Whaling

In ambito informatico il whaling (detto anche «Compromissione della posta elettronica aziendale» o Business email compromise) è una forma particolare di phishing, un'attività illegale che sfrutta sofisticate tecniche di ingegneria sociale per ottenere l'accesso a informazioni personali o riservate, e specificamente informazioni di rilevante valore economico e commerciale.

Parecchi recenti attacchi di phishing sono stati diretti specificamente verso senior executive e altre persone di elevato profilo del mondo della finanza e dell'industria in generale, ed il termine whaling è stato coniato proprio per questi tipi di attacco con l'intenzione di specificare la "grandezza" e l'importanza degli obiettivi (dall'inglese whale - balena, nell'accezione di grande pesce da far abboccare).

In genere un attacco prende di mira ruoli specifici dei dipendenti all'interno di un'organizzazione inviando una o più e-mail di spoofing che rappresentano in modo fraudolento un grande imprenditore (CEO o simile) o un cliente fidato^[1]. L'email fornirà istruzioni, come l'approvazione dei pagamenti o il rilascio dei dati del cliente. Le e-mail utilizzano spesso l'ingegneria sociale per indurre la vittima a effettuare trasferimenti di denaro sul conto bancario del truffatore^[2].

L'impatto finanziario mondiale è ampio. Il Federal Bureau of Investigation degli Stati Uniti ha registrato 26 miliardi di dollari di perdite statunitensi e internazionali associate agli attacchi BEC tra giugno 2017 e luglio 2019^[3].

Incidenti[modifica | modifica wikitesto]

Te Wananga o Aotearoa in Nuova Zelanda è stato truffato di $ 120.000 (NZD)^[4].
Nel 2013 Evaldas Rimasauskas e i suoi dipendenti hanno inviato migliaia di e-mail di frode per ottenere l'accesso ai sistemi di posta elettronica delle aziende^[5].
Il servizio antincendio della Nuova Zelanda è stato truffato per $ 52.000 nel 2015^[6].
Ubiquiti Networks ha perso $ 46,7 milioni a causa di una tale truffa nel 2015^[7].
L'azienda aerospaziale austriaca FACC AG è stata truffata per 42 milioni di euro (47 milioni di dollari) da un attacco nel febbraio 2016 e successivamente ha licenziato sia il CFO che il CEO^[8].
Save the Children USA è stata vittima di una cyberscam da 1 milione di dollari nel 2017^[9].
Lo zoo di Dublino ha perso € 130.000 in una tale truffa nel 2017: è stato preso un totale di € 500.000, anche se la maggior parte è stata recuperata^[10].
Le organizzazioni australiane che hanno segnalato attacchi di compromissione della posta elettronica aziendale alla Australian Competition and Consumer Commission hanno subito perdite finanziarie per circa $ 2.800.000 (AUD) per l'anno 2018^[11].

Note[modifica | modifica wikitesto]

^ Joan Goodchild, How to Recognize a Business Email Compromise Attack, su Security Intelligence, 20 giugno 2018. URL consultato l'11 marzo 2019.
^ (EN) Tips to Avoid Phishing Attacks and Social Engineering, su bankinfosecurity.com. URL consultato il 17 novembre 2020.
^ Business Email Compromise Is Extremely Costly And Increasingly Preventable, su forbes.com, Forbes Media LLC, 15 aprile 2020. URL consultato il 2 dicembre 2020.
^ Te Wananga o Aotearoa caught up in $120k financial scam, su nzherald.co.nz, NZ Herald. URL consultato il 20 dicembre 2018.
^ (EN) Sentence in BEC Scheme, su Federal Bureau of Investigation. URL consultato il 1º febbraio 2020.
^ Fire Service scammed out of $52,000, in RNZ News, 23 dicembre 2015. URL consultato il 20 dicembre 2018.
^ Robert Hackett, Fraudsters duped this company into handing over $40 million, in Fortune magazine, 10 agosto 2015. URL consultato il 20 dicembre 2018.
^ Austria's FACC, hit by cyber fraud, fires CEO, in Reuters, 26 maggio 2016. URL consultato il 20 dicembre 2018.
^ Todd Wallack, Hackers fooled Save the Children into sending $1 million to a phony account, in The Boston Globe, 13 dicembre 2018. URL consultato il 20 dicembre 2018.
^ https://www.irishexaminer.com/ireland/dublin-zoo-lost-500k-after-falling-victim-to-cyber-scam-464818.html
^ Dominic Powell, Business loses $300,000 to 'spoofed' email scam: How to protect yourself from being impersonated, in Smart Company, 27 novembre 2018. URL consultato il 14 dicembre 2018.

Voci correlate[modifica | modifica wikitesto]

Portale Sicurezza informatica: accedi alle voci di Wikipedia che trattano di sicurezza informatica

[1] Joan Goodchild, How to Recognize a Business Email Compromise Attack, su Security Intelligence, 20 giugno 2018. URL consultato l'11 marzo 2019.

[2] (EN) Tips to Avoid Phishing Attacks and Social Engineering, su bankinfosecurity.com. URL consultato il 17 novembre 2020.

[3] Business Email Compromise Is Extremely Costly And Increasingly Preventable, su forbes.com, Forbes Media LLC, 15 aprile 2020. URL consultato il 2 dicembre 2020.

[4] Te Wananga o Aotearoa caught up in $120k financial scam, su nzherald.co.nz, NZ Herald. URL consultato il 20 dicembre 2018.

[5] (EN) Sentence in BEC Scheme, su Federal Bureau of Investigation. URL consultato il 1º febbraio 2020.

[6] Fire Service scammed out of $52,000, in RNZ News, 23 dicembre 2015. URL consultato il 20 dicembre 2018.

[7] Robert Hackett, Fraudsters duped this company into handing over $40 million, in Fortune magazine, 10 agosto 2015. URL consultato il 20 dicembre 2018.

[8] Austria's FACC, hit by cyber fraud, fires CEO, in Reuters, 26 maggio 2016. URL consultato il 20 dicembre 2018.

[9] Todd Wallack, Hackers fooled Save the Children into sending $1 million to a phony account, in The Boston Globe, 13 dicembre 2018. URL consultato il 20 dicembre 2018.

[10] ttps://www.irishexaminer.com/ireland/dublin-zoo-lost-500k-after-falling-victim-to-cyber-scam-464818.html

[11] Dominic Powell, Business loses $300,000 to 'spoofed' email scam: How to protect yourself from being impersonated, in Smart Company, 27 novembre 2018. URL consultato il 14 dicembre 2018.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

Whaling

Incidenti[modifica | modifica wikitesto]

Note[modifica | modifica wikitesto]

Voci correlate[modifica | modifica wikitesto]

Menu di navigazione

Ricerca