outubro 10, 2018

[Segurança] Whaling

Phishing, todo mundo faz. Se você prepara um phishing direcionado para uma empresa específica, ou um grupo de usuários específicos, já estamos acostumados a chamar isso de "spear-phishing". Mas, se você faz um phishing direcionado apenas para altos executivos de uma empresa, aí temos uma buzzword para isso...

Whaling


O "whaling" é o phishing direcionado especificamente para os "peixes grandes", as nossas "baleias" corporativas. Ele pode ter uma grande efetividade pois normalmente os alto executivos são tão vulneráveis quanto os usuários normais, mas não estão sujeitos a regras tão rígidas de segurança quanto os demais usuários das empresas: eles tem equipamentos diferenciados, muitas vezes com mais opções de acesso (pelo computador, celular e tablet), e não é raro os alto executivos faltarem nas sessões de treinamento de segurança.

É muito comum as áreas de tecnologia serem obrigadas a flexibilizar as regras de acesso e os controles de segurança para não causar inconveniente aos executivos. A área de TI cria um novo bloqueio? Tem que liberar para eles. Instala uma ferramenta nova? Desabilita para eles. Dá um treinamento? Eles não vão.

Isso tudo faz dos executivos um grupo de usuários mais vulnerável a ataques, mesmo os mais básicos. São intocáveis pela equipe de TI e segurança, mas estão na mira doa atacantes!

Nenhum comentário:

Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.