Na área de segurança da informação, ataques cibernéticos podem possuir diversas facetas e visar diferentes objetivos e alvos. Entre as opções utilizadas pelas pessoas criminosas, está o Whaling.
Esse é um tipo de ataque Phishing que visa pessoas em posições de influência.
Esses crimes podem ocasionar uma infinidade de prejuízos, seja o vazamento de dados sigilosos ou a perda de enormes quantias de dinheiro obtidas através de chantagens.
Dessa forma, é fundamental ter conhecimento sobre como esses ataques ocorrem.
Neste artigo abordaremos mais sobre o ataque Whaling, seu funcionamento e como preveni-lo. Acompanhe abaixo os assuntos que serão tratados.
- O que é um ataque Whaling?
- O que é um ataque hacker?
- Quais as diferenças entre Phishing, Spear Phishing e Whaling?
- Quais os tipos de ataque Phishing?
- Quais os motivos de um hacker fazer um ataque Whaling?
- 10 boas práticas de segurança para se proteger de um ataque Whaling!
- Sofri um ataque Whaling, o que devo fazer? 5 dicas!
- Quais foram os maiores ataques Whaling da história?
- Conheça a profissão de hacker ético!
O que é um ataque Whaling?
Whaling é um ataque virtual direcionado a pessoas em altas posições. O intuito é obter dados sigilosos e acessos a sistemas através da falsificação de e-mails e links enganosos. A pessoa criminosa também pode se passar por alguém importante. Quanto mais alta a posição de influência utilizada, mais difícil é para a vítima negar as informações ou recursos solicitados.
O que é um ataque hacker?
Um ataque hacker é uma tentativa de violar uma rede virtual. Trata-se de um crime cibernético que envolve o vazamento de informações sigilosas, o que pode levar ao roubo de identidade e extorsões. Esse crime é cometido por pessoas com amplos conhecimentos em computação, chamadas hackers. Porém, isso não significa que toda pessoa especialista na área vai cometer esses ataques.
As motivações para o ato são diversas, assim como a escolha dos alvos e as técnicas usadas. De modo geral, qualquer computador e sistema conectado a rede está suscetível a ser hackeado. Confira a seguir algumas das técnicas utilizadas nesse crime:
- Ataque de força bruta: são ataques de tentativa e erro que visam adivinhar o nome da pessoa usuária e a senha utilizada em algum sistema.
- Falsificação de e-mails: tem por finalidade o envio de e-mails falsos que podem conter códigos e informações maliciosas.
- Negação de serviço: trata-se de tirar do ar um serviço ou sistema. Nesse caso, o objetivo não é o roubo de informações, mas o impedimento do uso da rede.
- Desfiguração de páginas: na desfiguração, páginas web são modificadas irregularmente para ganharem mais acessos e visibilidade.
- Interceptação de tráfego: nesse caso a rede é interceptada e a pessoa criminosa tem acesso aos dados que estão passando.
- Exploração de vulnerabilidades: nesse ataque, a pessoa criminosa explora falhas em programas e sistemas para acessar a rede e roubar dados.
- Varredura de redes: essa técnica consiste em varrer a rede em busca de computadores que possuam programas com vulnerabilidades.
- Uso de engenharia social: a engenharia social é uma técnica que visa convencer a vítima a conceder informações sigilosas a partir de dados apresentados, esse tipo de ataque pode ocorrer através de uma simples conversa no telefone.
Quais as diferenças entre Phishing, Spear Phishing, and Whaling?
Os ataques Phishing, Spear Phishing e Whaling se diferem principalmente quanto ao alvo do crime e a forma como o roubo de informações e recursos é realizado. Confira, a seguir, as principais características de cada um.
Phishing
O Phishing é um ataque virtual que utiliza engenharia social para obtenção de informações sigilosas. Os alvos geralmente se tratam de pessoas comuns, onde o objetivo é obter repasses financeiros e dados de contas bancárias.
Para o golpe, diversas técnicas podem ser aplicadas. A principal delas é o phishing por e-mail, em que a vítima é solicitada a clicar em um link malicioso. O Phishing também pode estar em links fraudulentos em mecanismos de pesquisa ou serem enviados através de mensagens sms ou ligações telefônicas.
