Beskyt din virksomhed mod whaling
Alle organisationer gør klogt i at træne deres medarbejdere, især de højtstående ansatte, i cybersikkerhed så de kan undgå at blive offer for et whaling-angreb.
Hvad er et whale phishing-angreb?
Whaling (whale phishing) er et almindeligt cyberangreb, hvor en hacker bruger spear phishing-metoder til at gå efter et stort, højt profileret mål, såsom c-suite ledere.
Hackere ved, at ledere og højtstående medarbejdere muligvis har en omfattende viden om cybersikkerhed grundet træning i sikkerhedsbevidsthed i forbindelse med deres arbejde. Derfor anvender hackerne mere sofistikerede metoder til at udføre deres cyberangreb.
Som alle andre phishing-angreb er et vellykket whaling forsøg mod et højt profileret mål stadig afhængig af, at målet udfører en handling. Det kan være at lave en bankoverførsel, opgive fortrolige virksomhedsoplysninger eller give adgang til virksomhedens systemer.
Fra spear phishing til whaling
Som et resultat af den stigende opmærksomhed omkring typiske phishing-taktikker, justerer hackere deres metoder ved at indsnævre omfanget af ofre og skræddersy deres beskeder med detaljer for at overbevise e-mail-modtageren. Denne mere fokuserede tilgang til phishing kaldes almindeligvis spear phishing. Når en hacker beslutter sig for at gå efter et højt profileret mål, så bliver det til whale phishing.
Almindelige mål, som talspersoner eller ledere på C-niveau, har ofte flere personlige oplysninger liggende offentligt tilgængeligt, som hackere kan udnytte. På grund af deres anciennitet kan de også have større intern dataadgang og administrative adgange end den gennemsnitlige medarbejder.
Eksempler på whaling-angreb
Essensen i whaling-beskeder er meget lig andre slags phishing-beskeder. Beskederne er så presserende, at modtageren føler sig tvunget til at handle hurtigt. Hackere, der skriver vellykkede whaling e-mails, ved, at deres mål ikke reagerer blot pga. en påmindelse om en deadline eller en streng e-mail fra en overordnet. I stedet udnytter de andre slags konsekvenser, såsom risikoen for retssager eller skade på målets omdømme.
Et eksempel kan være en e-mail, sendt en til C-suite leder, der indeholder nøjagtige detaljer om lederen og deres forretninger. Afsenderen udgiver sig for at være fra en amerikansk distriktsdomstol med en stævning til lederen, om at vedkommende er blevet indkaldt i en civilsag i retten. E-mailen indeholder et link til stævningen, og når lederen klikker på linket for at se stævningen, bliver lederens computer i stedet inficeret med malware.
Beskyttelse mod whaling
For ledere og andre sandsynlige mål for whaling gælder standardrådene til forebyggelse og beskyttelse mod phishing også.
Pas altid på med at klikke på links eller vedhæftede filer i e-mails, da phishing-angreb af enhver art stadig kræver, at ofret skal reagere på e-mailene.
Organisationer skal også være opmærksomme på den slags information, medarbejdere deler om lederne. Informationer, der nemt kan findes online via sociale medier eller Google-søgninger, kan hjælpe hackere med at gøre deres e-mails mere troværdige. Store offentlige begivenheder kan også give whaling e-mails mere legitimitet. Mind ledere eller talspersoner om, at i disse tider med stor informationsspredning, vil de være i søgelyset på mere end én måde, og at de skal være særligt opmærksomme på deres e-mails.
Vigtigst af alt skal organisationer implementere cybersikkerhedstræning af alle ansatte med indhold, der er målrettet de forskellige slags medarbejdere og deres roller i organisationen. Den mest effektive form for cybersikkerhedstræning indeholder både simulerede phishing-angreb og awareness-træning.
admini