Whaling:
Cybercrooks är som skattjägare: ju större belöning desto bättre. Även om större belöningar är förenade med större risker, krävs det också mer skicklighet för att få dem, vilket innebär mer skrytande rättigheter för de snyltande. Det finns ingen större belöning än att landa en val i ett nätfiskeprogram.
Desto mer tillgång eller upplevd makt en person har i sin organisation, desto större är sannolikheten att cyberkriminella kommer att försöka stjäla deras autentiseringsuppgifter. Tillgång till bara ett konto för en anställd på hög nivå kan innebära tillgång till företagets bankkonton, konfidentiell information och personlig information om de anställda.
Att tillhöra ett företags ledningsgrupp innebär att du löper större risk att utsättas för riktade nätfiskeattacker, så det är viktigt att du vet så mycket som möjligt om den här typen av attacker och hur du förhindrar dem.
För att bättre förstå vad valfiske är och hur det skiljer sig från andra nätfiskemetoder, börjar vi med att först förklara nätfiske.
Vad är phishing?
Phishing är en teknik som används av cyberkriminella för att få tag på personlig information (t.ex. kreditkortsnummer eller inloggningsuppgifter) genom att skicka ett e-postmeddelande som är utformat så att det ser ut som om det kommer från en legitim källa, men som syftar till att lura dig till att klicka på en illasinnad länk eller ladda ner en bifogad fil som potentiellt innehåller skadlig kod.
Phishers skapar vanligtvis falska e-postmeddelanden som ser ut att komma från någon du litar på, t.ex. en bank, ett kreditkortsföretag eller en populär webbplats. E-postmeddelandet kan be dig att ”bekräfta dina kontouppgifter” och leda dig till en webbplats som ser ut som den riktiga webbplatsen, men vars enda syfte är att stjäla information.
Phishing-attacker kan ske hos privatpersoner hemma, på kontoret, via telefon och till och med via sms, så det är viktigt att vara vaksam oavsett vilken enhet du använder.
Vad är Whale Phishing eller Whaling?
Whaling, eller whale phishing, är en typ av mycket målinriktad nätfiskeattack riktad mot ett företags högsta chefer. Dessa högkvalitativa mål har i allmänhet omfattande tillgång till en organisations resurser, vilket gör dem till ”valar”.
Om spear phishing vanligen riktas mot anställda eller små företag (fisken), är ”valen” i whaling den ”stora fisken”, dvs. en högt uppsatt medlem av en organisation. För att dra till sig deras uppmärksamhet kan e-postmeddelanden se ut att vara juridiska hot eller viktiga klagomål.
En brottsling har samma mål med valfiske som med alla andra nätfiskeattacker: att lura en person att avslöja känslig information som kan användas för att bryta sig in i en organisations nätverk.
Hur kan du skydda din organisation mot valfiske?
Valfiske kan förhindras på samma sätt som du skulle skydda dig mot alla andra nätfiskeattacker via e-post:
- Hoppa över länkar i e-postmeddelanden för att kontrollera destinationen innan du klickar på dem.
- Leta bort misstänkta e-postmeddelanden med sensationella ämnesrader som ”Måste agera nu” eller som innehåller oprofessionella stavfel i meddelandet.
- Öppna endast bilagor från betrodda källor.
- I tveksamma fall kan du ringa upp avsändaren på telefon för att bekräfta att det är han eller hon som skickat e-postmeddelandet.
Då valfiskeattacker riktar sig mot toppchefer på företag är det viktigt att de får riktad rollbaserad utbildning i säkerhetsmedvetenhet så att de är medvetna om de specifika typer av attacker som de kommer att utsättas för på grund av sin titel.
Att skicka ut simuleringskampanjer för nätfiske kan också bidra till att förhindra dessa attacker genom att lära individer genom att föregå med gott exempel. Läs mer om Inspired eLearnings anti-fishing-simulator, PhishProof™.