O que é um ataque de baleia ou phishing de baleia online?

Padrão de barbatanas de baleia levantadas do oceano.
CNuisin/Shutterstock.com

Um ataque de phishing online geralmente envolve um golpista tentando se passar por um serviço que você usa em uma tentativa de obter credenciais ou dinheiro de você. Outra versão mais direcionada e potencialmente mais lucrativa desse golpe é chamada de whaling ou phishing de baleia.

Whale Phishing tem como alvo empresas e organizações

A maior diferença entre um ataque de phishing padrão e um ataque de phishing de baleia é como o golpista tem como alvo as vítimas. Enquanto os ataques de phishing são enviados para centenas ou milhares de pessoas ao mesmo tempo, os ataques de phishing de baleias são geralmente muito mais direcionados.

Um ataque de phishing de baleia pode ter como alvo um único indivíduo dentro de uma empresa usando informações coletadas dentro dessa organização. Os golpistas farão mais pesquisas para enganar seus alvos, o que pode envolver estudar hierarquias e informações da empresa on-line ou obter informações de dentro da própria empresa.

Por exemplo, um golpista geralmente se apresenta como um membro de alto nível da equipe. Pode ser um gerente ou técnico, ou pode ser o CEO ou proprietário. Escolher uma figura de autoridade é crucial para que o golpe funcione, pois é mais provável que o alvo (geralmente funcionários de nível inferior) atenda a uma solicitação sem questioná-la.

Portanto, em um cenário, um golpista pode se passar por gerente de contas sênior, chamando a atenção de um funcionário para uma fatura que precisa ser paga. O e-mail pode conter um link para um site externo usado para roubar credenciais de login ou conter instruções para efetuar um pagamento em uma conta controlada pelo golpista.

Recomendado:  Como desativar histórias “recomendadas por bolso” no Firefox

Os objetivos finais podem ser numerosos, onde os golpistas tentam roubar dinheiro, credenciais e plantar malware. Com o tempo, isso pode levar a problemas de segurança, ataques de ransomware , espionagem e, claro, muito sofrimento para quem está recebendo.

O phishing de baleias usa as mesmas táticas antigas

Whale phishing é essencialmente spear phishing com um pagamento maior (geralmente corporativo). Spear phishing é uma versão um pouco mais sofisticada do phishing padrão, em que o golpe é adaptado ao alvo. Uma “baleia” neste cenário é uma “pega” maior, daí o termo baleia ou phishing de baleia.

Embora um ataque de phishing de baleia exija mais esforço e tempo do golpista, as táticas usadas são semelhantes a um ataque de phishing padrão. Por exemplo, o golpista pode usar um endereço de e-mail enganoso que é falsificado ou feito para parecer muito semelhante a um endereço de e-mail usado pela pessoa que está se passando.

Como esses ataques dependem de um componente humano, o phishing de baleias por telefone é outra tática comum (como em muitos golpes de phishing). Assim como as chamadas telefônicas, as mensagens de texto também podem ser usadas como em ataques de smishing cada vez maiores . Uma tática menos comum pode incluir o acesso físico, onde o alvo é “atraído” com um pendrive projetado para entregar uma carga útil .

Em última análise, ser vigilante e cético é a melhor defesa contra esse tipo de ataque.

Phishing de baleias não é novo

Esse tipo de golpe existe há décadas e provavelmente continuará sendo uma ameaça para muitos mais. A conscientização é fundamental para evitar esse e muitos outros tipos de golpes, desde golpes no Facebook Marketplace até imitadores do Wordle . Confira nossas principais dicas para se manter seguro online .

Recomendado:  Como desativar a funcionalidade de bloqueio da estação de trabalho (Window + L) no Windows