofiara po otrzymaniu wiadomości phishingowej nie ma powodów, aby kwestionować autentyczność e-maila. W końcu adres nadawcy wygląda wiarygodnie, tak samo treść uzupełniona wieloma szczegółami. Dlatego członek kadry zarządzającej może automatycznie wykonać polecenie zawarte w wiadomości, zwłaszcza jeśli w grę wchodzi natłok obowiązków i związany z tym pośpiech.

 

Jakie są różnice między whaling phishingiem a zwykłym phishingiem?

 

1) Ofiara ataku. Klasyczny phishing uderza w przypadkowe ofiary. Nie skupia się na jednostkach, ale na dużej grupie użytkowników sieci, z których część nabierze się na podstęp, a część nie. Natomiast whaling phishing bierze na celownik konkretną osobę decyzyjną w firmie, na przykład prezesa.

 

2) Przygotowanie do ataku. W przypadku zwykłego phishingu haker preparuje wiadomość phishingową, która nie wymaga zbyt wiele wysiłku. Z kolei atak wielorybniczy wiąże się ze zrobieniem wcześniej starannego researchu. Żeby miał większą szansę się udać, przestępca poświęca dużo czasu na poznanie swojego celu – jego obowiązków, roli w organizacji, zwyczajów, upodobań, znajomych…

 

3) Sposób ataku. Klasyczny phishing bazuje na dosyć prostej, ogólnikowej wiadomości, która podstępem usiłuje skłonić przypadkowego odbiorcę, żeby ten podzielił się danymi dostępowymi. Natomiast whaling phishing opiera się na rozbudowanej, bogatej w szczegóły wiadomości, dopracowanej pod każdym względem, żeby wyglądała maksymalnie wiarygodnie. Haker kopiuje logotyp i stopkę firmy, tworzy adres e-mailowy bliźniaczo podobny do firmowego, używa stosowanego w firmie stylu komunikacji.

 

4) Cel ataku. W przypadku zwykłego phishingu haker najczęściej ma na celu zdobycie danych do logowania, na przykład do konta bankowego lub skrzynki e-mailowej ofiary. Z kolei whaling phishing jest wykorzystywany głównie po to, żeby pozyskać cenne informacje korporacyjne: poufną dokumentację, tajemnice handlowe, plany i projekty, dostęp do kont finansowych…

 

5) Konsekwencje ataku. Każdy skuteczny atak jest groźny dla przedsiębiorstwa i wiąże się z wieloma problemami, z jakimi musi zmagać się ofiara. Jednak klasyczny phishing i whaling phishing znacznie różnią się skalą. Atak wielorybniczy uderza w osobę decyzyjną z firmy, w której pracują setki ludzi. Jeżeli wyciekną wrażliwe dane korporacyjne, pod znakiem zapytania stoi przyszłość ogromnej organizacji.

 

Czym grozi firmie whaling phishing?

 

Whaling phishing, ze względu na swoje wyrafinowanie, jest znacznie bardziej skuteczny i niebezpieczny niż zwykły phishing. Skupia się na wielkich firmach, a więc może generować olbrzymie straty finansowe.

 

W 2015 roku Ubiquiti Networks Inc., przedsiębiorstwo produkujące sprzęt sieciowy, odkryło, że spółka zależna z Hongkongu przelała 46,7 miliona dolarów na niewłaściwe konta. Okazało się, że to wynik whaling phishingu skierowanego do kierownictwa wyższego szczebla. Firma podjęła działania sądowe, ale udało jej się odzyskać jedynie część kwoty: 8,1 miliona dolarów.

 

Hakerzy zarzucili też w 2015 roku sieci na przedsiębiorstwo Mattel. Dyrektor finansowy otrzymał wiadomość od świeżo wybranego dyrektora generalnego. Nadawca poprosił o wykonanie zagranicznej płatności dla chińskiego dostawcy w wysokości 3 milionów dolarów. Przelew wykonano. Niedługo potem obaj panowie odbyli rozmowę, z której wynikło, że dyrektor generalny tak naprawdę nie zlecał żadnej płatności. Sprawę natychmiast zgłoszono. Firma Mattel miała gigantyczne szczęście. Okazało się, że w dniu przelewu w Chinach trwało święto, dlatego pieniądze nie trafiły jeszcze na wskazane konto, więc udało się je odzyskać. Jednak nie każda firma może liczyć na równie wesołe zakończenie.

 

Skuteczny atak wielorybniczy to nie tylko straty finansowe. Dochodzi do kradzieży cennych danych, na przykład tajemnic handlowych, przed co przedsiębiorstwo traci przewagę konkurencyjną. Taki incydent prowadzi też do poważnego naruszenia lub nawet całkowitej utraty reputacji, a to przekłada się na zmniejszenie zaufania ze strony klientów oraz partnerów biznesowych. Nierzadko w grę wchodzą też konsekwencje prawne, w tym kary finansowe, wypłaty odszkodowań i koszty procesów.

 

Jak chronić firmę przed whaling phishingiem i innymi zagrożeniami w cyberprzestrzeni? Przeprowadź bezpłatny audyt cyberbezpieczeństwa, który odkryje luki w zabezpieczeniach. Poza tym odwiedzaj regularnie naszego bloga, a także fanpage lub profil LinkedIn, gdzie dzielimy się przydatnymi informacjami na temat cyberochrony.

 

Do usłyszenia!

Zespół Sagenso
Sagenso Team

Sagenso Team

Dyrektywa NIS 2 a cyberbezpieczeństwo polskich firm
Ogólna kategoria

Dyrektywa NIS 2 a cyberbezpieczeństwo polskich firm

Unijna dyrektywa NIS 2, o której mówiono przez ostatnich kilka lat, finalnie weszła w życie na...
Czytaj więcej
Cyberbezpieczeństwo wizyt w placówkach medycznych
Branża medyczna

Cyberbezpieczeństwo wizyt w placówkach medycznych

We wrześniu 2023 roku rusza kampania społeczna #odwoluje #nieblokuje, organizowana przez Centrum...
Czytaj więcej

Przeprowadź darmowy audyt bezpieczeństwa IT

Sprawdź możliwości innowacyjnego narzędzia audytorskiego Telescope

Przeprowadź darmowy audyt IT