Tillbaka till bloggen
5 min read

Vad Whaling är och hur man förhindrar det

Søren Lassen Jensen
By: Søren Lassen Jensen Cybersäkerhet | 19 januari

Nätfiske blir ett allt större hot och kommer i olika former och storlekar. Whale Phishing är en av dessa former och det är en doozy. Många företag har nappat på betet och fallit offer för whale phishing. Det är viktigt att vara medveten om den taktik som nätfiskarna använder för att få dig och dina kollegor att nappa på betet. I det här blogginlägget kommer jag att gå igenom vad whale phishing är och vilka åtgärder du kan vidta för att undvika att någon av dina anställda blir fångad av phisherman.

Vad är whale phishing?

Whale phishing är en typ av spear phishing som riktar sig mot ledande befattningshavare och VD:ar på företag. Whale phishing ska inte förväxlas med CEO-fraud, där cyberbrottslingar utger sig för att vara VD för ett företag för att lura en anställd att överföra konfidentiell information eller pengar.

Det finns några olika sätt som whale phishing sker på, jag kommer kort att diskutera några vanliga taktiker som används av cyberbrottslingar.

Ett av de sätt som VD:ar kan utsättas för whale phishing är genom att cyberbrottslingar skickar ett e-postmeddelande med en begäran om betalning och utger sig för att vara en kund till företaget.

Cyberbrottslingar kan också falskeligen utge sig för att vara anställda på ett företag och rikta in sig på VD genom att skicka ett personligt e-postmeddelande. Allt som krävs är en snabb googlesökning för att hitta relevant information om företaget och VD:n.

Cyberbrottslingar skickar ofta ett e-postmeddelande eller ett textmeddelande där de uppmanar den utvalda VD:n att klicka på ett virus som är förklätt till en länk. När man klickar på länken installeras skadlig kod på enheten, vilket ger cyberbrottslingarna tillgång till företagets privata data.

Hur skiljer sig "whale phishing" från nätfiske?

Skillnaden mellan whale phishing och phishing är att phishing-attacker riktas mot icke-specifika individer och utförs genom att skicka massmejl. Whale phishing görs däremot mer precist och riktas mot individer som VD:ar, chefer och anställda på högre positioner i företaget. Med andra ord fokuserar phishing på kvantiteten av attacker medan whale phishing handlar om kvalitet eftersom det krävs en hel del arbete för att attackerna ska bli framgångsrika.

Nu när vi har fastställt vad whaling är, låt oss prata om syftet med whale phishing och hur attacker utförs.

Smart CTA_phishingcase DE

Syftet med whale phishing

Målet med whale phishing är att övertyga offren om att antingen överföra en stor summa pengar till angriparna eller att stjäla konfidentiella företagsuppgifter. Cyberbrottslingar väljer att rikta in sig på personer i maktpositioner inom ett företag för att nå detta mål eftersom dessa personer tenderar att ha beslutsfattande makt och kanske inte behöver godkännande när de gör betalningar. Ett annat skäl till att rikta in sig på sådana personer är att angriparna ser dem som de som är villiga att skydda företagets rykte när de hotas med information som kan skada företagets image.

Hur valfångstattacker utförs

Cyberbrottslingar väljer noggrant ut sitt högprofilerade mål innan de utför en whaling-attack, de gör sedan djupgående efterforskningar för att ta reda på mer om individen, dennes privatliv och företaget de arbetar för. Cyberbrottslingar vänder sig till sociala medier och andra offentliga informationskällor för att skapa personliga attacker. När cyberbrottslingen har en god förståelse för målets sårbarheter skickar de slutligen ett personligt e-postmeddelande till målet där de begär en stor summa pengar.

