Gli attacchi di phishing non sono una novità. Tuttavia, negli ultimi anni, c’è stato un forte aumento di una tipologia particolare: phishing di caccia alle balene. Mentre il phishing tradizionalmente si estende su un’ampia rete, prendendo di mira qualsiasi individuo ignaro, il whaling si rivolge ai pesci più grandi: i dirigenti di alto livello e i leader senior all’interno di un’organizzazione. Questi attacchi richiedono più tempo, impegno e competenza tecnica da parte degli aggressori, ma i benefici sono molto maggiori.
Gli attacchi di caccia alle balene sono in genere più sofisticati e utilizzano metodi come l’imitazione del CEO, la tecnologia deepfake e altri spear-phishing mirato. I dati recenti lo indicano 89% delle email di phishing ora implicano l’imitazione di qualcuno familiare al destinatario. Circa il 16% di queste e-mail coinvolgono l’aggressore che si finge un collega. Nel caso della caccia alle balene, ciò significa prendere di mira un dirigente o qualcuno con accesso a risorse critiche come i conti bancari.
Il costo di cadere vittima di un attacco di phishing può essere significativo. Lo ha riferito l’FBI Perdite per 52 milioni di dollari dalle truffe di phishing solo nel 2022. Tali costi sono sostenuti non solo dalle imprese ma anche dai loro clienti, per non parlare delle risorse che devono essere spese per la prevenzione.
Questi tipi di attacchi sono difficili da ignorare, data la potenziale portata della posta in gioco finanziaria e reputazionale coinvolta. Per le aziende, tuttavia, offrono l’opportunità di riorientare gli sforzi sulla protezione degli obiettivi più preziosi nelle loro organizzazioni. In questo articolo esploreremo questa tendenza in crescita e offriremo consigli pratici su come le organizzazioni possono rafforzare le proprie difese.
Perché la caccia alle balene è di tendenza?
Il phishing generalmente si estende su un’ampia rete, con gli aggressori che fanno affidamento sulle dimensioni della loro mailing list affinché una vittima ignara possa fare clic su un collegamento. Al contrario, il phishing di caccia alle balene è altamente mirato e personalizzato. Gli aggressori si prendono il tempo per ricercare le loro vittime.
Ciò include la raccolta di dati personali, la comprensione delle proprie responsabilità aziendali, l’analisi delle abitudini di posta elettronica e la creazione di contenuti altamente personalizzati per ingannare i destinatari. Questo livello di sforzo può sembrare ad alta intensità di manodopera, ma quando ha successo viene ripagato in modo significativo.
Dopotutto, la caccia alle balene prende di mira individui con il potere di approvare trasferimenti finanziari o accedere a dati aziendali sensibili, rendendoli i principali candidati per attori malintenzionati in cerca di grandi profitti. Allo stesso modo, è meno probabile che i dirigenti abbiano seguito una formazione approfondita sul rilevamento delle minacce e, poiché sono così occupati, è più probabile che trascurino i segnali rivelatori di una truffa.
Un caso che evidenzia la crescente sofisticazione degli attacchi di caccia alle balene si è verificato nel 2023, quando una multinazionale di Hong Kong è stata truffato per 25 milioni di dollari attraverso videochiamate deepfake impersonando il direttore finanziario e altri dirigenti chiave dell’azienda. Un manager finanziario con accesso ai fondi è stato indotto in errore a trasferire questa grande somma di denaro apparentemente per volere dei capi.
Tali attacchi spesso si basano sulla manipolazione emotiva, sulla creazione di urgenza o sullo sfruttamento delle relazioni commerciali per indurre le vittime a prendere decisioni impulsive, come autorizzare bonifici o fornire dettagli di accesso riservati. In un contesto aziendaledove non tutti i leader aziendali conoscono tutti i dirigenti, i pericoli sono ancora più potenti.
Per gli aggressori, l’attrattiva di questi obiettivi di alto valore è chiara. Maggiore sarà lo sforzo dedicato alla personalizzazione dell’attacco, maggiore sarà il potenziale ritorno finanziario. In molti casi, l’entità del danno, sia finanziario che reputazionale, può avere conseguenze a lungo termine per l’azienda vittima.
Un playbook in evoluzione
Negli ultimi anni le tattiche di phishing sono diventate molto più sofisticate. Ciò è guidato dal crescente utilizzo dell’intelligenza artificiale (AI) e delle tecnologie di apprendimento automatico. Un’evoluzione degna di nota è l’uso dei deepfake, in cui gli aggressori utilizzano filtri guidati dall’intelligenza artificiale per impersonare dirigenti o altre figure fidate nelle videochiamate.
IL tecnologia per vivere deepfake chiamate è ormai ampiamente disponibile ed è spesso così convincente che la vittima spesso non trova motivo di metterne in dubbio l’autenticità, soprattutto quando la richiesta appare legittima. Questa tecnica è stata un fattore chiave nel caso di Hong Kong del 2023, in cui gli aggressori hanno finto di essere il CFO in una videochiamata deepfake per autorizzare il bonifico bancario.
