Whaling oraz BEC – na czym polegają te ataki? | Biznes Netia
Menu główne

Whaling oraz Business Email Compromise – na czym polegają te ataki?

12 lipca 2023, Autor: Tomasz Łużak, Product Manager, Cybersecurity - Netia S.A.
Whaling oraz Business Email Compromise to dwa rodzaje cyberataków polegające na wysyłaniu fałszywych spersonalizowanych wiadomości do osób decyzyjnych w organizacji. Celem udanego ataku może być pozyskanie konkretnych korzyści: informacji, danych logowania do systemów lub nawet przelewu środków finansowych.
 
 
 
   

Whaling – co to za rodzaj phishingu?

 

Whaling to wyspecjalizowana socjotechniczna metoda cyberoszustów realizowana w celu kradzieży informacji, danych lub pieniędzy firmy. Jej ofiarami są przeważnie osoby decyzyjne w organizacjach. Celem whalingu może być przykładowo skłonienie ofiary do wykonania płatności na konto oszusta (np. przekazując fałszywe wezwanie do zapłaty za usługi z adresu e-mail przypominającego adres usługodawcy), zainstalowanie złośliwego oprogramowania po wysłaniu fałszywego odnośnika (np. naśladującego zaproszenie do spotkania online), czy pozyskanie wrażliwych informacji.

 

Ataki tego typu nie są rozsyłane masowo do setek osób, za to adresowane do bardzo wąskiego grona menedżerów wysokiego szczebla (często wyłącznie do pojedynczych osób). Oszuści specjalizujący się w whalingu wykonują pracę wywiadowczą, dowiadując się, które osoby w przedsiębiorstwie mogą stać się ich ofiarą i „pomóc” im w osiągnięciu celu. Nierzadko zaglądają również do mediów społecznościowych w celu pozyskania informacji o prywatnym życiu przyszłych ofiar. Śledzą ich aktywność poza pracą, weryfikują stan cywilny, status społeczny, hobby i dodatkowe zajęcia, co może zwiększać wiarygodność i zaważyć na skuteczności ataku. Najczęściej legalnymi metodami oszustom udaje się także ustalić dane kontaktowe obranego celu – numer telefonu czy prywatny adres e-mail. Na podstawie uzyskanych danych tworzą spersonalizowane wiadomości dotyczące konkretnej osoby lub firmy.

 

Whaling może dziś przybierać różne formy, a metody wykorzystywane przez oszustów stają się coraz skuteczniejsze. Już kilka lat temu NCSC (brytyjskie Narodowe Centrum Bezpieczeństwa) potwierdzało wystąpienie incydentów, w których po początkowej sfabrykowanej wiadomości phishingowej e-mail następowało także połączenie telefoniczne nawiązujące do treści wiadomości i niejako „potwierdzające” jej autentyczność. Dziś tego rodzaju zagrożenia mogą być jeszcze poważniejsze. Dynamiczny rozwój technologii AI sprawia, że dostęp do botów naśladujących cudzy głos, a nawet mimikę twarzy mają nie tylko wyspecjalizowani oszuści, ale również osoby nietechniczne.

 

Phishing telefoniczny, zwany także vishingiem, to oddzielna metoda oszustwa, którą opisaliśmy w dedykowanym artykule.

 

Whaling a Business Email Compromise i inne ataki – czym się różnią?

 

Whaling to jeden z ataków hakerskich zaliczanych do szerszej grupy ataków phishingowych, a mówiąc dokładniej – spear-phishingowych. Tradycyjny phishing polega na wysyłaniu spreparowanych wiadomości do dużego grona osób (często przypadkowych) w celu wyłudzenia danych logowania, instalacji złośliwego oprogramowania (np. zaszytego pod wiarygodnie wyglądającym odnośnikiem) lub osiągnięcia innych korzyści. Oszuści wykorzystują do tego adresy e-mail i wizytówki pozorujące zaufanego nadawcę – na przykład biuro obsługi dostawcy energii lub bank. Spear phishing to z kolei atak ukierunkowany na konkretny cel – osobę lub organizację. Jest przeważnie poprzedzony zdobywaniem informacji o ofierze z ogólnodostępnych źródeł, dla podniesienia wiarygodności. Informacji takich mogą dostarczać na przykład portale społecznościowe. Whaling zawęża grupę potencjalnych ofiar tego ataku do osób zajmujących wyższe kierownicze stanowiska w danej firmie.

 

Ataki typu Business Email Compromise (BEC), zamiast obierać dyrektorów i kierowników jako swoje ofiary, podszywają się pod nich w celu osiągnięcia podobnych korzyści: pozyskania środków, informacji lub nakłonienia do zainstalowania złośliwego oprogramowania.

