Los ataques de phishing son muy comunes en organizaciones de todo el mundo y existen varias estafas que utilizan el mismo principio, engañar a las personas para que sean enganchadas por los delincuentes.
Además de los ataques más comunes en los que las personas pueden identificar acciones delictivas, existe el whaling, que es un tipo muy específico de phishing utilizado por los ciberdelincuentes para dirigirse a empleados de alto rango de una organización.
Esta estafa es muy peligrosa, ya que se utilizan varios mecanismos para que los mensajes parezcan lo más reales posible y logren engañar a sus víctimas.
Esta amenaza crece continuamente y varias empresas de renombre ya han sido víctimas de estas acciones, como Snapchat, Mattel y Ubiquiti Networks.
Por lo tanto, es importante que las organizaciones de todo el mundo presten atención a esta estafa, sigan leyendo el texto y aprendan cómo protegerse de estas acciones.
¿Qué es un ataque Whaling?
El whaling es un tipo de phishing, que también se conoce como fraude del CEO, se trata de un ataque dirigido que utiliza técnicas de ingeniería social con el objetivo de engañar a los empleados de alto nivel para que proporcionen información confidencial.
Por lo tanto, mientras que las estafas de phishing convencionales se dirigen a personas no específicas y, a menudo, envían mensajes genéricos, los whalling saben exactamente a quién quieren dirigirse.
De esta manera, crean comunicaciones que parecen provenir de alguien muy experimentado o influyente para adquirir aún más convicción a sus mensajes.
La caza de Whaling deriva de la palabra "whales" (ballenas), porque esta estafa se dirige a personas a las que podemos llamar "peces gordos", como directores ejecutivos o gerentes financieros.
Al igual que cualquier otro phishing, los correos electrónicos contienen solicitudes urgentes de transferencias bancarias o instrucciones que requieren una acción inmediata, como transferir fondos o solicitar datos confidenciales.
¿Cómo se producen los ataques whaling?
Podemos decir que el whaling es diferente del spear-phishing, porque la comunicación enviada en los ataques de whaling parece haber sido enviada por alguien experimentado o que la persona conoce.
Pero lo que tienen en común es que los delincuentes investigan a sus víctimas sobre:
· Redes sociales;
· Solicitantes;
· Web Oscura;
· Sitios web de la empresa.
Al fin y al cabo, con esta información es más fácil convencer a las personas y llevar a cabo sus ataques.
Los ataques se presentan en una variedad de formas, como un correo electrónico que parece ser de un alto directivo, que contiene un remitente de una fuente confiable, con logotipos corporativos o incluso enlaces a un sitio web falso.
Dado que las víctimas de este tipo de ataque son valiosas para los delincuentes, dedican tiempo y energía a hacer que esta estafa sea lo más eficiente posible, por eso es tan peligrosa.
Si un ataque de whaling tiene éxito, los delincuentes pueden obtener acceso a información altamente confidencial, como planes estratégicos, datos financieros confidenciales.
Además, pueden tener acceso a información sobre fusiones y adquisiciones, o propiedad intelectual. Esto no solo compromete la seguridad de la empresa, sino que también puede resultar en importantes pérdidas financieras y daños a la reputación.
¿Por qué es tan peligroso este ataque?
Waling es un ataque muy efectivo por varias razones, una de ellas es que sus acciones están dirigidas a personas que tienen la autoridad para aprobar transacciones financieras o que tienen información confidencial.
De esta forma, si las víctimas caen en estas estafas, el daño es inmenso, en comparación con un simple empleado que se encarga de la atención al cliente, por ejemplo, porque las responsabilidades que tienen ambos son muy diferentes.
Otro punto que merece atención es que estos ataques se basan en explotar la confianza y autoridad asociada a los ejecutivos de alto nivel.
Es decir, cuando un mensaje parece pertenecer a un CEO o CFO, las personas tienden a asumirlo como algo legítimo y cumplir con las solicitudes sin siquiera cuestionar su autenticidad.
La autoridad y la urgencia son un factor de riesgo para la seguridad de las organizaciones, donde las personas a menudo actúan rápidamente sin verificar la autenticidad de la comunicación.
Este ataque también suele ser eficaz porque incluye a un pequeño número de personas y, a diferencia del phishing habitual, puede pasar desapercibido para los filtros de spam.
Además, los ejecutivos suelen recibir menos formación que otros empleados, lo que los hace más vulnerables a este tipo de ataques.
Los ataques del whaling a menudo tienen como objetivo obtener ganancias financieras o acceder a información comercial confidencial, al dirigirse a ejecutivos con autoridad para tomar decisiones financieras, los delincuentes explotan su acceso a fondos y recursos, lo que puede resultar en pérdidas financieras sustanciales.
¿Cómo protegerse de la whaling?
Los ataques whaling ponen de manifiesto aún más la importancia que tiene la ciberseguridad en una organización y lo importante que es para todas las personas, independientemente de su posición o experiencia.
