search Il media che reinventa l'impresa

Whaling, ovvero quando gli hacker prendono di mira i pesci grossi

Whaling, ovvero quando gli hacker prendono di mira i pesci grossi

Da Ainhoa Carpio-Talleux

Il 30 aprile 2025

I rischi per la sicurezza informatica possono essere riscontrati a tutti i livelli dell'azienda. Il whaling è un tipo di attacco che prende di mira specificamente i membri chiave dell'organizzazione. È proprio questo che rende questa tecnica così pericolosa.

Che cosa comporta in realtà? Come ci si può proteggere? Scoprite come proteggere i pesci grossi della vostra azienda con la nostra guida completa al whaling.

Che cos'è il whaling?

Definizione di whaling

Il whaling è una forma di attacco informatico di social engineering che rientra nella categoria del phishing. La specificità di questo tipo di minaccia è che si rivolge a un gruppo ben identificato di individui: le balene.

Il termine "balena" si riferisce a un decisore, a un membro della direzione di un'azienda o a qualsiasi individuo con responsabilità all'interno di un'organizzazione.

Questi obiettivi sono più vulnerabili di quanto si possa pensare. Innanzitutto, non sono abituati a questo tipo di minaccia, a differenza dei dipendenti di livello inferiore dell'azienda che la affrontano quotidianamente.

L'altro punto di vulnerabilità riguarda la natura del messaggio, che è molto più personalizzato rispetto al phishing tradizionale.

Infine, le informazioni e i dati recuperati dall'hacker saranno più sensibili, poiché la vittima ha un accesso più limitato rispetto agli altri membri dell'azienda.

Segnali di allarme di un attacco whaling

Per aiutarvi a riconoscere un attacco di whaling, ecco le sue caratteristiche principali:

  • Un'e-mail che sembra provenire da un senior manager.
  • Un messaggio dal contenuto urgente.
  • Una richiesta che esula dai processi aziendali.
  • L' impossibilità di contattare il mittente (riunione, indisponibilità, ecc.).
  • Una richiesta di trasferimento su un conto sconosciuto.

Whaling, phishing, spear phishing: quali sono le differenze?

Il phishing è una tecnica fraudolenta progettata per ingannare un membro di un'organizzazione fingendo di essere una terza parte fidata. L'obiettivo è ottenere dati preziosi (account di accesso, password, ecc.) e/o dati bancari.

Il phishing classico viene effettuato tramite messaggi generici che imitano documenti di istituti bancari, della pubblica amministrazione o di un servizio di consegna. In genere vengono inviati in massa a più destinatari.

Lo spear phishing è una categoria di phishing più mirata. Si tratta di usurpare l'identità di un contatto (collega, partner commerciale) per ottenere le informazioni personali di un determinato individuo. Il messaggio è generalmente personalizzato e quindi più difficile da individuare.

Il whaling è un'altra sottocategoria simile al phishing, ma che prende di mira i "pesci grossi" dell'azienda. Richiede una preparazione molto maggiore da parte dell'hacker.

Come funziona la caccia alle balene? 4 fasi

Identificazione e raccolta di informazioni

La prima fase di un attacco di whaling consiste nel raccogliere informazioni sull'obiettivo. Per farlo, l'aggressore si concentra innanzitutto su fonti pubbliche come il sito web dell'azienda, che generalmente presenta l'organigramma completo della società. Si affida anche a rapporti riservati disponibili online (ma con accesso illimitato) e a banche dati disponibili sulla rete oscura.

Creare una strategia

Sulla base della sintesi delle informazioni raccolte, elabora una strategia di attacco.

☝️Prenons fornisce un esempio per aiutarvi a capire.

Consultando il sito web dell'azienda bersaglio, il criminale informatico individua che l'amministratore delegato è molto attivo su LinkedIn. Condivide le sue conferenze, i suoi interventi internazionali, le sue collaborazioni e così via. Allo stesso tempo, il criminale informatico ha sfruttato un rapporto di attività in cui ha scoperto il nome del direttore finanziario dell'azienda, che gestisce i trasferimenti per i contratti internazionali.

Mentre il CEO era in viaggio in Germania, il criminale informatico ha inviato un messaggio urgente al direttore finanziario, imitando il suo stile e incorporando elementi reali e verificabili.