 

Tego rodzaju ataki, w których oszust podszywa się pod konkretną osobę, to tzw. impersonation attacks. Do tej grupy zaliczamy także:

 
  • oszustwa typu C-level fraud (oszust podszywa się pod prezesa lub wysokiego rangą dyrektora i zwraca się zazwyczaj do jednego z pracowników firmy w celu wyprowadzenia środków finansowych lub przekazania ważnych informacji),

  • oszustwa typu supply chain compromise (wysyłanie poleceń zapłaty za zamawiane towary z przejętego lub fałszywego konta dostawcy)


Co zrobić, gdy firma padła ofiarą whalingu?

 

W przypadku, gdy firma pada ofiarą jakiegokolwiek ataku, w tym whalingu, konieczne jest niezwłoczne powiadomienie firmowego zespołu ds. cyberbezpieczeństwa i wdrożenie procedur wynikających z polityk bezpieczeństwa przyjętych w firmie. W przypadku wystąpienia przestępstwa ten fakt warto także zgłosić organom ścigania.

 

Kolejnymi krokami są: identyfikacja i izolowanie zainfekowanych systemów, zmiana haseł i przeprowadzenie dochodzenia. Z uwagi na wyspecjalizowany charakter whalingu skutecznie przeprowadzony atak może mieć bardzo poważne konsekwencje prawne, finansowe i wizerunkowe.

 

Wycieku danych osobowych, na skutek ataku, wymaga także zgłoszenia incydentu do Prezesa Urzędu Ochrony Danych Osobowych oraz powiadomienia interesariuszy – osób, które mogły zostać poszkodowane.

 

Każdy incydent powinien nieść za sobą także aktualizację firmowego systemu zabezpieczeń. Należy przyjąć, że poziom zabezpieczeń nigdy nie jest dostatecznie dobry i wymaga ciągłego udoskonalania.

 

Zamiast leczyć – zapobiegaj!

 

Podstawą jest profilaktyka – przeprowadzanie okresowych szkoleń w zakresie security awareness dla pracowników na wszystkich szczeblach organizacji. Powinno się zapoznawać pracowników i kierownictwo z elementarnymi zasadami cyberbezpieczeństwa i wyczulić ich na ten rodzaj cyberataków. Osoby decyzyjne w firmie powinny wyraźnie czuć odpowiedzialność, jaka ciąży na nich, w związku z pełnioną funkcją. Będąc potencjalną ofiarą whalingu lub innych ataków spear-phishingowych warto korzystać z prywatnych profili w mediach społecznościowych i nie podawać do wiadomości publicznej zbyt wielu prywatnych informacji (a już na pewno danych kontaktowych czy dat urodzin). Już sama świadomość występujących zagrożeń pozwala udaremniać wiele ataków. Ważne są także zmiany proceduralne w organizacji – np. konieczność potwierdzania kluczowych operacji co najmniej dwoma różnymi i niezależnymi kanałami kontaktu (np. telefon do odbiorcy przed wykonaniem polecenia przelewu). Dobrą praktyką jest korzystanie z uwierzytelniania dwuskładnikowego wszędzie, gdzie tylko jest to możliwe i ustawianie unikalnych haseł do kont.

 

Służbowego komputera i urządzeń mobilnych nie powinno się ponadto wykorzystywać do przeglądania prywatnych treści oraz pobierania załączników pochodzących z nieznanych źródeł i niezwiązanych z pracą (szczególnie unikać należy plików typu .exe).

 

Należy pamiętać, że whaling to bardzo wyspecjalizowany atak i nawet najbardziej świadomi użytkownicy komputerów mogą nie zorientować się, że padają właśnie ofiarami oszustwa. Konieczne jest więc stosowanie odpowiednich środków technicznych – programów antywirusowych i oprogramowania do ochrony poczty oraz systemów monitorujących ewentualne wycieki danych. Dostępne na rynku systemy są w stanie analizować nie tylko adresy nadawców wiadomości e-mail, ale także treść (samą wiadomości i przesyłane załączniki), w celu wykrywania w nich potencjalnych zagrożeń.

 

Do najlepszych metod zapewnienia bezpieczeństwa należą usługi Security Operations Center. 24-godzinny monitoring sieci przez cały rok przy użyciu zaawansowanych systemów informatycznych pozwala wykryć anomalie w ruchu sieciowym i sprawnie reagować na incydenty. Zespół Netia Security Operations Center jako jeden z nielicznych korzysta z systemów klasy SIEM oraz SOAR, pozwalających na automatyzację działań i zwiększających wydajność pracy analityków.

 

Dzięki specjalnie przygotowanym, kontrolowanym atakom phishingowym w usłudze Netia Phishing-on-Demand możesz sprawdzić czujność swoich pracowników oraz w praktyce poznać występujące podatności. To skuteczna diagnostyka stosowanych zabezpieczeń, która pozwala wykryć nie tylko techniczne słabości firmy, ale także zaniedbania i złe nawyki pracowników. Każdy z kontrolowanych ataków kończy się sporządzeniem szczegółowego raportu oraz rekomendacji kolejnych kroków w celu poprawy poziomu bezpieczeństwa.

 

Może Cię również zainteresować...

Wybierz swój język ×