Whaling
Whaling er en metode som cyberkriminelle benytter hvor de, ved hjælp af en stjålen identitet, udgiver sig for at være en ledende medarbejder i et firma, og henvender sig til firmaets nøglemedarbejdere for at få dem til at udlevere passwords, sensitiv information eller ligefrem at overføre penge.
Whaling, også kendt som CEO fraud, er i familie med phishing, på den måde at det er de samme metoder der benyttes for at få ofrene til at udlevere adgangskoder, sensitiv information eller foretage bestemte handlinger, så som at overføre penge til specifikke konti kontrolleret af hackerne.
Hvor phishing e-mails udsendes bredt, med håbet om at nogle bider på, og spear-phishing retter sig mod helt bestemte personer, så tager hackerne spear-phishing til til et højere niveau med whaling Her henvender de sig til deres ofre ved at sætte sig grundigt ind I firmaets procedurer, og, eller opsnappe tidligere kommunikation de kan misbruge. Den falske e-mail vil ofte komme fra firmaets ”topledelse”, eller andre “Store fisk” I firmaet såkaldte “hvaler” – deraf navnet.
En typisk fremgangsmåde kunne være at en nøglemedarbejder i finansafdelingen modtager en falsk e–mail fra firmaets Administrerede direktør, som beder finansmedarbejderen om at overføre penge, eller betale en falsk faktura. E-mailen virker troværdig, og vil ofte have en lang tråd bagud, som understøtter den falske historie.
Man beskytter sig mod phishing og whaling ved at have sine IT-sikkerhedsprocedurer på plads, træne medarbejderne i at være skeptiske over for e-mails der beder om information eller beordrer overførsler.
Firmaet bør også investere I IT-sikkerhedssoftware der kan markere udefrakommende e-mail, og udføre URL screening og link validering.
Se Phising, spear-phishing, uddannelse, IT-Sikkerhedshåndbog