Explicación de la caza de ballenas: un ataque cibernético dirigido a figuras de alto nivel

Todos hemos sido contactados por un “príncipe nigeriano” o recibimos un mensaje de un número/correo electrónico desconocido que dice ser un familiar o amigo que pide ayuda debido a una situación difícil. Los estafadores en línea están en todas partes, haciendo todo lo posible para obtener información y dinero rápido.

Podrías imaginar a una persona común cayendo en este tipo de ataque de phishing, pero ¿qué se necesitaría para estafar a un CEO? El concepto de estafar a un individuo de alto nivel se llama ballenero. “¿Qué es la caza de ballenas”, podrías preguntar? Lo exploraremos con más detalle en el siguiente artículo.

¿Cuál es la importancia de la caza de ballenas?

Atrapar el pez grande es el sueño que comparten la mayoría de los entusiastas de la pesca. A veces solo necesitan la comida que les proporciona, pero sobre todo solo para tener un buen trofeo. El mundo en línea está lleno de terminología náutica, así que vamos a desglosarlo uno por uno:

Este tipo de ciberataque utiliza correos electrónicos, SMS ("smishing") o cualquier otro sistema de mensajería directa para engañar al objetivo para que envíe dinero o información confidencial. El factor clave es que no se dirige a nadie específicamente; el correo electrónico simplemente se envía a varios destinatarios aleatorios con la esperanza de que algunos de ellos caigan en la trampa.

Dado que las herramientas son las mismas que para el phishing, el factor clave aquí es que el estafador elegirá sus objetivos en función de un objetivo específico y planificará en consecuencia.

Muy similar al spear-phishing, es un tipo de estafa en línea que se dirige específicamente a personas de alto nivel en la sociedad o dentro de una empresa. Por eso también se le llama suplantación de identidad ejecutiva. A diferencia del fraude del CEO, o BEC (Correo electrónico de trabajo comprometido) (con los que a menudo se confunde), los objetivos de la caza de ballenas son específicamente los directores ejecutivos y otros altos ejecutivos que pueden generar grandes ganancias.

Con todo esto en mente, también es posible que un estafador lance primero ambos tipos de ataques contra la misma empresa. ballenero el CEO por el dinero y la información que tiene y luego usar esa misma información para Suplantación de identidad para fondos de empleados de nivel inferior.

¿Cuál es el objetivo de la caza de ballenas y cómo funciona?

Es bastante simple, de verdad. El estafador asume el papel de bote ballenero, por lo general haciéndose pasar por un asistente para recordarle al director ejecutivo un "pago faltante" o un socio organizacional al que "le faltan fondos o información". El propósito de la caza de ballenas es adquirir recursos o dedicarse al espionaje industrial, pero también puede estar inspirado por una venganza personal, un deseo de control y muchos otros motivos.

En estos ciberataques, también se puede engañar a las víctimas para que hagan clic en un enlace que se les envía a través de un correo electrónico o mensaje de texto que los llevará a un sitio web falsificado que puede robar datos o infectar el dispositivo del usuario con malware. .

Los balleneros le pedirán al objetivo que comparta datos confidenciales, como información de nómina, declaraciones de impuestos o números de cuentas bancarias. También se les puede pedir a las víctimas que autoricen una transferencia bancaria a una cuenta bancaria que resulte ser fraudulenta. Para dar una impresión más firme de la legitimidad del correo electrónico, los atacantes a veces también usan una llamada telefónica para reforzar el ataque.

Así, muchas empresas y directores generales han sido víctimas de estos ciberataques. Uno de esos ejemplos de caza de ballenas fue una empresa agrícola llamada Escuelacuando el ataque de un ballenero pasó por una cadena de correos electrónicos de un ejecutivo de la compañía a otro, lo que le costó a la compañía $ 17 millones.

