Bij phishing vissen cybercriminelen massaal achter gegevens tot er iemand bijt. Wie dat is, maakt niet uit. Whaling is een meer gerichte techniek waarbij het persoonlijke aspect van hun doelwit, namelijk die ene vette walvis cruciaal is. Want in plaats van steeds voor kleine vissen te gaan, is het interessanter voor oplichters om die ene grote Moby Dick binnen te halen. Die walvis is meestal de CEO of een andere hooggeplaatst persoon van een bedrijf met redelijk wat middelen. Daarom kennen we whaling ook als CEO-fraude.
De werking van whaling
Whaling is een vorm van social engineering waarbij men de mens en niet de computer probeert te 'hacken'. Internetfraudeurs gaan bij whaling zeer grondig te werk. Ze doen eerst onderzoek naar het doelwit en hun bedrijf via zoekmachines en sociale media. Zo komen ze veel persoonlijke informatie te weten om erna te misbruiken. Cybercriminelen gaan in naam van bijvoorbeeld de CEO contact opnemen met een medewerker die ze, dankzij hun vooronderzoek, zeer persoonlijk kunnen benaderen. Vervolgens vragen ze dringend een factuur te betalen of een rekeningnummer te wijzigen. Stelt het slachtoffer zich vragen, zetten ze deze onder druk door op hun ‘fictieve’ strepen te staan. Whaling werkt omdat in grotere organisaties medewerkers de CEO niet persoonlijk kennen en fraudeurs perfect weten wie ze moeten benaderen. Nieuwe medewerkers zijn vaak een ideaal doelwit door hun onwetendheid.
Het benaderen
Contact opnemen in naam van de directeur kan op meerdere manieren. Meestal is dit via e-mail. Door een onopvallende verandering in de domeinnaam lijkt het of de e-mail afkomstig is van de directeur of criminelen laten het niet na het account van de CEO te hacken om mails uit te sturen. In sommige gevallen worden andere platformen zoals WhatsApp of Facebook Messenger gebruikt. Door middel van een nepaccount vragen fraudeurs aan medewerkers dringend een betaling uit te voeren.
Het tegengaan
Als organisatie kan u dit tegengaan door een extra check toe te voegen bij aanvragen tot betalingen. Zo moeten alle werknemers verplicht eerst telefonisch of persoonlijk verifiëren bij de CEO of hij daadwerkelijk de opdracht gaf. Zonder extra verificatie mag een betaling niet uitgevoerd worden. Soms zijn cybercriminelen zelfs zo sluw dat ze wachten totdat de directeur op verlof is. Ze zien vakantiefoto’s op sociale media en zien dit als een gouden opportuniteit. Medewerkers kunnen de CEO niet meteen op een andere manier contacteren en omdat de cybercrimineel hen onder druk zet, geven ze toe en voeren ze de betaling toch uit.
Training en sensibilisering van medewerkers is essentieel. Is iedereen van uw bedrijf op de hoogte van deze dreiging of van alle andere creatieve dreigingen op internet? Heeft iedereen zijn eigen sociale media afgeschermd voor onbekenden?
Geef de nodige aandacht aan Cybersecurity. Boek hier uw gratis online security audit bij ons om te weten hoe goed u scoort.
Voor meer informatie, contacteer ons.