¡Pide presupuesto en 2 min! ✓
Ciberseguridad

Así funciona el Whaling o fraude del CEO

9 Mins read

A medida que las amenazas cibernéticas evolucionan, las empresas de todo el mundo obtienen soluciones de seguridad adicionales para combatirlas. El whaling también es uno de los vectores de ataque cibernético que evolucionó en los últimos años y se dirige a alguien como un ejecutivo de alto nivel de una corporación.

Los ataques de whaling han experimentado un fuerte aumento y se espera que sigan aumentando. Estos ataques resultaron en pérdidas de más de 12.5 mil millones de dólares durante 2018.

Whaling es un término común que se usa para describir la caza de ballenas por el petróleo que produce su grasa. En Las Vegas, el término “ballena” se usa para describir a los jugadores que están dispuestos a apostar grandes sumas de dinero en los casinos.

Cuando se trata de amenazas cibernéticas, los ataques de whaling representan un riesgo único para los ejecutivos de negocios. Sigue leyendo para saber qué son los ataques de whaling y cómo puedes prevenirlos.

¿Qué es el whaling?

Whaling es un ataque cibernético que ocurre cuando un atacante utiliza métodos de phishing para perseguir a un objetivo grande y de alto perfil, como un ejecutivo senior o c-suite.

Los ciberdelincuentes saben que los ejecutivos y los empleados de alto nivel pueden conocer las tácticas de spam más comunes. Pueden haber recibido una buena capacitación en conciencia de seguridad por su responsabilidad en la empresa, y el equipo de seguridad puede tener políticas más estrictas y herramientas más sólidas para protegerlos.

Esto lleva a los atacantes que intentan phishing a estos objetivos a mirar más allá de las viejas tácticas probadas y verdaderas a métodos más sofisticados y específicos.

Al igual que todos los ataques de phishing, un intento exitoso de fraude del CEO contra un objetivo de alto perfil todavía depende de obligar al objetivo, generalmente bajo la apariencia de cierta urgencia.

Los resultados deseados pueden incluir obligar al destinatario a tomar una acción no deseada y desencadenar una transferencia bancaria, por ejemplo, o hacer clic en un enlace o abrir un archivo adjunto que instala malware o envía el objetivo a un sitio web malicioso que se hace pasar por uno legítimo.

Como resultado de la creciente conciencia sobre las tácticas típicas de phishing, los adversarios están ajustando sus enfoques al reducir el alcance y adaptar sus mensajes fraudulentos con detalles para convencer al destinatario del correo electrónico de su veracidad y obligarlos a actuar.

Este enfoque más centrado del phishing se llama comúnmente phishing de lanza. Cuando un atacante decide lanzar phishing a un objetivo grande y de alto perfil, es cuando se convierte en whaling.

Objetivos

Los objetivos del whaling, como los portavoces de los medios o los ejecutivos de alto nivel, por naturaleza tienen más información sobre ellos disponible públicamente para que los atacantes se reúnan y exploten.

Debido a su antigüedad, también pueden tener un mayor acceso a los datos internos que el empleado promedio: hay más información confidencial disponible a través de sus credenciales internas y, en algunos casos, incluso pueden tener algún nivel de privilegio administrativo.

Si bien el grupo de objetivos potenciales para el whaling en una organización puede ser bastante pequeño en comparación con la lista general de empleados, las apuestas son mucho más altas.

El objetivo principal es capturar información confidencial, como credenciales, que le dan al atacante una clave maestra para la propiedad intelectual de una empresa, los datos del cliente u otra información que podría ser lucrativa si se vendiera en los mercados negros.

Diferencias entre cyberwhaling y phishing

Existen diferentes tipos de phishing que amenazan la red de una empresa: phishing, spear phishing y ciberataques de whaling.

Los correos electrónicos de phishing se envían ampliamente a numerosos usuarios sin pensar en quién será el destinatario. Sin embargo, los correos electrónicos de Whaling se dirigen o intentan hacerse pasar por ejecutivos específicos de alto nivel dentro de una organización y los correos electrónicos están diseñados específicamente para el individuo.

Los correos electrónicos de phishing vienen en todas las formas y tamaños, y algunos han tenido seriamente en cuenta cómo se entregará el correo electrónico, en términos de la apariencia del correo electrónico.

El Whaling es una forma de phishing que se dirige a ejecutivos de alto nivel como el CEO o CFO de una empresa, o intenta hacerse pasar por ellos. Al igual que la suplantación de identidad, estos correos electrónicos están especialmente diseñados para el destinatario previsto. Cuando estos correos electrónicos están especialmente diseñados, se vuelven cada vez más difíciles de identificar.

