Quando um gerente de um fundo de hedge abriu um convite aparentemente inofensivo para uma reunião no Zoom, não fazia ideia da devastação corporativa que estava prestes a se desenrolar. O convite continha malware, que permitiu aos cibercriminosos sequestrar sua conta de e-mail. A partir daí, os criminosos agiram com rapidez: passando-se pelo executivo, autorizaram transferências financeiras para o pagamento de faturas falsas enviadas ao fundo.

No total, foram aprovados cerca de R$ 46,8 milhões em cobranças falsas, um golpe equivalente a US$ 8,7 milhões. O ataque acabou selando o destino da Levitas Capital, ao provocar a saída de um de seus maiores clientes e comprometer a confiança no negócio.

Infelizmente, ataques desse tipo contra executivos de alto escalão estão longe de ser raros. Afinal, por que se contentar com peixes pequenos quando as “whales (baleias)” podem render fortunas?

O que é um ataque de whaling?

Simplificando, um ataque cibernético whaling é aquele direcionado a um membro sênior e de alto perfil de uma equipe de liderança corporativa. Ele pode vir na forma de mensagens de phishing/smishing/vishing ou de uma tentativa de comprometimento de e-mail comercial (BEC). O principal diferencial de um ataque típico de spearphishing ou BEC é o alvo.

Por que as “whales” são alvos tão interessantes? Afinal, em termos numéricos, há bem menos executivos do que funcionários comuns. Ainda assim, três atributos principais ajudam a explicar essa escolha. Executivos seniores (incluindo membros da diretoria) geralmente são:

  • Têm pouco tempo, o que significa que podem clicar em um e-mail de phishing, abrir um anexo malicioso ou aprovar uma solicitação de transferência fraudulenta sem examiná-la adequadamente. Eles também podem desativar ou ignorar controles de segurança, como a autenticação multifator (MFA), para economizar tempo.
  • Altamente visível on-line. Isso permite que os cibercriminosos coletem informações para criar ataques convincentes de engenharia social, como e-mails falsificados como se viessem de um subordinado ou de um assistente pessoal.
  • Com poder para acessar informações corporativas altamente confidenciais e lucrativas (por exemplo, dados de IP e financeiros) e para aprovar ou solicitar transferências de grandes quantias de dinheiro.

Como esse tipo de ataque normalmente ocorre?

Assim como um ataque regular de spear phishing ou BEC, o whaling requer um certo trabalho de base para ter uma boa chance de sucesso. Isso significa que os cibercriminosos provavelmente realizarão um reconhecimento detalhado de seu alvo. Não costuma haver escassez de informações disponíveis publicamente que possam ser exploradas, incluindo perfis em redes sociais, o site institucional da empresa, entrevistas na imprensa e até vídeos de apresentações públicas.

Além do básico, eles vão querer saber informações sobre os principais subordinados e colegas, ou informações corporativas que possam ser usadas como pretexto para a engenharia social, como atividades de fusões e aquisições ou eventos da empresa. Isso também pode ajudar o cibercriminoso a entender seus interesses pessoais e até mesmo o estilo de comunicação se o objetivo final for se passar pela "whale".

De posse dessas informações, o criminoso geralmente cria um e-mail de spear phishing ou de BEC, falsificado para parecer que foi enviado por uma fonte confiável. Em seguida, recorre à tática clássica da engenharia social: criar um senso de urgência, aumentando as chances de que o destinatário tome decisões precipitadas.

O objetivo final, às vezes, é enganar a vítima para que ela divulgue seus logins ou instale, sem querer, malware e spyware para roubar informações. Essas credenciais podem ser usadas para acessar segredos corporativos que podem ser rentabilizados. Ou para sequestrar sua conta de e-mail a fim de lançar ataques de BEC contra subordinados, fazendo-se passar por uma whale para conseguir que um peixe menor faça uma grande transferência de dinheiro. Como alternativa, o fraudador pode se passar pelo chefe da "whale" para induzi-lo a autorizar uma transferência de fundos.

A IA mudou as regras

Infelizmente, a IA está tornando essas tarefas ainda mais fáceis para os bandidos. Usando LLMs desbloqueados ou modelos de código aberto, eles podem aproveitar as ferramentas de IA para coletar grandes quantidades de dados sobre alvos a fim de ajudar no reconhecimento das vítimas. E, em seguida, usar a IA generativa (GenAI) para criar e-mails ou textos convincentes em uma linguagem natural impecável. Essas ferramentas podem até ser usadas para adicionar contexto útil e/ou imitar o estilo de escrita do remetente.

A GenAI pode ser usada para alavancar a tecnologia deepfake para ataques de vishing altamente convincentes ou até mesmo para criar vídeos personificando executivos de alto nível, a fim de convencer o alvo a fazer uma transferência de dinheiro. Com a IA, os ataques whaling aumentam em escala e eficácia, à medida que recursos sofisticados são democratizados para mais cibercriminosos.

A grande recompensa

Não é preciso dizer o que está em jogo aqui. Um grande ataque de BEC pode resultar na perda de milhões de reais em receita. E uma vazamento de dados corporativos confidenciais pode levar a multas regulatórias, ações judiciais coletivas e interrupção operacional.

O prejuízo à reputação pode ser ainda pior, como descobriu a Levitas Capital. O fundo de hedge conseguiu, no final, bloquear a maioria das transações aprovadas. Mas isso não foi suficiente para impedir que um de seus maiores clientes desistisse, derrubando o fundo de US$ 75 milhões (cerca de R$ 390 milhões) no processo. Em um nível mais pessoal, os executivos enganados costumam ser bodes expiatórios de seus superiores após incidentes como esse.

Do treinamento aos controles

Há várias maneiras pelas quais as equipes de cibersegurança podem ajudar a reduzir os riscos de ataques de spearphishing e BEC. Mas elas nem sempre são bem-sucedidas quando confrontadas com um executivo sênior que pode achar que as regras não se aplicam a ele. É por isso que os exercícios de treinamento específicos para executivos envolvendo simulações são tão importantes. Eles devem ser altamente personalizados e mantidos em lições curtas e gerenciáveis, incorporando as mais recentes TTPs de cibercriminosos, inclusive vídeo/áudio deepfake.

Esses exercícios devem ser apoiados por controles e processos de segurança aprimorados. Isso poderia incluir um processo de aprovação rigoroso para transferências de grandes quantias de dinheiro, possivelmente exigindo a assinatura de duas pessoas e/ou a verificação por meio de um canal alternativo conhecido.

As ferramentas de IA também podem ajudar os defensores da rede. Considere a segurança de e-mail baseada em IA projetada para detectar padrões suspeitos de comunicação, remetentes e conteúdo. E um software de detecção de deepfake para sinalizar chamadas potencialmente maliciosas em tempo real. Uma abordagem Zero Trust também pode oferecer alguma resiliência útil. Ao aplicar o privilégio mínimo e o acesso just-in-time, ela minimizará o que os executivos podem acessar e garantirá que seus logins nunca sejam confiáveis por padrão.

De modo mais geral, sua organização pode querer começar a limitar o tipo de informação corporativa que compartilha publicamente. Em um mundo em que a IA está em toda parte, os meios para encontrar e transformar essas informações em armas estão agora nas mãos de muitos, não de poucos.