Chiede di effettuare un pagamento su un conto diverso con il pretesto di un'emergenza durante il suo viaggio.

È una strategia semplice che potrebbe rivelarsi molto redditizia per l'hacker.

Elaborazione del messaggio

Il punto centrale di una strategia di whaling è la creazione del messaggio, ossia l'indirizzo e-mail, l'oggetto, il tono e il documento collegato. Ecco come ogni parte deve essere creata meticolosamente:

  • Spoofing dell'indirizzo e-mail: l'hacker modifica leggermente il vero indirizzo e-mail dell'amministratore delegato in modo che la modifica sia il più discreta possibile (aggiungendo un trattino, un ".", ecc.).
  • Scelta dell'oggetto: l'oggetto dell'e-mail deve essere credibile, semplice e diretto. Ad esempio, "Fattura in attesa di pagamento". Può anche includere un'idea di urgenza ("Fattura in attesa di pagamento - Urgente").
  • Un tono professionale: l'hacker dovrebbe adottare un livello di linguaggio che corrisponde a quello dell'amministratore delegato nei suoi messaggi abituali. Può includere elementi reali e concreti, così come il gergo tipico di questo tipo di scambio tra dipendenti.
  • Una richiesta urgente: l'urgenza non deve essere esplicita per non destare sospetti. Tuttavia, deve essere sufficiente a garantire che la richiesta venga eseguita in tempi relativamente brevi (pochi giorni).
  • Fattura falsificata: in caso di trasferimento di fondi, il messaggio deve includere una fattura che utilizza esattamente lo stesso formato delle fatture precedenti (logo, riferimenti, ecc.). Verranno modificate solo le coordinate bancarie.

Manipolazione (perché funziona?)

Gli attacchi di whaling, e gli attacchi di phishing in generale, funzionano grazie al fattore umano. L'aggressore gioca sulla fiducia utilizzando un tono e un vocabolario appropriati. Certo, la richiesta può essere insolita, ma rimane coerente. Il fatto che in genere provenga da un superiore aggiunge una dimensione di stress che aumenta la confusione della vittima e la induce a compiacersi.

Alcuni giorni dopo la prima e-mail, se non si riceve risposta, il criminale informatico invia un promemoria educato e professionale chiedendo, ad esempio, se la fattura è stata ricevuta.

Dal punto di vista psicologico, si tratta di un fattore decisivo, perché questo secondo messaggio fa rientrare lo scambio in un processo normale e di routine: un compito semplice da svolgere per la vittima. È proprio questo aspetto a rendere la caccia alle balene così pericolosa.

Esempi di attacchi balenieri

Il primo passo per proteggersi da una minaccia è esserne consapevoli. Il whaling può assolutamente colpire qualsiasi azienda, qualsiasi organizzazione che non prenda sufficienti precauzioni per difendersi.

💡 Non siete convinti? Ecco alcuni esempi di aziende di successo, leader nel loro settore, che hanno subito attacchi di whaling e hanno perso milioni di euro:

  • FACC, un produttore austriaco di componenti aerospaziali, è stato preso di mira nel 2016. Il dipartimento finanziario dell'azienda ha inviato 47 milioni di dollari ai criminali informatici.
  • Nello stesso anno, un membro del team paghe di Snapchat ha inviato le informazioni bancarie dei dipendenti dell'azienda a un hacker che si è spacciato per l'amministratore delegato Evan Spiegel.
  • Tra il 2013 e il 2015, Facebook ha inviato oltre 100 milioni di dollari a un hacker che si è spacciato per uno dei suoi ex fornitori.

Perché il phishing è in aumento?

Il phishing è il tipo di attacco online più comune. Negli ultimi anni si è registrato un aumento del 131% dei casi di whaling, legato a una serie di fattori.

La ragione principale di questo aumento è la crescente digitalizzazione del mondo professionale e l' aumento del telelavoro. In questo contesto, in cui i team non comunicano più direttamente sul posto di lavoro, ma solo via e-mail, i rischi si moltiplicano. Per risparmiare tempo, i protocolli di sicurezza vengono ignorati, il che tende a ridurre la vigilanza nei casi accertati di furto di identità.

