, , ,

Whale Phishing: Una Forma Avanzata di Business Email Compromise (BEC)

contributo avv. Pasquale Capaldo

Il whale phishing, noto anche come whaling, rientra nella categoria delle frodi di tipo BEC (Business Email Compromise), una delle minacce più insidiose per le aziende moderne. Il National Cyber Security Center (NCSC) britannico definisce il BEC come una specifica forma di phishing rivolta ai dirigenti di alto livello (senior executive) mediante l’uso di tecniche di social engineering. Lo scopo principale è spingere la vittima, tipicamente un c-level (CEO, CFO, COO, ecc.), a compiere un’azione secondaria che favorisca i cybercriminali.

Caratteristiche Chiave del Whale Phishing

L’utilizzo del termine whale (dall’inglese “balena”) descrive al meglio la caratteristica tipica di questa particolare tipologia di phishing: se nella sua connotazione ordinaria, il phishing rappresenta la pesca della fiducia del truffato, al fine ad esempio di ottenerne i codici di accesso all’Internet Banking, nel caso del whale phishing la pesca è fortemente targettizzata.

Gli attacchi mirano a sfruttare la posizione e l’autorità della vittima per ottenere un vantaggio significativo.

Motivo per cui questa tecnica è conosciuta anche come “truffa del CEO”.

Ecco alcune delle azioni più comuni richieste dai cybercriminali:

  • Autorizzazione di pagamenti fraudolenti: Gli aggressori spingono la vittima a trasferire denaro su conti bancari controllati da loro, spesso mascherandoli come pagamenti urgenti o legittimi.
  • Modifica dei dati anagrafici o bancari: Le e-mail fraudolente possono chiedere di aggiornare dettagli di pagamento relativi a fornitori o dipendenti, che poi vengono utilizzati per sottrarre fondi.
  • Condivisione di informazioni riservate: I criminali cercano di ottenere documenti strategici, credenziali o altri dati sensibili per perpetrare ulteriori attacchi.

Il Ruolo del Social Engineering negli Attacchi di Whale Phishing

L’utilizzo del social engineering è centrale in questa forma di BEC. I cybercriminali studiano attentamente la vittima, sfruttando informazioni pubbliche e private per rendere le loro comunicazioni credibili. Tra le tattiche più utilizzate vi sono:

  • Spoofing delle e-mail aziendali: Gli aggressori falsificano l’indirizzo e-mail di un dirigente o di un partner aziendale per rendere il messaggio autentico.
  • Spoofing dei numeri di telefono di altre figure dirigenziali: gli aggressori acquisiscono e falsificano il numero di telefono di un partner aziendale o di un’altra figura dirigenziale o comunque apicale.
  • Creazione di un senso di urgenza: Le e-mail spesso contengono richieste che richiedono azioni immediate, riducendo così il tempo per le verifiche.
  • Sfruttamento della gerarchia aziendale: Gli attacchi mirano a creare un contesto in cui il destinatario si sente obbligato a seguire le direttive, anche se insolite o non standard.

Casi di whale phishing

Alcuni casi famosi di whale phishing hanno riguardato anche realtà molto strutturate ed insospettabili:

– nel 2015 Ubiquiti Networks perse circa 47 milioni di dollari tramite un truffatore che si finse un dipendente che richiedeva denaro al settore finanziario della Società (https://www.csoonline.com/article/552387/ubiquiti-networks-victim-of-39-million-social-engineering-attack.html).

– nel 2019 la divisione europea di Toyota perde 37 milioni di dollari tramite delle email contenenti istruzioni di pagamento fraudolente (https://www.toyota-boshoku.com/global/content/wp-content/uploads/190906e.pdf)

– nel 2023 è diventato di dominio pubblico che il CEO di Fremantle Jaime Ordanza (https://roma.corriere.it/notizie/cronaca/24_marzo_20/roma-truffa-al-ceo-della-fremantle-cinema-e-serie-tv-bonifico-da-un-milione-dopo-il-raggiro-su-whatsapp-c6872583-5390-4518-8f72-7a5b36ca6xlk.shtml) avesse subito un raggiro da parte di sconosciuti truffatori tramite spoofing, ovvero con un messaggio inviato da un profilo clonato con un numero VoIP di un suo diretto superiore, autorizzando disposizioni per circa 1 milione di euro.

Prevenzione del Whale Phishing

Per difendersi efficacemente dal whale phishing, è cruciale adottare un approccio che combini tecnologie di sicurezza avanzate con misure organizzative e culturali. Alcune delle strategie più efficaci includono:

  1. Verifica delle Richieste Sensibili: Istruire i dipendenti a verificare ogni richiesta di pagamento o modifica di dati sensibili tramite un secondo canale, ad esempio una chiamata diretta.
  2. Controlli Multilivello per i Pagamenti: Richiedere autorizzazioni multiple per i trasferimenti di fondi significativi, specialmente quando riguardano conti bancari recentemente modificati.
  3. Tecnologie Anti-Phishing: Implementare filtri avanzati per identificare e bloccare e-mail fraudolente e tentativi di spoofing.
  4. Formazione Continua del Personale: Organizzare corsi regolari di sensibilizzazione per riconoscere gli schemi di phishing e comprendere l’importanza di protocolli di sicurezza.
  5. Politiche Aziendali Chiare: Introdurre linee guida formali per gestire comunicazioni urgenti e richieste insolite, riducendo così il rischio di decisioni affrettate.

Conclusione

Il whale phishing, come forma sofisticata di Business Email Compromise, rappresenta una minaccia crescente per le organizzazioni di tutto il mondo. La combinazione di social engineering e targetizzazione dei dirigenti di alto livello rende questo attacco particolarmente pericoloso. Tuttavia, con un approccio proattivo basato su tecnologia, formazione e verifiche rigorose, le aziende possono mitigare i rischi e proteggere i loro asset più preziosi.

Se desideri ulteriori informazioni o assistenza in materia di sicurezza bancaria e tutela legale, non esitare a contattare il nostro studio. Siamo qui per proteggere i tuoi diritti.

CONTATTACI