«Whaling» är en specifik form av nätfiske som riktar sig till högprofilerade företagsledare, chefer och liknande. Det skiljer sig från vanligt nätfiske genom att med valfångst får e-postmeddelanden eller webbsidor som tjänar bluffen ett mer allvarligt eller formellt utseende och är vanligtvis riktade mot någon särskild. För perspektiv är vanligt nätfiske utan valfångst vanligtvis ett försök att få någons inloggningsinformation till en social mediasida eller bank. I dessa fall ser nätfiske-e-posten/webbplatsen ganska standard ut, medan siddesignen vid valfångst explicit adresserar chefen/chefen som är attackerad.
Vad är målet med valfångst?
Poängen är att lura någon i högsta ledningen till att avslöja konfidentiell företagsinformation. Detta kommer vanligtvis i form av ett lösenord till ett känsligt konto, som angriparen sedan kan komma åt för att få mer data. Slutspelet i alla nätfiskeattacker som valfångst är att skrämma mottagaren, att övertyga dem om att de måste vidta åtgärder för att fortsätta, som att undvika juridiska avgifter, att förhindra att få sparken, att stoppa företaget från att gå i konkurs, etc.
Hur ser en valfångstbedrägeri ut?
Valfångst, precis som alla nätfiskespel, involverar en webbsida eller e-post som utger sig som en som är legitim och brådskande. Bedragare designar dem så att de ser ut som ett kritiskt affärse-postmeddelande eller något från någon med auktoritet, antingen externt eller till och med internt, från företaget självt. Valfångstförsöket kan se ut som en länk till en vanlig webbplats som du är bekant med. Den ber förmodligen om din inloggningsinformation precis som du förväntar dig. Men om du inte är försiktig är det som händer härnäst problemet. När du försöker skicka in dina uppgifter i inloggningsfälten visas ett meddelande om att informationen var felaktig och att du bör försöka igen. Ingen skada skedde, eller hur? Du skrev bara in ditt lösenord felaktigt – det är dock bluffen! Vad som händer bakom kulisserna är att när du anger din information på den falska sajten (som inte kan logga in dig eftersom den inte är äkta), skickas informationen du angav till angriparen och sedan omdirigeras du till riktig hemsida. Du provar ditt lösenord igen, och det fungerar bra. Vid det här laget har du ingen aning om att sidan var falsk och att någon bara stal ditt lösenord. Men nu har angriparen ditt användarnamn och lösenord till webbplatsen som du trodde att du loggade in på. Istället för en länk kan nätfiske-bluffen få dig att ladda ner ett program för att se ett dokument eller en bild. Programmet, oavsett om det är verkligt eller inte, har en skadlig underton för att spåra allt du skriver eller raderar saker från din dator.
Hur valfångst skiljer sig från andra nätfiskebedrägerier
I en vanlig nätfiskebedrägeri kan webbsidan/e-posten vara en falsk varning från din bank eller PayPal. Den falska sidan kan skrämma målet med påståenden om att deras konto har laddats eller attackerats, och att de måste ange sitt ID och lösenord för att bekräfta debiteringen eller för att verifiera sin identitet. I fallet med valfångst kommer den maskerande webbsidan/e-posten att anta en mer seriös form på exekutiv nivå. Innehållet kommer att rikta sig till en högre chef som VD:n eller till och med bara en handledare som kan ha mycket attrahera i företaget eller som kan ha meriter till värdefulla konton. E-postmeddelandet eller webbplatsen för valfångst kan komma i form av en falsk stämning, ett falskt meddelande från FBI eller någon form av kritiskt juridiskt klagomål.
Hur skyddar jag mig från valfångsattacker?
Det enklaste sättet att skydda dig från att falla för en valfångstbedrägeri är att vara medveten om vad du klickar på. Det är så enkelt. Eftersom valfångst sker via e-postmeddelanden och webbplatser kan du undvika alla skadliga länkar genom att förstå vad som är verkligt och vad som inte är det. Nu är det inte alltid möjligt att veta vad som är falskt. Ibland får du ett nytt e-postmeddelande från någon som du aldrig har mailat förut, och de kan skicka dig något som verkar helt legitimt. Men om du tittar på webbadressen i din webbläsare och ser till att titta runt på sajten, även kort, efter saker som ser lite offensiva ut, kan du avsevärt minska dina chanser att bli attackerad på detta sätt.
Faller chefer och chefer verkligen för dessa valfångstmeddelanden?
Ja, tyvärr faller chefer ofta för e-postbedrägerier med valfångst. Ta 2008 års FBI:s stämning av valfångst som ett exempel. Bedragare attackerade cirka 20 000 företags vd:ar och cirka 2 000 av dem föll för valfångstbluffen genom att klicka på länken i mejlet. De trodde att det skulle ladda ner ett speciellt webbläsartillägg för att se hela stämningen. I sanning var den länkade programvaran en keylogger som i hemlighet registrerade VD:s lösenord och vidarebefordrade dessa lösenord till bedragarna. Som ett resultat hackades vart och ett av de 2000 komprometterade företagen ännu mer nu när angriparna hade den information de behövde.