Para os ataques, são usadas informações personalizadas. Quanto mais próximo o conteúdo do golpe estiver da realidade da vítima, mais difícil será notar que se trata de um golpe. Dessa forma, ataques Phishing podem vir em forma de uma atualização de cadastro de um banco ou uma promoção imperdível de um site de compras.
Spear Phishing
O Spear Phishing é um ataque Phishing direcionado. Dessa forma, seus alvos consistem em grupos ou tipos específicos de pessoas, como alguém do setor financeiro ou uma pessoa famosa, por exemplo. Assim, o conteúdo da mensagem enviada foca em trazer elementos ainda mais familiares ao cotidiano da vítima.
Para entendermos melhor, vamos a um exemplo. A vítima será uma pessoa que trabalha como influencer de produtos de beleza em uma rede social, algo muito comum hoje em dia. Como se trata de um perfil público, é possível notar diversas características de personalidade e gostos pessoais nas publicações.
Além disso, informações de contato costumam ficar disponíveis na descrição da conta. Outro ponto é que não é estranho receber mensagens diretamente pelo serviço de chat da rede. Assim, alguém poderia se passar por uma empresa de cosméticos recém chegada ao mercado, que desejando ganhar mais visibilidade gostaria de fechar uma parceria, por exemplo.
No conteúdo da mensagem enviada, podem constar informações sobre os benefícios do produto, a missão da empresa e as vantagens da parceria, como valores a serem pagos pelo serviço. Ao fim do texto, já haveria conteúdo o suficiente para que a pessoa se convença de que se trata de algo real.
Dessa forma, é dado o momento de oferecer o golpe. No fim do texto, é disponibilizado um link, seja para conhecer mais sobre a empresa, podendo conter um vírus que captura informações, ou um cadastro de informações pessoais para o suposto recebimento de uma amostra do produto.
Whaling
O Whaling leva o Spear Phishing a um nível superior. Nesse caso, o ataque é direcionado a pessoas do alto escalão de uma empresa ou instituição. Por isso, o ataque leva o nome de Whaling, de “Whale”, baleia em inglês ou “peixe grande”. Além disso, também pode ocorrer da pessoa criminosa se passar por alguém influente, para tirar vantagem de sua posição de poder.
Assim, pessoas no cargo de CEO ou alguém da área de gerência são alvos visados no Whaling. Dessa forma, elas podem receber e-mails e links falsos, supostamente de alguém do departamento de T.I ou jurídico, por exemplo.
No conteúdo do golpe, pode ser dito que a empresa está passando por algum embargo judicial ou que algum sistema foi comprometido. Dessa forma, são solicitados desde o acesso a documentos específicos, dados sigilosos, acesso a sistemas e repasses financeiros, com a promessa de resolução do problema.
Esse tipo de ataque exige mais pesquisa e planejamento, pois leva mais tempo para que a mente criminosa descubra como agir e abordar de modo convincente as vítimas. Por isso, as informações disponibilizadas publicamente, como em redes sociais, são as principais fontes de pesquisa.
O uso de características pessoais atribui ao ataque maior credibilidade, uma vez que a pessoa colaboradora dificilmente negaria uma solicitação a alguém com cargo importante dentro da empresa, ainda mais se o e-mail ou mensagem contém particularidades da pessoa real, como modo de escrever ou a menção a algum evento que ela tenha participado.
Quais os tipos de ataques Phishing?
Ataques Phishing podem utilizar diferentes meios para efetuar o crime virtual. Vamos falar agora sobre os diferentes tipos desse golpe.
Phishing de e-mail
O phishing de e-mail é o tipo de ataque mais comum. Podendo ser direcionado a qualquer pessoa, esse ataque visa o envio de um e-mail com conteúdo fraudulento. Geralmente, é dito à vítima que sua conta de e-mail ou conta bancária foi comprometida. Então, é solicitado o acesso a um link enviado na mensagem, que supostamente contém mais informações ou a resolução para o problema.
