Whaling
In ambito informatico il whaling (detto anche «Compromissione della posta elettronica aziendale» o Business email compromise) è una forma particolare di phishing, un'attività illegale che sfrutta sofisticate tecniche di ingegneria sociale per ottenere l'accesso a informazioni personali o riservate, e specificamente informazioni di rilevante valore economico e commerciale.
Parecchi recenti attacchi di phishing sono stati diretti specificamente verso senior executive e altre persone di elevato profilo del mondo della finanza e dell'industria in generale, ed il termine whaling è stato coniato proprio per questi tipi di attacco con l'intenzione di specificare la "grandezza" e l'importanza degli obiettivi (dall'inglese whale - balena, nell'accezione di grande pesce da far abboccare).
In genere un attacco prende di mira ruoli specifici dei dipendenti all'interno di un'organizzazione inviando una o più e-mail di spoofing che rappresentano in modo fraudolento un grande imprenditore (CEO o simile) o un cliente fidato[1]. L'email fornirà istruzioni, come l'approvazione dei pagamenti o il rilascio dei dati del cliente. Le e-mail utilizzano spesso l'ingegneria sociale per indurre la vittima a effettuare trasferimenti di denaro sul conto bancario del truffatore[2].
L'impatto finanziario mondiale è ampio. Il Federal Bureau of Investigation degli Stati Uniti ha registrato 26 miliardi di dollari di perdite statunitensi e internazionali associate agli attacchi BEC tra giugno 2017 e luglio 2019[3].
Incidenti
modifica- Te Wananga o Aotearoa in Nuova Zelanda è stato truffato di $ 120.000 (NZD)[4].
- Nel 2013 Evaldas Rimasauskas e i suoi dipendenti hanno inviato migliaia di e-mail di frode per ottenere l'accesso ai sistemi di posta elettronica delle aziende[5].
- Il servizio antincendio della Nuova Zelanda è stato truffato per $ 52.000 nel 2015[6].
- Ubiquiti Networks ha perso $ 46,7 milioni a causa di una tale truffa nel 2015[7].
- L'azienda aerospaziale austriaca FACC AG è stata truffata per 42 milioni di euro (47 milioni di dollari) da un attacco nel febbraio 2016 e successivamente ha licenziato sia il CFO che il CEO[8].
- Save the Children USA è stata vittima di una cyberscam da 1 milione di dollari nel 2017[9].
- Lo zoo di Dublino ha perso € 130.000 in una tale truffa nel 2017: è stato preso un totale di € 500.000, anche se la maggior parte è stata recuperata[10].
- Le organizzazioni australiane che hanno segnalato attacchi di compromissione della posta elettronica aziendale alla Australian Competition and Consumer Commission hanno subito perdite finanziarie per circa $ 2.800.000 (AUD) per l'anno 2018[11].
Note
modifica- ^ Joan Goodchild, How to Recognize a Business Email Compromise Attack, su Security Intelligence, 20 giugno 2018. URL consultato l'11 marzo 2019.
- ^ (EN) Tips to Avoid Phishing Attacks and Social Engineering, su bankinfosecurity.com. URL consultato il 17 novembre 2020.
- ^ Business Email Compromise Is Extremely Costly And Increasingly Preventable, su forbes.com, Forbes Media LLC, 15 aprile 2020. URL consultato il 2 dicembre 2020.
- ^ Te Wananga o Aotearoa caught up in $120k financial scam, su nzherald.co.nz, NZ Herald. URL consultato il 20 dicembre 2018.
- ^ (EN) Sentence in BEC Scheme, su Federal Bureau of Investigation. URL consultato il 1º febbraio 2020.
- ^ Fire Service scammed out of $52,000, in RNZ News, 23 dicembre 2015. URL consultato il 20 dicembre 2018.
- ^ Robert Hackett, Fraudsters duped this company into handing over $40 million, in Fortune magazine, 10 agosto 2015. URL consultato il 20 dicembre 2018.
- ^ Austria's FACC, hit by cyber fraud, fires CEO, in Reuters, 26 maggio 2016. URL consultato il 20 dicembre 2018.
- ^ Todd Wallack, Hackers fooled Save the Children into sending $1 million to a phony account, in The Boston Globe, 13 dicembre 2018. URL consultato il 20 dicembre 2018.
- ^ https://www.irishexaminer.com/ireland/dublin-zoo-lost-500k-after-falling-victim-to-cyber-scam-464818.html
- ^ Dominic Powell, Business loses $300,000 to 'spoofed' email scam: How to protect yourself from being impersonated, in Smart Company, 27 novembre 2018. URL consultato il 14 dicembre 2018.