Als u werkt in of eigenaar bent van een onderneming, moet u weten dat er altijd een hoog risico is op cyberaanvallen en oplichting. E-mailzwendel^{(Email Scams)} is de meest voorkomende onder hen. Phishing is er in vele smaken, zoals Tabnabbing, Spear Phishing en Vishing en Smishing. Een paar dagen geleden hebben we de online fraude van Pharming^{(Pharming online frauds)} onder de loep genomen - vandaag zullen we kijken naar Whaling Scams , de opkomende bedreiging voor cyberbeveiliging.

Wat zijn oplichting op de walvisjacht?

Bij Whaling -zwendel wordt u meestal per e-mail aangevallen – het is een gespecialiseerde phishing-zwendel^{(Phishing scam)} . De aanvaller bestudeert uw online activiteiten en haalt nuttige informatie over u uit andere bronnen. En die informatie wordt gebruikt om een ​​professioneel ogende gepersonaliseerde e-mail te maken. Als u een officiële e-mail ziet, kunt u uw verdediging laten vallen en is de kans groot dat u dergelijke e-mail vertrouwt. Het idee is om informatie van u te verkrijgen voor verdere frauduleuze activiteiten.

Nu moet je je realiseren dat er een dunne lijn van verschil is tussen walvisvangst^(Whaling) en speerphishing ^{(Spear Phishing)}. Walvisvangst^(Whaling) richt zich doorgaans op leidinggevenden op hoog niveau, terwijl de laatste zwendel gericht is op werknemers van een bedrijf, klanten van een bedrijf in het algemeen. Het wordt walvisvangst^(Whaling) genoemd omdat de doelen meestal groot of belangrijk zijn. En dus worden walvissen^(Whales) gekozen vanwege hun autoriteit en toegang binnen een organisatie.

Hoe werkt de walvisvangst^(Whaling) en waarom ben je het doelwit?

De meeste doelwitten zijn meestal zakenlieden, ondernemers, CEO's en werknemers van bedrijven. De doelen zijn meestal bedrijfsspecifiek en aanvallen worden gepland om gevoelige informatie over de activiteiten van een organisatie te verkrijgen.

Dit soort social engineering-aanvallen zijn erg moeilijk te identificeren en mensen geven meestal gegevens aan dergelijke oplichters. De oplichter stuurt een gepersonaliseerde e-mail vanaf een adres dat u wellicht kent. De oplichter kan zich voordoen als uw baas of een andere vriendelijke organisatie. Of hij/zij kan zich voordoen als uw financieel adviseur of uw advocaat. De inhoud van de e-mail is vooral aandacht zoekend, zodat u snel kunt antwoorden en er de minste kans is dat ze gepakt worden.

De e-mail kan u vragen om wat geld over te maken als betaling voor een openstaande rekening of het kan u vragen om enkele bedrijfsgegevens die vereist zijn op een hoofdkantoor. Of het kan persoonlijke gegevens vragen over de medewerkers van de organisatie.

De oplichter of de aanvaller heeft je al onderzocht om een ​​gepersonaliseerde e-mail voor je te maken. En het onderzoek kan zijn gebaseerd op uw online activiteiten of op informatie die is verkregen uit andere bronnen. E-mails over walvisvangst^{(Whaling emails)} lijken gewoon normaal en perfect en dat is de enige reden waarom mensen in de val trappen. De namen, logo's en andere informatie die in de e-mail worden gebruikt, kunnen echt zijn of niet. Maar het wordt op zo'n manier gepresenteerd dat mensen normaal gesproken geen verschil tussen deze e-mails kunnen markeren.

Ook is het e-mailadres van de afzender of de genoemde website vergelijkbaar met iemand die u mogelijk kent. De bijlagen kunnen al dan niet kwaadaardig zijn. Het enige doel van deze oplichting is om u ervan te overtuigen dat de e-mail volkomen normaal is en dringend actie vereist. En wanneer u de instructies in de e-mail volgt, lekt u uiteindelijk vertrouwelijke gegevens naar een onbevoegde persoon of website.

