Et whaling-angreb er en metode, der bruges af cyberkriminelle til at udgive sig for at være en ledende medarbejder i en organisation og gå direkte efter ledende eller andre vigtige personer i en organisation med det formål at stjæle penge eller følsomme oplysninger eller få adgang til deres computersystemer med kriminelle formål. Whaling kendes også som CEO-svindel og ligner phishing, fordi det bruger metoder som e-mail- og websted-spoofing til at narre et mål til at udføre specifikke handlinger, som f.eks. at afsløre følsomme data eller overføre penge.
Mens phishing-svindel ikke er rettet mod specifikke personer, og spear phishing er rettet mod bestemte personer, går whaling et skridt videre ved ikke kun at være rettet mod disse nøglepersoner, men ved at gøre det på en måde, så den bedrageriske kommunikation, disse personer får tilsendt, ser ud til at komme fra en specifikt højtstående eller indflydelsesrig person i deres organisation. Tænk på disse personer som de store fisk eller "whales" i virksomheden, som f.eks. den administrerende direktør eller økonomichefen. Det tilføjer et ekstra element af social engineering, hvor den ansatte er tilbageholdende med at afvise en anmodning fra en person, de anser for at være vigtig.
Denne trussel er meget reel og vokser hele tiden. I 2016 modtog lønningsafdelingen hos Snapchat en whaling-e-mail, der tilsyneladende blev sendt fra den administrerende direktør med en anmodning om medarbejdernes lønoplysninger. Sidste år blev legetøjsgiganten Mattel offer for et whaling-angreb, efter at en økonomichef modtog en e-mail med en anmodning om pengeoverførsel fra en svindler, der udgav sig for at være den nye administrerende direktør. Virksomheden mistede næsten 3 mio dollars ved at foretage overførslen.
Sådan fungerer Whaling-angreb – og sådan kan du beskytte dig selv
Som tidligere nævnt adskiller whaling sig fra spear phishing ved, at den kommunikationen ser ud til at komme fra en højtstående eller indflydelsesrig person. Disse angreb kan gøres endnu mere troværdige, når cyberkriminelle bruger omfattende research, der udnytter åbent tilgængelige ressourcer såsom sociale medier til at skabe en tilgang, der er skræddersyet til disse målpersoner.
Det kan være en e-mail, der ser ud til at være fra en ledende medarbejder, og som indeholder en henvisning til noget, som en angriber kan have fundet på nettet, f.eks. når de har set personen på nogle billeder fra kontorets julefrokost på de sociale medier: "Hej John, det er Simon igen - du var ret fuld i torsdags! Jeg håber, det lykkedes dig at få ølpletten af din røde skjorte!"
Derudover ser afsenderens e-mailadresse typisk ud, som om den kommer fra en troværdig kilde og kan endda indeholde firmalogoer eller links til et falskt websted, der også er designet til at se legitim ud. Da whaling forekommer tillidsvækkende og adgang inden for deres organisation har tendens til at være højt, er det værd at bruge tid og kræfter på for den cyberkriminelle at gøre en ekstra indsats for at få forsøget til at virke troværdigt.
Et forsvar mod whaling-angreb starter med at uddanne nøglepersoner i din organisation for at sikre, at de rutinemæssigt er på vagt over for muligheden for at blive angrebet. Tilskynd nøglemedarbejdere til at opretholde en sund grad af forsigtighed, når det gælder uopfordret kontakt, især når det drejer sig om vigtige oplysninger eller finansielle transaktioner. Medarbejderne bør altid spørge sig selv, om de forventede e-mailen, den vedhæftede fil eller linket? Er forespørgslen på nogen måde usædvanlig?
De bør også trænes i at holde øje med de mest indlysende tegn på et angreb, såsom spoofede (falske) e-mailadresser og navne. Du skal blot holde markøren over et navn i en e-mail for at se den fulde adresse. Ved at se godt efter er det muligt at se, om adressen passer fuldstændig til virksomhedens navn og format. Din it-afdeling bør også gennemføre øvelser i registrering af whaling-forsøg for at teste, hvordan dine nøglemedarbejdere reagerer.
Ledere bør også lære at være særligt forsigtige, når de poster og deler oplysninger online på sociale medier såsom Facebook, X og LinkedIn. Oplysninger såsom fødselsdage, hobbyer, ferier, jobtitler, forfremmelser og relationer kan alle bruges af cyberkriminelle til at lave mere sofistikerede angreb.
En fremragende metode til at reducere faren ved falske e-mails er at kræve, at din it-afdeling automatisk markerer e-mails til gennemgang, der kommer ind fra uden for dit netværk. Whaling går ofte ud på, at cyberkriminelle narrer nøglepersoner til at tro, at beskederne kommer inde fra din organisation, f.eks. en økonomichefs anmodning om at sende penge til en konto. Markering af eksterne e-mails gør det lettere at opdage falske e-mails, der ser legitime ud på overfladen, selv for personer med et utrænet øje.
Implementering af speciel anti-phishing software, der indeholder tjenester som URL-screening og linkvalidering, er også tilrådeligt. Det er også klogt at overveje at tilføje endnu et valideringsniveau, når det drejer sig om udlevering af følsomme oplysninger eller overførsel af store pengebeløb. Et personligt møde eller et telefonopkald kan være den bedste praksis, når man håndterer kritiske eller følsomme opgaver, i stedet for blot at udføre transaktionen elektronisk.
Og når det gælder internetsvindel, er to hoveder bedre end ét. Overvej at ændre procedurerne i din organisation, så to i stedet for én person skal godkende betalinger. Det giver ikke kun en anden person at vende enhver tvivl med, men fjerner også frygten for, at de kan blive udpeget til straf af den overordnede person, hvis de bliver irriterede over et afslag. Frygt er en vigtig social engineering-taktik, som disse angribere er afhængige af.