Outra alternativa de golpe é fazer uso de chantagem para a obtenção de repasses financeiros. Nesse caso, o e-mail enviado informa que a pessoa ou grupo criminoso possui acesso a conta de e-mail e ao computador da vítima.
Além disso, é dito que se a quantia solicitada não for enviada, vídeos pessoais com conteúdo comprometedor, comumente de acessos a sites adultos, serão disponibilizados a familiares e pessoas conhecidas.
Phishing em mecanismos de pesquisa
Nesse ataque, um link para um site falso é disponibilizado nos mecanismos de pesquisa. O site geralmente é elaborado para se parecer com o original, que pode ser de uma instituição bancária, site de compras, rede social, entre outros.
Assim, a vítima, ao clicar nesses links, navegará por um site malicioso acreditando se tratar do verdadeiro. Desse modo, ao inserir suas informações pessoais, seus dados serão roubados.
Vishing
O Vishing é o Phishing por ligação telefônica, seu nome vem de “voicing” (voz, em inglês). Nesse caso, a pessoa criminosa usa telefonemas para se passar por alguém de uma empresa na qual a vítima é cliente, por exemplo.
Na ligação, pode ser dito que um software que a pessoa usa precisa de uma atualização. Então, será necessário fornecer dados de cartão de crédito para a cobrança de custos extras da nova versão. Ainda pode ser solicitado o acesso a links fraudulentos, contendo vírus. Assim, a mente criminosa além de obter dados bancários, também consegue disseminar malwares, que são programas maliciosos.
Smishing
O Smishing é um Phishing por aplicativos de mensagem ou SMS. O conteúdo costuma dizer que sua conta bancária possui problemas ou precisa da atualização de algum dado. Assim, a pessoa criminosa consegue obter dados pessoais da vítima caso ela caia na fraude.
Spear Phishing
O Spear Phishing, como já mencionado anteriormente, é um Phishing direcionado. Seu alvo se trata de um grupo ou tipo de pessoa específica. Para o ataque, podem ser enviados e-mails e mensagens com conteúdo personalizado e fraudulento.
Whaling
Também já tratado anteriormente, o Whaling se trata de um ataque Phishing extremamente direcionado. A pessoa criminosa ataca alguém do alto escalão de uma empresa para obter recursos e acessos privilegiados.
Quais os motivos de um hacker fazer um ataque Whaling?
O principal motivo do ataque Whaling é obter dados sigilosos, recursos e acessos a sistemas de empresas. Posteriormente, as informações adquiridas podem ser utilizadas como chantagem, a fim de que a pessoa responsável pelo ataque possa lucrar com o feito.
Além disso, os dados também podem ser vendidos para uma organização concorrente ou para expor publicamente algo que poderá prejudicar a corporação ou alguma pessoa colaboradora. A motivação também pode ser pessoal, como uma vingança ou a obtenção de vantagens.
10 boas práticas de segurança para se proteger de um ataque Whaling!
Agora que você já sabe mais sobre o funcionamento de ataques virtuais, vejamos como nos proteger deles, seja você uma pessoa comum ou em empresas.
Usuários domésticos
Pessoas comuns dificilmente serão alvo de ataques Whaling, a menos que estejam em posições de grande importância dentro de organizações e instituições, que são o foco do ataque. Entretanto, todos estamos sujeitos às demais formas de Phishing. Por isso, saiba como se prevenir desse crime com as dicas a seguir.
1. Preste atenção aos detalhes
E-mails são formas comuns que pessoas criminosas utilizam para realizar golpes. Por isso, preste atenção no endereço de e-mail, veja se ele parece válido em relação à instituição ao qual o conteúdo da mensagem se refere.
Preste atenção também em erros de ortografia, é comum que fraudes possuam vários. Se estiver difícil atestar a veracidade ou não do conteúdo e ele solicitar pedidos estranhos, desconfie, ignore ou entre em contato com o remetente através de vias oficiais de contato.
