Kybernetičtí podvodníci jsou jako lovci pokladů: čím větší je jejich odměna, tím lépe. Větší odměny jsou sice spojeny s větším rizikem, ale jejich získání vyžaduje také větší zručnost, což znamená větší právo na chlubení pro neřáda. Neexistuje větší odměna než přistání velryby při phishingu.

Čím větší přístup nebo domnělou moc má osoba ve své organizaci, tím je pravděpodobnější, že se kyberzločinci budou snažit ukrást její přihlašovací údaje. Přístup k účtu jen jednoho vysoce postaveného zaměstnance může znamenat přístup k bankovním účtům společnosti, důvěrným informacím a osobním údajům zaměstnanců.

Jste-li součástí vedoucího týmu společnosti, znamená to, že jste více ohroženi cílenými phishingovými útoky, proto je důležité vědět o těchto typech útoků co nejvíce a vědět, jak jim předcházet.

Abyste lépe pochopili, co je to whaling a jak se liší od ostatních metod phishingu, začneme nejprve vysvětlením phishingu.

Co je phishing?

Phishing je technika, kterou kyberzločinci používají k získání osobních údajů (například čísel kreditních karet nebo přihlašovacích údajů) zasláním e-mailu, který má vypadat, jako by přišel z legitimního zdroje, ale jeho cílem je přimět vás ke kliknutí na škodlivý odkaz nebo stažení přílohy potenciálně obsahující malware.

Podvodníci obvykle vytvářejí falešné e-maily, které vypadají, že pocházejí od někoho, komu důvěřujete, například od banky, společnosti vydávající kreditní karty nebo oblíbené webové stránky. E-mail vás může požádat o „potvrzení údajů o vašem účtu“ a přesměrovat vás na webovou stránku, která vypadá jako skutečná webová stránka, ale jejímž jediným účelem je krádež informací.

Phishingové útoky mohou probíhat u osob doma, v kanceláři, po telefonu, a dokonce i prostřednictvím textových zpráv, takže je důležité zůstat ostražitý bez ohledu na to, jaké zařízení používáte.

Co je whale phishing neboli velrybí phishing?

Whaling neboli velrybí phishing je typ vysoce cíleného phishingového útoku zaměřeného na vedoucí pracovníky společnosti. Tyto vysoce hodnotné cíle mají obvykle rozsáhlý přístup ke zdrojům organizace, což z nich činí „velryby“.

Pokud je spear phishing zaměřen obvykle na zaměstnance nebo malé firmy („ryby“), pak „velryba“ ve whalingu je „velká ryba“ vysoce postaveného člena organizace. Aby upoutaly jejich pozornost, mohou e-maily vypadat jako právní hrozby nebo důležité stížnosti.

Cíl zločince při velrybaření je stejný jako při jakémkoli jiném phishingovém útoku: přimět jednotlivce, aby prozradil citlivé informace, které mohou být použity k narušení sítě organizace.

Jak můžete svou organizaci ochránit před whale phishingem?

Whale phishingu lze zabránit stejným způsobem, jakým se chráníte před jakýmkoli jiným e-mailovým phishingovým útokem:

• Před kliknutím na odkazy v e-mailech ověřte jejich cíl.
• Smažte podezřelé e-maily se senzačními předměty, jako je „Musíte jednat hned“, nebo které obsahují neodborné pravopisné chyby v těle zprávy.
• Otevírejte pouze přílohy z důvěryhodných zdrojů.
• Pokud máte pochybnosti, zavolejte odesílateli telefonicky, abyste si ověřili, že e-mail odeslal.

Protože se velrybí phishingové útoky zaměřují na vrcholové manažery společnosti, je důležité, aby absolvovali cílené školení o povědomí o bezpečnosti na základě svých rolí, aby si byli vědomi specifických druhů útoků, kterým budou vzhledem ke svému titulu čelit.

Zasílání simulačních phishingových kampaní může také pomoci předcházet těmto útokům tím, že bude jednotlivce učit příkladem. Další informace o simulátoru proti phishingu PhishProof™ od společnosti Inspired eLearning.