El whaling, también conocido como CEO fraud, es un método que utilizan los ciberdelincuentes para hacerse pasar por directivos o altos cargos de grandes empresas u organizaciones y engañar a otras personas importantes dentro de estas.
Este tipo de ciberataque es una variante de phishing, cuyo objetivo es el de robar grandes sumas de dinero, conseguir información confidencial u obtener credenciales para acceder a los sistemas informáticos con fines meramente delictivos.
El modus operandi utilizado por los ciberdelincuentes es crear una cuenta de correo electrónico similar a la de algún alto cargo de la empresa. De esta manera, pueden engañar a los receptores de estos correos para que les proporcionen la información o el dinero que solicitan.
¿Podemos evitar el whaling?
La respuesta es un rotundo sí. Este tipo de ataque se puede evitar por completo si se presta atención a los consejos y pautas que se exponen a continuación:
Educar en ciberseguridad a todos los trabajadores de la organización, especialmente a los que tienen acceso a información delicada, para que se mantengan alerta ante la posibilidad de ser víctimas de estos ataques.
También deben saber detectar las señales de un ataque, como direcciones de correo electrónico y nombres de remitentes fraudulentos. Con solo dejar el cursor sobre el nombre del remitente, se puede ver la dirección de correo completa. Así se puede determinar si coincide con el nombre y el formato de la empresa.
Pedir al departamento de TI que marque automáticamente para revisión los correos con ubicaciones externas.
También se recomienda implementar software de protección contra el phishing en el que se incluyan opciones como revisión de URL y validación de vínculos.
Otro paso es añadir un nivel adicional de validación para el envío de información confidencial o grandes cantidades de dinero.
Y, por último, es recomendable considerar la posibilidad de modificar los procedimientos para que sean dos las personas que deban autorizar los pagos, en vez de una.
La entrada Ataques de ‘whaling’ se publicó primero en Redseguridad.
