Ataki phishingowe nie są niczym nowym. Jednak w ciągu ostatnich kilku lat nastąpił gwałtowny wzrost w przypadku jednego konkretnego typu: phishing wielorybniczy. Podczas gdy phishing tradycyjnie zarzuca szeroką sieć, atakując każdą niczego niepodejrzewającą osobę, wielorybnictwo atakuje grubą rybę: kadrę kierowniczą wyższego szczebla i liderów wyższego szczebla w organizacji. Ataki te wymagają od atakujących więcej czasu, wysiłku i wiedzy technicznej, ale korzyści są znacznie większe.
Ataki wielorybnicze są zazwyczaj bardziej wyrafinowane i wykorzystują takie metody, jak podszywanie się pod dyrektora generalnego, technologię deepfake i inne ukierunkowany spear-phishing. Najnowsze dane na to wskazują 89% e-maili phishingowych obecnie polegają na podszywaniu się pod osobę znaną odbiorcy. Około 16% tych e-maili przedstawia osobę atakującą udającą współpracownika. W przypadku wielorybnictwa oznacza to obranie za cel dyrektora lub osoby mającej dostęp do kluczowych zasobów, takich jak konta bankowe.
Koszt bycia ofiarą ataku phishingowego może być znaczny. Poinformowało FBI Straty rzędu 52 milionów dolarów z oszustw typu phishing tylko w 2022 r. Koszty te ponoszą nie tylko przedsiębiorstwa, ale także ich klienci, nie mówiąc już o środkach, które należy przeznaczyć na profilaktykę.
Tego typu ataki trudno zignorować, biorąc pod uwagę potencjalną skalę związanych z nimi zagrożeń finansowych i reputacyjnych. Jednak dla przedsiębiorstw oferują one możliwość ponownego skupienia wysiłków na ochronie najcenniejszych celów w ich organizacjach. W tym artykule przyjrzymy się temu rosnącemu trendowi i zaoferujemy praktyczne porady dotyczące tego, w jaki sposób organizacje mogą wzmocnić swoje zabezpieczenia.
Dlaczego wielorybnictwo jest modne?
Phishing zazwyczaj zarzuca szeroką sieć, a napastnicy polegają na samym rozmiarze swojej listy mailingowej, aby niczego niepodejrzewająca ofiara kliknęła łącze. Natomiast phishing wielorybniczy jest wysoce ukierunkowany i dostosowany. Napastnicy poświęcają czas na zbadanie swoich ofiar.
Obejmuje to gromadzenie danych osobowych, zrozumienie obowiązków biznesowych, analizowanie nawyków związanych z pocztą e-mail i tworzenie wysoce spersonalizowanych treści w celu oszukania odbiorców. Ten poziom wysiłku może wydawać się pracochłonny, ale gdy się powiedzie, znacznie się opłaci.
W końcu celem wielorybnictwa są osoby posiadające uprawnienia do zatwierdzania transferów finansowych lub dostępu do wrażliwych danych korporacyjnych, co czyni je głównymi kandydatami na złośliwych aktorów szukających dużych korzyści. Podobnie w przypadku kadry kierowniczej potencjalnie rzadziej przechodzą dokładne szkolenia w zakresie wykrywania zagrożeń, a ponieważ są bardzo zajęci, częściej przeoczają charakterystyczne oznaki oszustwa.
Jeden przypadek, który podkreśla coraz większe wyrafinowanie ataków wielorybniczych, miał miejsce w 2023 r., kiedy międzynarodowa firma z Hongkongu oszukany na 25 milionów dolarów poprzez fałszywe rozmowy wideo podszywające się pod dyrektora finansowego i innych kluczowych członków kadry kierowniczej firmy. Menedżer finansowy mający dostęp do funduszy został wprowadzony w błąd i przekazał tak dużą kwotę, pozornie na polecenie szefów.
Takie ataki często opierają się na manipulacji emocjonalnej, stwarzaniu pilności lub wykorzystywaniu relacji biznesowych w celu nakłonienia ofiar do podjęcia impulsywnych decyzji, takich jak autoryzacja przelewów bankowych lub podanie poufnych danych logowania. W środowisku korporacyjnymgdzie nie każdy lider biznesowy zna każdego dyrektora, zagrożenia są tym większe.
Dla atakujących atrakcyjność tych ważnych celów jest oczywista. Im więcej wysiłku włożono w personalizację ataku, tym większy potencjalny zwrot finansowy. W wielu przypadkach sama skala szkód, zarówno finansowych, jak i reputacyjnych, może mieć długoterminowe konsekwencje dla firmy będącej ofiarą.
Rozwijający się podręcznik
W ostatnich latach taktyki phishingu stały się znacznie bardziej wyrafinowane. Jest to spowodowane coraz większym wykorzystaniem sztucznej inteligencji (AI) i technologii uczenia maszynowego. Godną uwagi ewolucją jest wykorzystanie deepfakes, podczas których napastnicy wykorzystują filtry oparte na sztucznej inteligencji, aby podszywać się pod kierownictwo lub inne zaufane osoby podczas rozmów wideo.
The technologia na żywo głębokie podróbki dzwoni są obecnie powszechnie dostępne i często są tak przekonujące, że ofiara często nie znajduje powodu, aby kwestionować ich autentyczność, zwłaszcza gdy prośba wydaje się uzasadniona. Technika ta odegrała kluczową rolę w sprawie z Hongkongu w 2023 r., kiedy to napastnicy udawali dyrektora finansowego podczas fałszywej rozmowy wideo w celu autoryzacji przelewu.
