"La caza de ballenas" es una forma específica de phishing dirigida a ejecutivos de negocios de alto perfil, gerentes y similares. Es diferente del phishing normal, ya que con la caza de ballenas, los correos electrónicos o las páginas web que sirven a la estafa toman un aspecto más oficial o serio y generalmente están dirigidos a alguien en particular.
Por perspectiva, el phishing no ballenero habitual suele ser un intento de obtener la información de inicio de sesión de alguien en un sitio de redes sociales o en un banco. En esos casos, el sitio / correo electrónico de suplantación de identidad (phishing) parece bastante normal, mientras que, en la caza de ballenas, la página está diseñada para dirigirse específicamente al gerente / ejecutivo en el que se coloca el ataque.
Nota: "Spear phishing" es un ataque de phishing contra alguien específico, como un individuo o una empresa. Por lo tanto, la caza de ballenas también puede considerarse phishing de lanza.
¿Cuál es el objetivo de la caza de ballenas?
El punto es estafar a alguien en el gerente superior para que divulgue información confidencial de la compañía. Esto generalmente viene en forma de una contraseña para una cuenta confidencial, a la que el atacante puede acceder para obtener más información.
El final del juego en todos los ataques de phishing como la caza de ballenas es asustar al receptor; para convencerlos de que deben tomar medidas para proceder, como evitar los honorarios legales, evitar el despido, impedir que la empresa se declare en bancarrota, etc.
¿Cómo se ve una estafa 'de caza de ballenas'?
La caza de ballenas, como cualquier juego de phishing, implica una página web o correo electrónico que se hace pasar por uno legítimo y urgente. Están diseñados para parecerse a un correo electrónico comercial crítico o algo de alguien con autoridad legítima, ya sea externa o incluso internamente desde la propia compañía.
El intento de caza de ballenas puede parecer un enlace a un sitio web normal con el que está familiarizado. Probablemente le pida su información de inicio de sesión como usted esperaría. Sin embargo, si no tienes cuidado, lo que pasa después es el problema.
Cuando intenta enviar su información a los campos de inicio de sesión, es probable que se le indique que la información era incorrecta y que debería intentarlo de nuevo. No se hizo daño, ¿verdad? Acaba de ingresar su contraseña incorrectamente, ¡aunque esa es la estafa!
Lo que sucede detrás de la escena es que cuando ingresas tu información en el sitio falso (que realmente no puede iniciar sesión porque no es real), la información que ingresaste se envía al atacante y luego eres redirigido a la sitio web real Intenta tu contraseña de nuevo y funciona bien.
En este momento, no tiene idea de que la página era falsa y de que alguien simplemente robó su contraseña. Sin embargo, el atacante ahora tiene su nombre de usuario y contraseña para el sitio web en el que pensó que inició sesión.
En lugar de un enlace, la estafa de phishing puede hacer que descargue un programa para ver un documento o imagen. El programa, ya sea real o no, también tiene un tono malicioso que se usa para rastrear todo lo que escribe o elimina cosas de su computadora.
¿En qué se diferencia la caza de ballenas de otras estafas de phishing
En una estafa de phishing regular, la página web / correo electrónico puede ser una advertencia falsa de su banco o PayPal. La página falsificada puede asustar al objetivo con reclamos de que su cuenta ha sido acusada o atacada, y que deben ingresar su ID y contraseña para confirmar el cargo o verificar su identidad.
En el caso de la caza de ballenas, la página web / correo electrónico de enmascaramiento adoptará una forma más seria de nivel ejecutivo. El contenido se diseñará para dirigirse a un gerente superior como el CEO o incluso solo a un supervisor que podría tener mucha influencia en la compañía o que podría tener credenciales para cuentas valiosas.
El correo electrónico de caza de ballenas o el sitio web pueden venir en forma de una citación falsa, un mensaje falso del FBI o algún tipo de queja legal crítica.
¿Cómo me protejo de los ataques 'balleneros'?
La forma más fácil de protegerse de caer en una estafa de caza de ballenas es ser consciente de lo que hace clic. Es realmente tan simple. Dado que la caza de ballenas ocurre a través de correos electrónicos y sitios web, puede evitar todos los enlaces falsos entendiendo qué es real y qué no lo es.
Ahora, no siempre es posible saber lo que es falso. A veces, recibe un nuevo correo electrónico de alguien a quien nunca ha enviado un correo electrónico antes y es posible que le envíen algo que parezca completamente legítimo.
Sin embargo, si observa la URL en su navegador web y se asegura de mirar alrededor del sitio, aunque sea brevemente, en busca de cosas que parezcan un poco desfavorables, puede reducir considerablemente sus posibilidades de ser atacado de esta manera.
¿Los ejecutivos y gerentes realmente caen en estos correos electrónicos de "caza de ballenas"?
Sí, desafortunadamente, los gerentes a menudo se enojan con estafas por correo electrónico. Tomemos como ejemplo la estafa de caza de ballenas del FBI de 2008.
Alrededor de 20,000 CEO corporativos fueron atacados y aproximadamente 2000 de ellos cayeron en la estafa de la caza de ballenas haciendo clic en el enlace del correo electrónico. Creían que descargaría un complemento especial del navegador para ver la citación completa.
En verdad, el software vinculado era un keylogger que secretamente registraba las contraseñas de los CEO y enviaba esas contraseñas a los estafadores. Como resultado, cada una de las 2000 compañías comprometidas fue hackeada aún más ahora que los atacantes tenían la información que necesitaban.
