Forma phishingových útoků známá jako whaling představuje obrovské nebezpečí pro všechny firmy různých velikostí. Zatímco se mnoho útočníků v rámci phishingových kampaní soustředí na kvantitu a masově rozesílá podvodné zprávy, jiní si své cíle pečlivě vybírají a útočí cíleně. Přesně zamíří a harpunují „velrybu“, raději než aby lovili množství malých ryb pomocí obrovských rybářských sítí. Tomuto typu cíleného útoku se říká whaling. Firmy kvůli němu mohou přijít o citlivé informace a taky spousty peněz.
1. Co to přesně je?
Whaling je phishingový útok, který je ale úzce zaměřený na výše postavené firemní zaměstnance. Útočník se v nich vydává za jejich nadřízeného, který ve zdánlivě oficiálním e-mailu vyžaduje od pracovníka citlivé informace či přesun větší částky peněz, příp. posílá škodlivou přílohu s malwarem.
K tomu používá podobné metody jako klasický phishing, tedy e-maily, nebezpečné odkazy či tzv. „web spoofing“, což jsou falešné weby, které jsou vytvořené jen za cílem toho, aby vypadaly co nejvíce jako ty oficiální. Např. můžou oběť zavést na stránku, která je totožná s tou firemní, kde pak nic netušící uživatel zadá své přihlašovací údaje. Tak se útočníci dostanou do firemního systému, odkud mohou ve velkém krást důležité informace.
Element nadřízeného přidává do sociálního inženýrství další úroveň sofistikovanosti danou základní psychologií. Většina zaměstnanců se totiž bojí nevyhovět požadavkům svých nadřízených. Tyto útoky jsou úspěšné také díky tomu, že je v dnešní době mnohem jednodušší získat skrz sociální sítě jako LinkedIn nebo Twitter přístup k osobním informacím jak jednotlivých zaměstnanců, tak samotných ředitelů společností. Pro schopné útočníky tak není problém na základě těchto údajů napsat a poslat zprávu, která působí vysoce věrohodně.
2. Proč to funguje?
Jeden z důvodů, proč je whaling těžké odhalit, je mj. to, že je jeho rozsah mnohem skromnější než u klasického phishingu, kde je jednodušší rozpoznat kybernetický útok, protože se rozešlou prostřednictvím botnetů miliony mailů. Ty jsou snadno dohledatelné. Vzhledem k tomu, na jak velké kořisti whaling míří, tedy potenciální získání zásadních údajů a vysokých částek, si útočníci mohou dovolit být s přípravou mnohem preciznější. Osoby, na které whaling míří, jsou vybírány pečlivě a počet zaslaných e-mailů je relativně omezený.
Případů tak doposud nebylo odhaleno tolik, i když je z uveřejněných dat zřejmé, že se rozhodně jedná o rostoucí trend a o velké nebezpečí. Např. v listopadu minulého roku se spoluzakladatel australského hedgeového fondu Levitas stal obětí whalingu, při kterém kliknul na falešný link na údajný pracovní Zoom, v důsledku čehož byl do jeho počítače nainstalován malware, který firmu připravil o 800 tisíc dolarů. Skutečná ztráta se však odhaduje na téměř devět milionů. Levitas to ale hlavně stálo jejich reputaci a hedgeový fond přišel o svého největšího investora, který do něj chtěl před útokem investovat 16 milionů dolarů. Ztráta této investice vedla k tomu, že Levitas nadobro skončil.
Útočníci si většinou vybírají zaměstnance na vyšších pozicích, ale spíše z řad obchodníků, nikoli IT, kteří zpravidla nemají takové povědomí o kyberbezpečnosti. V neposlední řadě tyto falešné maily většinou obsahují firemní logo a často také tel. číslo a osobní informace daného nadřízeného, za kterého se útočník vydává. Útočníci pochopitelně mají realistické požadavky a nesnaží se prvoplánově vylákat třeba přístupové údaje k internetovému bankovnictví. Častěji zašlou škodlivý soubor, který obsahuje například keylogger, tedy software, který snímá stisky jednotlivých kláves.
3. Jak před tím firmu uchránit?
Naprosto zásadní pro ochranu firmy před whalingem je poučit o jeho nebezpečí všechny zaměstnance tak, aby byli při sdílení citlivých informací obezřetní a uvědomovali si související rizika.
Další funkční prevencí je zavést dvoufázové ověření při zasílání důležitých informací. V případě podezření se doporučuje ověřit faktičnost přijaté zprávy například krátkým telefonátem..
Jednoduše a efektivně může také pomoct IT oddělení vaší firmy. Může všechny emaily, které nepochází z firemní sítě, nějakým způsobem odlišit, čímž se okamžitě odhalí, že nepochází od skutečného nadřízeného. Pracovníci v IT by také měli rozesílat zaměstnancům firmy cvičné whalingové e-maily, které otestují, jestli by skutečnému útočníkovi naletěli. To jim pak při opravdovém útoku pomůže a dvakrát se zamyslí, jaké zprávě budou důvěřovat.
Síťové zabezpečení je největší jistota
Prevence na lidské úrovni je dnes zcela zásadní páteří kybernetické bezpečnosti každé firmy. Úplným základem pro klid v duši je ale sofistikovaná bezpečnostní architektura, jejíž vrstvy společně s uvědomělými zaměstnanci sníží míru jakéhokoliv rizika na ty nejnižší hodnoty.
