14.05.2026
Giedrius Alisauskas

100 milijonų dolerių el. laiškas: kodėl whaling atakos apeina kibernetinio saugumo sistemas

2013–2015 metais, lietuvis dalyvavo verslo el. pašto kompromitavimo schemoje, dėl kurios dvi didelės JAV technologijų įmonės pervedė daugiau nei 120 mln. JAV dolerių į jo kontroliuojamas sąskaitas.

Metodas nebuvo techniškai sudėtingas. Sukčiai naudojo netikras sąskaitas faktūras, pažįstamus tiekėjų duomenis ir įtikinamą komunikaciją, kad mokėjimo prašymai atrodytų teisėti.

Būtent dėl to socialinė inžinerija yra tokia veiksminga. Tokios atakos kaip spear phishing ir whaling ne visada remiasi kenkėjiška programine įranga ar sistemų pažeidžiamumais – jos išnaudoja pasitikėjimą, rutiną ir spaudimą veikti greitai.

Kas yra spear phishing?

Įprastos phishing atakos dažniausiai būna plačios ir mažai taikytos. Jos siunčiamos daugeliui žmonių tikintis, kad bent dalis gavėjų paspaus nuorodą, atidarys priedą ar pasidalys jautria informacija.

Spear phishing yra tikslingesnė ataka. Užpuolikas pasirenka konkretų žmogų ar organizaciją, surenka apie juos informaciją ir parengia laišką, kuris atrodo aktualus bei patikimas.

Tai gali būti el. laiškas, kuris atrodo kaip iš pažįstamo kolegos, patikimo tiekėjo ar įmonės vadovo. Jame gali būti nurodytas teisingas vardas, pareigos, kontekstas ar projekto pavadinimas. Kai žinutė atrodo pažįstama, gavėjas turi mažiau priežasčių ja suabejoti.

Kas yra whaling?

Whaling yra spear phishing forma, nukreipta į aukščiausio lygio sprendimų priėmėjus: vadovus, finansų vadovus, valdybos narius ar kitus aukštas pareigas einančius darbuotojus.

Šie žmonės dažnai turi prieigą prie jautrios informacijos, gali tvirtinti mokėjimus ar priimti svarbius verslo sprendimus. Todėl jie tampa itin vertingais taikiniais.

Whaling laiškuose sukčiai gali apsimesti teisininkais, reguliuotojais, valdybos nariais, tiekėjais ar kitais vadovais. Tokiuose laiškuose dažnai prašoma atlikti mokėjimą, pasidalyti konfidencialiais dokumentais, darbuotojų duomenimis ar prisijungimo informacija. Žinutė paprastai pateikiama kaip skubi, konfidenciali arba susijusi su įprastu vadovų lygmens procesu.

Kaip vyksta whaling ataka?

Norint suprasti, kodėl whaling atakas taip sunku atpažinti, verta pažvelgti į jų eigą. Dažniausiai tokia ataka vyksta keliais etapais.

1. Informacijos rinkimas ir taikinio pasirinkimas

Pirmiausia užpuolikas renka viešai prieinamą informaciją. Tai gali būti įmonės svetainė, LinkedIn profiliai, pranešimai spaudai, finansinės ataskaitos, renginių įrašai ar interviu žiniasklaidoje.

Iš šios informacijos sukčiai atsirenka tinkamą taikinį ir supranta, kaip organizacijoje vyksta komunikacija. Jie gali ieškoti pavaldumo ryšių, tiekėjų, naujausios verslo veiklos ar būsimų sandorių.

Kai kuriais atvejais užpuolikai gali net paskambinti į įmonę ir apsimesti klientu, partneriu ar paslaugų teikėju, kad surinktų papildomų detalių.

2. Atakos parengimas ir paleidimas

Surinkęs informaciją, užpuolikas sukuria žinutę, kuri dera prie realaus taikinio darbo konteksto.

Laiške gali būti teisingi vardai, pareigos, įmonės duomenys ir įtikinama priežastis, kodėl prašymas siunčiamas. Dažnai gavėjo prašoma veikti greitai: patvirtinti mokėjimą, pasidalyti dokumentais ar suvesti prisijungimo duomenis.

Tikslas paprastas: prašymas turi atrodyti pakankamai įprastas, kad žmogus jo nekvestionuotų ir atliktų veiksmą.

3. Rezultato panaudojimas

Kai taikinys sureaguoja, užpuolikas gali gauti prieigą prie pinigų, sistemų ar jautrių duomenų.

Kartais incidentas pastebimas greitai. Kitais atvejais prireikia mėnesių, kol organizacija supranta, kas įvyko. IBM 2025 m. tyrimo „Cost of a Data Breach“ duomenimis, organizacijoms vidutiniškai prireikė 241 dienos, kad jos nustatytų ir suvaldytų duomenų saugumo pažeidimą.

Kaip dirbtinis intelektas keičia socialinę inžineriją?

Google ir Facebook sukčiavimo atvejis rėmėsi kruopščiu pasiruošimu, apsimetimu tiekėju ir įtikinamomis sąskaitomis faktūromis. Šiandien dirbtinio intelekto įrankiai kai kurias socialinės inžinerijos dalis gali padaryti greitesnes ir dar įtikinamesnes.

