Whaling

 

La evolución del phishing

Phishing es la práctica fraudulenta de enviar correos electrónicos que supuestamente provienen de compañías legítimas para inducir a personas a divulgar información privada, como contraseñas y otra información personal.

El problema con esta técnica para el atacante es que el retorno de datos puede ser muy bajo.

Whaling es el siguiente paso en la evolución del phishing, dirigida a objetivos específicos de una organización con trampas cuidadosamente elegidas con la esperanza de lograr que el receptor realice la acción deseada y facilite los deseados datos.

La mayoría de los correos electrónicos de phishing son bastante genéricos y siguen la misma fórmula: Notamos una actividad de cuenta inusual … haga clic aquí para proteger su cuenta

Es un señuelo común y la mayoría de los correos electrónicos de phishing siguen esta plantilla general. Sin embargo, cuando se Whaling el correo electrónico es específico.

Cómo funcionan estas campañas, paso a paso, desde la perspectiva de un recolector de datos:

    • Seleccionar la empresa a la que desea hackear.
    • Identificar los departamentos de la empresa que guardan los datos.
    • Usar recursos como LinkedIn y otras redes sociales para identificar las personas objetivo que son empleados de la empresa que controlan estos departamentos.
    • Identificar los correos correctos de las personas objeto de Whaling. Si no obtiene los correos hay que  identificar los acrónimos de la empresa para las direcciones de correo electrónico. Para descubrir l los acrónimos de la compañía, comience por crear una cuenta de correo electrónico Gmail y envíe correos de prueba. Una vez rebotan es una forma de confirmar los acrónimos y la dirección de correo electrónico correcta. Crear un correo electrónico con una línea de asunto de Prueba sin contexto en el correo electrónico y lo envía a los diferentes acrónimos .
      Ejemplo: First.Last@domain.com / FirstInitialLastname@domain.com
      Ver que mails rebotan, los que no rebotan es probable que correspondan con el mail de un objetivo.
    • Investigar tratos y asociados de la compañía y enviar un correo electrónico falsificando el dominio de esa compañía con algunas medidas para lograr que el objetivo realice la función deseada.
    • Repetir el procedimiento con otros objetivos de la compañía. Los objetivos válidos son ejecutivos, finanzas, recursos humanos y cualquier empleado que tenga acceso a los datos.
      Enviar al departamento de finanzas un mail con una factura de un proveedor, pero con de enrutamiento propio.
      Para el departamento de marketing, un mail con un comunicado de prensa con un documento de Word adjunto alojado en nuestro servidor, para ver quién descarga y abre el documento. Para los ejecutivos, enviar un correo con un link como si fuera el CEO o un miembro de la junta. Esto puede llevar un tiempo, pero es posible obtener gran cantidad de datos jugosos.