In ambito informatico il whaling (detto anche «Compromissione della posta elettronica aziendale» o Business email compromise) è una forma particolare di phishing, un'attività illegale che sfrutta sofisticate tecniche di ingegneria sociale per ottenere l'accesso a informazioni personali o riservate, e specificamente informazioni di rilevante valore economico e commerciale.

Parecchi recenti attacchi di phishing sono stati diretti specificamente verso senior executive e altre persone di elevato profilo del mondo della finanza e dell'industria in generale, ed il termine whaling è stato coniato proprio per questi tipi di attacco con l'intenzione di specificare la "grandezza" e l'importanza degli obiettivi (dall'inglese whale - balena, nell'accezione di grande pesce da far abboccare).

In genere un attacco prende di mira ruoli specifici dei dipendenti all'interno di un'organizzazione inviando una o più e-mail di spoofing che rappresentano in modo fraudolento un grande imprenditore (CEO o simile) o un cliente fidato. L'email fornirà istruzioni, come l'approvazione dei pagamenti o il rilascio dei dati del cliente. Le e-mail utilizzano spesso l'ingegneria sociale per indurre la vittima a effettuare trasferimenti di denaro sul conto bancario del truffatore.

L'impatto finanziario mondiale è ampio. Il Federal Bureau of Investigation degli Stati Uniti ha registrato 26 miliardi di dollari di perdite statunitensi e internazionali associate agli attacchi BEC tra giugno 2017 e luglio 2019.

Incidenti

  • Te Wananga o Aotearoa in Nuova Zelanda è stato truffato di $ 120.000 (NZD).
  • Nel 2013 Evaldas Rimasauskas e i suoi dipendenti hanno inviato migliaia di e-mail di frode per ottenere l'accesso ai sistemi di posta elettronica delle aziende.
  • Il servizio antincendio della Nuova Zelanda è stato truffato per $ 52.000 nel 2015.
  • Ubiquiti Networks ha perso $ 46,7 milioni a causa di una tale truffa nel 2015.
  • L'azienda aerospaziale austriaca FACC AG è stata truffata per 42 milioni di euro (47 milioni di dollari) da un attacco nel febbraio 2016 e successivamente ha licenziato sia il CFO che il CEO.
  • Save the Children USA è stata vittima di una cyberscam da 1 milione di dollari nel 2017.
  • Lo zoo di Dublino ha perso € 130.000 in una tale truffa nel 2017: è stato preso un totale di € 500.000, anche se la maggior parte è stata recuperata.
  • Le organizzazioni australiane che hanno segnalato attacchi di compromissione della posta elettronica aziendale alla Australian Competition and Consumer Commission hanno subito perdite finanziarie per circa $ 2.800.000 (AUD) per l'anno 2018.

Note

Voci correlate

  • Phishing
  • Ingegneria sociale

Whaling • Definition Gabler Wirtschaftslexikon

8. Whaling International Environmental Law

What Does Whaling Mean? Meaning, Uses and More FluentSlang

What is Whaling? A Comprehensive Guide to Protecting Your Business

What is whaling? Here's how hackers catch the big fish