2. Use autenticação de dois fatores
A autenticação de dois fatores é uma camada extra de segurança. Ela pode ser aplicada em vários aplicativos, principalmente contas de e-mail, aplicativos bancários e redes sociais. Utilizá-la trará mais segurança aos seus dados e impedirá acessos indevidos em caso de roubo de dados.
3. Cuidado com mensagens via SMS
Ataques virtuais também podem ser aplicados através de mensagens SMS e ligações telefônicas. Desconfie se seu banco ou outro serviço utilizado enviar alguma mensagem ou realizar uma ligação solicitando dados de cartão de crédito ou atualização de informações pessoais.
4. Atente-se aos sites que você acessa
Os crimes virtuais têm investido tempo e recursos para criar páginas na internet que copiam detalhadamente outros sites. Assim, verifique a URL dos sites que você acessa e desconfie se não houver o uso de SSL e o endereço não ser compatível com o conteúdo da página. Se possível utilize programas de autenticação de sites.
5. Tenha um bom antivírus
Os links disponibilizados por pessoas criminosas podem conter diversos vírus, como softwares espiões que captam seus dados ou bloqueiam o acesso ao seu computador. Assim, o uso de antivírus poderá identificar quando ameaças estiverem presentes. Mas lembre-se, nem sempre isso é suficiente, tenha cautela ao acessar sites estranhos.
Empresas
Empresas são os grandes alvos dos ataques Whaling, por isso é importante manter toda a equipe e pessoas do alto escalão da organização cientes desse crime. Veja dicas sobre o assunto logo abaixo.
6. Orientações
Parece óbvio, mas é importante que toda a equipe seja alertada sobre a possibilidade de serem alvos. Dessa forma, é fundamental que as pessoas colaboradoras sempre desconfiem das solicitações recebidas, ainda mais quando o pedido é sobre dados sigilosos ou quantias em dinheiro.
7. Verificar o endereço de e-mail
Verificar o endereço do e-mail recebido é um ato simples e rápido no combate a esses ataques. Assim, é importante notar se o e-mail é compatível com o formato usado pela empresa e se o nome do remetente faz sentido.
8. Uso de tecnologias
A tecnologia pode ser uma aliada. Nesse caso, pode ser solicitado ao departamento de informática que adicione um identificador de e-mails externos à rede da empresa. Softwares anti-phishing também podem ser instalados para verificar a autenticidade dos links recebidos.
9. Confirmação da solicitação recebida
Sempre que possível, verifique com o departamento ou pessoa que realizou o pedido se ele realmente procede. Outro mecanismo interessante é a adição de níveis de autorização. Assim, para o compartilhamento de informações ou liberação de recursos, será necessário que mais de uma pessoa aprove a requisição.
10. Cuidados ao compartilhar informações publicamente
É comum hoje em dia, principalmente para pessoas em posições importantes, o compartilhamento de informações em redes sociais. Pode ser uma conquista pessoal, um hobby, um novo projeto da empresa ou até fotos das férias. Isso é um prato cheio para as pessoas criminosas.
Por isso, é fundamental evitar publicações excessivas ou que possam ter dados comprometedores. Além disso, para o caso de compartilhamento de informações específicas da empresa, é preferível utilizar reuniões do que mensagens, e-mails ou documentos.
Sofri um ataque Whaling, o que devo fazer? 5 dicas!
Ataques Whaling visam pessoas em posições importantes. Dessa forma, caso um crime desses aconteça, o prejuízo poderá ser grande e sempre surgem dúvidas sobre o que fazer nesses casos. Por isso, leia cinco dicas sobre como proceder nessas situações.
1. Tenha calma
O primeiro passo é manter a calma. Sabemos que ser alvo de um ataque Whaling e acabar disponibilizando dados confidenciais ou repassando recursos a pessoas criminosas é uma situação desesperadora. Entretanto, deixar o estresse da situação tomar conta pode piorar ainda mais a situação, como ser vítima de alguma chantagem.
2. Chame as autoridades competentes
O ataque Whaling é um crime cibernético e por isso deve ser comunicado à polícia. Assim, identifique todos os detalhes sobre o golpe e repasse para as autoridades para que eles possam iniciar uma investigação sobre o ocorrido.
