Phishing bliver en større og større trussel og kommer i forskellige former og størrelser. Whale Phishing er en af de former og det er en svær størrelse. Mange virksomheder har bidt på krogen og er blevet ofre for whale phishing. Det er derfor vigtigt at være opmærksom på de taktikker, phisherne bruger for at få dig og dine kollegaer til at bide på krogen. I dette blogindlæg guider jeg dig igennem hvad whale phishing er og hvilke foranstaltninger du kan indføre for at undgå at dine ansatte bliver fanget af phishermændene.
Hvad er whale phishing?
Whale phishing er en form for spear phishing, som angriber højerestående personale og virksomheders direktører. Whale phishing bør ikke blandes sammen med direktørsvindel, hvor cyberkriminelle lader som om de er en virksomheds direktør, for at narre en ansat til at dele fortrolig information eller overføre penge.
Der er nogle få måder, whale phishing fungerer på. Jeg vil kort gennemgå nogle af de gængse taktikker, cyberkriminelle benytter.
En af måderne direktører kan opleve whale phishing på er ved at cyberkriminelle, via en e-mail, sender anmodning om betaling, ved at lade som om de er en kunde hos virksomheden.
Cyberkriminelle kan også lade som om de er en ansat i virksomheden, og målrette sig mod direktøren ved at sende en personlig e-mail. Det kræver kun en hurtig google-søgning at finde relevant information om både virksomheden og direktøren.
Cyberkriminelle sender ofte en e-mail eller SMS, hvor de opfordrer direktøren til at klikke på en virus, som er camoufleret som et link. Når direktøren så klikker på linket, bliver der installeret malware på enheden, hvilket giver cyberkriminelle adgang til virksomhedens private data.
Hvordan er whale phishing anderledes end phishing?
Forskellen mellem whale phishing og phishing er at phishing-angreb rettes mod uspecifikke individer, og udføres ved at sende masse-mails. På den anden side udføres whale phishing mere præcist og målrettes mod individer såsom direktører, ansvarshavende og ansatte i højere stillinger i virksomheden. Med andre ord fokuserer phishing på kvantitet, hvorimod whale phishing handler om kvalitet, da det kræver en del arbejde for at kunne lykkedes med angrebene.
Nu hvor vi har etableret hvad whaling er, kan vi tale om formålet med whale phishing og hvordan angreb udføres.
Formål med whale phishing
Målet med whale phishing er at overbevise ofre om enten at overføre en stor sum penge til angriberne, eller at stjæle virksomhedens fortrolige data. Cyberkriminelle vælger at rette angreb mod højere stillinger i virksomheden, for at opnå deres mål, eftersom disse individer typisk har beslutningsmagt og muligvis ikke har brug for godkendelse, når de gennemfører en udbetaling. En anden grund til at angribe sådanne individer er at angriberne ser disse individer, som dem der villige til at beskytte virksomhedens omdømme, når der er trusler med information, som kan påvirke virksomhedens omdømme negativt.
Hvordan whaling angreb udføres
Cyberkriminelle udvælger nøje deres højtprofilerede mål, før de udfører et whaling-angreb. Derefter laver de dybdegående detektivarbejde for at lære om individet, deres personlige liv og virksomheden som de arbejder for. Cyberkriminelle bruger sociale medier og andre kilder til offentlig information, til at lave personlige angreb. Når den cyberkriminelle har en god forståelse for målets svagheder, så sender de en personlig e-mail til vedkommende, hvor de anmoder om en stor mængde penge.
Sådan spotter man whaling – almindelige kendetegn
Det er vigtigt at alle holde øje med almindelige kendetegn på phishing e-mails, men specielt ledelsen skal være på vagt overfor potentielle whaling e-mails. Her er nogle ting, som man skal være på udkig efter i en e-mail, som kan indikere at e-mailen er ondartet:
-
Mistænkeligt udseende eller stavefejl i URL’er
-
Virksomhedsagtige e-mails, som ikke har din virksomheds domæne – Gmail, Outlook eller andre offentlige e-mailadresser
-
En fornemmelse af hast eller frygt i beskeden
-
Anmodning om at verificere personlig information – ”Vil du venligst bekræfte dit bankkontonummer?”
-
Stave- og grammatikfejl
Eksempel på whale phishing
I denne sektion viser jeg dig et eksempel på hvordan en phishingmail kan se ud. Jeg guider dig, også igennem nogle af de typiske indikatorer på, at der tale om en whale phishingmail.
Der er mange indikatorer på whale phishing i denne e-mail. Lad os gennemgå dem sammen:
Det første tegn vi kan se, er at chefens e-mail ikke matcher virksomhedens e-mail-domæne, eftersom du kan se at ordet 'virksomhed' er stavet forkert. Et andet tegn er fornemmelsen af hast i e-mailen, eftersom angriberen siger at pengene skal sendes før dagen er slut.
Angriberen personliggører e-mailen ved at bruge information om ofret. Kommentaren om det hjemmelavede surdejsbrød laves for at få ofrets tillid med det samme. Shaun kan have lavet et indlæg på sociale medier om at tage brød med på kontoret, sammen med billeder af ham og chefen.
Dette er et klart eksempel på, hvordan cyberkriminelle bruger informationer fundet på sociale medier til, at gøre deres phishing e-mails mere troværdige.