Hoe u beschermd blijft tegen walvisaanvallen?

U moet phishing-aanvallen leren herkennen^{(identify Phishing Attacks)} om meer te weten te komen over bescherming tegen phishing in het algemeen, zodat u phishing-aanvallen kunt vermijden^{(avoid Phishing scams)} .

De sleutel om beschermd te blijven, is aandachtig te blijven. Lees al uw werkgerelateerde e-mails van begin tot eind en houd iets vreemds in de gaten. Als je net het gevoel hebt dat er iets mis is met de e-mail, neem dan contact op met de organisatie waarvan wordt gezegd dat de e-mail afkomstig is.

1] Controleer^(Verify) de e-mail van de afzender en reageer dan alleen op e-mails. Meestal zijn de websites of e-mailadressen waarvan u e-mails ontvangt bijna identiek aan de normale e-mailadressen die u misschien kent. Een 'o' kan worden vervangen door een '0' (nul) of er kunnen twee 'ss' zijn in plaats van één 's'. Dit soort fouten worden gemakkelijk over het hoofd gezien door het menselijk oog en vormen de basis van dergelijke aanvallen.

2] Als de e-mail dringend actie vereist, moet u goed kijken en vervolgens de beslissing nemen. Als er uitgaande websitelinks zijn, controleer dan hun adres voordat u informatie aan die website verstrekt. Controleer ook op het hangslotteken of verifieer het certificaat van de website.

3] Verstrek geen financiële of contactgegevens aan een website of e-mail. Weet wanneer u een website moet vertrouwen^{(Know when to trust a website)} , neem voorzorgsmaatregelen voordat u op weblinks klikt^{(precautions before clicking on any web links)} en volg de basisveiligheidsnormen voor internetgebruik.

4] Zorg voor goede antivirus- en firewallsoftware die uw computer beschermt en download geen bijlagen van deze e-mails. RAR/7z of andere uitvoerbare bestanden wordt het meest vermoed dat ze malware of Trojaanse paarden^(Trojans) bevatten . Wijzig regelmatig wachtwoorden en maak een back-up van belangrijke documenten op een veilige locatie.

5 ]^{(] Completely)} Vernietig uw fysieke documenten volledig voordat u ze weggooit, zodat ze geen informatie over u en uw organisatie kunnen geven.

Voorbeelden van walvisaanvallen

Hoewel je een heleboel van dergelijke zwendelverhalen online kunt vinden. Zelfs de grote bedrijven zoals Snapchat en Seagate zijn in de val gelopen van deze oplichting. Vorig jaar werd een hooggeplaatste medewerker van Snapchat het slachtoffer van een dergelijke oplichterij waarbij een e-mail die zich voordeed als de CEO van het bedrijf informeerde naar de loonlijst van de werknemers. Bekijk enkele voorbeelden:

• Seagate : een succesvolle walvisjachtaanval heeft dieven tot 10.000 W-2-belastingdocumenten opgeleverd voor alle huidige en voormalige werknemers.
• Snapchat : een werknemer viel voor een e-mail die zich voordeed als een verzoek van CEO Evan Spiegel en compromitteerde de loongegevens van 700 werknemers.
• FACC : De Oostenrijkse toeleverancier van de vliegtuigindustrie verloor 50 miljoen euro door een walvisaanval.
• Ubiquiti Networks : dit netwerktechnologiebedrijf leed een verlies van $ 39,1 miljoen als gevolg van een walvisaanval.
• Weight Watchers International : Een e-mail over de walvisjacht stelde dieven in staat belastinggegevens te verkrijgen van bijna 450 huidige en voormalige werknemers.

Al opgelicht?

