Il whaling, o whale phishing, è una recente e ambiziosa tecnica di attacco informatico che prende di mira dirigenti e vertici aziendali quali CEO, CFO, CIO e in generale tutti quei profili, comunemente identificabili come C-Level, che all’interno di un’azienda sono in possesso sia di informazioni strettamente riservate che di elevati poteri decisionali e di spesa.
L’obiettivo è quello di manipolare la vittima inducendola con l’inganno a divulgare informazioni in suo possesso o a fargli compiere specifiche azioni dannose per l’azienda ma remunerative per l’attaccante, come ad esempio autorizzare un bonifico a beneficio di quest’ultimo.
Le logiche e le dinamiche di tale tipologia di attacco sono sostanzialmente le stesse del phishing, minaccia informatica particolarmente diffusa di cui il whaling rappresenta la forma più recente, evoluta e sofisticata.
Indice degli argomenti
Dal phishing al whaling
Il phishing è una tecnica di ingegneria sociale mediante la quale un utente, ricevendo una e-mail falsa ma apparentemente legittima e credendo, pertanto, di relazionarsi con una fonte affidabile, è indotto a fornire spontaneamente informazioni personali e riservate.
L’esempio più classico è quello in cui la vittima riceve un’e-mail dalla propria banca (che in realtà tale non è) con la richiesta di fornire, per motivi di sicurezza, una serie di informazioni strettamente confidenziali quali codici di accesso, numero di carta di credito, password o altro.
Il nome phishing deriva dalle logiche di inganno sfruttate da tale tecnica che, per certi versi, rievocano quelle tipiche della pesca: utilizzando un’esca – e-mail con falsa richiesta – si induce la vittima ad abboccare.
Da anni ormai il phishing si annovera tra le tecniche di attacco informatico più diffuse e conosciute del web: la grande maggioranza degli utenti è ben consapevole di tale minaccia, ne conosce cause e conseguenze ed è stata appositamente addestrata per difendersi. Eppure, il phishing rappresenta a tutt’oggi il principale vettore di attacco utilizzato per veicolare e diffondere differenti tipologie di malware (ransomware, spyware o trojan, per citare le più comuni), e le proiezioni dei trend suggeriscono addirittura che tale tecnica continuerà a rappresentare una seria minaccia anche negli anni a venire.
Come si spiegano queste tendenze apparentemente contradditorie? Come riesce una minaccia tanto nota e popolare a mantenere, se non addirittura ad incrementare nel tempo la propria efficacia?
Per comprendere questo fenomeno è necessario prendere coscienza del fatto che il phishing ha subìto, nel corso degli anni, una radicale evoluzione dapprima sotto l’aspetto tecnico e, più di recente, sotto il profilo strategico e tattico.
Negli Anni 90, infatti, il phishing nasceva come tecnica di attacco massiva che puntava più sulla quantità di potenziali vittime raggiunte che sulla qualità dell’attacco. La logica alla base degli attacchi era molto semplice: tante più esche verranno gettate nel web, tanto più sarà probabile che utenti poco formati e informati abbocchino, facendo sì che l’attacco si concretizzi.
E così, nonostante le prime campagne fossero spesso caratterizzate da e-mail con grossolani errori ortografici e da siti web con interfacce grafiche decisamente poco credibili, il phishing riuscì comunque ad affermarsi come una delle tecniche di attacco più efficaci e redditizie, complice da una parte l’assoluta novità della minaccia e dall’altra la diffusa ignoranza informatica che caratterizzava l’utente web medio.
Le cose, oggi, sono molto differenti, e in particolare gli obiettivi e le logiche di tale tipologia di attacco risultano radicalmente mutati rispetto al passato. L’attenzione degli attaccanti, infatti, si è progressivamente spostata verso target specifici quali singoli individui o gruppi di individui appartenenti ad una determinata categoria, come ad esempio i clienti o i dipendenti di un’azienda. Questo perché, ovviamente, l’accesso ad informazioni di business estremamente riservate abilita i cyber criminali ad una serie di attività illegali quali l’estorsione o la vendita nel mercato nero dei dati, che possono rivelarsi, in definitiva, molto più remunerative delle frodi ai danni di singoli e generici individui.
È nato così lo spear phishing, termine con il quale si indicano le moderne campagne di phishing strutturate e calibrate ad-hoc su uno specifico target. Esempi di spear-phishing sono le campagne lanciate – con cadenza ormai quotidiana – ai danni dei grandi gruppi bancari i quali rappresentano in assoluto, e per ovvie ragioni, il bersaglio più ambito e preso di mira dai phisher.
Negli ultimissimi anni, infine, come estrema evoluzione dello spear-phishing è nato il whaling, che a differenza dei classici attacchi prende di mira non solo una determinata organizzazione, ma anche uno specifico soggetto che all’interno di quest’ultima riveste un ruolo di vertice.