L'altro fattore di diffusione del phishing e del whaling è l'introduzione di strumenti di intelligenza artificiale nella strategia di manipolazione. Ricerca di informazioni, analisi di documenti, riproduzione di uno stile di scrittura... L'IA consente agli hacker di ottimizzare i loro processi. Alcune IA sono persino in grado di generare video ultra-realistici, con volti e voci clonati. Tutto ciò che gli hacker devono fare è simulare una videochiamata da parte del superiore gerarchico per richiedere un trasferimento di fondi o convalidare un'operazione sensibile.

L'ultimo elemento che spiega il "successo" della caccia alle balene è, ovviamente, il suo potenziale di profitto. Mentre il phishing di massa può fruttare solo poche centinaia di euro per vittima, il whaling può fruttare milioni in una singola operazione.

Come proteggersi dal whaling: i nostri 5 consigli di cybersecurity

Formare tutti i manager e i dipendenti

La prima linea di difesa contro le minacce informatiche è l'uomo. La vigilanza è la chiave per evitare molti rischi, soprattutto quando si tratta di attacchi di social engineering. Tutti i dipendenti dovrebbero essere informati sulle tecniche classiche di phishing e spear phishing. Tuttavia, soprattutto i manager e i dirigenti devono essere formati sui rischi del whaling. È essenziale coinvolgerli in casi concreti di whaling e organizzare attacchi simulati. Confrontandosi direttamente con una minaccia, diventeranno veramente consapevoli dei rischi a cui si espongono.

Controllare la propria impronta digitale e proteggere i propri dati

Per stabilire una strategia di whaling efficace, gli hacker hanno bisogno di informazioni e documenti da sfruttare. Per rendere il loro compito più complesso, controllate i dati che pubblicate sui social network e sul sito web aziendale.

Inoltre, sensibilizzate i dirigenti sui pericoli derivanti dalla condivisione di troppe informazioni professionali e personali sui loro network.

A tal fine, è necessario adottare una chiara politica di divulgazione dei dati, in modo che tutti i membri dell'organizzazione sappiano cosa possono o non possono condividere.

Con questo approccio, sarà molto più facile riconoscere le e-mail di disturbo, in quanto non conterranno più informazioni valide.

Stabilire protocolli di verifica rigorosi

Un attacco di whaling viene sempre effettuato al di fuori delle procedure abituali di un'azienda.

Per questo motivo è essenziale stabilire protocolli rigorosi (in particolare per le richieste finanziarie) e rispettarli senza eccezioni.

Per le comunicazioni sensibili, la creazione di una password o di un codice segreto aggiunge un ulteriore livello di sicurezza.

Non accettate mai di modificare i vostri processi sulla base di una semplice e-mail o di un messaggio telefonico. Questo tipo di richiesta deve essere ufficiale e convalidata, di persona, da un responsabile di linea.

Rafforzare la sicurezza tecnica dell'azienda

La tecnologia digitale è ormai ovunque e i rischi informatici si moltiplicano. Le aziende che utilizzano il cloud e un complesso ecosistema di applicazioni non possono più permettersi di fare a meno di un'efficace sicurezza informatica.

Che si tratti di combattere malware, ransomware o phishing, la vostra azienda ha bisogno di un arsenale completo di strumenti di protezione.

In concreto, per proteggersi dal whaling, le caratteristiche di sicurezza essenziali sono :

  • Un sistema di autenticazione a più fattori per le applicazioni critiche.
  • Una soluzione avanzata di filtraggio delle e-mail per rilevare i tentativi di spoofing.
  • Uno strumento per bloccare in tempo reale i nomi di dominio a rischio.

Applicare una politica di "minimo privilegio

Questo tipo di politica è difficile da attuare all'interno di un'azienda. Tuttavia, è il modo migliore per prevenire la diffusione di informazioni che potrebbero finire nel dark web. Ecco le linee guida generali per l'attuazione della strategia del "minimo privilegio":

  • Limitare l'accesso alle risorse sensibili a chi ne ha realmente bisogno.
  • Segmentare i sistemi informativi per limitare la propagazione in caso di compromissione.
  • Rivedere regolarmente i diritti di accesso per gli account ad alto privilegio.

