Phishing blir en større og større trussel og kommer i ulike former og størrelser. Whale Phishing er en av disse formene, og det er en skikkelig røver. Mange bedrifter har bitt på agnet og blitt offer for hval-phishing. Det er viktig å være klar over taktikken phishermen bruker for å få deg og dine kolleger til å bite på agnet. I dette blogginnlegget vil jeg gå gjennom hva hvalfiske er, og hvilke tiltak du kan iverksette for å unngå at noen av dine ansatte blir fanget av phisheren.
Hva er hval-phishing?
Whale phishing er en type spear phishing som retter seg mot toppledere og administrerende direktører i selskaper. Whale phishing må ikke forveksles med CEO-fraud, der nettkriminelle utgir seg for å være administrerende direktør i et selskap for å lure en ansatt til å overføre konfidensiell informasjon eller penger.
Det finnes flere ulike måter hvalfiske kan foregå på, og jeg vil kort gå gjennom noen vanlige taktikker som brukes av nettkriminelle.
En av måtene administrerende direktører kan oppleve hvalfiske på, er ved at nettkriminelle sender en e-post med en betalingsanmodning og utgir seg for å være en kunde av selskapet.
Cyberkriminelle kan også utgi seg for å være ansatt i et selskap og gå etter administrerende direktør ved å sende en personlig e-post. Alt som skal til, er et raskt googlesøk for å finne relevant informasjon om selskapet og administrerende direktør.
De nettkriminelle sender ofte en e-post eller en tekstmelding der de oppfordrer den utpekte administrerende direktøren til å klikke på et virus forkledd som en lenke. Når man klikker på lenken, installeres skadelig programvare på enheten, noe som gir de nettkriminelle tilgang til bedriftens private data.
Hva er forskjellen på hval-phishing og phishing?
Forskjellen mellom hval-phishing og phishing er at phishing-angrep er rettet mot uspesifikke personer og utføres ved å sende masseutsendelser av e-post. Hvalfiske er derimot mer presist og er rettet mot enkeltpersoner, for eksempel administrerende direktører, ledere og ansatte i høyere stillinger i selskapet. Med andre ord fokuserer phishing på kvantiteten av angrep, mens whale phishing handler om kvalitet, ettersom det kreves mye arbeid for at angrepene skal lykkes.
Nå som vi har funnet ut hva hvalfiske er, la oss snakke om formålet med hvalfiske og hvordan angrepene utføres.
Formålet med hval-phishing
Målet med hvalfiske er å overbevise ofrene om å enten overføre en stor sum penger til angriperne eller å stjele konfidensielle bedriftsdata. De nettkriminelle velger å angripe personer i maktposisjoner i en bedrift for å nå dette målet, ettersom disse ofte har beslutningsmakt og kanskje ikke trenger godkjenning når de foretar betalinger. En annen grunn til at slike personer blir angrepet, er at angriperne ser på dem som personer som er villige til å beskytte selskapets omdømme når de trues med informasjon som kan svekke selskapets image.
Hvordan hvalfangstangrep utføres
De nettkriminelle velger nøye ut et profilert mål før de utfører et hvalfangstangrep. Deretter gjør de grundige undersøkelser for å finne ut mer om personen, privatlivet deres og selskapet de jobber for. De nettkriminelle bruker sosiale medier og andre offentlige informasjonskilder til å utforme personaliserte angrep. Når de nettkriminelle har fått en god forståelse av målpersonens sårbarheter, sender de til slutt en personlig e-post til vedkommende der de ber om et stort pengebeløp.
Hvordan oppdage hvalfangst - vanlige indikatorer
Det er viktig for alle å se etter vanlige tegn på phishing-e-poster, men ledere må være spesielt oppmerksomme på potensielle hvalfangende e-poster. Her er noen ting du bør se etter i en e-post som kan tyde på at den er ondsinnet:
-
Mistenkelige eller feilstavede nettadresser
-
E-poster som ser ut som bedriftsepost, men som ikke bærer bedriftens domene - Gmail, Outlook eller andre offentlige e-postadresser
-
En følelse av at det haster eller frykt i meldingen
-
Forespørsler om å bekrefte personlig informasjon - "kan du vennligst bekrefte bankkontonummeret ditt?"
-
Stave- og grammatikkfeil
Eksempel på hval-phishing
I denne delen vil jeg vise deg et eksempel på hvordan en hval-phishing-e-post ser ut. Jeg vil også veilede deg gjennom noen av de typiske indikatorene på en hval-phishing-e-post.
Det er flere indikatorer på hval-phishing i denne e-posten. La oss gå gjennom dem sammen.
Det første tegnet vi kan se, er at sjefens e-postadresse ikke stemmer overens med selskapets e-postdomene, som du kan se, er ordet company feilstavet. Et annet tegn er at det haster i e-posten, ettersom angriperen sier at pengene må overføres før dagen er omme. Angriperen ser ut til å bruke sensitiv informasjon som får e-posten til å virke legitim, og dette er et tegn du bør se opp for.
Angriperen personaliserer e-posten ved å bruke informasjon om offeret. Kommentaren om det hjemmelagde surdeigsbrødet er laget for å umiddelbart vinne offerets tillit. Shaun kan ha lagt ut et innlegg på sosiale medier om at han har tatt med brød til kontoret, inkludert bilder av ham og sjefen
Dette er et tydelig eksempel på hvordan nettkriminelle bruker informasjon fra sosiale medier for å få phishing-e-postene sine til å se mer troverdige ut.