Il termine whaling – o whale phishing – significa proprio “caccia alle balene”, ad indicare che a differenza delle tradizionali forme di phishing i target di tali attacchi sono i cosiddetti pesci grossi, ovvero i vertici aziendali: le balene, appunto.
Logiche e caratteristiche del whaling
Con la recente diffusione del whaling, quindi, sono stati definitivamente stravolti i principi e le logiche del phishing tradizionale. Da una parte, infatti, ingannare un C-Level e farlo “abboccare” ad un’e-mail fittizia può rivelarsi estremamente complicato.
Tentativi maldestri quasi certamente non andranno a buon fine e anche attacchi ben organizzati potrebbero risultare poco efficaci a causa delle elevate competenze che tipicamente contraddistinguono tali profili. Inoltre, spesso, i team aziendali di sicurezza informatica adottano politiche più rigorose e misure di sicurezza maggiori per proteggere i propri C-Level.
D’altro canto, essendo la vittima un soggetto ben noto, l’attaccante avrà modo di studiarne preventivamente abitudini e relazioni professionali per poi strutturare un attacco ad-hoc, aumentando esponenzialmente le probabilità di successo.
In tal senso, i social media come Facebook, Twitter e LinkedIn costituiscono una ricchissima fonte di informazioni, sia di carattere privato che professionale.
A causa delle dinamiche appena descritte, le e-mail e i siti web realizzati e utilizzati per gli attacchi di whaling possono risultare incredibilmente verosimili e, in definitiva, particolarmente difficili da rilevare anche per i profili aziendali di più alto livello.
Ad esempio, il fatto che nel testo dell’e-mail ingannevole siano inseriti aneddoti specifici della sfera lavorativa della vittima, come ad esempio il riferimento a un progetto ben preciso o a un collega noto, può indurre la mente di quest’ultima a registrare la situazione come familiare, a sentirsi in una zona di comfort e quindi ad abbassare involontariamente la guardia.
A complicare ulteriormente le cose ci sono le cosiddette tecniche di spoofing, che consentono agli attaccanti di impersonare un determinato collega della vittima e far sì che l’e-mail sembri inviata proprio da quest’ultimo.
A titolo di esempio, immaginiamo un C-Level che riceve una e-mail dall’amministratore delegato della propria azienda il quale richiede, con carattere d’urgenza, che venga effettuato un bonifico sul nuovo IBAN di un noto fornitore, storico ed affidabile partner dell’azienda.
Tale richiesta, coinvolgendo soggetti noti ed attendibili, potrebbe apparire assolutamente plausibile agli occhi della vittima la quale, essendo per altro in possesso di regolare delega per tale tipo di attività, potrebbe procedere senza indugio all’effettuazione del bonifico.
Purtroppo, però, dietro la richiesta in questione potrebbe celarsi un cyber criminale, e l’IBAN indicato come nuovo IBAN del fornitore potrebbe essere in realtà associato al conto fittizio creato appositamente per la truffa.
Quello appena descritto è il più classico caso di attacco whaling, che ha già colpito e truffato moltissimi professionisti ed aziende in tutto il mondo.
I consigli per difendersi
La cura meticolosa dei dettagli e la forte personalizzazione rendono gli attacchi di whaling estremamente difficili da rilevare.
In che modo, dunque, aziende e professionisti possono difendersi da tale minaccia? Di seguito sono riportati alcuni suggerimenti pratici per ridurre il rischio di cadere vittime del whaling.
Suggerimenti per le aziende:
- creare consapevolezza sul fenomeno, prevedendo formazione e sensibilizzazione specifica per i profili C-Level;
- organizzare e simulare periodiche campagne interne di whaling, così da affinare le capacità di difesa dei propri C-Level. Proprio da tali campagne, spesso, scaturiscono lesson learned estremamente formative;
- incoraggiare i dipendenti di tutti i livelli a verificare, attraverso un secondo canale, le fonti di eventuali richieste urgenti pervenute via e-mail, ad esempio chiedendo conferma di persona al mittente o contattando proattivamente quest’ultimo via telefono o SMS;
- limitare il più possibile la condivisione di informazioni sui propri C-Level, ad esempio tramite il sito web o gli account social aziendali.
Suggerimenti per i C-Level:
- imparare a mettere in dubbio, per impostazione predefinita, anche le e-mail dall’aspetto più familiare, soprattutto se ricevute da un superiore e se contenenti richieste a carattere d’urgenza. Bisogna sempre ricordare che tale tipologia di attacco presuppone una preventiva ed approfondita raccolta di informazioni sulle vittime;
- esattamente come per le aziende, cercare di limitare la condivisione di informazioni personali e professionali, in particolare attraverso i vari social network.
