Whaling může být rizikem i pro vaši firmu

Když manažer hedgeového fondu otevřel nenápadně se tvářící pozvánku na schůzku v Zoom, netušil, jaké škody to firmě způsobí. Pozvánka byla nastražená spolu s malwarem, který útočníkům umožnil převzít kontrolu nad jeho e‑mailovým účtem. Potom už postupovali rychle: jeho jménem za něj schvalovali převody peněz na základě falešných faktur, které hedgeovému fondu zasílali.

Celkově tímto způsobem schválili faktury v hodnotě 8,7 milionu dolarů. Pro společnost Levitas Capital to znamenalo konec, protože jeden z jejích největších klientů s ní na základě tohoto incidentu ukončil spolupráci.

Zacílit tímto způsobem na vrcholový management bohužel není nijak neobvyklé. Proč by se útočníci měli zabývat malými rybami, když lov velryby může přinést takový zisk?

Co je to whaling?

Whaling je zjednodušeně řečeno kybernetický útok zaměřený na vysoce postaveného, významného člena vedení společnosti. Může se jednat o phishing, smishing či vishing nebo pokus o kompromitaci firemního e‑mailu – tzv. Business E-mail Compromise (BEC). Hlavním rozdílem je oproti běžnému spearphishingovému útoku nebo útoku BEC výběr cíle.

Proč jsou tyto „velryby“ pro kyberútočníky atraktivními cíli? Koneckonců je jich mnohem méně než běžných zaměstnanců. Vynikají však třemi klíčovými charakteristikami. Vrcholoví manažeři (včetně C‑level pozic) jsou obvykle:

• Časově vytížení, což znamená, že mohou kliknout na phishingový e‑mail, otevřít škodlivou přílohu nebo schválit podvodnou žádost o převod, aniž by takovou výzvu pečlivě zkontrolovali. Mohou také kvůli úspoře času vypnout nebo obejít bezpečnostní prvky, jako je například vícefaktorové ověřování (MFA).
• Velmi viditelní online. To umožňuje útočníkům získávat informace, které potřebují k vytváření přesvědčivých útoků za pomoci technik sociálního inženýrství. Může se jednat například o e‑maily, které vypadají, jako by přišly od podřízeného nebo asistenta.
• Mají oprávnění přistupovat k vysoce citlivým a hodnotným firemním informacím (např. k duševnímu vlastnictví společnosti či finančním datům) a schvalovat nebo požadovat převody vysokých částek.

Jak vypadá typický whaling?

Stejně jako běžný spear phishing nebo útok typu BEC, vyžaduje whaling určitý čas na přípravu, aby měl vysokou šanci na úspěch. To znamená, že útočníci pravděpodobně provedou detailní průzkum svého cíle. K dispozici mají obvykle dostatek veřejně dostupných informací, které jim v tom pomohou, včetně účtů na sociálních sítích, firemní webové stránky, rozhovory v médiích nebo záznamy z veřejných vystoupení.

Kromě základních informací o svém cíli se budou chtít dozvědět i údaje o klíčových podřízených a kolezích nebo firemní informace, které lze využít v rámci sociálního inženýrství – například aktivity v oblasti fúzí a akvizic nebo firemní události. Útočníkům může také pomoci, když si zjisí osobní zájmy svého cíle, a dokonce i jeho styl komunikace, pokud je jejich konečným plánem se za svou vyhlídnutou „velrybu“ nakonec i vydávat.

Jakmile tyto informace útočníci získají, vytvoří obvykle spearphishingový e-mail nebo podvod typu BEC. Ten s vysokou pravděpodobností podrobí ještě i spoofingu, aby vypadal, že byl odeslán z důvěryhodného zdroje. Využijí také klasickou taktiku sociálního inženýrství — vytvoří pocit naléhavosti, aby příjemce urychlil své rozhodování.