3. Não pague resgates ou negocie
Uma tática comum das pessoas criminosas é solicitar uma quantia em dinheiro em troca da devolução dos dados. Não pague por isso ou negocie com hackers, pois não há garantia nenhuma de que a palavra será cumprida ou que cópias das informações não tenham sido feitas. Dessa forma, um prejuízo ainda maior será evitado.
4. Identifique as causas e as consequências
Após o ataque, é importante verificar o que o causou e quais serão os seus impactos. Ter noção sobre quais informações foram roubadas e qual falha ocasionou a invasão são fundamentais para melhorar as medidas de segurança e minimizar os danos causados às pessoas prejudicadas.
Dessa forma, veja se os sistemas não estão desatualizados e vulneráveis e se malwares não foram instalados. Verifique também qual foi o meio utilizado pela pessoa criminosa, como e-mails, telefonemas ou links.
5. Aumente a segurança
Com o ataque, dados sensíveis foram comprometidos. Por isso, altere as senhas dos acessos vazados para impedir logins indevidos. Notifique também as instituições financeiras, para que tenham noção sobre movimentações indevidas. Notifique clientes e demais partes envolvidas, para que tenham conhecimento sobre o ocorrido e desconfiem de contatos estranhos.
Quais foram os maiores ataques Whaling da história?
Para que você tenha uma ideia melhor sobre como ocorrem os ataques Whaling, conheça a seguir três casos reais desse crime, cometidos contra grandes companhias, inclusive da área de tecnologia.
Ataque ao Snapchat em 2016
Qual o alvo e objetivo?
O Snapchat foi alvo de um ataque Whaling em 2016. Na época, a pessoa criminosa se passou pelo mais novo CEO da companhia para obter dados sobre a folha de pagamento de todas as pessoas colaboradoras da empresa. Por se tratar de um e-mail vindo aparentemente do alto escalão da companhia, a vítima não percebeu que se tratava de uma fraude.
Quais os prejuízos causados?
O maior prejuízo enfrentado pelo Snapchat foi em relação a sua imagem. Por ser tratar uma rede social com milhares de usuários, um ataque do tipo afeta consideravelmente a confiança das pessoas usuárias na empresa.
Qual a punição para os responsáveis?
A empresa entregou o caso ao FBI, a polícia federal americana. Além disso, garantiu às pessoas colaboradoras afetadas dois anos de seguro contra roubo de identidade.
Ataque ao Google e Facebook
Qual o alvo e objetivo?
Entre 2013 e 2015, um criminoso chamado Evaldas Rimasauskas se passou por um executivo da empresa Quantas Computer Inc. – uma empresa real, com sede em Taiwan e que atua com fornecimento de servidores e hardwares. O golpista enviava e-mails e contratos de prestação de serviços falsos para o Google e Facebook, que depositavam dinheiro em contas bancárias forjadas.
Quais os prejuízos causados?
Durante os anos de atuação, o golpista conseguiu desviar cerca de US $100 milhões das duas companhias. Para despistar suspeitas, Evaldas dividia o dinheiro em diversas contas espalhadas por países diferentes.
Qual a punição para os responsáveis?
Apesar do disfarce, Evaldas foi preso e condenado pela promotoria da cidade de Nova York pelos crimes de lavagem de dinheiro, roubo de identidade e fraude, que resultaram em 20 anos de prisão.
Ataque a Scoular Co.
Qual o alvo e objetivo?
A Scoular Co. é uma grande empresa de commodities. Em 2015, um e-mail e uma ligação do suposto CEO da organização fez com que uma pessoa colaboradora do setor financeiro transferisse uma grande quantia para um banco na China. Como a empresa de fato estava expandindo seus negócios para o país, a vítima não desconfiou de nada.
Quais os prejuízos causados?
Segundo a empresa, foram realizadas três transferências que totalizaram cerca de US $17,2 milhões. Segundo o CEO real da empresa na época, dificilmente o valor perdido seria recuperado.
Qual a punição para os responsáveis?
