Seguridad Informática para Empresas – Servicios de Ciberseguridad

Whaling Phishing

Fernando Manzano Sainz // 21 de noviembre de 2018

Whaling Phishing

Saltan a escena muchos casos sobre famosos o empresas que han sido víctimas de phishing. Por dicha razón, en el artículo anterior tratábamos el Spear phishing una de las modalidades del phishing que se centraba en atacar a pequeños grupos de usuarios para realizar los ataques. En este caso hablaremos de otra tipología llamada Whaling Phishing.

Por lo tanto en este artículo continuaremos ahondando en otra las modalidades del phishing, explicando las diferencias entre las distintas modalidades.

¿Qué es el Whaling phishing?

El “Whaling Phishing” es una variante de Phishing que consiste en atacar a un directivo importante de un grupo empresarial, un político o una celebridad.

Esta variante de Phishing es altamente especializada pues exige una planificación muy elaborada, con un estudio amplio sobre la víctima. Sin embargo, la recompensa potencial puede ser muy alta dada la relevancia del objetivo.

Este tipo de ataques son realmente difíciles de detectar ya que utilizan detalles muy específicos sobre las víctimas.

¿Cómo se realiza?

Whaling phishing

¿Qué diferencias existen entre las diferentes modalidades de phishing?

phishing

Para explicar las diferencias entre los distintos tipos utilizaremos de ejemplo a Pedro de protagonista. Imaginaos que Pedro quiere viajar a Berlin por negocios. Lo primero que hace es reservar su vuelo a través de un comparador de vuelos que le redirige a una web no segura donde encuentra el billete que desea. 

Al día siguiente Pedro recibe una llamada de un supuesto trabajador de la aerolínea  (atacante) que le solicita los datos personales, datos de identificación, pasaporte y una cuenta de e-mail. Pedro al comprar el billete para negocios ofrece tanto sus datos personales como un e-mail corporativo donde se especifican el logo, dirección y datos de contacto del departamento de la empresa. Hasta el momento el atacante está utilizando la técnica del vising, ya que únicamente utiliza una vía telefónica para engañar a Pedro.

Ahora imaginemos que Pedro trabaja en el departamento de Recursos Humanos y el atacante pretende averiguar los datos de las nominas de los trabajadores de la empresa. El atacante elabora un mail personalizado expresamente para el departamento de recursos humanos.

Dicho departamento cuenta con aproximadamente con 50 trabajadores y uno de ellos hace click en un enlace que le redirige a una web que instala un malware dando acceso al atacante al ordenador del empleado. Pues este ataque sería denominado como Spear Phishing, ya que unicamente se centra en el departamento de Recursos Humanos.

Por último el atacante sabe que el jefe de Pedro se llama Martín Perez y accediendo a sus redes sociales el ciber atacante descubre que Martin tiene un a hija y es un apasionado del pádel. Con toda esa información elabora un mail haciendose pasar por su CEO para pedirle los datos de acceso a una base de datos sobre clientes específica y lo hace elaborando un correo con los datos corporativos y personales. En este caso sería un ataque de whaling phishing ya que va destinado a un directivo.

Por no seguir las buenas practicas, Pedro ha comprometido los datos de la empresa y a sus clientes. 

Para saber que se debe de hacer para evitar estas situaciones revisa nuestro articulo sobre spear phishing

¿Qué posibles consecuencia podría tener?

Debido a lo difícil de identificar los ataques de Whaling, muchas compañías son víctimas de ellos. El ejemplo más sonado se produjo en 2016 cuando un alto dirigente de Snapchat recibió un e-mail de un cibercriminal. El criminal se hizo pasar por el CEO y pidió todos los datos sobre las nominas de los empleados.

Este incidente obligo a la empresa, en primer lugar a informar a las autoridades y en segundo lugar ofrecer a los empleados dos años de seguro contra robo de identidad gratuito durante 2 años.

Fernando Manzano Sainz | Cybersecurity Consultant in R3 CyberSecurity

Comparte el post con tus amigos

CON LA CONFIANZA DE

logos2

ÚNETE AL EQUIPO

Conoce todas las oportunidades profesionales que te permitirán alcanzar tus metas personales.

R3 Ciberseguridad

© R3 CyberSecurity