O que é o whaling?
Ao contrário dastentativas de phishing, que visam indivíduos aleatoriamente, o whaling visa indivíduos específicos.
O «whaling» (caça às baleias) é a ameaça que se abate sobre os empresários, decisores e responsáveis que digitalizam os seus processos de trabalho devido à crise sanitária.
O objetivo do cibercriminoso é roubar dinheiro, informações confidenciais ou obter acesso aos seus sistemas informáticos.
Para pescar esses «peixes grandes», eles utilizam:
- A usurpação de identidade. A usurpação de nomes de domínio é a estratégia mais comum, sendo utilizada em 70% dos ataques. É através das redes sociais ou de outras informações encontradas nos motores de busca que obtêm essas informações.
- O phishing direcionado. O cibercriminoso tem como alvo um colaborador de alto escalão, fazendo-se passar por um superior hierárquico ou por outro funcionário importante da empresa.
2021, o ano da caça à baleia
Este ano de 2021 vai assistir a uma intensificação dos ataques de whaling.
De facto, muitas empresas apressaram-se a implementar o teletrabalho para manter a sua atividade.
Algumas delas não dedicaram tempo a formar os seus colaboradores sobre as boas práticas do teletrabalho seguro, seguindo um protocolo rigoroso.
Os cibercriminosos aproveitam-se, assim, deste clima de ansiedade em determinados setores de atividade que não estavam habituados ao teletrabalho.
Como proteger-se do whaling?
Para se proteger contra ataques de whaling, a melhor estratégia continua a ser a sensibilização. (fonte:ANSSI). É por isso que é necessário direcionar a formação aprofundada para os dirigentes e os funcionários de cargos de chefia. De um modo mais geral, é necessário sensibilizar ainda mais todos os colaboradores.
Ter osreflexos certos: passar o cursor sobre o nome do remetente do e-mail para verificar o seu endereço completo. Considerar a possibilidade de alterar os procedimentos de validação de operações sensíveis, como transações financeiras e a partilha de informações confidenciais.
Utilizar umprograma anti-phishing: instalar este tipo de software que oferece serviços como a análise de URLs e a validação de links.
Realizarsimulações de ataques: «educar» os funcionários contra o phishing e o whaling significa aprender os procedimentos corretos, por exemplo, verificando as fontes dos e-mails fraudulentos ou identificando sites falsos.
Neste contexto específico, a palavra de ordem deve continuar a ser a cautela face a estas inúmeras interações à distância.
