Whaling: de digitale walvisjacht

Gefeliciteerd, u heeft 1000 euro gewonnen! Om deze prijs te verkrijgen hoeft u alleen uw creditcardgegevens op onze website in te voeren. Vrijwel iedereen heeft weleens te maken gehad met dergelijke phishing, oftewel een poging van fraudeurs om bank- of privégegevens van burgers te verkrijgen. Whaling is een vergelijkbare vorm van cybercrime, maar is een stuk minder bekend. En dat terwijl het aantal whaling-aanvallen in 2017 met 200% is gestegen ten opzichte van 2016.

Gerichte aanval

Bij whaling wordt geprobeerd om vertrouwelijke informatie (zoals persoonlijke data van werknemers) of geld van een bedrijf  te stelen. Dit wordt gedaan door een valse e-mail te sturen uit naam van iemand die de werknemer vertrouwt. Via deze e-mail wordt de werknemer verleid om bedrijfsgegevens te onthullen of een grote betaling te autoriseren.

Terwijl bij phishing een groot net wordt uitgezet om veel kleine visjes te vangen, wordt bij whaling één grote walvis met een speer binnengehaald. Een whaling-aanval is namelijk specifiek gericht op iemand in de toplaag van het bedrijf, zoals een senior manager of directeur. Zo’n persoon heeft immers toegang tot hetgeen de cybercriminelen willen verkrijgen. Om de e-mail zo legitiem mogelijk te laten lijken wordt deze aangepast aan het doelwit en worden namen, e-mailadressen, functietitels,  bedrijfslogo’s en zelfs terminologie die in het bedrijf worden gebruikt toegevoegd aan de e-mail. Hiervoor wordt informatie van LinkedIn, Facebook, Twitter en de website van het bedrijf geplukt.

Grote vangst

Internetfraudeurs steken dus aardig wat tijd en moeite in het opstellen van een whaling-mail. De opbrengsten hiervan kunnen dan ook erg hoog zijn. Zo is de Belgische bank Crelan 70 miljoen kwijtgeraakt doordat zij slachtoffer werden van een whaling-aanval. Op basis van data van de FBI wordt geschat dat in 2018 bedrijven wereldwijd in totaal 9 miljard USD zullen verliezen door whaling.

Bescherming voor whaling

In veel bedrijven is men zich nog onvoldoende bewust van de gevaren van whaling. Zij kunnen diverse maatregelen nemen om het risico op een succesvolle aanval te voorkomen, zoals:

– De nieuwste beveiligingssoftware installeren op alle apparaten binnen het bedrijf en deze software up-to-date houden
– Trainingen verzorgen voor werknemers om hen bewust te maken van whaling en hen te leren om dergelijke aanvallen te herkennen en voorkomen. Zo zouden werknemers bijvoorbeeld een verzoek per e-mail dat vreemd overkomt of waarmee veel geld gemoeid is persoonlijk moeten opvolgen bij degene die het verzoek heeft gedaan
– Duidelijke en veilige richtlijnen opstellen die werknemers moeten opvolgen om vertrouwelijke informatie te verstrekken en betalingen te autoriseren
– Met privacy-instellingen voorkomen dat informatie van sociale media-accounts met iedereen wordt gedeeld en de openbare details van het bedrijf tot een minimum beperken

Cybercriminelen gebruiken steeds geavanceerdere technieken bij whaling en passen zelfs psychologische trucs toe om mensen te verleiden. Bedrijven zullen dan ook moeten blijven investeren in beveiligingsmaatregelen om uit handen van walvisjagers te blijven.

;