Denk je dat je het slachtoffer bent geworden van een walvisjachtzwendel^(Whaling) ? Waarschuw direct het hoofd van uw organisatie en zoek juridische hulp. Als je ze bankgegevens of wachtwoorden hebt gegeven, verander ze dan onmiddellijk. Raadpleeg een cyberbeveiligingsexpert om het pad te achterhalen en te weten wie de aanvaller was. Zoek juridische hulp en raadpleeg een advocaat.

Er zijn verschillende online diensten beschikbaar waar u dergelijke oplichting kunt melden. Meld dergelijke oplichting zodat hun activiteit kan worden verstoord en niet meer mensen worden getroffen.

Als je meer wilt weten, is er dit uitstekende eBook met de titel Whaling, Anatomy of an attack , dat je gratis kunt downloaden.

Bescherm uzelf, uw medewerkers en uw organisatie tegen dergelijke fraude en online oplichting. Verspreid het woord en help uw collega's, vrienden en familie om beschermd te blijven.^{(Protect yourself, your employees and your organization from such frauds and online scams. Spread the word and help your colleagues, friends, and family stay protected.)}

Lees hier over de meest voorkomende online en e-mailzwendel en fraude^{(most common Online and Email scams & frauds)} .

What are Whaling scams & how to protect your Enterprise

If you work in or оwn an enterрrise, thеn you need to know that therе is always a high risk of cyber-аttacks & scams takіng place. Email Scams arе the most common among them. Phishing comes in manу flavors likе Tabnabbing, Spear Phishing as well as Vishing and Smishing. A few days back, we took a look at Pharming online frauds – today we will take a look at Whaling Scams which is the emerging cyber-security threat.

What are Whaling scams

In Whaling scams, you are targeted usually by email – it is a specialized Phishing scam. The attacker studies your online activity and obtains useful information about you from other sources. And that information is used to create a professional looking personalized e-mail. Seeing an official email can cause you to drop your defenses and you are very likely to trust such email. The idea is to obtain information from you for further fraudulent activities.

Now you have to realize that there is a thin line of difference between Whaling and Spear Phishing. Whaling typically targets high-level executives, whereas the latter scam targets employees of a company, customers of a company generally. It is called Whaling because the targets are usually large or important. And so Whales are chosen because of their authority and access within an organization.

How does Whaling work and why are you targeted

Most of the targets are usually businessmen, entrepreneurs, CEOs, and corporate employees. The targets are usually business specific and attacks are planned for the purpose of obtaining any sensitive information about the activities of an organization.

These kind of socially engineered attacks are very difficult to identify and people usually end up giving data to such scammers. The scammer sends a personalized email from an address you may be familiar with. The scammer may mimic to be your boss or another friendly organization. Or he/she may mimic as your financial consultant or your lawyer. The content of the email is mostly attention seeking so that you may reply promptly and there is the least chance of them getting caught.

The email might require you to transfer some money as a payment to a due bill or it may ask you for some company data that is required at a head office. Or it may ask personal details about the employees of the organization.

The scammer or the attacker has already researched you to create a personalized email for you. And the research may be based upon your online activities or upon any information obtained from other sources. Whaling emails just seem normal and perfect and that is the only reason people fall into the trap. The names, logos and other information used in the email may be real or not. But it is presented in such a way that normally people cannot mark a difference between these emails.

Also, the email address of the sender or the website mentioned is similar to someone you may know. The attachments may or may not be malicious. The sole purpose of these scams is to convince you that the email is completely normal and requires urgent action. And when you follow the instructions in the email, you end up leaking out some confidential data to an unauthorized person or website.

How to stay protected from Whaling attacks

You have to learn to identify Phishing Attacks to know more about protection from phishing in general so that you can avoid Phishing scams.

The key to staying protected is to stay attentive. Read all your work related emails end to end and keep an eye on something fishy. If you just felt that there is something wrong with the email, contact the organization from which the email is said to be.

