O que é um ataque de phishing online de baleias ou baleias?

0
30


CNuisin / Shutterstock.com

Um ataque de phishing online geralmente envolve um golpista tentando se passar por um serviço que você usa na tentativa de obter credenciais ou dinheiro de você. Outra versão mais direcionada e potencialmente mais lucrativa desse golpe é chamada de caça à baleia ou phishing de baleia.

Whale Phishing tem como alvo empresas e organizações

A maior diferença entre um ataque de phishing padrão e um ataque de phishing de baleia é como o golpista tem como alvo as vítimas. Embora os ataques de phishing tenham como alvo centenas ou milhares de pessoas de uma só vez, os ataques de phishing de baleias costumam ser muito mais direcionados.

Um ataque de phishing de baleia pode ter como alvo um único indivíduo dentro de uma empresa usando informações coletadas dentro dessa organização. Os golpistas farão mais pesquisas para enganar seus alvos, o que pode envolver o estudo da hierarquia e informações da empresa on-line ou a obtenção de informações dentro da própria empresa.

Por exemplo, um golpista geralmente se apresenta como um membro da equipe de alto nível. Pode ser um gerente ou técnico, ou pode ser o CEO ou proprietário. A escolha de uma figura de autoridade é crucial para que o golpe funcione, pois o alvo (geralmente funcionários de nível inferior) tem maior probabilidade de atender a uma solicitação sem questionar.

Assim, em um cenário, um golpista pode se passar por um gerente de contas sênior, chamando a atenção de um funcionário para uma conta que precisa ser paga. O e-mail pode conter um link para um site externo usado para roubar credenciais de login ou conter instruções para fazer um pagamento em uma conta controlada pelo golpista.

Os objetivos finais podem ser numerosos, onde os golpistas tentam roubar dinheiro, credenciais e plantar malware. Com o tempo, isso pode levar a problemas de segurança, ataques de ransomware, espionagem e, claro, grande angústia para quem os recebe.

O phishing de baleias usa as mesmas táticas antigas

Whale phishing é essencialmente spear phishing com um pagamento maior (geralmente corporativo). Spear phishing é uma versão um pouco mais sofisticada do phishing padrão, em que o golpe é adaptado ao alvo. Uma “baleia” neste cenário é uma “pega” maior, daí o termo baleia ou phishing de baleia.

Embora um ataque de phishing de baleia exija mais esforço e tempo por parte do golpista, as táticas usadas são semelhantes a um ataque de phishing padrão. Por exemplo, o golpista pode usar um endereço de e-mail enganoso que seja falsificado ou que se assemelhe a um endereço de e-mail usado pela pessoa que está se passando.

Como esses ataques dependem de um componente humano, o phishing de baleia por telefone é outra tática comum (como em muitos golpes de phishing). Assim como as chamadas telefônicas, as mensagens de texto também podem ser usadas em ataques de smishing cada vez maiores. Uma tática menos comum pode incluir o acesso físico, onde o alvo é “iscado” com um pendrive projetado para entregar uma carga útil.

Em última análise, ser vigilante e cético é a melhor defesa contra esse tipo de ataque.

O phishing de baleias não é novo

Esse tipo de golpe existe há décadas e provavelmente continuará sendo uma ameaça para muitos mais. A conscientização é fundamental para evitar esse e muitos outros tipos de golpes, desde golpes no Facebook Marketplace até imitadores do Wordle. Confira nossas principais dicas para se manter seguro online.

RELACIONADO: 10 golpes do Facebook Marketplace para ficar de olho