¿Qué es la 'caza de ballenas'?

La "caza de ballenas" es una forma específica de suplantación de identidad dirigido a ejecutivos de negocios, gerentes y similares de alto perfil. Es diferente del phishing ordinario en que con la caza de ballenas, los correos electrónicos o las páginas web que sirven a la estafa adquieren un aspecto más severo o formal y generalmente están dirigidos a alguien en particular.

En perspectiva, el phishing regular que no es de caza de ballenas suele ser un intento de obtener la información de inicio de sesión de alguien en un sitio de redes sociales o un banco. En esos casos, el correo electrónico / sitio de phishing parece bastante estándar, mientras que, en la caza de ballenas, el diseño de la página se dirige explícitamente al administrador / ejecutivo bajo ataque.

¿Cuál es el objetivo de la caza de ballenas?

El punto es estafar a alguien de la alta dirección para que divulgue información confidencial de la empresa. Por lo general, esto se presenta en forma de contraseña para una cuenta confidencial, a la que el atacante puede acceder para obtener más datos.

El objetivo final de todos los ataques de phishing como la caza de ballenas es asustar al destinatario, convencerlo de que debe tomar acciones para proceder, como evitar honorarios legales, evitar ser despedidos, evitar que la empresa se declare en quiebra, etc.

¿Qué aspecto tiene una estafa de caza de ballenas?

Caza de ballenas, como cualquier juego de estafa de phishing, involucra una página web o correo electrónico que se hace pasar por uno que es legítimo y urgente. Los estafadores los diseñan para que parezcan un correo electrónico comercial crítico o algo de alguien con autoridad, ya sea externa o incluso internamente, de la propia empresa.

El intento de caza de ballenas puede parecer un enlace a un sitio web normal con el que está familiarizado. Probablemente le solicite su información de inicio de sesión tal como lo esperaría. Sin embargo, si no tiene cuidado, lo que sucede a continuación es el problema.

Cuando intenta enviar su información en los campos de inicio de sesión, aparece una notificación que indica que la información era incorrecta y que debe intentarlo de nuevo. No se hizo ningún daño, ¿verdad? Acabas de ingresar tu contraseña de manera incorrecta, ¡sin embargo, esa es la estafa!

Lo que sucede detrás de escena es que cuando ingresa su información en el sitio falso (que no puede iniciar sesión porque no es real), la información que ingresó se envía al atacante y luego se le redirige a la sitio web. Vuelve a intentar tu contraseña y funciona bien.

En este punto, no tienes idea de que la página era falsa y que alguien acaba de robar tu contraseña. Sin embargo, el atacante ahora tiene su nombre de usuario y contraseña para el sitio web en el que pensó que había iniciado sesión.

En lugar de un enlace, la estafa de phishing podría tenerlo descargar un programa para ver un documento o una imagen. El programa, ya sea real o no, tiene un tono malicioso para rastrear todo lo que escribe o eliminar cosas de su computadora.

En qué se diferencia la caza de ballenas de otras estafas de phishing

En una estafa de phishing normal, la página web / correo electrónico puede ser una advertencia falsa de su banco o PayPal. La página falsa puede asustar al objetivo con afirmaciones de que su cuenta ha sido cargada o atacada, y que deben ingresar su ID y contraseña para confirmar el cargo o verificar su identidad.

En el caso de la caza de ballenas, la página web / correo electrónico enmascarado adoptará una forma más seria a nivel ejecutivo. El contenido se dirigirá a un gerente superior como el CEO o incluso simplemente a un supervisor que podría tener mucha influencia en la empresa o que podría tener credenciales para cuentas valiosas.

El correo electrónico o el sitio web de caza de ballenas puede venir en forma de una citación falsa, un mensaje falso del FBI o algún tipo de queja legal crítica.

¿Cómo me protejo de los ataques de la caza de ballenas?

La forma más fácil de protegerse de caer en una estafa de caza de ballenas es ser consciente de lo que hace clic. Es así de simple. Dado que la caza de ballenas se produce a través de correos electrónicos y sitios web, puede evitar todos los enlaces maliciosos al comprender qué es real y qué no.

Ahora bien, no siempre es posible saber qué es falso. A veces, recibe un nuevo correo electrónico de alguien que nunca antes había enviado, y es posible que le envíe algo que parece completamente legítimo.

Sin embargo, si miras el URL en su navegador web y asegúrese de buscar en el sitio, aunque sea brevemente, cosas que se vean un poco fuera de lugar, puede disminuir significativamente sus posibilidades de ser atacado de esta manera.

¿Los ejecutivos y gerentes realmente caen en estos correos electrónicos de caza de ballenas?

Sí, desafortunadamente, los gerentes suelen caer en las estafas por correo electrónico de caza de ballenas. Tomemos como ejemplo la estafa de caza de ballenas por citación judicial del FBI de 2008.

Los estafadores atacaron a unos 20,000 directores ejecutivos corporativos, y aproximadamente 2000 de ellos se enamoraron de la estafa de la caza de ballenas haciendo clic en el enlace del correo electrónico. Creían que descargaría un especial complemento del navegador para ver la citación completa.

En realidad, el software vinculado era un registrador de pulsaciones de teclas que grababa en secreto las contraseñas de los directores ejecutivos y las reenvía a los estafadores. Como resultado, cada una de las 2000 empresas comprometidas fue pirateado aún más lejos ahora que los atacantes tenían la información que necesitaban.