Como funciona o whaling, tática de cibercrime que mira C-Levels e diretores

De diretores a CEOs, representantes de empresas passam a ser alvos de cibercriminosos por meio do golpe chamado whaling, que significa a pesca aos grandes peixes das corporações. Trata-se de uma forma sofisticada de phishing que, diferente dos ataques tradicionais, que têm alvos aleatórios, centra forças em figuras-chaves das organizações, explorando sua influência para obter informações confidenciais ou realizar fraudes financeiras.

"Os ataques whaling representam uma ameaça séria e crescente às organizações, que pode resultar em perdas financeiras significativas e comprometer informações confidenciais e relevantes para os negócios”, destaca Camilo Gutiérrez Amaya, Chefe do Laboratório de Pesquisa da ESET América Latina.

Ao menos 30% das organizações públicas ou privadas foram alvo de algum ataque cibernético na América Latina em 2023, mostra o relatório ESET Security Report, que analisa o estado da segurança digital das empresas na região. Um dos dados mais chamativos é que somente 27% dos colaboradores recebem capacitação periódica sobre segurança da informação, como treinamentos sobre como agir frente a distintos e-mails.

Esses ataques de whaling, também chamados de spearphishing por elegerem um alvo específico de uma equipe, combinam técnicas avançadas de engenharia social e pesquisas detalhadas sobre a organização e seus líderes. Criminosos cibernéticos costumam se passar por colegas ou parceiros de negócios, usando e-mails falsificados para enganar as vítimas e convencê-las a fornecer informações confidenciais, baixar malware ou realizar transferências de dinheiro.

Uma técnica comum nesses ataques é a fraude do CEO, pela qual os criminosos se fazem passar por altos executivos e enviam e-mails urgentes que parecem autênticos. As mensagens costumam exigir ações rápidas, como a aprovação de transferências financeiras ou a divulgação de dados sensíveis.

"Esses tipos de ataques aumentam a visibilidade para a conscientização de que todas as informações públicas podem ajudar os cibercriminosos a cometerem esses ataques nos quais a identidade de uma pessoa ou entidade é personificada. Os criminosos buscam perfis públicos de indivíduos, seja em redes pessoais como Facebook, Instagram, Twitter, ou perfis profissionais, por exemplo, no LinkedIn", diz Gutiérrez Amaya.

A sofisticação dos ataques whaling torna sua detecção difícil, mas há sinais de alerta: remetentes com endereços de e-mail ligeiramente alterados, solicitações incomuns ou urgentes e, ocasionalmente, erros gramaticais ou ortográficos. Mesmo com o uso crescente de inteligência artificial para criar e-mails de phishing convincentes, eles não são perfeitos e a atenção a esses detalhes é fundamental, em uma política de segurança. 

Para se proteger contra o whaling, a ESET recomenda ter cuidado ao compartilhar informações pessoais e profissionais em redes sociais, estabelecer procedimentos claros para verificar solicitações de dados ou movimentações financeiras por meio de múltiplos canais, implementar autenticação multifatorial e ferramentas avançadas de segurança, além de promover a educação constante dos colaboradores, especialmente executivos, sobre as táticas dos cibercriminosos e as tendências emergentes.

“A conscientização, o treinamento e a implementação de medidas de segurança robustas são essenciais para proteger as organizações contra essa forma insidiosa de crime cibernético. A resiliência cibernética é uma prioridade estratégica, e uma abordagem integrada e bem informada pode fazer toda a diferença na proteção contra esse e outros tipos de fraude cibernética", conclui o pesquisador da ESET.