Esto se debe a que, por mucho que los empleados de alto rango tengan más experiencia, los delincuentes encuentran mecanismos para engañarlos y así ingresar a los sistemas y robar información.
Por lo tanto, la defensa contra estos ataques comienza con la conciencia de ciberseguridad para todas las personas, los empleados necesitan conocer los riesgos, para poder protegerse.
Para que las organizaciones puedan protegerse específicamente de los ataques de ballenas, es necesario que los miembros más importantes de los equipos presten atención a todos los contactos y especialmente a aquellos que no fueron solicitados.
Es necesario observar todos los mensajes, ya sean sobre asuntos cotidianos o aquellos que se refieran a información importante y transacciones financieras. Las personas deben preguntarse sobre el remitente y si estaban esperando ese archivo adjunto o enlace.
Además, las personas deben recibir formación para que sepan identificar los signos de un ataque, como direcciones de correo electrónico, nombres falsos o sitios web fraudulentos. Las simulaciones de phishing son excelentes mecanismos para ayudar con esta identificación.
Esto se debe a que ponen a las personas en escenarios reales y controlados que ayudan a enfatizar la importancia de prestar atención a todos los detalles que tiene un correo electrónico para que la información sensible no caiga en las manos equivocadas.
Otro factor muy importante para protegerse de estos ataques es que los ejecutivos deben tener cuidado a la hora de publicar y compartir información personal en las redes sociales, como por ejemplo:
· Cumpleaños;
· Pasatiempos;
· Vacaciones;
· Posiciones;
· Promociones;
· Relaciones.
Es necesario privar a esta información, ya que puede ser utilizada para crear ataques de caza de ballenas, después de todo, son datos específicos los que personalizan aún más los mensajes de los delincuentes.
Otro método que puede ayudar a identificar los correos electrónicos whaling es pedir al departamento de TI que marque automáticamente los mensajes recibidos fuera de la red, porque estos correos electrónicos fingen ser de la organización, pero son enviados por terceros.
Con esto, es más fácil saber qué correo electrónico es realmente de la organización y cuál proviene de fuera de la red, lo que ayuda a los empleados a identificar intentos de fraude.
Los mecanismos de defensa combinados con acciones de concienciación son fundamentales para proteger a las organizaciones y ayudar a las personas para que no caigan en estafas y sepan cómo protegerse de estos y otros ataques.
PhisX como protección contra los ataques de caza de ballenas
Los ataques whaling son perjudiciales para las empresas, ya que son capaces de engañar a los ejecutivos y, por lo tanto, robar una cantidad considerable de valor.
En 2018, Pathé, una compañía cinematográfica europea, perdió unos 21,5 millones de dólares en un ataque ballenero. En la estafa, los delincuentes se hicieron pasar por ejecutivos de alto nivel y enviaron un correo electrónico al CEO y al CFO, solicitando una transferencia de dinero.
Este traspaso fue solo el comienzo de la pérdida y hasta que se notó el ataque, la organización ya estaba en una gran pérdida.
Por ello, es fundamental que las organizaciones inviertan en acciones de concienciación, para que ataques como este no sucedan en sus organizaciones.
PhishX puede ayudar a su empresa a combatir los riesgos relacionados con los ciberataques. Nuestro ecosistema fortalece la ciberseguridad de las organizaciones, mitigando ataques cada vez más sofisticados como el whaling.
Con un enfoque integrado que combina tecnología y estrategias de concienciación, PhishX permite a las organizaciones proteger sus datos y operaciones confidenciales de las amenazas cibernéticas.
Para ayudar a las organizaciones, ofrecemos varias soluciones.
Simulaciones y formación de phishing
PhishX permite la creación y ejecución de campañas de simulación de phishing dirigidas, lo que ayuda a identificar qué personas pueden ser susceptibles a los ataques de whaling. Esto se combina con capacitaciones personalizadas para mejorar la conciencia y la respuesta de todos.
Análisis de datos
A través de PhishX Analytics, es posible monitorear indicadores de rendimiento relacionados con la seguridad digital, incluyendo métricas específicas para evaluar la efectividad de las campañas contra la caza de ballenas.
Gamificación
Con nuestra solución, las organizaciones pueden utilizar la gamificación y así fomentar una cultura de seguridad digital entre las personas, fomentando prácticas seguras y una sana competitividad en la identificación de posibles ataques de caza de whaling.
Asistente Digital
Con PhishX Assistant, las instituciones pueden proporcionar un entorno seguro para analizar enlaces y mensajes sospechosos, reduciendo el riesgo operativo al detectar y mitigar rápidamente las posibles amenazas de propagación.
Estas acciones fortalecen la postura de seguridad de las empresas frente a la caza de ballenas y promueven una cultura de ciberseguridad proactiva y responsable entre todas las personas de la organización.
Comments