Gli attacchi di phishing diretti nei confronti di soggetti di alto profilo (ovverosia: con capacità decisionali d’impatto per l’organizzazione) si contraddistingue per uno studio maggiormente approfondito delle potenziali vittime, metodi più attacco più sofisticati e un impiego di tempo maggiore da parte del cybercriminale. Per tale motivo viene denominato whaling, richiamando iconicamente la caccia alle balene (più propriamente: al “big fish”). Il movente è sempre di natura economica, e dunque un guadagno illecito o tramite l’accesso a database aziendali o altrimenti per effetto di un ricatto che può avere ad oggetto tanto la minaccia di diffusione di dettagli (strategici, di business o estremamente personali) quanto lo sblocco dei sistemi criptati da un ransomware.
Dal momento che questo tipo di attacco prende di mira un novero ristretto di potenziali vittime, lo studio preliminare delle loro abitudini online e offline tramite raccolta minuziosa e selettiva di informazioni anche attraverso social network e OSINT è una componente essenziale ed ineliminabile. È sempre bene ricordare che l’obiettivo è indurre la vittima attraverso l’inganno a rivelare alcune informazioni, sfruttando tecniche di ingegneria sociale e false comunicazioni (es. tramite spoofing, siti creati ad hoc).
L’elevato grado di personalizzazione di questo genere di attacchi li rende particolarmente insidiosi e difficili da rilevare, in quanto le comunicazioni hanno un grado di verosimiglianza maggiore rispetto al normale phishing diretto su larga scala.
Ad esempio, è possibile che la falsa comunicazione provenga apparentemente dall’e-mail (mascherata o violata) di un diretto superiore dell’azienda, dal legale di fiducia o dal tecnico che cura l’assistenza dei sistemi. La potenziale vittima (che, è bene ricordare, ha spesso un certo grado di autonomia decisionale e potere) può essere dunque invitata a:
- effettuare un trasferimento urgente di denaro;
- scaricare un allegato o un programma;
- aprire un sito web;
- inviare un file o caricare dei dati su una rete esterna;
- autorizzare un accesso esterno alla rete aziendale.
La minaccia può essere trattata aggiungendo alle misure anti-phishing e alla regola aurea del “non cliccare ciò di cui non si è sicuri”, alcuni ulteriori accorgimenti per lo più di natura organizzativa.
Prima di tutto, il management dell’organizzazione deve essere sensibilizzato sulla consapevolezza del rischio di essere vittime preferenziali di tali attacchi e degli effetti anche in relazione alle proprie personali responsabilità nei confronti dell’azienda, nonché deve essere addestrato a riconoscerli. Parte della prevenzione sta anche nel promuovere presso il management l’impiego di profili social “chiusi” (non pubblici), dal momento che tutte le informazioni di carattere personali possono essere utilmente impiegate dall’attaccante.
L’adozione e la diffusione presso gli operatori di procedure per la verifica di alcune richieste urgenti riguardanti il trasferimento di denaro, credenziali o informazioni aziendali è un presidio di carattere organizzativo che può rendere “per sistema” inefficace il tentativo di whaling.
Ovviamente possono essere utilmente impiegate anche delle soluzioni tecniche. Ad esempio, contrassegnare le comunicazioni provenienti dall’esterno dell’organizzazione può essere utile per contrastare il mascheramento di un mittente attendibile, così come il blocco dei download di programmi non autorizzati può prevenire l’installazione di un malware o l’impiego di soluzioni anti-ransomware può proteggere i sistemi e i dati contenuti al loro interno.
Allo stato dell’arte, gli attacchi di tipo whaling si fanno sempre più sofisticati e dunque richiedono alle organizzazioni di adeguarsi adottando contromisure riguardanti tanto gli asset tecnologici che il fattore umano per assicurare un livello di sicurezza “di sistema” che sia continuamente standardizzato, verificato e implementato.