Vienas žinomas pavyzdys – 2024 m. Arup atvejis. Pranešta, kad Honkonge dirbantis darbuotojas buvo apgautas vaizdo skambučio metu, kuriame naudotos dirbtinio intelekto sugeneruotos vyresnių kolegų versijos. Iki sukčiavimo išaiškinimo buvo pervesta apie 25 mln. JAV dolerių.

Tai nereiškia, kad kiekviena organizacija susidurs su deepfake vaizdo sukčiavimu. Tačiau šis atvejis aiškiai parodo, kad vien vaizdu ar garsu pasitikėti tampa vis rizikingiau.

Pažįstamas veidas vaizdo skambutyje, atpažįstamas balsas ar gerai parašytas el. laiškas nebegali būti laikomi tapatybės įrodymu. Kai veiksmas rizikingas, procesas turi būti svarbesnis už intuiciją.

Kaip apsaugoti organizaciją?

Dirbdami IT ir informacijos saugumo srityje daugiau nei 35 metus, matome, kaip keičiasi pagrindiniai atakų taikiniai. Anksčiau didžiausias dėmesys buvo skiriamas techniniams pažeidžiamumams. Šiandien vis dažniau taikomasi į žmogų.

Prieš dešimtmetį veikę saugumo sprendimai vis dar svarbūs, tačiau jų nebeužtenka brangiausioms atakoms sustabdyti. Nėra vieno technologinio sprendimo, kuris visiškai apsaugotų nuo whaling atakų. Kadangi šios atakos išnaudoja ne sistemos spragas, o žmogaus sprendimus, veiksmingiausia apsauga yra aiškūs įpročiai ir procesai.

Individualiu lygmeniu

Prieš atlikdami veiksmą pagal el. laišką, kuriame prašoma jautrios informacijos ar finansinio pervedimo, sustokite ir patikrinkite prašymą kitu kanalu. Geriausia – telefonu, o ne atsakant į tą patį laišką. Užpuolikai dažnai stebi kompromituotas pašto dėžutes ir gali perimti atsakymus.

Atidžiai patikrinkite siuntėjo el. pašto adresą, ne tik rodomą vardą. Vardą suklastoti lengva, o tikrasis adresas dažnai išduoda daugiau. Taip pat prieš spausdami nuorodas užveskite ant jų pelę ir patikrinkite, kur jos iš tikrųjų veda. Nuorodos tekstas gali atrodyti patikimai, tačiau tikrasis adresas gali vesti visai kitur.

Ypač atsargiai vertinkite laiškus, kuriuose kuriamas skubos jausmas. Spaudimas veikti greitai ir tyliai yra dažna manipuliacijos taktika, skirta apeiti racionalų vertinimą.

Organizacijos lygmeniu

Įmonėje turi būti aiškios finansinių pervedimų ir jautrių duomenų prieigos procedūros. Svarbiems veiksmams reikėtų taikyti kelių žmonių patvirtinimą, kurio negalėtų pakeisti vienas el. laiškas, nesvarbu, kas jį tariamai atsiuntė.

Taip pat svarbu taikyti dviejų veiksnių autentifikavimą visose sistemose ir reguliariai rengti IT saugumo mokymus. Tokie mokymai turėtų apimti realistiškas phishing ir whaling atakų simuliacijas.

Galiausiai, verta aiškiai apibrėžti, kokia informacija apie organizaciją gali būti viešinama. Kuo mažiau viešai prieinamos informacijos apie įmonės struktūrą, procesus ir sprendimų priėmimo tvarką, tuo sunkiau užpuolikams sukurti įtikinamą atakos scenarijų.

Sąmoningumas yra pirmoji gynybos linija. Tačiau svarbu ne tik suprasti, kaip tokios atakos kuriamos. Reikia turėti procesus, kurie nepalieka visko vien individualiam darbuotojo sprendimui. Būtent tai dažnai skiria organizacijas, kurios incidentus suvaldo greitai, nuo tų, kurios pažeidimą pastebi tik po daugelio mėnesių.

Pabaigai

Whaling atakos veikia todėl, kad jos taikosi ne tik į technologijas. Jos taikosi į pasitikėjimą.

Kai sukčiai naudoja vis įtikinamesnius el. laiškus, netikras tapatybes, balso klonavimą ir deepfake technologijas, organizacijoms reikia procesų, kurie nepriklausytų vien nuo individualaus darbuotojo sprendimo.

Sąmoningumas svarbus, bet jo nepakanka. Tikroji apsauga atsiranda tada, kai sąmoningumas derinamas su aiškiais patvirtinimo procesais, saugiais komunikacijos kanalais ir kultūra, kurioje tikrinimas yra įprasta praktika.

Jei norite sustiprinti organizacijos apsaugą nuo phishing, whaling ir kitų socialinės inžinerijos rizikų, Baltic Amadeus gali padėti įvertinti dabartinę praktiką ir pateikti rekomendacijas.

Tobulėjant dirbtinio intelekto įrankiams, tokios atakos taps tik sudėtingesnės. Jei norite aptarti, kaip šiandien atrodo jūsų organizacijos apsauga ir kokia ji turėtų būti po metų, susisiekite su mumis.

Pasikalbėkime apie jūsų projektą

Pradedate projektą arba norite sustiprinti jau vykdomą? Susisiekite ir atsakysime jums per vieną darbo dieną.

Parašykite mums

Ačiū! Jūsų pateikimas gautas!
Oi! Pateikiant formą kažkas nutiko.