Cílem je někdy přimět oběť k prozrazení jejích přihlašovacích údajů nebo k neúmyslné instalaci malwaru či spywaru. Přihlašovací údaje pak mohou využít k získání přístupu k takovým firemním tajemstvím, které mohou snadno zpeněžit. Nebo převezmou e‑mailový účet své oběti za účelem zahájen útoků BEC na podřízené: Budou se prostě vydávat za „velrybu“, aby přiměli „malou rybu“ k převedu vysoké peněžní částky. Podvodník se může alternativně vydávat za šéfa „velryby“, aby ji oklamal a přiměl ke schválení převodu financí.

AI mění pravidla hry

Umělá inteligence bohužel tyto úkoly útočníkům ještě více usnadňuje. Pomocí jailbreaku velkých jazykových modelů (LLM) nebo open‑source modelů mohou využívat AI nástroje ke sběru velkého množství dat o cílech, a tím zefektivnit svůj průzkum potenciální oběti. Následně mohou použít generativní AI k vytváření přesvědčivých e‑mailů nebo textových zpráv v bezchybné, přirozené řeči. Tyto nástroje mohou být dokonce zneužité k přidání užitečného kontextu nebo k napodobení stylu psaní odesílatele.

Generativní AI lze využít v kombinaci s deepfake technologií k vysoce přesvědčivým vishingovým útokům, nebo dokonce k tvorbě videí, která napodobují vysoké firemní představitele. S využitím AI se whaling rozšiřují co do rozsahu i účinnosti, protože sofistikované schopnosti se stávají dostupné širšímu okruhu útočníků.

Velká výplata

Co je v sázce, je zřejmé. Velký útok BEC může vést ke ztrátě výnosů v hodnotě milionů dolarů. A narušení bezpečnosti citlivých firemních dat může vyústit v regulatorní pokuty, hromadné žaloby a narušení provozu.

Škody na reputaci firmy mohou být ještě horší, jak zjistila společnost Levitas Capital. Hedgeový fond nakonec dokázal zablokovat většinu schválených transakcí. To však nestačilo k tomu, aby jeden z jeho největších klientů neodešel, čímž v podstatě fond v hodnotě 75 milionů dolarů položil.

Jak zneškodnit „velrybáře“

Existuje několik způsobů, jak mohou bezpečnostní týmy pomoci zmírnit rizika v podobě spearphishingových a BEC útoků. Ty však nemusí být vždy úspěšné v situaci, kdy se jedná o vrcholového manažera, který si může myslet, že se na něj pravidla nevztahují. Proto jsou tak důležité tréninkové aktivity určené přímo pro vedení firem, včetně simulací. Ty by měly být vysoce personalizované a sestávat z krátkých, zvládnutelných lekcí zahrnujících nejnovější postupy a techniky útočníků, včetně deepfake videa či audia.

Tyto aktivity by měly být podpořeny vylepšenými bezpečnostními kontrolami a procesy. To může zahrnovat přísný schvalovací proces pro převody velkých částek, vyžadující schválení dvěma osobami nebo ověření prostřednictvím alternativního, důvěryhodného kanálu.

Nástroje využívající AI mohou také pomoci obráncům sítě. Patří sem zabezpečení e‑mailu založené na AI, navržené pro odhalování podezřelých vzorců komunikace, odesílatelů a obsahu, a také software pro detekci deepfake obsahu, který dokáže v reálném čase označit potenciálně škodlivé hovory. Přístup Zero Trust může rovněž poskytnout určitou míru odolnosti. Díky prosazování principu nejmenších oprávnění a přístupu just-in-time minimalizuje, k čemu mají manažeři přístup, a zajistí, že jejich přihlašovací údaje nejsou nikdy implicitně důvěryhodné.

Zvážit můžete i omezení firemních informací, které se sdílí veřejně. Ve světě, kde je AI všudypřítomná, jsou prostředky k vyhledání a zneužití těchto informací nyní v rukou mnoha lidí, nikoliv jen několika vybraných.