Termin phishing znany jest już dobrze klientom banków. Większość z nich spotkała się z wiadomościami e-mail, które groźbą i podstępem zachęcają do kliknięcia w link prowadzący wprost do podrobionej strony. Whaling różni się od wysyłanego na ślepo przestępczego spamu. Jego celem są zazwyczaj działy finansowe dużych korporacji, a oszukańczy e-mail nie musi nawet zawierać zwodniczych odnośników.
W lecie 2015 r. pracownik działu księgowości jednej z firm wydawniczych działających na amerykańskim rynku otrzymał dwie wiadomości e-mail od prezesa korporacji. Listy zawierały polecenie wykonania przelewów na rachunki w chińskich bankach. Do rzekomych kontrahentów firmy miały trafić łącznie 3 mln dolarów.
W e-mailu sprawa została opisana jako priorytetowa i poufna, nic zatem dziwnego, że pracownik natychmiast przesłał pierwszą transzę środków. Dopiero przed zleceniem kolejnej transakcji skontaktował się telefonicznie z szefem, by potwierdzić szczegóły. Okazało się, że CEO nie wiedział nic o chińskim przelewie – wiadomość wysłał nieznany włamywacz, który uzyskał dostęp do skrzynki prezesa. Firma straciła 1,5 mln dolarów, które trafiły do instytucji za Wielkim Murem. Chiński bank nie chciał współpracować, a środków nie udało się odzyskać.
Polskie Gazele są wyjątkowe
Rankingowi Gazel Biznesu ponownie przyjrzeli się naukowcy. Prof. Jerzy Cieślik i mgr Adrian Grycuk porównali jego laureatów z firmami podobnej wielkości w innych krajach Europy. Niektóre wnioski zaskakują.
Opisany przypadek to przykład tzw. whalingu (od angielskiego whale, oznaczającego wieloryba). Tego rodzaju ataki określa się także mianem BEC (Business Email Compromise). Nie należą one do rzadkości, a wyłudzone kwoty bywają olbrzymie. W sierpniu 2015 r. firma Ubiquiti Networks, amerykański producent sprzętu sieciowego, straciła w ten sposób ponad 46 mln dolarów.
Ataki whaling są proste do przeprowadzenia, nie wymagają specjalistycznej technicznej wiedzy. Rzadko dochodzi rzeczywiście do włamania do skrzynki pocztowej menedżera. Oszuści bazują przede wszystkim na ogólnodostępnych informacjach o strukturze firmy będącej na celowniku i kilku socjotechnicznych sztuczkach.
Sieci społecznościowe ułatwiają pracę przestępcom
Przestępcy często korzystają z sylwetek kadry zarządzającej opublikowanych w mediach lub serwisach społecznościowych (np. LinkedIn). Wybierają postać, pod którą podszyją się w wiadomości oraz ofiarę w dziale finansowym lub księgowości. Jak twierdzi firma Mimecast, która przeprowadziła badania dotyczące ataków whaling, w 70 proc. przypadków oszuści stosują tzw. domain spoofing. W korespondencji kierowanej do ofiary wykorzystują konto e-mail o adresie tylko odrobinę różniącym się od oryginalnego (np. duza-firma.pl zamiast duzafirma.pl). W 16 proc. ataków podmieniana jest domena najwyższego poziomu (np. net zamiast com).
Przeczytaj także
Ofiara, do której trafia autentycznie wyglądająca wiadomość, może bez zastanowienia, automatycznie wykonać polecenie. Jest to tym bardziej prawdopodobne, że e-mail zwykle nie wzbudza podejrzeń. Jest opatrzony stopką stosowaną w firmie, zdobytą np. dzięki wysłanemu wcześniej fałszywemu zapytaniu o ofertę, i nie różni się znacząco od reszty korespondencji. Nadawcą jest zazwyczaj wysoko postawiony menedżer – w większości przypadków CEO lub CFO. To skłania do pośpiechu, a chęć przypodobania się przełożonemu może zwyciężyć z odruchem ostrożności.
Jak wskazują eksperci, ochrona przed whalingiem powinna opierać się przede wszystkim na edukacji narażonej na ataki kadry i wzmocnieniu procedur autoryzowania transakcji. Odporność organizacji można diagnozować, przeprowadzając okresowe testy. Pomocne może okazać się także oznaczanie (np. poprzez automatyczną modyfikację tematu lub papeterii) e-maili przychodzących spoza wewnętrznej sieci firmy oraz monitorowanie rejestracji domen, które mogą zostać użyte do ataku.