Konsekvenser av hvalangrep
Hvalangrep viser at hvem som helst kan bli utsatt for nettkriminelle og falle for phishing-e-post. Konsekvensene av å bli offer for et hvalangrep er som ved alle andre typer phishing-angrep, men omfanget kan være større siden administrerende direktører og toppledere ofte har større tilgang til data og penger. Hvalfiske har også ødeleggende konsekvenser for organisasjoner av alle størrelser, ettersom de retter seg mot sensitiv informasjon så vel som finansiell informasjon.
Økonomisk tap
Hvis en person i bedriften din biter på agnet, kan det føre til at vedkommende sender store pengebeløp til de nettkriminelle. I tillegg kommer kostnadene ved å etterforske sikkerhetsbruddet og kompensere potensielle kunder. Ubiquiti Networks tapte svimlende 46,7 millioner dollar i et hvalfangstangrep, der nettkriminelle siktet seg inn på toppledere ved å utgi seg for å være en legitim forretningsmelding.
Tap av personopplysninger
Nettkriminelle kan være i stand til å få tak i personopplysninger på grunn av hvalfangstangrepet. Mens økonomisk tap kan være noe bedriften din kan komme seg etter, er det vanskeligere å kompensere for tap av personopplysninger. Snapchat ble utsatt for et hvalfangstangrep i 2016, der en ansatt overførte nåværende og tidligere ansattes personopplysninger til en nettkriminell som utga seg for å være leder for selskapet.
Skader på omdømmet
Tap av personopplysninger eller økonomisk tap kan være svært pinlig for den som har blitt utsatt for et hvalfangstangrep. Konsekvensene av et hackerangrep kan også føre til at kundene mister tilliten til bedriften din. De kan velge å handle andre steder, særlig hvis hvalfangstangrepet resulterer i tap av personopplysninger. Et australsk hedgefond, Levitas Capital, ble i 2020 lurt av en falsk zoom-lenke som inneholdt skadelig programvare i en e-post. Angrepet forårsaket nesten et tap på 8,7 millioner dollar, men til slutt slapp den nettkriminelle unna med bare 800 000 dollar. Det Levitas Capital ikke tapte i millioner, tapte de imidlertid i omdømmetap, noe som førte til at de mistet sin største kunde og fikk hedgefondet til å kollapse.
Konsekvenser for kulturen
Hvis en administrerende direktør biter på agnet og faller for en hvalfangende e-post, kan det gi de ansatte inntrykk av at selskapet ikke tar cybersikkerhet på alvor. Avhengig av hvilke tiltak som iverksettes, kan de ansatte kanskje også få en følelse av at
-
Det spiller ikke så stor rolle om du går på en phishing-e-post, for administrerende direktør gjorde det uten at det skjedde noe med ham eller henne.
-
Administrerende direktør fikk en alvorlig reprimande, og nå er de ansatte kanskje redde for å rapportere at de ved et uhell har klikket på en ondsinnet lenke i en e-post.
Hvordan bedriften reagerer på et hvalfangstangrep, påvirker hvordan de ansatte oppfatter datasikkerhetstiltakene. Derfor er det viktig å fokusere på bedriftskulturen og hvordan organisasjonen håndterer cybersikkerhet. Kultur er viktig, og vi har derfor laget en veiledning som hjelper deg med å skape en sterk cybersikkerhetskultur i organisasjonen din.
Hvordan bedriften din kan forsvare seg
Som vi skrev i dette blogginnlegget, kan et vellykket hvalfiskeangrep koste bedriften din mye penger og føre til at du mister tilliten til kundene dine. Å forsvare seg mot hvalfiske og alle typer phishing bør være en prioritet i bedriften din. Her er noen tiltak bedriften kan iverksette for å forsvare seg.
Utdann de ansatte
En god måte å beskytte organisasjonen mot phishing-angrep på er å innarbeide en god cybersikkerhetskultur i bedriften. Det er ikke bare de i ledende stillinger som bør få opplæring i cybersikkerhet, men alle i organisasjonen bør gjøres oppmerksomme på farene ved phishing. Alle i organisasjonen bør vite hvem de skal kontakte dersom de mottar mistenkelige e-poster.
Gjennomfør opplæring i phishing
Det er viktig at teamet ditt er klar over mistenkelige e-poster og lenker, slik at de ikke blir ofre eller oppgir sensitiv informasjon som bankinformasjon, passord og brukernavn til nettkriminelle. En måte å lære opp teamet på er å gjøre dem oppmerksomme på hva hval-phishing er ved hjelp av CyberPilots Phishing-trening .
Bruk riktige personverninnstillinger på nettet.
Du kan lære opp de ansatte om sosiale medier. Ledere og høyere ansatte kan begrense tilgangen til informasjonen sin ved å sette personvernbegrensninger på SoMe-kontoene sine. Ved å sette personvernbegrensninger kan du forhindre at nettkriminelle utnytter denne informasjonen.
Bedriftskultur
Bedriftskulturen er en viktig del av forsvaret mot nettkriminelle. Bevissthetsopplæring er bare en del av puslespillet, men det handler også om å skape et miljø der de ansatte ikke er redde for å gjøre eller rapportere feil.
Du bør utdanne hele teamet, ikke bare de høytstående, i hvordan man identifiserer denne typen angrep. Det handler om å skape en positiv cybersikkerhetskultur i bedriften som alle kan dra nytte av. Å gjenkjenne phishing-forsøk er avgjørende for bedriftens sikkerhet. Alt som skal til, er ett feilklikk.