Che cos'è il whale phishing: definizione, esempi e come prevenirlo

Che cos'è il whale phishing?

Il whale phishing, più raramente whaling phishing, è una variante specifica del phishing che si rivolge a figure di alto profilo in organizzazioni di vario tipo. A differenza del phishing “classico”, in cui i cybercriminali usano enormi reti per una “pesca” indiscriminata e di massa, al fine di trarre in inganno un gran numero di persone con messaggi generici, il whaling è un attacco mirato che richiede una preparazione approfondita da parte degli hacker. 

Gli aggressori vestono solitamente i panni di figure autorevoli all'interno o all'esterno dell'azienda, come amministratori delegati o consulenti finanziari, per ingannare altri dipendenti o i dirigenti stessi. L’obiettivo, come è facile intuire, è mettere le mani su risorse aziendali (dati, brevetti, ecc.) o denaro.

Quando si parla di whale phishing?

Un attacco di whale phishing è un crimine informatico in cui un hacker (singolo o parte di un'organizzazione criminale) utilizza tecniche manipolatorie, parte della grande categoria del social engineering, per ingannare la vittima, facendole credere che la richiesta provenga da una fonte attendibile. 

Ad esempio, potrebbe inviare un’email fingendosi l’“amministratore delegato” di un’azienda partner, rivolgendosi al direttore finanziario (target) per chiedergli di effettuare un trasferimento di fondi urgente per un progetto futuro.

Qual è lo scopo di un attacco whaling?

Come la quasi totalità degli attacchi informatici, il principale obiettivo di un whale phishing attack è ottenere un vantaggio economico diretto o indiretto. Questo perché l’obiettivo non è direttamente liquidabile, come nel caso di un bonifico bancario: alcuni attacchi, infatti, possono puntare al furto di informazioni riservate, come dati personali dei dipendenti, proprietà intellettuale o strategie aziendali. 

Oltre ai danni diretti e immediati, questi attacchi possono danneggiare l’immagine aziendale e causare perdite sul lungo periodo, riducendo la fiducia che clienti e partner nutrono verso un certo brand.

Come funziona un attacco whaling?

Vista la sua personalizzazione e specificità, gli attacchi “whaling” richiedono una lunga fase preparatoria iniziale. I cybercriminali quindi cercheranno di raccogliere informazioni quanto più dettagliate sulla vittima, cercando su profili social (Facebook, Instagram, LinkedIn, ecc.), articoli pubblici o arrivando a usare persino degli spyware per mettere le mani su dati sensibili. 

Una volta raccolto un novero sufficiente di informazioni, creano un'email specifica e convincente, che contiene quasi sempre al suo interno una richiesta urgente per spingere il destinatario a compiere un'azione immediata. 

Ecco alcune caratteristiche spesso presenti in questi messaggi via email:

• Indirizzi email simili: l’aggressore utilizza spesso domini che somigliano a quelli reali di un'azienda, fatta eccezione per quasi impercettibili errori grammaticali “azienda.com” al posto di “aziendaa.com”.
• Urgenza: questo è un importante elemento in comune con il phishing. Ad esempio, nel caso in cui venga richiesto un pagamento, il messaggio a corredo dell’IBAN mette pressione sul destinatario con espressioni tipo “transazione da effettuare entro oggi”.
• Richiesta di riservatezza: spesso i mittenti chiedono anche di tenere la massima riservatezza su questa comunicazione, così da limitare l’eventualità che la vittima contatti colleghi a soggetti terzi per effettuare verifiche sulla richiesta.

Phishing, spear phishing e whale phishing: quali sono le differenze?

Ogni categoria di attacco phishing presenta caratteristiche e peculiarità ben definite. Ecco una panoramica di questi elementi distintivi:

• Phishing tradizionale: vengono inviati messaggi generici a centinaia o migliaia di persone. Questi messaggi contengono solitamente link o allegati dannosi.
• Spear phishing: l’attacco è mirato verso specifici dipendenti, spesso con informazioni personalizzate per sembrare più credibile. Gli attacchi di spear phishing sono meno generici e colpiscono dipendenti di medio livello.
• Whale phishing: attacco più sofisticato che prende di mira dirigenti di alto livello. Queste offensive richiedono una preparazione molto attenta e presentano caratteri di urgenza e riservatezza.

