No cenário da segurança da informação, o termo "whaling" descreve ataques de phishing meticulosamente orquestrados, mirando indivíduos de destaque dentro de organizações – como líderes empresariais e figuras políticas – ou personalidades de grande influência social, a exemplo de artistas e celebridades.
A denominação "whaling" nasce de um engenhoso trocadilho com as palavras inglesas "whale" (baleia) e "phishing". No universo dos cassinos, "baleias" são os jogadores de elevadas apostas, agraciados com tratamento e serviços exclusivos. A analogia se estende ao mundo corporativo, onde "big fish" (peixe grande) é uma gíria para pessoas de alta hierarquia. Assim, o uso do termo "whale" (baleia) se encaixa perfeitamente a essa convenção.
Por se tratar de uma investida altamente personalizada contra um alvo específico ou um grupo muito seletivo – como membros de um conselho administrativo –, o whaling demanda uma fase de coleta de informações extremamente detalhada. As mensagens eletrônicas, as páginas web fraudulentas e as táticas de engenharia social empregadas para sustentar o ataque de phishing são concebidas e elaboradas sob medida para esses alvos. Consequentemente, são ataques que exigem considerável esforço, mas que carregam o potencial de recompensas financeiras significativas.
É crucial ressaltar que essas técnicas de whaling representam um desafio para os sistemas de segurança corporativa, uma vez que sua natureza altamente direcionada resulta em um volume de tráfego muito baixo em comparação com outras modalidades de phishing, dificultando a detecção.
Exemplos de Whaling em Ação
A relevância teórica ganha peso diante da realidade dos riscos. Ataques de whaling parecem estar em ascensão. Apesar de serem manobras de engenharia social sofisticadas e que demandam preparo apurado, podem gerar lucros substanciais com riscos relativamente controlados. Ilustramos com alguns casos:
Em fevereiro de 2015, criminosos cibernéticos, através de um ataque de whaling, induziram um executivo de alto escalão de uma empresa de comércio de commodities a transferir a expressiva quantia de 17 milhões de dólares para uma instituição bancária chinesa.
Em janeiro de 2016, uma fabricante de componentes aeronáuticos confirmou um prejuízo de 50 milhões de euros, resultante de um ataque de phishing especificamente elaborado para seus executivos.
Estratégias de Defesa Contra o Whaling
Como mencionado anteriormente, a sutileza desses ataques frequentemente os torna invisíveis aos sistemas automatizados de detecção, pois as comunicações – geralmente por e-mail – são altamente personalizadas e de baixo volume, não acionando os alertas de segurança convencionais.
Nesse contexto, a defesa mais eficaz reside na robusta conscientização de todos os colaboradores com poder de autorizar transações financeiras relevantes, independentemente de sua posição hierárquica. Diante de qualquer solicitação incomum, é imprescindível a confirmação direta com a pessoa que supostamente a originou. Assim, qualquer funcionário deve buscar a validação de seu superior diante de um pedido atípico supostamente emanado do diretor geral, e alguém na linha de comando deve contatar o alto executivo para verificar a autenticidade da solicitação – prevenindo, assim, um possível ataque de whaling.
De igual modo, membros de conselhos e diretores gerais devem internalizar a importância de seguir rigorosamente os procedimentos internos da empresa, como medida fundamental para fortalecer a segurança organizacional.
O artigo "Whaling" foi escrito no site Securizando.
Disponível em: https://securizando.com/whaling/