Deepfakes to jednak tylko jedna część równania. Osoby atakujące wieloryby wykorzystują również fałszywe adresy e-mail, profile w mediach społecznościowych, a nawet numery telefonów, aby jeszcze bardziej zamaskować swoją tożsamość. Celem jest uczynienie ataku tak przekonującym, jak to tylko możliwe, w oparciu o zaufanie ofiary do jej komunikacji w celu ominięcia protokołów bezpieczeństwa.
Atakujący są także coraz lepsi w wywoływaniu poczucia pilności. Tworząc komunikaty, które wydają się pochodzić bezpośrednio od dyrektora generalnego lub innego członka kadry kierowniczej wyższego szczebla, zachęcają innych menedżerów do szybkiego działania, bez zastanawiania się nad ich działaniami. Technika ta jest często nazywana „oszustwem dyrektora generalnego” i pozostaje jedną z najpowszechniejszych strategii stosowanych w atakach wielorybniczych.
Oszustwo to wykorzystuje hierarchiczną strukturę przedsiębiorstw, w ramach której ludzie chętniej spełnią pilną prośbę przełożonego.
Ochrona Twojej organizacji
Wraz ze wzrostem poziomu zaawansowania phishingu wysokiego poziomu rosną również wymagania zabezpieczeń zaprojektowanych w celu ochrony przed nim. Liderzy biznesowi i specjaliści ds. bezpieczeństwa powinni wdrożyć wielowarstwowe podejście, aby chronić wrażliwe dane i zapobiegać oszustwom ukierunkowanym na kadrę kierowniczą. Oto kilka kluczowych kroków.
Szkolenie i świadomość pracowników. Jednym z najskuteczniejszych sposobów obrony przed atakami wielorybniczymi jest edukacja pracowników, zwłaszcza tych na stanowiskach finansowych i kierowniczych, w zakresie wykrywania podejrzanych działań. Szkolenie powinno obejmować identyfikację sygnałów ostrzegawczych, takich jak nieznane adresy nadawcy, nieoczekiwane prośby lub taktyki wywierania dużej presji. Regularne ćwiczenia symulacyjne w zakresie phishingu mogą pomóc utrwalić tę wiedzę i utrzymać wysoką świadomość.
Uwierzytelnianie wieloskładnikowe. Uwierzytelnianie wieloskładnikowe (MFA) to jedno z najprostszych, a zarazem najskuteczniejszych narzędzi pozwalających udaremnić ataki atakujących, szczególnie jeśli chodzi o ochronę kont o dużej wartości. Wymaganie wielu form weryfikacji (np. hasła i uwierzytelniania biometrycznego lub tokena) zapewnia dodatkową warstwę ochrony, która może utrudnić obejście atakującym.
Oprogramowanie do filtrowania poczty e-mail i ochrony przed phishingiem. Wdrożenie zaawansowanych systemów filtrowania poczty e-mail może pomóc w wykrywaniu podejrzanych wiadomości, zanim dotrą one do skrzynki odbiorczej pracownika. Oprogramowanie antyphishingowe może oznaczać adresy e-mail niezgodne z domeną firmy, ostrzegając pracowników o potencjalnych próbach podszywania się pod inne osoby. Systemy te należy dostosować tak, aby wykrywały subtelne oznaki phishingu, takie jak nazwy domen z niewielkimi błędami w pisowni lub nietypowe załączniki.
Protokoły reagowania na incydenty i raportowania. Posiadanie jasnego protokołu zgłaszania podejrzanych komunikatów i reagowania na potencjalne naruszenia bezpieczeństwa ma kluczowe znaczenie. Obejmuje to utworzenie łańcucha dowodzenia umożliwiającego weryfikację nieoczekiwanych żądań i zapewnienie, że wszyscy pracownicy wiedzą, jakie kroki należy podjąć w przypadku otrzymania podejrzanego e-maila, SMS-a lub połączenia telefonicznego.
Zarządzanie ryzykiem stron trzecich. Atakujący atakują nie tylko konkretną organizację, ale mogą także wziąć na cel dostawców zewnętrznych, którzy mają dostęp do sieci firmowych, dlatego niezwykle istotne jest ostrożne zarządzanie tymi relacjami. Regularne audyty bezpieczeństwa, mocne zobowiązania umowne i jasne zasady udostępniania danych mogą pomóc w ograniczeniu ryzyka stwarzanego przez strony zewnętrzne.
Wyprzedzić konkurencję
Ponieważ liczba ataków typu phishing na wieloryby stale rośnie, organizacje muszą aktywnie wzmacniać swoje zabezpieczenia. Ewoluujące taktyki stosowane przez cyberprzestępców wymagają wielowarstwowego, kompleksowego podejścia, które wykracza poza tradycyjne środki bezpieczeństwa. Ochrona kadry kierowniczej wyższego szczebla i innych celów o dużej wartości nie jest już opcjonalna, ale raczej kluczową częścią ochrony stabilności finansowej, danych i reputacji organizacji.
Koncentrując się na ciągłych szkoleniach, wdrażaniu zaawansowanych rozwiązań technologicznych i opracowywaniu solidnych planów reagowania na incydenty, firmy mogą zminimalizować ryzyko stania się ofiarą tych wysoce wyrafinowanych ataków. Przygotowanie jest kluczowe, a wyprzedzenie pojawiających się trendów da Twojej organizacji szansę na walkę.
Autor wyróżnionego obrazu: Kasia Derenda/Unsplash