Signos de caza de ballenas y phishing

Ahora que hemos explicado la caza de ballenas como concepto, ¿cómo reconocería un ataque si fuera el objetivo? Uno de los hechos principales sobre los gemidos es que en su mayoría tienen el mismo modus operandi. Una vez que sepa qué buscar, es relativamente fácil reconocer estas estafas:

• La dirección de correo electrónico puede no coincidir con la persona que el remitente dice ser. Compruebe si hay letras o números adicionales en la dirección o el nombre de dominio que parezcan demasiado.
• ¿Hay errores ortográficos y de formato que le parezcan inusuales para el tipo de correo electrónico que espera, o ciertas frases utilizadas que no son categóricas para el remitente? Si es así, puede valer la pena consultar con el supuesto remitente de otras maneras (preguntándole en persona si realmente escribió el correo, por ejemplo).
• Este tipo de correos electrónicos siempre imponen un sentido de urgencia, por lo que las personas tienden a reaccionar con pánico, lo que a menudo hace que no piensen con claridad. Nuevamente, verificar dos veces los hechos podría evitar que se vea involucrado en un fraude.

Seguridad y protección contra la caza de ballenas

La investigación es fundamental en la caza de ballenas. Para "atrapar a la ballena", los estafadores a menudo realizan una investigación exhaustiva y tienen planes elaborados. Tener la información correcta sobre el objetivo les dará una sensación de familiaridad con el ballenero, haciéndolos menos cautelosos.

¿Cómo prevenir esto? En la caza de ballenas, la conciencia cibernética y la seguridad son cruciales. Los métodos varían, pero incorporar al menos algunos, si no todos, hará que sea mucho más difícil para los estafadores tener éxito con sus planes.

educación de los empleados

Como personas de alto nivel, los altos ejecutivos suelen ser los principales objetivos de la caza de ballenas. Para que el ataque tenga éxito, el correo electrónico debe ser lo suficientemente convincente para que el destinatario confíe en él.

Puede ser mucho más fácil perseguir al CEO a través de sus empleados cercanos, como un asistente personal o un asesor financiero, ya que generalmente tienen la información que necesitan los atacantes. Educar a los empleados sobre los diferentes tipos de ataques mostrándoles ejemplos existentes de caza de ballenas les permitirá reconocer un correo electrónico sospechoso cuando lo reciban y actuar en consecuencia.

Redes sociales

La información general sobre personas de alto perfil generalmente se puede encontrar en línea sin demasiados problemas. Cuanto más se conozca a una persona, más se interesará el mundo por ella. Dicho esto, la información visible en las redes sociales se puede controlar hasta cierto punto.

Ser cuidadoso con lo que se comparte evitará que alguien difunda información innecesaria, lo que evitará que se utilice en su contra en ataques balleneros o de phishing. Si un asistente o gerente de marketing está a cargo de las redes sociales para usted o su negocio, es de suma importancia que estén debidamente informados sobre lo que se supone que se debe publicar allí. Lo mismo ocurre con los perfiles personales de los empleados, especialmente los de los altos ejecutivos de una empresa.

Soluciones automatizadas

Algunos programas de encriptación pueden ayudar a reconocer estafas y ataques de phishing y caza de ballenas. Aunque ningún software es completamente a prueba de estafas, ya que no se puede tener en cuenta el error humano, puede ser de gran ayuda como una capa adicional de seguridad. Estas herramientas incluyen software antivirus, cortafuegos, protección contra ransomware y programas antiphishing. Si necesita ayuda para cifrar sus correos electrónicos, asegúrese de consultar nuestras pautas para obtener información detallada sobre todo el proceso.

Conclusión

Los ataques balleneros y de spear-phishing pueden ser notoriamente difíciles de manejar, y el daño que pueden infligir a las finanzas y la reputación de una empresa es extenso. La combinación y el uso de todas las estrategias que mencionamos contra los ataques de caza de ballenas y phishing harán que un negocio sea prácticamente inquebrantable, sin importar cuán astuto sea el ataque de caza de ballenas o phishing.