O FBI passou a investigar o caso e chegou até uma empresa chinesa que seria a responsável pelo crime. Quanto à Scoular Co., novas medidas de segurança foram adotadas.
Conheça a profissão de hacker ético!
O que faz um hacker ético?
Hacker são pessoas com amplas habilidades na área da computação. Apesar do nome possuir fundo pejorativo, existem hackers éticos, que utilizam seus conhecimentos para prevenir que pessoas e empresas sejam vítimas de crimes cibernéticos. Desse modo, uma pessoa que atua com hacking ético vai na contramão de uma pessoa hacker comum, buscando vulnerabilidades para extingui-las e não para tirar vantagens.
Como ser um hacker ético?
Os hackers éticos podem atuar em diferentes áreas da tecnologia da computação, seja reforçando a segurança de sistemas operacionais, redes, aplicações em geral, servidores e outros. Por isso, os passos para entrar na área dependerão da linha de atuação escolhida. Confira então algumas das habilidades técnicas (hard skills) e pessoais (soft skills) mais requisitas, de modo geral, pelo mercado:
Hard skills e soft skills necessárias!
Sistemas operacionais
Windows e Linux são os dois sistemas operacionais que mais sofrem com ataques virtuais. Então, tire um bom tempo de estudo para entender a estrutura de funcionamento de cada um deles. Dê uma olhada também nas principais distribuições do sistema Linux.
Redes de computadores
Redes com e sem fio, sistemas de firewall e compartilhamento de informações são itens que não podem ser deixados de lado. Isso se deve ao fato de serem a principal passagem dos ataques virtuais, principalmente quanto a interceptação de tráfego da rede e violação de barreiras de segurança.
Servidores
Servidores, sejam eles físicos ou na nuvem, são grandes fontes de informações desejadas pelas pessoas criminosas. Assim, conhecer as particularidades de configuração e possíveis falhas de cada um disponível no mercado é de extrema importância.
Ciência da computação
Ter conhecimento sobre o funcionamento de bancos de dados, arquiteturas de sistemas e linguagens de programação será um grande diferencial para o mercado. Isso lhe permitirá um entendimento mais profundo sobre o funcionamento de diversos sistemas e aplicações.
Criatividade
Criatividade é essencial para imaginar diversos jeitos diferentes e possíveis de se acessar dados e informações sigilosas. Nem sempre uma vulnerabilidade será óbvia o suficiente para ser identificada à primeira vista.
Pensamento lógico
Pensamento lógico é indispensável. Uma pessoa da área de hacker ético deverá imaginar o possível passo a passo que uma pessoa criminosa toma para se beneficiar das vulnerabilidades de um sistema ou rede. Dessa forma, invista em desafios de lógica.
Como está o mercado de trabalho nessa área?
A profissão de hacker ético é extremamente valorizada pelo mercado, pois se trata de uma pessoa que dedica tempo a evitar grandes prejuízos, seja a empresas ou pessoas comuns. Dessa forma, uma pessoa profissional na área pode facilmente ganhar de 7 a 15 mil reais. Para pessoas profissionais mais experientes, os salários podem chegar a 50 mil reais.
Caso a pessoa interessada deseje se aperfeiçoar e atribuir ainda mais um ar de profissionalismo ao currículo, ela poderá obter certificações. Hoje em dia, existem diversas opções, como o CEH (Certified Ethical Hacking), um dos primeiros a surgir. Além disso, a pessoa que trabalha com Hacker ético também poderá prestar serviços de consultoria de modo freelancer.
Agora você já conhece mais sobre os ataques do tipo Whaling, que visam vitimar pessoas em posições de poder ou se passar por elas para obtenção de vantagens. Você também viu um pouco sobre outros tipos de crimes virtuais, como Phishing, que visa indivíduos mais comuns e o Spear Phishing, que tem como alvo grupos e tipos de pessoas específicas.Tendo isso em vista, sempre desconfie de e-mails e mensagens com solicitações incomuns e tenha cautela ao acessar links suspeitos.
Caso tenha se interessado pelo assunto e deseje saber mais sobre a profissão de hacker ético, leia este artigo da Trybe!