Wat is whaling?
Whaling is een geraffineerd type spear phishing-aanval waarbij bedreigers zich rechtstreeks richten op hooggeplaatste spelers in een organisatie of zich voordoen als hen om anderen te misleiden. Een veelvoorkomend voorbeeld is een CEO van een bedrijf als doelwit nemen of zich voordoen als CEO om andere essential onderdelen van een organisatie te misleiden, zoals CFO's, salarisafdelingen, beveiligingsteams of woordvoerders.
Cybercriminelen kunnen complexe social engineering-strategieën gebruiken om whaling-aanvallen succesvol uit te voeren, omdat ze weten dat moderne organisatieleiders verschillende strategieën en tools gebruiken om phishing tegen te gaan. Helaas kan het een uitdaging zijn om de aanvallers te pakken omdat ze vaak hun locaties maskeren en hun digitale voetafdrukken verbergen.
Wat is whaling vs. phishing?
Voordat we dieper ingaan op wat whishing is of hoe whaling-aanvallen werken, moeten we waarschijnlijk de veelgestelde vraag beantwoorden: wat is phishing in cyberbeveiliging? In een notendop, phishing is wanneer bedreigingsactoren zich valselijk voordoen als vertrouwde partijen om het vertrouwen van een slachtoffer te winnen en hun geld of gevoelige informatie te stelen. In tegenstelling tot wat vaak wordt gedacht, zijn phishing-aanvallen niet beperkt tot e-mails. Phishing-aanvallen die gebruikmaken van tekstberichten worden bijvoorbeeld smishingen phishingaanvallen die gebruikmaken van spraakcommunicatie worden vishing genoemd.
Phishing-e-mails zijn meestal gericht op veel internetgebruikers en zijn gemakkelijker te herkennen omdat dreigers ze ontwerpen voor een massapubliek. In feite versturen ze elke dag miljarden phishing e-mails. Phishing-aanvallen kunnen echter ook gerichter zijn.
Wat is een spear-phishing aanval?
Een spear-phishing aanval is een gerichtere vorm van phishing-aanval waarbij bedreigingsactoren e-mails op maat maken om een specifieke groep mensen aan te vallen, zoals werknemers van een financiële afdeling. Ze kunnen gegevens verzamelen via spyware of bronnen op internet zoals sociale media-pagina's om namen, functietitels, e-mailadressen en meer te verzamelen om een overtuigende spear-phishing aanval te ontwerpen. Soortgelijke tactieken kunnen hackers helpen om whaling aanvallen uit te voeren.
Waarom heet het een whaling aanval?
De termen phishing, spear-phishing en walvisjacht zijn allemaal analoog aan vissen. Terwijl vissers een vislijn met aas in het water gooien in de hoop een van de vele vissen in de zee te vangen, stuurt een hacker phishing e-mails naar veel mensen in de hoop ten minste één slachtoffer te vangen. Net zoals sommige visexperts speren gebruiken om op afzonderlijke vissen te jagen, gebruiken bedreigingsactoren speer-phishing voor specifieke doelwitten.
Walvissen zijn de grootste vissen in de zee en een waardevol doelwit voor sommige vissers. Walvisaanvallen in cyberbeveiliging zijn ook gericht op lucratieve doelwitten, zoals leidinggevenden in een bedrijf.
Hoe werkt een whaling aanval?
Met hooggeplaatste doelwitten die op hun hoede zijn voor phishing aanvallen, gebruiken hackers verschillende strategieën om hun whaling campagne succesvol te maken. Bijvoorbeeld, ze kunnen de LinkedIn-pagina van een directeur onderzoeken om hun campagne een persoonlijke touch te geven. Feitelijk zijn datalekken de reden waarom het misschien beter is LinkedIn helemaal niet te gebruiken. Een whaling aanvaller kan ook industrie-specifiek jargon onderzoeken om legitiem over te komen en de emoties van een doelwit uitbuiten door een lucratieve zakelijke kans te bieden. Nadat ze de fase van het verzamelen van inlichtingen hebben voltooid, kunnen ze de volgende whale phishing aanvalsmethoden gebruiken:
- E-mails: Zoals hierboven vermeld, zijn e-mails op maat om hun doelwitten te manipuleren een veelvoorkomende aanvalsvector en maken ze gebruik van schadelijke bijlagen, koppelingen of websites.