Esempi di whale phishing

In passato, alcuni attacchi di whale phishing hanno causato danni anche molto gravi ad aziende private e organizzazioni pubbliche internazionali. Ecco una raccolta dei casi più eclatanti:

• Snapchat (2016): in questo caso l’offensiva fu rivolta alla sezione HR di Snapchat. Un criminale informatico si finse il CEO dell’azienda per chiedere i dati delle buste paga dei dipendenti. Questo attacco informatico ha portato alla compromissione delle informazioni personali di centinaia di persone.
• Levitas Capital (2020): questo attacco di tipo whaling ha colpito l’hedge fund australiano Levitas Capital. Venne inviato un invito a una video-riunione su Zoom con un malware al suo interno. Uno dei dirigenti del fondo aprì il file, permettendo agli hacker di accedere a informazioni sensibili, causando una perdita di quasi 1 milione di dollari, costringendo l’azienda alla chiusura​.
• Attacco crypto whale (2024): ad agosto 2024, un attacco phishing ha compromesso il portafoglio di un investitore cripto, portando alla perdita di 55 milioni di DAI (una stablecoin che ha un valore attuale pari a circa 1 dollaro USD). Gli attaccanti hanno convinto con l’inganno il proprietario delle criptovalute a confermare una transazione che trasferiva il controllo del wallet.

Quali sono i rischi del whaling?

Il whale phishing comporta rischi che non possono essere trascurati, come ad esempio:

• Danno emergente e lucro cessante: gli attacchi whaling spesso hanno come obiettivo sottrarre denaro. La perdita è quindi immediata ma anche sul medio-lungo periodo, vista la riduzione delle risorse che l’azienda può destinare all’investimento.
• Danni alla reputazione: nel caso in cui i dati e le risorse aziendali vengano violati o compromessi, l’immagine dell'azienda potrebbe essere messa in cattiva luce.
• Ramificazioni legali: una violazione dei dati causata da attacchi whaling può portare a sanzioni e ad azioni legali dalle parti lese contro l’azienda.

Come si riconosce un attacco whaling?

Sono diversi i segnali d’allarme che possono aiutare le potenziali vittime a riconoscere un tentativo di whaling. Scopriamoli insieme:

• Indirizzi email sospetti: verifica sempre l’indirizzo email del mittente alla ricerca di piccoli imperfezioni o altri dettagli sospetti.
• Errori grammaticali: svarioni ortografici o grammaticali sono segnali da non trascurare, anche se con l’IA sono sempre meno frequenti.
• Richieste inusuali: transazioni improvvise, informazioni sensibili e altri dati inusuali dovrebbero sempre destare sospetto, in particolar modo se sono rivolte a figure apicali.
• Scadenze impellenti: quasi sempre le email chiedono con urgenza al destinatario di svolgere un’azione (può trattarsi di un click, l’invio di un file, ecc.).

Come ci si può proteggere dagli attacchi di whaling?

Per proteggersi in modo efficace dal whale phishing serve un approccio a 360° che abbracci tecnologia, formazione, procedure e conoscenza

• Seconda verifica: in generale, è buona norma contattare il mittente tramite un altro canale (ad esempio con una telefonata) per confermare che la richiesta abbia basi solide.
• Autenticazione a più fattori (MFA): attivare questo sistema ove possibile, soprattutto per tutte le operazioni che prevedono trasferimenti di denaro o il trattamento di dati sensibili.
• Controllo degli indirizzi email: leggere con attenzione gli indirizzi email alla ricerca di errori, eventualmente cercandoli anche online per assicurarsi che siano ufficiali.
• Formazione continua: le aziende dovrebbero investire in programmi di formazione per i dipendenti per aiutarli a riconoscere e segnalare i tentativi di phishing.
• Software di sicurezza avanzati: strumenti come Threat Protection Pro™ offrono una sicurezza in più, poiché bloccano le email sospette e potenziali link dannosi.