Konsekevenser af whale phishing
Whaling angreb illustrerer at enhver kan blive målrettet af cyberkriminelle og dermed falde for phishing e-mails. Konsekvenserne af at blive offer for et whaling angreb er det samme som alle andre typer phishingangreb, men det kan være på større skala, eftersom direktører og medarbejdere i lederstillinger ofte har større adgang til data og penge. Whale phishing har voldsomme konsekvenser for organisationer i alle størrelser, da de går efter både følsom og finansiel information.
Finansielt tab
Hvis en person i din virksomhed bider på krogen, kan det resultere i at de sender en kæmpe sum penge til de cyberkriminelle. Ydermere er der regningen for at efterforske lækagen og kompensation til potentielle kunder. Ubuquiti Networks tabte hele 46,7 millioner dollars i et whaling angreb, hvor cyberkriminelle rettede angreb mod topdirektører, ved at efterligne en legitim forretningsbesked.
Tab af persondata
Cyberkriminelle kan muligvis anskaffe persondata på baggrund af whaling angrebet. Imens at din virksomhed muligvis kan genopbygges efter et finansielt tab, kan det være sværere at kompensere for folks persondata. Snapchat blev offer for et whaling angreb i 2016, hvor en medarbejder overførte nuværende og tidligere ansattes persondata til en cyberkriminel, som lod som om de var virksomhedens overhovede.
Skade på omdømme
Tab af persondata og finansielt tab kan være ekstremt ydmygende for individet som blev offer for et whaling angreb. Konsekvenserne af et whaling angreb kan også resultere i et tab af tillid til din virksomhed fra kunderne af. De kan flytte forretninger væk, specielt hvis whaling angrebet resulterer i tab af persondata. En australsk hedgefond, Levitas Capital, blev narret i 2020 af et falskt zoom-link, som indeholdt malware i en e-mail. Angrebet forårsagede næsten et tab på 8,7 millioner dollars, men den cyberkriminelle slap kun væk med 800.000 dollars. Hvad Levitas Capital ikke tabte i millioner, tabte de i skade på omdømme, som medførte at de mistede deres største kunde, hvilket ledte til hedgefondens kollaps.
Kulturelle konsekvenser
Hvis en direktør bider på krogen og falder for whale phishing, så kan det give de ansatte et indtryk af at virksomheden ikke tager IT-sikkerhed seriøst. Alt efter hvad der gøres efterfølgende, får de ansatte måske en fornemmelse af at:
-
Det ikke er så vigtigt, hvis de falder for en phishingmail, fordi direktøren gjorde det, og der skete ikke noget med ham/hende.
-
Direktøren fik en seriøs reprimande og nu kan de ansatte være bange for at indrapportere det, hvis de kom til at klikke på et ondartet link i en e-mail.
Hvordan din virksomhed responderer på et whaling angreb påvirker, hvordan dine ansatte har det med datasikkerhedstiltag. Det er derfor vigtigt at fokusere på din virksomheds kultur og hvordan din organisation håndterer cybersikkerhed.
Hvordan din virksomhed kan forsvare sig selv
Som diskuteret i dette blogindlæg, kan et succesfuldt whaling angreb koste din virksomhed mange penge og tabt tillid fra dine kunder. At forsvare dig selv imod whale phishing og alle typer af phishing bør være en prioritet i din virksomhed. Så her er nogle initiativer din virksomhed kan tage, for at forsvare sig selv.
Undervis dine ansatte
En god måde at forsvare din organisation mod phishingangreb er ved at opbygge en god IT-sikkerhedskultur i din virksomhed. Det er ikke kun medarbejdere i lederstillinger der skal uddannes i IT-sikkerhed. Alle i din organisation bør være bevidste omkring farerne ved phishing. Alle i organisationen bør vide hvem de skal kontakte, hvis de opdager mistænkelige e-mails.
Indfør phishingtræning
Det er vigtigt at dit hold er bevidste om mistænkelige e-mails og links, så de ikke bliver ofre eller deler følsom information, såsom bankinformationer, kodeord og brugernavne til cyberkriminelle. Du kan træne dit hold, i at være opmærksomme på whale phishing, ved at bruge CyberPilots phishing-træning
Brug passende privatlivsindstillinger online
Du kan uddanne dine ansatte i brugen af sociale medier. Direktører og højtprofilerende ansatte kan begrænse adgangen til deres informationer ved at opsætte privatlivsrestriktioner på deres sociale medier. Aktiveringen af privatlivsrestriktioner kan forhindre cyberkriminelle i at udnytte disse informationer om dig.
Virksomhedskultur
Din virksomheds kultur er en vigtig del af dit forsvar imod cyberkriminelle. Awareness-træning er bare en del af puslespillet. Det handler i høj grad også om at skabe et miljø, hvor ansatte ikke er bange for at lave eller rapportere fejl.
Du bør uddanne hele din stab, og ikke kun dem i lederstillinger, i at kunne identificere cyberangreb. Det handler om at skabe en positiv IT-sikkerhedskultur, som alle i din virksomhed kan drage fordel af. At genkende phishingforsøg er essentiel for en virksomheds overordnede sikkerhed. Det kræver kun ét forkert klik.
