Sunt managerii de nivel înalt din compania dvs. vulnerabili în fața unui atac de tip cyber-harpooning? Aflați care sunt metodele de apărare. Când managerul unui fond de hedging (fond speculativ) a deschis o invitație aparent inofensivă la o întâlnire pe Zoom, nu și-a imaginat haosul care avea să urmeze în companie. Invitația era infectată cu malware, permițând atacatorilor să preia controlul asupra contului său de email. De acolo, au acționat rapid: au autorizat transferuri de bani din partea sa, folosind facturi false trimise fondului.

În total, au aprobat facturi în valoare de 8,7 milioane de dolari în acest mod. Incidentul a dus, în cele din urmă, la prăbușirea Levitas Capital, după ce a cauzat retragerea unuia dintre cei mai mari clienți ai firmei. Din păcate, astfel de atacuri asupra directorilor de rang înalt nu sunt deloc rare. De ce să pierzi timpul cu „peștii mici” când „balenele” pot aduce câștiguri atât de mari?

Ce este whaling-ul?

Pe scurt, un atac cibernetic de tip whaling vizează un membru de rang înalt din echipa de conducere a unei organizații. Poate lua forma unui email, mesaj text sau apel telefonic de tip phishing/ smishing/ vishing, ori a unei tentative de compromitere a emailului de business (BEC). Diferența principală față de spear-phishing-ul obișnuit sau un atac BEC clasic este profilul victimei.

De ce sunt „balenele” ținte atât de atractive? Chiar dacă numărul lor este redus comparativ cu restul angajaților, trei caracteristici cheie le fac extrem de valoroase pentru atacatori. Directorii de nivel înalt (inclusiv C-suite) sunt, de obicei:
– Presați de timp, ceea ce îi poate determina să citească un email de phishing, să deschidă o anexă malițioasă sau să aprobe o solicitare frauduloasă fără a verifica atent. Uneori dezactivează sau ocolesc măsuri de securitate precum autentificarea multifactor (MFA) doar pentru a economisi timp.
– Foarte expuși online, ceea ce le oferă atacatorilor multe informații pentru a construi atacuri de inginerie socială extrem de credibile, inclusiv emailuri care par trimise de un subordonat sau asistent personal.
– Cu acces extins, au permisiuni asupra datelor sensibile și valoroase ale companiei (precum proprietate intelectuală sau informații financiare) și pot aproba ori solicita transferuri de sume mari.

Cum arată un atac tipic?

La fel ca în cazul unui spear‑phishing sau BEC obișnuit, un atac de tip whaling necesită pregătire temeinică pentru a avea șanse mari de reușită. Asta înseamnă că atacatorii fac o documentare amănunțită asupra țintei. Iar sursele publice nu lipsesc: conturi de social media, site‑ul companiei, interviuri în presă, apariții video și prezentări în care managerul apare.

Pe lângă informațiile de bază, atacatorii vor încerca să afle detalii despre subordonații și colegii apropiați, precum și despre activități interne care pot servi drept bază pentru inginerie socială – de la procese de M&A (fuziuni și achiziții) până la evenimente ale companiei. Le poate fi util și să înțeleagă interesele personale ale țintei sau chiar stilul său de comunicare, mai ales dacă planul final este să o impersoneze.

Odată ce au adunat toate aceste informații, atacatorii vor crea de regulă un email de tip spear-phishing sau BEC, falsificat astfel încât să pară trimis dintr-o sursă de încredere. Mesajul va miza pe clasica tehnică de inginerie socială: inducerea unui sentiment de urgență, pentru ca destinatarul să ia o decizie rapidă și fără verificări suplimentare.

Scopul final este, uneori, să păcălească victima să-și divulge datele de autentificare sau să instaleze fără să știe malware de tip infostealer ori spyware. Aceste credențiale pot fi folosite pentru a accesa informații corporate valoroase sau pentru a prelua controlul asupra contului de email al managerului, lansând apoi atacuri BEC către subordonați – imitând „balena” pentru a convinge un angajat să aprobe un transfer substanțial. O altă variantă este ca atacatorul să impersoneze superiorul „balenei”, pentru a o determina să autorizeze o tranzacție financiară.

AI schimbă regulile jocului

Din păcate, inteligența artificială le ușurează și mai mult munca atacatorilor. Folosind LLM‑uri „jailbroken” sau modele open‑source, pot exploata instrumente AI pentru a colecta rapid cantități mari de date despre ținte, facilitând faza de recunoaștere. Apoi, pot utiliza modele generative (GenAI) pentru a crea emailuri sau mesaje extrem de convingătoare, corect redactate. În plus, aceste instrumente pot adăuga context relevant sau chiar imita stilul de comunicare al expeditorului.

GenAI poate fi folosită pentru a alimenta tehnologia deepfake, creând atacuri de tip vishing extrem de convingătoare sau chiar videoclipuri în care sunt impersonați executivi de nivel înalt, pentru a determina victima să aprobe un transfer de bani. Odată cu AI, atacurile de tip whaling devin mai ample și mai eficiente, deoarece capabilitățile avansate ajung la un număr mult mai mare de atacatori.

Când atacul dă roade

Miza este evidentă. Un atac major de tip BEC poate duce la pierderi financiare de milioane de dolari. Iar compromiterea datelor sensibile ale companiei poate atrage amenzi de reglementare, procese colective și importante perturbări operaționale.

Daunele de imagine pot fi chiar mai devastatoare, așa cum a descoperit Levitas Capital. Fondul de investiții a reușit, în cele din urmă, să blocheze majoritatea transferurilor aprobate fraudulos. Însă acest lucru nu a fost suficient pentru a împiedica plecarea unuia dintre cei mai importanți clienți, ceea ce a dus la prăbușirea fondului de 75 de milioane de dolari. Mai mult, directorii păcăliți sunt adesea trași la răspundere de către superiori după incidente de acest fel.

Neutralizarea „vânătorilor de balene”

Există mai multe moduri prin care echipele de securitate pot reduce riscurile asociate spearphishing‑ului și atacurilor BEC. Totuși, aceste eforturi pot eșua atunci când au în față un manager care consideră că regulile nu i se aplică. De aceea, instruirea dedicată conducerii, bazată pe simulări realiste, devine esențială. Testările trebuie să fie puternic personalizate, scurte și ușor de parcurs, integrând cele mai noi tactici, tehnici și proceduri folosite de atacatori – inclusiv scenarii cu deepfake video sau audio.

Aceste exerciții trebuie susținute de controale și procese de securitate îmbunătățite. De exemplu, o procedură strictă de aprobare a transferurilor de sume mari, care să necesite semnătura a două persoane și/ sau verificarea printr-un canal alternativ de încredere.

Instrumentele AI pot fi de ajutor și pentru apărătorii rețelelor. De exemplu, soluțiile de securitate a emailurilor bazate pe AI pot identifica modele suspecte de comunicare, expeditori și conținut. Software-ul de detectare a deepfake-urilor poate semnala apeluri potențial malițioase în timp real. O abordare Zero Trust poate oferi, de asemenea, o reziliență suplimentară: prin aplicarea principiului celui mai mic privilegiu și a accesului just-in-time, se limitează ceea ce pot accesa directorii și se asigură că autentificările lor nu sunt considerate automat de încredere.

Pe scurt, organizația dvs. ar putea începe să limiteze tipul de informații corporate pe care le publică. Într-o lume în care AI este omniprezent, resursele pentru a găsi și a folosi aceste informații în scop malițios sunt acum la dispoziția oricui.