1] Verify the sender’s email and then only respond to emails. Usually, the websites or email addresses from where you are receiving emails are almost identical to normal email addresses that you may know. An ‘o’ may be replaced with a ‘0’ (zero) or there may be two ‘ss’ instead of one ‘s’. This kind of errors are easily overlooked by a human eye, and these forms the basis of such attacks.

2] If the email requires some urgent action, then you must look carefully and then take the decision. If there are any outbound website links, verify their address before supplying any information to that website. Also, check for the padlock sign or verify the website’s certificate.

3] Do not provide any financial or any contact details to any website or an email. Know when to trust a website, take precautions before clicking on any web links and follow the basic internet usage safety norms.

4] Have proper antivirus, firewall software protecting your computer and do not download any attachments from any of these emails. RAR/7z or any other executable files are most suspected to contain any malware or Trojans. Regularly change passwords and create a backup of important documents at a secure location.

5] Completely destroy your physical documents before disposing of them so that they cannot provide any information about you and your organization.

Whaling attack examples

While you can find a ton of such scam stories online. Even the major companies like Snapchat and Seagate have fallen into the traps of these scams. Last year, a high-rank employee of Snapchat was a victim of such a scam where an email impersonating the CEO of the company inquired about the payroll of the employees. Take a look at some examples:

• Seagate: A successful whaling attack landed thieves up to 10,000 W-2 tax documents for all current and past employees.
• Snapchat: An employee fell for an email impersonating a request from CEO Evan Spiegel and compromised payroll data for 700 employees.
• FACC: The Austrian aircraft industry supplier lost 50 million euros due to a whaling attack.
• Ubiquiti Networks: This networking tech company suffered a $39.1 million loss as a result of a whaling attack.
• Weight Watchers International: A whaling email allowed thieves to obtain tax data for nearly 450 current and former employees.

Already Scammed?

Do you think that you’ve been a victim of a Whaling scam? Immediately inform the head of your organization and seek legal help. If you provided them with any bank details or any sort of passwords, change them immediately. Consult a cyber-security expert to track back the path and know who the attacker was. Seek out for legal help and consult a lawyer.

There are various online services available where you can report such scams. Please report such scams so that their activity can be disrupted and more people are not affected.

If you are interested in knowing more, there is this excellent eBook titled Whaling, Anatomy of an attack, which you can download free.

Protect yourself, your employees and your organization from such frauds and online scams. Spread the word and help your colleagues, friends, and family stay protected.

Read here about the most common Online and Email scams & frauds.

Related posts

• Hoe u kunt controleren of een link veilig is of niet met uw webbrowser?

• Ontdek of uw online account is gehackt en of e-mail- en wachtwoordgegevens zijn gelekt

• Online veiligheidstips voor kinderen, studenten en tieners

• Internetbeveiligingsartikel en tips voor Windows-gebruikers

• Bescherm uw kinderen tegen inhoud voor volwassenen met Clean Browsing

• Te nemen voorzorgsmaatregelen voordat u op weblinks of URL's klikt

• Gratis PDF Editor Online Tool om PDF-bestanden te bewerken - PDF Yeah

• Wat zijn digitale voetafdrukken, sporen of schaduw?

• Wat zijn geparkeerde domeinen en Sinkhole-domeinen?

• Online identiteitsdiefstal: tips voor preventie en bescherming

• Beste gratis online tools voor het maken van stroomdiagrammen

• Zoeken naar online sjablonen in Microsoft Word

• Wat is speerphishing? Uitleg, voorbeelden, bescherming

• Beste gratis apps voor online enquêtes en formulieren maken

• Globus Free VPN Browser review: versleutel al het verkeer, blader anoniem

• Wat is persoonlijk identificeerbare informatie (PII) en hoe deze online te beschermen?

• Cyberaanvallen - Definitie, typen, preventie

• Soorten phishing - Cheatsheet en dingen die u moet weten

• Wat is Fleeceware? Hoe bescherm je jezelf tegen Fleeceware-apps?

• Gratis online tools en software voor het maken van fotocollages