Una estafa de phishing de ballenas, también conocida como whaling, es un tipo sofisticado de ataque de phishing que se dirige a personas de alto perfil dentro de una organización, como ejecutivos, directores ejecutivos u otros líderes superiores.
En un caso reciente de fraude cibernético, el gerente de recursos humanos (RR. HH.) de una empresa de TI con sede en EE. UU. fue engañado para comprar tarjetas de regalo de Apple por valor de 10 lakh de rupias. Los ciberdelincuentes, haciéndose pasar por el director ejecutivo de la empresa, lograron engañar al gerente de RR. HH. haciéndole creer que las compras eran necesarias como obsequios para todos los empleados, informó The Indian Express.
La estafa, conocida como ataque de “phishing de ballenas”, dio lugar a una investigación después de que el gerente de RR. HH. informara del incidente a la comisaría de policía de Paud, bajo la jurisdicción de la policía rural de Pune.
La actividad fraudulenta comenzó cuando el gerente de recursos humanos recibió un mensaje de WhatsApp de un número desconocido con un código estadounidense a principios de este año. El remitente afirmó ser el director ejecutivo de la empresa y el mensaje incluía una foto de perfil del director ejecutivo, lo que lo hacía parecer legítimo. El mensaje explicaba que el director ejecutivo estaba ocupado en una conferencia telefónica y no quería que lo molestaran, y le ordenaba al gerente de recursos humanos que comprara tarjetas de regalo de Apple por valor de 5000 rupias cada una para los empleados de la empresa a través de Amazon.
Confiando en el mensaje, el gerente de recursos humanos compró 100 vales de regalo e informó al remitente de la compra completada. Luego, el estafador solicitó que se compraran otras 100 tarjetas y se las enviaran a la dirección de correo electrónico proporcionada. El gerente de recursos humanos cumplió y consultó con un alto funcionario de la empresa con sede en la India. Sin embargo, surgieron sospechas cuando el alto funcionario preguntó cómo se entregaron las tarjetas de regalo y el gerente de recursos humanos reveló la dirección de correo electrónico a la que se enviaron. Se hizo evidente que los cibercriminales habían utilizado un número y un correo electrónico falsos para hacerse pasar por el director ejecutivo. Al darse cuenta de la estafa, el director de recursos humanos se puso en contacto con la policía, lo que llevó a que se registrara un FIR. Desde entonces, las autoridades han iniciado una investigación sobre los números de teléfono y las direcciones de correo electrónico implicados en la estafa, añadió el diario nacional.
La ciudad de Pune ha experimentado un aumento de los ataques de phishing de ballenas, con alrededor de 10 casos de este tipo denunciados desde julio del año pasado. Cabe destacar que el productor mundial de vacunas Serum Institute of India fue víctima de una estafa similar, perdiendo 1 crore de rupias. En otro caso, en febrero, una empresa inmobiliaria fue engañada con 4 crore de rupias.
¿Qué es una estafa de phishing de ballenas? Una estafa de phishing de ballenas, también conocida como whaling, es un tipo sofisticado de ataque de phishing que se dirige a personas de alto perfil dentro de una organización, como ejecutivos, directores ejecutivos u otros líderes sénior. A estas personas se las conoce como “ballenas” debido a su importancia y al potencial de obtener ganancias financieras significativas si la estafa tiene éxito, similar a una ballena en el mar.
En este tipo de fraude, los atacantes crean correos electrónicos o mensajes personalizados y convincentes para engañar al objetivo y lograr que revele información confidencial, apruebe grandes transacciones financieras o conceda acceso a datos confidenciales. Los estafadores realizan una investigación exhaustiva sobre sus objetivos, incorporando detalles específicos sobre el rol de la persona, sus colegas o las operaciones comerciales para que sus comunicaciones parezcan legítimas.
Debido a que los objetivos suelen ser tomadores de decisiones clave dentro de una organización, el impacto de un ataque de phishing de ballenas exitoso puede ser devastador. Puede provocar importantes pérdidas financieras, violaciones de datos o daños a la reputación de la organización.
Las estafas de phishing de ballenas utilizan técnicas de ingeniería social para manipular la confianza de la víctima y crear una falsa sensación de urgencia. Las tácticas suelen incluir:
– Investigar al objetivo: los estafadores recopilan información detallada sobre los antecedentes, intereses y relaciones profesionales del objetivo para adaptar el ataque.
– Suplantar la identidad de personas de confianza: se hacen pasar por figuras conocidas dentro de la organización, como directores ejecutivos, miembros de la junta o incluso socios comerciales, para que la estafa parezca creíble.
– Enviar mensajes o llamadas convincentes: la comunicación del estafador a menudo parece urgente y legítima, jugando con las preocupaciones específicas del objetivo. Los estafadores pueden usar tácticas de presión, documentos falsos o situaciones inventadas para empujar al objetivo a hacer trampa.