Hur man upptäcker valfångst - vanliga indikatorer

Det är viktigt för alla att hålla utkik efter vanliga tecken på phishing-mejl, men ledarskap måste särskilt vara på alerten för potentiella valfiske-mejl. Här är några saker att hålla utkik efter i ett e-postmeddelande som kan tyda på att det är skadligt:

  • Misstänkta eller felstavade webbadresser

  • E-postmeddelanden som ser ut som företagsmejl och som inte har ditt företags domän - Gmail, Outlook eller andra offentliga e-postadresser

  • En känsla av brådska eller rädsla i meddelandet

  • Begäran om att verifiera personlig information - "kan du bekräfta ditt bankkontonummer?"

  • Stavnings- och grammatikfel

Exempel på val-phishing

I det här avsnittet visar jag ett exempel på hur ett e-postmeddelande med valphishing ser ut. Jag kommer också att guida dig genom några av de typiska indikatorerna för ett whale phishing-e-postmeddelande.

Whaling example

Det finns flera indikatorer på whale-phishing i det här e-postmeddelandet. Låt oss gå igenom dem tillsammans.

Det första tecknet vi kan se är att chefens e-postadress inte matchar företagets e-postdomän, som du kan se är ordet företag felstavat. Ett annat tecken är känslan av brådska i e-postmeddelandet eftersom angriparen säger att pengarna måste överföras innan dagen är över. Angriparen verkar använda känslig information som gör att e-postmeddelandet verkar legitimt, detta är ett tecken att se upp för.

Angriparen personaliserar e-postmeddelandet genom att använda information om offret. Kommentaren om det hemlagade surdegsbrödet görs för att omedelbart få offrets förtroende. Shaun kan ha gjort ett inlägg på sociala medier om att ta med bröd till kontoret inklusive bilder av honom och chefen

Detta är ett tydligt exempel på hur cyberbrottslingar använder information som finns på sociala medier för att få sina phishing-e-postmeddelanden att se mer trovärdiga ut.

Konsekvenser av valattacker

Valattacker visar att vem som helst kan bli måltavla för cyberbrottslingar och falla för phishing-e-post. Konsekvenserna av att falla offer för en whale-attack är som vilken annan typ av phishing-attack som helst, men skalan kan vara större eftersom VD:ar och högre chefer ofta har mer tillgång till data och pengar. Whale phishing har också förödande konsekvenser för organisationer av alla storlekar eftersom de riktar in sig på känslig information såväl som finansiell information.

Ekonomisk förlust

Om en person i ditt företag tar betet kan det leda till att de skickar en enorm summa pengar till cyberbrottslingarna. Dessutom tillkommer kostnaden för att utreda intrånget och kompensera potentiella kunder. Ubiquiti Networks förlorade häpnadsväckande 46,7 miljoner dollar i en valattack, där cyberbrottslingar riktade sig till toppchefer genom att utge sig för att vara ett legitimt affärsmeddelande.

Förlust av personuppgifter

Cyberbrottslingar kan kanske få tillgång till personuppgifter på grund av valattacken. Medan ekonomisk förlust kan vara något som ditt företag kan återhämta sig från, är det svårare att kompensera för förlusten av människors personuppgifter. Snapchat föll offer för en valattack 2016, där en anställd överförde nuvarande och tidigare anställdas personuppgifter till en cyberbrottsling som utgav sig för att vara företagets chef.

Skada på anseende

Förlust av personuppgifter eller ekonomisk förlust kan vara extremt pinsamt för den som utsätts för en valpattack. Konsekvenserna av en whaling-attack kan också leda till att kunderna inte litar på ditt företag. De kanske vänder sig någon annanstans, särskilt om valfångstattacken leder till förlust av personuppgifter. En australiensisk hedgefond, Levitas Capital, blev 2020 lurad av en falsk zoomlänk som innehöll skadlig kod i ett e-postmeddelande. Attacken orsakade nästan en förlust på 8,7 miljoner dollar, men i slutändan kom cyberbrottslingen bara undan med 800.000 XNUMX dollar. Vad Levitas Capital inte förlorade i miljoner förlorade de dock i ryktesskada, vilket ledde till att de förlorade sin största kund och att hedgefonden kollapsade.

