Come prevenire gli attacchi di caccia alle balene: Una guida completa
I tuoi dipendenti di alto rango sono guardiani di un tesoro di informazioni sensibili sulla tua azienda. Nascosto nel profondo del tuo castello di dati figurativi sono cose come numeri di previdenza sociale dei dipendenti, informazioni sul conto bancario aziendale e numeri di carta di credito dei clienti. Cose che, nelle mani sbagliate, potrebbero compromettere l’integrità del tuo marchio e/o costare alla tua azienda milioni di dollari. E tutto quello che serve è per una persona di farsi prendere napping.
Come gli esperti in qualsiasi altro settore, i criminali informatici sono costantemente imparando ed evolvendo. Uno dei loro schemi più intricati fino ad oggi è l’attacco alla caccia alle balene, in cui tentano di impersonare te o uno dei tuoi funzionari esecutivi e truffare i tuoi dipendenti.
Anche leggendo questo, un aspirante Capitano Achab sta tramando il suo prossimo attacco baleniero ultra-sofisticato-e tu sei un buon bersaglio come un altro. Ecco una guida in stile FAQ, con tutto il necessario per aiutarti a individuare quell’attacco in anticipo e fermare l’arpione morto sulle sue tracce.
Che cos’è un attacco alla caccia alle balene?
Un attacco di caccia alle balene, (noto anche come whaling phishing) è una truffa di phishing accuratamente artigianale in cui un impostore si maschera come un dirigente di alto rango all’interno della vostra azienda, con l’intento di ingannare i dipendenti in cablaggio loro grandi somme di denaro o rivelare informazioni riservate.
In che modo un attacco di caccia alle balene è diverso da un attacco di phishing?
Tutti gli attacchi di caccia alle balene sono attacchi di phishing, ma non tutti gli attacchi di phishing sono attacchi di caccia alle balene.
Gli attacchi di phishing sono in circolazione da un quarto di secolo. A metà degli anni Novanta, il termine è stato utilizzato esclusivamente per descrivere gli hacker che hanno inviato esplosioni di posta elettronica come” esche “al fine di” phish ” per le password e numeri di carta di credito da parte degli utenti di AOL.
Al giorno d’oggi, è più ampiamente definito come qualsiasi truffa internet in cui qualcuno cerca di annaspare informazioni sensibili attraverso mezzi ingannevoli. Prendere nota: se si può cadere per scherzo di tuo zio, si può cadere per una truffa di phishing.
Mentre queste truffe in genere gettano una vasta rete (e hanno tassi di successo relativamente bassi), una variante nota come attacchi di spear phishing comportano un approccio personalizzato per indirizzare un singolo utente. La maggior parte di loro usa l’ingegneria sociale per alimentare emotivamente la vittima.
Gli attacchi balenieri rientrano in questa categoria, ma in questi casi la “lancia” è pensata con l’idea di trasportare un premio molto più grande.
Come funzionano gli attacchi di caccia alle balene?
Caccia alle balene ingegneria sociale è incredibilmente intricato; il criminale in genere farà di tutto per rendere la loro rappresentazione di un dirigente di C-suite iper-realistica.
Più comunemente, faranno ricerche approfondite su a) il loro obiettivo all’interno della tua organizzazione e b) il superiore che impersoneranno.
Quest’ultimo è complicato, ma utilizzando un dominio e-mail simile e incorporando loghi aziendali e firme e-mail, possono creare un travestimento digitale degno di Halloween. Altre volte, potrebbero utilizzare un normale indirizzo Gmail e pretendere di inviare il messaggio dal loro “account personale”.
Per quanto riguarda l’obiettivo, di solito non è difficile guardare attraverso il Facebook di un dipendente, trovare una foto da un happy hour post-lavoro e incorporare dettagli che “solo quel dirigente poteva sapere”.
Anche se alcune bandiere rosse fanno alzare la guardia al tuo dipendente, il truffatore può spesso compensarlo predando cose come la fiducia, l’urgenza o la paura di perdere il lavoro se non rispettano.
Qual è il peggio che potrebbe accadere?
Chiedi Snapchat, che è caduto vittima di un attacco di caccia alle balene nel 2016. Un rappresentante delle risorse umane nell’organizzazione del gigante dei social media ha biforcato i dati sui salari che hanno rivelato le informazioni personali di diversi dipendenti, inclusi i dati sulle stock option e tutto ciò che è elencato sui loro W-2.
Appena un mese dopo, un dirigente finanziario di Mattel ha trasferito $3 milioni a una banca cinese dopo aver ricevuto
Quelle truffe potrebbero anche essere considerate piccole patate rispetto ad alcuni attacchi su larga scala che sono costati alle aziende decine di milioni di dollari. Ancora peggio, hanno perso un sacco di fiducia dei consumatori a causa di essere così facilmente compromessa.
Va bene, quindi come posso evitare che ciò accada?
Come un bambino che va a giocare nella neve di metà gennaio, avrai bisogno di diversi strati di protezione. Segui questi suggerimenti e ti renderai meno vulnerabile alla raffica di attacchi di caccia alle balene che si verificano ogni giorno.
Istruisci i tuoi dirigenti e dipendenti
La maggior parte delle persone pensa alle truffe di phishing come altamente imperfette e facili da individuare, quindi potrebbero essere del tutto ignari della meticolosa ingegneria sociale della caccia alle balene. Inizia facendo sapere al tuo team che esistono queste truffe!
Quindi, addestrali
Aiutare la tua squadra a imparare a individuare i segni premonitori di un attacco di caccia alle balene può finire per salvarti milioni. Le aziende IT-savvy come Marco possono persino simulare un attacco a sorpresa per aiutarti a determinare quanto sono sensibili i tuoi dipendenti.
Segnala le email al di fuori della tua rete
Questo è un modo incredibilmente semplice ed efficace per esporre gli indirizzi email contraffatti. La differenza tra “@smithlenses.com ” e ” @ smith1enses.com ” potrebbe essere difficile da individuare in un determinato tipo di carattere, ma mostrando che l’e-mail è out-of-network genererà un allarme.
Impostare protocolli di prevenzione della caccia alle balene
Alcuni grandi esempi di questo includono la verifica delle richieste di informazioni sensibili attraverso altri canali, come una telefonata. Costringere un’altra persona a firmare queste richieste è anche una grande idea: è più difficile truffare due persone rispetto a una.
Investire in software DLP
Il software DLP (Data Loss Prevention) può bloccare le violazioni dei protocolli che hai messo in atto. Può anche contrassegnare le e-mail in base al nome e all’età del dominio (i nuovi domini sono più sospetti), alla somiglianza del nome visualizzato con i contatti noti e a parole chiave sospette come “bonifico bancario”.
I dipendenti rendono privati i profili dei social media
L’impostazione dei profili LinkedIn e Facebook dei dipendenti per essere visibili solo agli amici renderà più difficile per i truffatori casuali accedere alle loro informazioni personali e utilizzarle come parte di un attacco alla caccia alle balene.
Alza la guardia
L’unico modo per prevenire gli attacchi alla caccia alle balene è prepararsi il più diligentemente possibile. Ottenere un piccolo aiuto da una società come Marco in questo momento potrebbe risparmiare milioni di dollari e un mal di testa di balena su tutta la linea.
