Een whaling-aanval is een methode die door cybercriminelen wordt gebruikt om zich voor te doen als een belangrijke persoon bij een organisatie. Deze aanvallen zijn op die manier rechtstreeks gericht op hooggeplaatste of belangrijke personen bij een organisatie, om geld of gevoelige informatie te stelen of toegang te krijgen tot hun computersystemen voor criminele doeleinden. Het staat ook bekend als CEO-fraude. Whaling lijkt op phishing in dat het methoden zoals e-mail en websitespoofing gebruikt om iemand te misleiden om specifieke acties uit te voeren, zoals het onthullen van gevoelige gegevens of het overmaken van geld.
Terwijl phishing gericht is op niet-specifieke personen en spear-phishing wel specifiek gericht is op bepaalde mensen, voegt whaling aan de laatste methode nog toe door zich vooral te richten op belangrijke medewerkers. Tegelijkertijd laat het uitschijnen dat de frauduleuze communicatie afkomstig is van iemand die hooggeplaatst of invloedrijk is in de getroffen organisatie. Zie ze als "grote vissen" of "walvissen" van het bedrijf, zoals de CEO of financieel manager. Dit voegt een extra element van social engineering toe, zodat medewerkers terughoudend zijn om een verzoek te weigeren van iemand die zij belangrijk achten.
Deze dreiging is groot en blijft nog altijd toenemen. In 2016 ontving de salarisafdeling van Snapchat een e-whaling-mail, die verstuurd leek te zijn door de CEO met de vraag om informatie over de salarisadministratie van de werknemers. Vorig jaar werd speelgoedgigant Mattel het slachtoffer van whaling nadat een hooggeplaatste financieel directeur een e-mail had ontvangen waarin hij werd gevraagd om een geldoverdracht van een fraudeur die zich voordeed als de nieuwe CEO. Het bedrijf verloor hierdoor bijna $ 3 miljoen.
Hoe whaling werkt - en hoe je jezelf kunt beschermen
Zoals eerder gezegd verschilt whaling van spear-phishing in dat de frauduleuze communicatie lijkt te komen van iemand van een hogere rang. Deze aanvallen kunnen des te geloofwaardiger worden wanneer cybercriminelen aanzienlijk onderzoek doen in open beschikbare bronnen zoals sociale media om hun benadering specifiek af te stemmen op die doelgroepen.
Dit kan een e-mail zijn die afkomstig lijkt te zijn van een senior manager met een verwijzing naar informatie die de aanvaller online heeft verzameld. Zo hebben ze die persoon mogelijk gezien op foto's op sociale media van het bedrijfskerstfeest en zeggen: ‘Hallo John, Steve hier. Je was behoorlijk dronken afgelopen donderdag! Ik hoop dat je die biervlek uit je rode shirt hebt weten te krijgen!"
Bovendien ziet het e-mailadres van de afzender er meestal uit alsof het van een geloofwaardige bron komt en kan zelfs bedrijfslogo's of links naar een frauduleuze website bevatten die ook werd ontworpen om er legitiem uit te zien. Aangezien de hooggeplaatste persoon (whale) binnen de organisatie geniet van een hoog niveau van vertrouwen en toegang binnen de organisatie, is het de moeite waard voor de cybercrimineel om extra inspanningen te leveren om de benadering geloofwaardig te laten lijken.
De bescherming tegen whaling begint met het opleiden van belangrijke personen binnen de organisatie om ervoor te zorgen dat deze altijd op hun hoede zijn voor de mogelijkheid dat ze een doelwit worden. Moedig belangrijke personeelsleden aan om op een gezonde manier achterdochtig te blijven in geval van ongevraagd contact, vooral als het gaat om belangrijke informatie of financiële transacties. Ze moeten zich altijd afvragen of ze de e-mail, bijlage of link verwachtten. Is het verzoek op een of andere manier ongebruikelijk?
Ze moeten ook worden opgeleid om te letten op de duidelijke tekenen van een aanval, zoals vervalste e-mailadressen en namen. Als je in een e-mailbericht met de muisaanwijzer over een naam gaat, wordt het volledige adres zichtbaar. Door goed te kijken, is het mogelijk om te zien of het wel perfect overeenkomt met de bedrijfsnaam en het formaat. Laat je IT-afdeling ook whaling-oefeningen uitvoeren om te testen hoe je belangrijkste medewerkers reageren.
Leidinggevenden moeten ook leren om extra voorzichtig te zijn bij het online plaatsen en delen van informatie op socialemediasites als Facebook, Twitter en LinkedIn. Details zoals verjaardagen, hobby's, feestdagen, functietitels, promoties en relaties kunnen allemaal door cybercriminelen worden gebruikt om hun aanvallen meer genuanceerd te maken.
Een uitstekende methode om het gevaar van nepberichten te verminderen, is je IT-afdeling te verplichten om e-mails die van buiten je netwerk komen automatisch te markeren. Bij whaling wordt vaak gebruikgemaakt van cybercriminelen die sleutelfiguren misleiden om te geloven dat berichten van binnen jouw organisatie komen, zoals het verzoek van een financieel manager om geld naar een account te sturen. Door e-mails van buitenaf te markeren, kunnen nepmails gemakkelijker herkend worden, zelfs door mensen die hiervoor niet opgeleid zijn.
Het is ook aangeraden om gespecialiseerde anti-phishingsoftware in te zetten met functies zoals URL-screening en linkvalidatie. Het is ook verstandig om nog een ander controleniveau te overwegen als het gaat om het vrijgeven van gevoelige informatie of grote bedragen. Een persoonlijke ontmoeting of een telefoongesprek kan bijvoorbeeld de beste manier zijn om kritieke of gevoelige taken af te handelen, in plaats van een eenvoudige elektronische transactie.
Daarnaast is het bij oplichting via het internet altijd beter om twee personen te gebruiken. Overweeg de procedures bij je organisatie te wijzigen zodat twee personen betalingen moeten goedkeuren in de plaats van een. Dit geeft iemand niet alleen een tweede mening om twijfels weg te nemen, het vermindert ook de angst om in het vizier te komen van die hoger geplaatste persoon als deze zich zou ergeren aan een weigering. Angst is een belangrijk element bij social engineering waar deze aanvallers misbruik van maken.