Konsekvenser för kulturer

Om en VD tar betet och faller för ett valfiske-e-postmeddelande kan det ge de anställda intrycket att företaget inte tar cybersäkerhet på allvar. Beroende på vilka åtgärder som vidtas kan de anställda kanske också få känslan av att:

  • Det spelar egentligen inte så stor roll om du går på ett phishingmejl eftersom VD gjorde det och inget hände honom eller henne.

  • VD:n fick en allvarlig reprimand och nu kanske medarbetarna är rädda för att rapportera att de av misstag klickade på en skadlig länk i ett e-postmeddelande.

Hur ditt företag reagerar på en whaling-attack påverkar hur dina medarbetare ser på datasäkerhetsåtgärder. Det är därför viktigt att fokusera på företagets kultur och hur organisationen hanterar cybersäkerhet. Kultur är viktigt, så vi har skapat en guide som hjälper dig att skapa en stark cybersäkerhetskultur i din organisation.


Hur ditt företag kan försvara sig

Som vi skrev i det här blogginlägget kan en framgångsrik valfiskeattack kosta ditt företag mycket pengar och leda till att du förlorar dina kunders förtroende. Att försvara sig mot whale phishing och alla typer av phishing bör vara en prioritet i ditt företag. Så här är några initiativ som ditt företag kan ta för att försvara sig.

Utbilda dina anställda

Ett bra sätt att försvara din organisation från phishing-attacker är att införa en bra cybersäkerhetskultur i ditt företag. Inte bara de i ledande befattningar bör utbildas om cybersäkerhet utan alla i organisationen bör göras medvetna om farorna med nätfiske. Alla i organisationen bör veta vem de ska kontakta om de får misstänkta e-postmeddelanden.

Implementera utbildning om nätfiske

Det är viktigt att ditt team är medvetet om misstänkta e-postmeddelanden och länkar, så att de inte faller offer eller lämnar ut känslig information som bankinformation, lösenord och användarnamn till cyberbrottslingar. Ett sätt att utbilda ditt team är att göra dem medvetna om vad whale phishing är med hjälp av CyberPilots Phishing-training.

Använd lämpliga sekretessinställningar online.

Du kan utbilda dina anställda om sociala medier. Chefer och högre chefer kan begränsa tillgången till sin information genom att ställa in sekretessbegränsningar på sina SoMe-konton. Genom att ställa in sekretessbegränsningar kan du förhindra att cyberbrottslingar utnyttjar den informationen.

Företagets kultur

Företagskulturen är en viktig del av försvaret mot cyberbrottslingar. Medvetenhetsträning är bara en del av pusslet, men det handlar också om att skapa en miljö där anställda inte är rädda för att göra eller rapportera misstag.

Du bör utbilda hela ditt team, inte bara de högre cheferna, i hur man identifierar dessa typer av attacker. Det handlar om att skapa en positiv cybersäkerhetskultur i ditt företag som alla kan dra nytta av. Att känna igen phishing-försök är avgörande för ett företags säkerhet. Allt som krävs är ett felaktigt klick.
Back to blog
Recent articles
Cybersäkerhet 3 Typer Av Phishing Alla Företag Bör Känna Till

Spear phishing, whaling och VD-bedrägeri är phishing som alla företag bör känna till. Få de bästa tipsen för hur du förhindrar phishing inom ditt företag.

Emma Soderlund 6 min read - By Emma Soderlund
GDPR Vem ska ha tillgång till personuppgifter? 4 Konkreta rekommendationer

Alla behöver inte ha tillgång till alla personuppgifter. Här är 4 rekommendationer om hur du kan kontrollera tillgången till personuppgifter.

Ismail Özkan 6 min read - By Ismail Özkan
GDPR Nytt EU-Beslut Kan Skapa Stora Konsekvenser För Din Organisation

Schrems II-ärendet gjorde det omöjligt för amerikanska organisationer att använda Skölden för skydd av privatlivet (Privacy Shield-ramverket). Det kommer till att påverka hur

Anders Bryde Thornild 3 min read - By Anders Bryde Thornild