La suplantación de identidad (phishing) es un término más amplio que cubre cualquier tipo de ataque que intenta engañar a la víctima para que tome alguna medida, incluido el intercambio de información confidencial, como nombres de usuario, contraseñas y registros financieros con fines maliciosos; instalar malware o completar un pago financiero fraudulento o una transferencia bancaria.

Si bien los ataques de phishing ordinarios generalmente implican enviar correos electrónicos a un gran número de personas sin saber cuántos serán exitosos, los ataques de whaling generalmente apuntan a un individuo específico a la vez, generalmente un individuo de alto rango, con información altamente personalizada.

Principales medios y estrategias que usan los ciberdelincuentes

El objetivo de un ataque de whaling, como hemos indicado, es engañar a un individuo para que revele información personal o corporativa a través de esfuerzos de ingeniería social, suplantación de correo electrónico y suplantación de contenido.

Por ejemplo, los atacantes pueden enviar a la víctima un correo electrónico que parece ser de una fuente confiable. Algunas campañas de whaling incluyen un sitio web malicioso personalizado que se ha creado especialmente para el ataque.

Los correos electrónicos y sitios web de whaling de ballenas están altamente personalizados, y a menudo incorporan el nombre del objetivo, el título del trabajo u otra información relevante obtenida de una variedad de fuentes.

Los ataques de whaling a menudo dependen de técnicas de ingeniería social, ya que los atacantes enviarán hipervínculos o archivos adjuntos para infectar a sus víctimas con malware o para solicitar información confidencial.

Al atacar a las víctimas de alto valor, especialmente a los CEO y otros funcionarios corporativos, los atacantes también pueden inducirlos a aprobar transferencias electrónicas fraudulentas utilizando técnicas de compromiso de correo electrónico comercial. En algunos casos, el atacante se hace pasar por el CEO u otros funcionarios corporativos para convencer a los empleados de que realicen transferencias financieras.

Estos ataques pueden engañar a las víctimas porque los atacantes están dispuestos a pasar más tiempo y esfuerzo construyéndolos debido a sus rendimientos potencialmente altos. Los atacantes a menudo usan las redes sociales, como Facebook, Twitter y LinkedIn, para recopilar información personal sobre su víctima y hacer que el ataque de phishing sea más creíble.

El contenido altamente dirigido ahora se combina con varios otros métodos que los ejecutivos deben tener en cuenta para reducir sus posibilidades de ser víctimas de estos ataques. De manera crucial, todos estos desarrollos explotan las relaciones de confianza existentes o combinan un ataque cibernético con tácticas de fraude no cibernético.

Correo electrónico de whaling con una llamada telefónica

En muchos casos se recibió un correo electrónico de whaling y luego se realizó un seguimiento con una llamada telefónica que confirma la solicitud de correo electrónico. La llamada telefónica tiene el doble propósito de corroborar la solicitud de correo electrónico y hacer que la víctima se queje de un posible ataque cibernético, ya que también han tenido una interacción del “mundo real”.

Correo electrónico de whaling de ciberdelincuentes disfrazados de socio de confianza

El aumento de los ataques a la cadena de suministro (donde la red de una organización proveedora o asociada se ve comprometida para obtener acceso a la organización objetivo) ha sido bien documentada. Sin embargo, los recientes ataques de whaling han utilizado información fácilmente accesible sobre proveedores o socios para construir correos electrónicos que parecen creíbles.

Si una organización anuncia socios como organizaciones benéficas, bufetes de abogados, centros de estudios o instituciones académicas, deben ser conscientes de que pueden recibir correos electrónicos de actores maliciosos disfrazados de socios de confianza.

Correos electrónicos de whaling que parecen ser de compañeros de trabajo

Esto es cuando la dirección de correo electrónico de un empleado se ve comprometida (o se usa una dirección de correo electrónico falsificada) para convencer a otros empleados de que están recibiendo una solicitud legítima de un compañero de trabajo. Esto es especialmente efectivo cuando se falsifica la dirección de correo electrónico de un ejecutivo de alto rango para solicitar un pago urgente a un miembro menor de un departamento de finanzas.

Whaling a través de las redes sociales

Las redes sociales son una forma cada vez más frecuente de desarrollar contactos comerciales, reclutar empleados y organizar debates.

Sin embargo, las cuentas de redes sociales, tanto profesionales como personales, proporcionan un medio para que los actores maliciosos investiguen y se pongan en contacto con altos ejecutivos. Proporcionan una mina de oro de información para la ingeniería social, y las víctimas a menudo son menos vigilantes para atacar en un foro más social.

Ejemplos de ataques de whaling

Un importante ataque de whaling ocurrió en 2016 cuando un empleado de alto rango en Snapchat recibió un correo electrónico de un atacante que pretendía ser el CEO. Se engañó al empleado para que le diera al atacante información sobre la nómina del empleado.