- Telefoon: Het Britse National Cyber Security Center merkte op dat aanvallers e-mails en telefoontjes kunnen gebruiken in een 1-2 punch strategie waarbij het telefoontje volgt op de e-mail om de phishing te versterken.
- Pretexting: Oplichters kunnen vriendschap sluiten met een doelwit via sociale media door zich voor te doen als een potentiële zakenpartner, liefdesbelang, vakgenoot of een autoriteitsfiguur zoals een belastingfunctionaris.
- Lokken: De aanvaller kan een doelwit verleiden om een authentiek uitziende geïnfecteerde USB-stick te gebruiken door deze achter te laten op kantoor, in een gymkluisje of door deze naar huis te mailen.
Wat is het doel van whaling aanvallen?
- Geld: Aanvallers kunnen de spear-phishing aanval gebruiken om slachtoffers ertoe te verleiden hen geld te sturen via een overboeking of een organisatie af te persen na data-exfiltratie.
- Controle: Een hacker kan gestolen referenties gebruiken om laterale bewegingen te maken in het netwerk van een organisatie of om achterdeurtjes te openen.
- Aanval op de toeleveringsketen: Er is sprake van een supply chain-aanval wanneer hackers organisaties aanvallen door kwetsbare elementen in hun supply chain te hacken. Met whale phishing zou een cybercrimineel in theorie een overheid kunnen aanvallen door hun leverancier te hacken voor een man-in-the-middle aanval.
- Bedrijfsspionage: Met een succesvolle whaling-aanval kan een hacker intellectueel eigendom of andere handelsgeheimen stelen om concurrenten te helpen, soms in een ander land.
- Malware: Een cybercriminele bende kan slachtoffers van whaling-aanvallen misleiden om gevaarlijke malware te installeren zoals ransomware, keyloggers of rootkits.
- Persoonlijke vendetta: Het slachtoffer van een walvisaanval kan een catastrofaal verlies van zijn reputatie lijden.
Wat is een voorbeeld van walvisjacht?
In de loop der jaren zijn er veel walvisaanvallen geweest, die door sommige mediaorganisaties ook wel CEO e-mail scams worden genoemd. Hier zijn enkele voorbeelden:
2015: Een dochteronderneming in Hong Kong van het draadloze bedrijf Ubiquiti Networks Inc. werd $46,7 miljoen afhandig gemaakt nadat een financiële medewerker via een valse e-mail werd misleid.
2015: Een financieel directeur van speelgoedfabrikant Mattel maakte 3 miljoen dollar over naar een oplichter nadat hij een frauduleus verzoek had ontvangen dat afkomstig leek te zijn van de nieuwe CEO.
2016: Een Oostenrijkse lucht- en ruimtevaartfabrikant met de naam FACC ontsloeg zijn CEO nadat hij 58 miljoen dollar had verloren door een zwendel met walvisemails.
2016: Een HR-medewerker van Snapchat lekte salarisgegevens van werknemers na een e-mailscam met een CEO.
2017: Hackers hebben een kleine bedrijfseigenaar $50.000 afhandig gemaakt met een man-in-the-middle whaling-aanval.
2020: Cybercriminelen gebruikten een kwaadaardige link om de medeoprichter van een Australisch hedgefonds aan te vallen met fraude, waardoor het bedrijf moest sluiten.
Hoe kan je whaling aanvallen voorkomen?
Een organisatie kan de dreiging van whaling-aanvallen verminderen door te leren hoe phishingpogingen te detecteren van hackers, zoals het controleren van de URL, het e-mailadres, links en bijlagen in een e-mail op rode vlaggen. Evenzo kunnen de taal, toon en grammatica van een e-mail ook een aanwijzing zijn. Naast anti-phishing training, kunnen gesimuleerde whaling-aanvallen ook de phishing-detectievaardigheden van een team verbeteren. Voor extra beveiliging zouden bedrijven cyberbeveiligingssoftware moeten gebruiken die whaling aanvalsvectoren zoals frauduleuze websites blokkeert.