Et hvalfangsangrep, også kjent som et "whaling attack", er en metode som brukes av kriminelle på nettet for å utgi seg som et seniormedlem av en organisasjon for å angripe ledere eller andre viktige personer i en organisasjon. Formålet er å stjele penger eller sensitive opplysninger, eller få tilgang til datasystemene deres til kriminelle formål. Hvalfangst, også kjent som "CEO fraud", ligner på phishing fordi det bruker metoder som e-postadresser og etterligninger av nettsteder for å lure offeret til å utføre bestemte handlinger, som å avsløre sensitive opplysninger eller overføre penger.
Phishing-svindel har tilfeldige mål og "spyd-phishing" har spesifikke personer som mål. "Whaling" går enda videre i det siste, ikke bare ved å ha disse sentrale personene som mål, men ved å gjøre det på en slik måte at den falske kommunikasjonen ser ut som om den har blitt sent fra noen med autoritet i organisasjonen. Tenk på målene som "storfisk" eller "hvaler" i bedriften, som administrerende direktører eller finanssjefer. Dette legger til et ekstra lag i den sosiale manipulasjonen, siden ansatte kan ha vansker med å si nei til en forespørsel fra noen de tror har autoritet.
Denne trusselen er reell, og øker stadig i omfang. I 2016 mottok lønnsavdelingen hos Snapchat en hvalfangs-e-post som tilsynelatende var sendt fra den administrerende direktøren og som ba om informasjon om lønnskjøringen til ansatte. I fjor ble leketøysgiganten Mattel offer for et hvalfangstangrep etter at en av de øverste finanslederne mottok en e-post med en forespørsel om en pengeoverføring fra en svindler som utga seg for å være den nye administrerende direktøren. Bedriften tapte nesten 3 millioner dollar.
Slik fungerer hvalfangsangrep – og slik beskytter du deg
Som tidligere nevnt skiller hvalfangsangrep seg fra spyd-phishing ved at den falske kommunikasjonen ser ut som om den kommer fra et seniormedlem i organisasjonen. Disse angrepene kan gjøres enda mer troverdige når nettkriminelle bruker mye tid på forberedelser og bruker offentlig tilgjengelige kilder, som sosiale medier, for å lage en skreddersydd fremgangsmåte for personene de målretter seg mot.
Dette kan inkludere en e-post som ser ut som om den er sendt av en leder og som inneholder referanser til noe en angriper kan ha funnet ut av på nettet. For eksempel kan det være at de har sett bilder av noen på sosiale medier fra et julebord: "Hei Jonas, det er Steffen igjen – du ble ganske påseilet forrige torsdag! Håper du fikk fjernet vinflekken fra skjorta!"
I tillegg ser avsenderes e-postadresse ofte ut som om den er fra en pålitelig kilde, og meldingen kan til og med inneholde bedriftens logo eller koblinger til et falskt nettsted som også har blitt laget for å se ekte ut. Fordi "hvalens" nivå av pålitelighet og tilgang innad i organisasjonen ofte er høy, er det verdt tiden det tar for de nettkriminelle å bruke litt ekstra krefter på å få handlingene sine til å virke troverdige.
Beskyttelse mot hvalfangstangrep begynner med å lære opp nøkkelpersoner innad i organisasjonen, for å sørge for at det er en del av rutinene deres at de er på vakt mot å bli angrepet. Man bør oppfordre nøkkelansatte til å være passe mistenksomme når de blir kontaktet på en uventet måte, spesielt når det gjelder viktig informasjon eller pengeoverføringer. De må alltid spørre seg selv om de forventet å få tilsendt e-posten, vedlegget eller koblingen. Er forespørselen uvanlig på noen måte?
De bør også læres opp i å se etter de typiske tegnene på et angrep, som etterligninger av e-postadresser og navn. Ved å holde musepekeren over et navn i en e-postadresse, kan man se hele adressen. Når man ser nøye etter, kan man se om det stemmer nøyaktig overens med formatet og navnet til bedriften. IT-avdelingen bør også utføre øvelser som ligner hvalfangstangrep for å teste hvordan nøkkelpersonalet reagerer.
Styremedlemmer bør også få vite at de må være forsiktige når de poster og deler informasjon på sosiale medier som Facebook, X (Twitter) og LinkedIn. Detaljer som bursdager, hobbyer, ferier, jobbtitler, forfremmelser og forhold kan brukes av nettkriminelle for å lage mer sofistikerte angrep.
En utmerket måte å redusere risikoen e-postetterligninger på, er å be IT-avdelingen om å automatisk flagge e-poster som blir sendt fra utenfor nettverket ditt. Hvalfangstangrep er ofte avhengig av at nøkkelpersonell tror at beskjeden kommer fra organisasjonen, for eksempel som en økonomisjefs forespørsel om å sende penger til en konto. Hvis man flagger e-poster som kommer utenfra, blir det lettere å oppdage falske e-poster som ser legitime ut på overflaten, selv for de som ikke har opplæring.
Det er lurt å bruke spesiell anti-phishing-programvare som leverer tjenester som skanning av URL-adresser og bekreftelse av koblinger. Det er også lurt å vurdere om man skal legge til enda et lag med bekreftelser når det gjelder deling av sensitive opplysninger eller store mengder penger. For eksempel kan det være best med et møte ansikt til ansikt eller en telefonsamtale som rutine når man håndterer kritiske eller sensitive opplysninger, heller enn å kun utføre transaksjoner elektronisk.
Og hva gjelder svindel på Internett, er det bedre med to hoder enn ett. Vurder om det er verdt å endre prosedyrene i organisasjonen din, slik at det er to personer som må godkjenne betalinger og ikke bare én. Ikke bare gir dette et ekstra sett med øyne som kan være med på å vurdere tvilstilfeller, det kan også ta vekk frykten for at man blir sett negativt på av en eventuelt irritert leder hvis man må si nei – fordi den frykten er en nøkkeldel av den sosiale manipulasjonen disse svindlerene utfører.