A liderança da sua organização está vulnerável a ataques whaling? Saiba como protegê-la de forma eficaz.
Quando um gerente de investimentos clicou, sem desconfiar, em um convite aparentemente legítimo do Zoom, não imaginava as consequências. O convite continha malware, que permitiu aos criminosos cibernéticos acessar sua conta de e-mail corporativa. A partir daí, eles enviaram faturas fraudulentas e as aprovaram em nome do próprio executivo.
No total, foram “aprovadas” faturas falsas que somaram US$ 8,7 milhões. O incidente acabou selando o destino da Levitas Capital, após a saída de um de seus maiores clientes.
Ataques direcionados a executivos de alto escalão deixaram de ser exceção. Afinal, por que atacar “peixes pequenos” quando as “baleias” oferecem retornos muito mais lucrativos?
O que é um ataque whaling?
O whaling é um tipo de ataque cibernético altamente direcionado, cujo alvo são membros da alta liderança de uma organização, como CEOs, CFOs e diretores. Ele pode ocorrer por meio de phishing, smishing, vishing ou ataques de BEC (Business Email Compromise – comprometimento de e-mail corporativo).
O que diferencia o whaling de outras campanhas de phishing é o perfil do alvo: executivos com poder de decisão, acesso privilegiado e capacidade de autorizar transações financeiras relevantes.
Por que as "baleias" são alvos atraentes?
Embora representem um grupo menor dentro das empresas, executivos de alto nível concentram características que os tornam alvos ideais. Em geral, eles:
-
Têm pouco tempo disponível: agendas sobrecarregadas aumentam a probabilidade de cliques rápidos, abertura de anexos ou aprovação de solicitações sem verificação detalhada. Em alguns casos, medidas de segurança como autenticação de dois fatores (2FA) são vistas como obstáculos à produtividade.
-
São altamente visíveis on-line: entrevistas, redes sociais, comunicados à imprensa e eventos públicos fornecem informações valiosas para ataques de engenharia social altamente convincentes.
-
Possuem acesso privilegiado: além de dados financeiros e informações estratégicas, esses executivos podem autorizar pagamentos de alto valor, tornando qualquer erro extremamente custoso.
Como funciona um ataque whaling na prática?
Assim como outros ataques de phishing direcionados, o whaling começa com uma fase intensa de reconhecimento. Os atacantes coletam informações sobre o alvo em redes sociais, sites corporativos, entrevistas, eventos e comunicados públicos.
Eles buscam entender quem são os principais colegas, quais projetos estão em andamento, como fusões, aquisições ou eventos estratégicos, e até o estilo de escrita e comunicação do executivo.
Com esse contexto, os criminosos criam e-mails ou mensagens de BEC altamente convincentes, que aparentam vir de fontes confiáveis. A urgência costuma ser o elemento-chave, reduzindo o senso crítico da vítima.
O objetivo final é induzir o executivo a acessar um site falso, instalar um software malicioso ou autorizar uma transação financeira. Em alguns casos, os atacantes se passam pelo próprio executivo para enganar outros colaboradores e obter aprovações internas.
A inteligência artificial muda o jogo
Se esses ataques já eram sofisticados, a inteligência artificial (IA) elevou esse risco a um novo patamar.
Criminosos cibernéticos utilizam modelos de código aberto e ferramentas personalizadas para coletar grandes volumes de dados e, com o apoio da IA generativa (GenAI), produzir mensagens praticamente indistinguíveis das legítimas, sem erros gramaticais e com contexto preciso.
Além disso, tecnologias de deepfake permitem a criação de áudios e vídeos falsos extremamente convincentes, simulando chamadas de voz ou reuniões virtuais supostamente feitas por executivos. O resultado é uma redução significativa da barreira técnica para ataques altamente sofisticados, executados em maior escala e velocidade.
O que está em jogo?
Um ataque bem-sucedido de BEC pode gerar prejuízos financeiros de milhões de dólares. Já uma violação de dados pode resultar em multas regulatórias, processos judiciais, interrupções operacionais e impactos duradouros à reputação da empresa.
No caso da Levitas Capital, mesmo com o bloqueio de parte das transações fraudulentas, a perda de um cliente estratégico levou ao encerramento de um fundo de US$ 75 milhões.
Além disso, executivos que caem nesse tipo de ataque frequentemente enfrentam exposição pública e questionamentos sobre governança, mesmo quando são vítimas de operações altamente sofisticadas.
Como proteger executivos contra ataques whaling?
Reduzir o risco de ataques de whaling exige mais do que soluções técnicas tradicionais, especialmente quando líderes acreditam que as regras não se aplicam a eles.
Por isso, treinamentos personalizados e específicos para executivos são fundamentais. Simulações curtas e direcionadas devem abordar as técnicas mais recentes, incluindo golpes baseados em deepfake de áudio e vídeo.
Processos internos também precisam ser fortalecidos. Aprovações de grandes transferências financeiras devem sempre exigir dupla verificação, preferencialmente por canais distintos.
A tecnologia pode, e deve, atuar como aliada. Soluções de segurança de e-mail baseadas em IA ajudam a identificar padrões de comunicação suspeitos. Ferramentas de detecção de deepfake podem alertar sobre tentativas de fraude em tempo real. Já uma abordagem de Zero Trust, baseada em acesso mínimo e verificação contínua, limita os danos caso uma conta seja comprometida.
Atenção ao que você expõe
Por fim, é essencial analisar criticamente quais informações corporativas e pessoais são compartilhadas publicamente. Em um cenário onde a IA está amplamente disponível, quase qualquer dado exposto pode ser explorado contra você.
Quando o alvo é uma “baleia”, as consequências de um único clique podem ser irreversíveis, para o executivo e para toda a organização.