Il whale phishing o whaling è una tipologia di phishing particolarmente pericolosa: un attacco mirato, che prende di mira professionisti di spicco all’interno di aziende e associazioni. Personalità che spesso sono in possesso di dati sensibili di grande valore.

Il phishing “classico” tendenzialmente punta alla quantità: lo scammer invia centinaia di migliaia di email, nella speranza di riuscire ad agganciare il maggior numero possibile di bersagli. Di conseguenza il messaggio inoltrato è inevitabilmente generico.

Il whale phishing invece viene realizzato su misura: il tipo di “gancio” e la minaccia successiva vengono pensati proprio per fare presa sulla vittima designata. Per fortuna può essere contrastato ricorrendo a pratiche di semplice buon senso. 

I pericoli del whale phishing

Il principio dei diversi reati informatici che rientrano sotto il nome di “phishing” è grosso modo il medesimo. Si parte da una comunicazione fittizia, che promette un vantaggio o un pericolo imminente. Dopodiché si chiede alla vittima di cliccare su un link o di inviare dei dati per risolvere la situazione.

Il whale phishing si differenzia da quello tradizionale perchè è più specifico e dettagliato, studiato per colpire una persona specifica.

Questi dati verranno poi immagazzinati dallo scammer. Possono venire utilizzati per semplici operazioni di spam, ma possono anche portare a conseguenze ben più gravi: dai danni di reputazione a veri e propri furti di denaro. 

Si parla di spear phishing nel caso in cui la comunicazione fittizia venga realizzata con l’obiettivo di ingannare una persona specifica. Questa tipologia di attacco ricorre agli stessi meccanismi del phishing generico, ma viene preparato con un livello di consapevolezza molto superiore.

Lo stesso discorso vale per il whale phishing: una caccia al pesce grosso, che punta a colpire personalità in qualche modo di rilievo. La vittima prediletta sono dunque i manager, i CEO o addirittura i proprietari di impresa. Bersagli di altissimo spessore, detentori di risorse e dati particolarmente preziosi

Difendersi dal whale phishing

Si è visto come le tattiche del whaling siano bene o male le stesse di tanti attacchi informatici simili. Dunque per difendersi è possibile ricorrere alle medesime strategie: comportamenti all’insegna soprattutto dell’attenzione.

Partiamo da un esempio plausibile: una email di whale phishing indirizzata a un professionista di un’azienda potrebbe simulare una richiesta da parte di un altro reparto. Per fare un primo test di verifica sulla comunicazione, sarà sufficiente leggere con cura l’indirizzo email del mittente e il corpo del messaggio.

In entrambi i casi ogni errore o incongruenza va preso come un segnale d’allarme. Lo stesso discorso riguarda possibili tentativi di truffa perpetrati attraverso lo smartphone: messaggi di testo, messaggi su Whatsapp, persino chiamate vocali.

Il whale phishing è costruito per colpire la vittima prescelta, ma contiene dei segnali che permettono di riconoscere la truffa e difendersi.

In conclusione, cambiano le modalità di ingaggio, le tecniche e le strategie, ma questo tipo di truffa continua ad essere più o meno la stessa. Il whale phishing quindi non è così nuovo come sembra: e questo vuol dire che siamo già in grado di contrastarlo.

Per saperne di più: Sicurezza informatica, come navigare sicuri sul web

A cura di Cultur-e Costruisci il tuo futuro con la connessione Fastweb