7 strumenti per aiutarvi nella vostra strategia anti-calamità

Altospam

Altospam ha sviluppato Mailsafe, un software che protegge le caselle di posta elettronica aziendali dal phishing, in particolare dal whaling. Combina un'efficace analisi euristica e comportamentale per rilevare le e-mail con contenuti sospetti. Incorpora la funzionalità AI per ottenere prestazioni di rilevamento ancora più impressionanti (- 0,01% di falsi positivi). Altospam offre un'integrazione ottimale con strumenti di posta elettronica essenziali come Gmail e Outlook.

Protezione e-mail Barracuda

Barracuda Network offre una soluzione completa di sicurezza informatica. Uno dei suoi moduli è stato appositamente progettato per affrontare i rischi di phishing e whaling: Barracuda Email Protection. Il software si basa su 3 caratteristiche:

  • Una modalità di rilevamento completa (euristica e comportamentale).
  • Uno strumento di protezione contro il furto di identità.
  • Un sistema di convalida dei nomi di dominio.

Per portare la sicurezza a un livello superiore, Barracuda offre "Impersonation Protection", un modello di analisi basato sull'intelligenza artificiale.

Punto di controllo anti-phishing

La tecnologia Harmony Email & Office di Check Point protegge la vostra azienda dagli attacchi di phishing più sofisticati. Il software è in grado di bloccare i tentativi di furto di identità prima che raggiungano i vostri team.

Check Point offre una protezione completa per tutte le vulnerabilità: e-mail, dispositivi mobili e workstation.

Ogni messaggio viene analizzato in profondità grazie a una robusta tecnologia AI ad alte prestazioni che esamina oltre 300 indicatori di minacce di phishing.

Proteggere (Mailinblack)

Protect from Mailinblack è una soluzione anti-phishing che filtra le e-mail fraudolente con grande efficienza. Le sue funzioni di rilevamento si basano su una tecnologia di deep learning addestrata su miliardi di e-mail all'anno. I vostri team sono protetti da phishing, spearphishing, whaling, ransomware e spam.

Protect offre:

  • Rilevamento in tempo reale con analisi comportamentale e contestuale delle e-mail.
  • Un sistema di filtraggio intelligente che utilizza l'intelligenza artificiale.
  • Analisi completa di allegati e link nei messaggi.

Mailinblack offre anche una versione più avanzata del suo software, Protect Advanced.

Pescato

Phished, come suggerisce il nome, è un'azienda specializzata in phishing e whaling. La particolarità di questa piattaforma è che si concentra sulla formazione piuttosto che sulla tecnologia per proteggere il sistema informatico. Il suo slogan è il seguente: "Costruisci il tuo firewall umano".

I risultati di questo approccio parlano da soli. Attualmente, oltre 3.500 aziende hanno implementato le sue strategie di difesa e hanno registrato un calo significativo del tasso di successo degli attacchi di phishing.

GravityZone Small Business Security (Bitdefender)

GravityZone Small Business Security è una soluzione di cybersecurity appositamente progettata per soddisfare le esigenze delle piccole e medie imprese. Grazie alla sua interfaccia facile da usare, non richiede l'intervento di un team IT. Il software offre una protezione completa contro tutte le minacce informatiche, con particolare attenzione al phishing. Per questo tipo di attacco, GravityZone Small Business Security blocca l'accesso ai siti di phishing e visualizza avvisi chiari agli utenti.

Cofense

Cofense è una soluzione di protezione che utilizza esempi per sensibilizzare e formare i dipendenti. La sua piattaforma di punta, Cofense PhishMe, offre simulazioni realistiche e personalizzate di attacchi di phishing. L'azienda offre anche una piattaforma per la segnalazione di tentativi di phishing e whaling per anticipare le tecniche di phishing future.

La caccia alle balene in breve

Il whaling è una minaccia da non prendere alla leggera. In genere si pensa che i team dirigenziali siano meno esposti ai rischi informatici, perché sono più vigili per motivi di responsabilità. Ma è proprio questo che li rende così vulnerabili agli attacchi di whaling ben preparati.

Un'e-mail fraudolenta, seguita da un messaggio di follow-up e da una telefonata (o da una finta videoconferenza) possono ingannare chiunque. Ci sono solo tre modi per proteggersi: formazione, vigilanza e protezione tecnica. Non correte il rischio di esporvi e rafforzate al più presto il vostro arsenale di sicurezza umana e tecnologica.

Articolo tradotto dal francese