Otro ataque de whaling de 2016 involucró a un empleado de Seagate que, sin saberlo, envió por correo electrónico los datos del impuesto sobre la renta de varios empleados actuales y anteriores de la empresa a un tercero no autorizado. Después de informar la estafa de phishing al FBI, se anunció que los datos personales de miles de personas estaban expuestos en ese ataque de caza de ballenas.

Los siguientes intentos de whaling muestran los intrincados cambios que los ciberdelincuentes intentan hacer para engañar a un CEO:

  • El atacante crea una cuenta de Hotmail que podría parecer un servicio de correo electrónico de CEO
  • Se coloca una “s” adicional al final de la dirección de correo electrónico.
  • El atacante registra un nombre de dominio similar, reemplazando las “o” con ceros similares y fácilmente pasados ​​por alto.

¿Cómo protegerse del whaling?

Los ejecutivos y otros objetivos probables de whaling, deben seguir unos consejos para evitar ser víctimas de estos ataques. Ten cuidado de hacer clic en los enlaces o archivos adjuntos en los correos electrónicos, ya que los ataques de phishing de cualquier tipo requieren que la víctima tome medidas para tener éxito.

Las organizaciones pueden fortalecer sus propias defensas y educar a los posibles objetivos de whaling mediante la implementación de algunas mejores prácticas específicas.

Primero, ten en cuenta el tipo de información que los empleados están compartiendo sobre los ejecutivos. Los detalles que se pueden encontrar fácilmente en línea a través de sitios como las redes sociales, desde cumpleaños y lugares de origen hasta pasatiempos o deportes favoritos, pueden ayudar a que los correos electrónicos de whaling parezcan más legítimos.

Los grandes eventos públicos también pueden brindarle a los correos electrónicos de whaling la apariencia de legitimidad. Recuerda a los ejecutivos o portavoces que durante estos tiempos de alta publicidad, como una conferencia importante de la industria o un evento de la compañía, estarán en el centro de atención en más de un sentido, y serán especialmente cautelosos con su bandeja de entrada.

Luego, fomenta una cultura de correo electrónico organizacional de “confiar pero verificar”. Alienta a los empleados de todos los niveles a verificar la veracidad de los mensajes urgentes e inesperados a través de otro canal de comunicación, como hablar con el remitente en persona, llamarlos o enviarles mensajes de texto, y que los ejecutivos y la alta gerencia lideren con el ejemplo.

Lo que es más importante, implementa un programa de capacitación sobre phishing, con contenido específicamente dirigido a la alta gerencia y a los empleados de cara al público sobre los correos electrónicos de whaling que podrían recibir.

Un programa de concientización de phishing no solo enseñará principios clave para prevenir ataques de whaling, sino que permitirá a los empleados poner a prueba esas habilidades de manera segura.

Es una buena idea ejecutar ataques simulados de whaling de vez en cuando para mantener las habilidades de los empleados al detectar posibles campañas de phishing, todo dentro de la seguridad de un entorno de herramientas de capacitación, con énfasis en el aprendizaje, especialmente de los fracasos.

¿Qué hacer si he sido víctima de un ataque de whaling?

En el caso que recibamos un correo de este tipo, debemos ser precavidos y buscar una confirmación directa del remitente, como podría ser una llamada de teléfono.

Si no nos hemos dado cuenta del engaño y hemos caído en él, debemos ponernos en contacto con las Fuerzas y Cuerpos de Seguridad del Estado para denunciarlo.

Además, deberemos guardar todas las evidencias que podamos: los mensajes recibidos, realizando capturas de pantalla de los mensajes., etc.

También avisaremos a los contactos y personas que se hayan podido ser afectadas por esta acción, y daremos la orden de cancelación de las transferencias realizadas.

Related posts
CiberseguridadInternet

Todo sobre TOR o The Onion Router

9 Mins read
En el actual clima de recopilación de datos y preocupaciones de privacidad, el navegador Tor se ha convertido en tema de discusión…
Ciberseguridad

¿Qué son los stalkers de Internet?

11 Mins read
El stalker en Internet o ciberacoso es un problema creciente en todo el mundo. El acecho siempre ha sido un problema serio,…
Ciberseguridad

MonitorMinor, el software que espía tu smartphone

7 Mins read
Existe una muestra interesante de software comercial que se posiciona como una aplicación de control parental, pero que también puede usarse para…

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Las siguientes reglas del RGPD deben leerse y aceptarse:
Este formulario recopila tu nombre, correo electrónico y e contenido para que podamos realizar un seguimiento de los comentarios dejados en la web. Para más información revisa nuestra política de privacidad, donde encontrarás más información sobre dónde, cómo y por qué almacenamos tus datos.