Pro e-volution Safety & Quality di Francesco Pasquariello

  • linkedin
  • facebook
  • youtube
  • twitter
Home » News » Whaling: la nuova minaccia informatica
Condividi su  Facebook Condividi su  Twitter Consiglia la pagina

Whaling: la nuova minaccia informatica

Il Whaling o "caccia informatica alle balene" è una recente e sofisticata tecnica di attacco informatico che si rifà alle logiche e alle dinamiche del phishing, ben più nota forma di frode in rete, che si avvale di esche (email false) ai fini di rubare le informazioni e i dati personali degli utenti.

Questa nuova minaccia, pur riprendendo le metodiche del phishing, mira però ai vertici aziendali, e in generale a tutti quei profili, comunemente identificabili come C-Level, che all'interno di un'azienda sono in possesso sia di informazioni strettamente riservate, che di elevati poteri decisionali e di spesa.

La diffusione del whaling è in gran parte dovuta al fatto che ingannare il CEO di un'azienda,facendolo "abboccare" ad un'e-mail fittizia, può rivelarsi estremamente complicato.Inoltre, spesso, i team aziendali di sicurezza informatica adottano politiche più rigorose e misure di sicurezza maggiori per proteggere i propri C-Level.

Tuttavia essendo la vittima un soggetto di rilievo, e pertanto ben noto, l'hacker avrà modo di studiarne preventivamente abitudini e relazioni professionali, per poi strutturare un attacco ad-hoc, aumentando esponenzialmente le probabilità di successo.

A causa delle dinamiche appena descritte, le e-mail e i siti web realizzati e utilizzati per gli attacchi di whaling possono risultare incredibilmente verosimili e particolarmente difficili da smascherare.

In che modo, dunque, aziende e professionisti possono difendersi da tale minaccia?

Suggerimenti per le aziende:
• creare consapevolezza sul fenomeno, prevedendo formazione e sensibilizzazione specifica per i profili C-Level;
• organizzare e simulare periodiche campagne interne di whaling, così da affinare le capacità di difesa dei propri C-Level;
• incoraggiare i dipendenti di tutti i livelli a verificare, attraverso un secondo canale, le fonti di eventuali richieste urgenti pervenute via e-mail, ad esempio chiedendo conferma di persona al mittente o contattando quest'ultimo via telefono o SMS;
• limitare il più possibile la condivisione di informazioni sui propri C-Level, ad esempio tramite il sito web o gli account social aziendali.

Suggerimenti per i C-Level:
• imparare a mettere in dubbio, per impostazione predefinita, anche le e-mail dall'aspetto più familiare, soprattutto se contenenti richieste a carattere d'urgenza, ricordandosi sempre che tale tipologia di attacco presuppone una preventiva ed approfondita raccolta di informazioni sulle vittime;
• cercare di limitare la condivisione di informazioni personali e professionali, in particolare attraverso i vari social network.

Se non ti sei ancora adeguato alla vigente normativa in materia di privacy e trattamento dei dati, contattaci e richiedi una consulenza gratuita.

Tel. 075 9696024 - Email: gdpr@proe-volution.it

Chiedi informazioni Stampa la pagina

Vedi anche