I deepfake, però, sono solo una parte dell’equazione. Gli aggressori di caccia alle balene utilizzano anche indirizzi e-mail, profili di social media e persino numeri di telefono falsificati per mascherare ulteriormente la propria identità. L’obiettivo è rendere l’attacco il più convincente possibile, facendo affidamento sulla fiducia della vittima nelle proprie comunicazioni per aggirare i protocolli di sicurezza.
Gli aggressori stanno inoltre migliorando nel creare un senso di urgenza. Creando messaggi che sembrano provenire direttamente dal CEO o da un altro dirigente senior, spingono gli altri dirigenti ad agire rapidamente, senza dubitare delle loro azioni. Questa tecnica viene spesso definita “frode del CEO” e rimane una delle strategie più comuni impiegate negli attacchi di caccia alle balene.
Questa frode sfrutta la struttura gerarchica delle imprese, per cui è più probabile che le persone rispettino una richiesta urgente di un superiore.
Proteggi la tua organizzazione
Con l’aumento della sofisticazione del phishing di alto livello, devono crescere anche le difese progettate per proteggersi da esso. I leader aziendali e i professionisti della sicurezza dovrebbero implementare un approccio a più livelli per salvaguardare i dati sensibili e prevenire le truffe mirate ai dirigenti. Ecco alcuni passaggi critici.
Formazione e sensibilizzazione dei dipendenti. Uno dei modi più efficaci per difendersi dagli attacchi di caccia alle balene è istruire i dipendenti, in particolare quelli che ricoprono posizioni di leadership e finanziarie, su come individuare attività sospette. La formazione dovrebbe riguardare l’identificazione dei segnali di allarme, come indirizzi di mittenti sconosciuti, richieste inaspettate o tattiche di pressione elevata. Esercizi regolari di simulazione di phishing possono aiutare a rafforzare questa conoscenza e a mantenere alta la consapevolezza.
Autenticazione a più fattori. L’autenticazione a più fattori (MFA) è uno degli strumenti più semplici ma efficaci per contrastare gli aggressori, soprattutto quando si tratta di proteggere account di alto valore. La richiesta di più forme di verifica (ad esempio, password più autenticazione biometrica o basata su token) aggiunge un ulteriore livello di protezione che può rendere più difficile l’elusione da parte degli aggressori.
Software di filtraggio e-mail e anti-phishing. L’implementazione di sistemi avanzati di filtraggio della posta elettronica può aiutare a rilevare i messaggi sospetti prima che raggiungano la casella di posta di un dipendente. Il software anti-phishing può contrassegnare gli indirizzi e-mail non coerenti con il dominio dell’azienda, avvisando i dipendenti di potenziali tentativi di impersonificazione. Questi sistemi dovrebbero essere ottimizzati per rilevare sottili segnali di phishing, come nomi di dominio con errori di ortografia o allegati insoliti.
Protocolli di risposta e segnalazione agli incidenti. Avere un protocollo chiaro per segnalare comunicazioni sospette e rispondere a potenziali violazioni della sicurezza è fondamentale. Ciò include la creazione di una catena di comando per verificare le richieste impreviste e garantire che tutti i dipendenti conoscano le misure da intraprendere se ricevono un’e-mail, un SMS o una chiamata sospetta.
Gestione del rischio di terze parti. Gli aggressori non prendono di mira solo un’organizzazione specifica, ma possono anche prendere di mira fornitori di terze parti che hanno accesso alle reti aziendali, quindi è essenziale gestire attentamente queste relazioni. Controlli di sicurezza regolari, forti obblighi contrattuali e chiare politiche di condivisione dei dati possono aiutare a mitigare il rischio rappresentato da soggetti esterni.
Stare al passo con i tempi
Poiché gli attacchi di phishing di caccia alle balene continuano ad aumentare, le organizzazioni devono essere proattive nel rafforzare le proprie difese. Le tattiche in evoluzione utilizzate dai criminali informatici richiedono un approccio globale e multilivello che vada oltre le tradizionali misure di sicurezza. La protezione dei dirigenti di alto livello e di altri obiettivi di alto valore non è più facoltativa, ma piuttosto una parte fondamentale della salvaguardia della stabilità finanziaria, dei dati e della reputazione di un’organizzazione.
Concentrandosi sulla formazione continua, implementando soluzioni tecnologiche avanzate e sviluppando solidi piani di risposta agli incidenti, le aziende possono ridurre al minimo il rischio di cadere vittime di questi attacchi altamente sofisticati. La preparazione è fondamentale e stare al passo con le tendenze emergenti darà alla tua organizzazione una possibilità di lottare.
Credito immagine in primo piano: Kasia Derenda/Unsplash
