Ak pracujete alebo vlastníte podnik, musíte vedieť, že vždy existuje vysoké riziko kybernetických útokov a podvodov. E-mailové podvody^{(Email Scams)} sú medzi nimi najbežnejšie. Phishing prichádza v mnohých variantoch ako Tabnabbing, Spear Phishing , ako aj Vishing a Smishing. Pred niekoľkými dňami sme sa pozreli na Pharming online podvody^{(Pharming online frauds)} – dnes sa pozrieme na Whaling Scams , čo je nová hrozba pre kybernetickú bezpečnosť.

Čo sú to veľrybárske podvody

V prípade podvodov v oblasti lovu veľrýb^(Whaling) sa na vás zvyčajne zameriava e-mail – ide o špecializovaný podvod typu Phishing^{(Phishing scam)} . Útočník študuje vašu online aktivitu a získava o vás užitočné informácie z iných zdrojov. A tieto informácie sa používajú na vytvorenie profesionálne vyzerajúceho personalizovaného e-mailu. Videnie oficiálneho e-mailu môže spôsobiť, že zahodíte svoju obranu a je veľmi pravdepodobné, že takýmto e-mailom budete dôverovať. Cieľom je získať od vás informácie pre ďalšie podvodné aktivity.

Teraz si musíte uvedomiť, že medzi lovom veľrýb^(Whaling) a kopijným phishingom je tenká línia rozdielu ^{(Spear Phishing)}. Lov veľrýb^(Whaling) sa zvyčajne zameriava na vedúcich pracovníkov na vysokej úrovni, zatiaľ čo druhý podvod sa zameriava na zamestnancov spoločnosti, všeobecne na zákazníkov spoločnosti. Nazýva sa to Lov veľrýb^(Whaling) , pretože ciele sú zvyčajne veľké alebo dôležité. A tak sú veľryby^(Whales) vybrané kvôli ich autorite a prístupu v rámci organizácie.

Ako funguje lov veľrýb^(Whaling) a prečo sa na vás zameriavame

Väčšina cieľov sú zvyčajne obchodníci, podnikatelia, generálni riaditelia^(CEOs) a zamestnanci spoločností. Ciele sú zvyčajne špecifické pre podnikanie a útoky sú plánované za účelom získania akýchkoľvek citlivých informácií o aktivitách organizácie.

Tento druh sociálne vytvorených útokov je veľmi ťažké identifikovať a ľudia zvyčajne dávajú údaje takýmto podvodníkom. Podvodník odošle personalizovaný e-mail z adresy, ktorú možno poznáte. Podvodník môže napodobňovať, že je vaším šéfom alebo inou priateľskou organizáciou. Alebo môže napodobňovať vášho finančného poradcu alebo právnika. Obsah e-mailu je väčšinou zameraný na získanie pozornosti, aby ste mohli rýchlo odpovedať a bola čo najmenšia šanca, že vás chytia.

E-mail môže vyžadovať, aby ste previedli nejaké peniaze ako platbu na splatný účet, alebo vás môže požiadať o niektoré firemné údaje, ktoré sa vyžadujú v ústredí. Alebo môže požiadať o osobné údaje o zamestnancoch organizácie.

Podvodník alebo útočník vás už preskúmal, aby vám vytvoril prispôsobený e-mail. A prieskum môže byť založený na vašich online aktivitách alebo na akýchkoľvek informáciách získaných z iných zdrojov. E-maily o love veľrýb^{(Whaling emails)} sa zdajú byť normálne a dokonalé, a to je jediný dôvod, prečo sa ľudia chytia do pasce. Mená, logá a ďalšie informácie použité v e-maile môžu byť skutočné alebo nie. Ale je to prezentované takým spôsobom, že normálne ľudia nemôžu medzi týmito e-mailami označiť rozdiel.

Tiež e-mailová adresa odosielateľa alebo uvedená webová lokalita je podobná ako adresa niekoho, koho možno poznáte. Prílohy môžu alebo nemusia byť škodlivé. Jediným účelom týchto podvodov je presvedčiť vás, že e-mail je úplne normálny a vyžaduje si naliehavú akciu. A keď budete postupovať podľa pokynov v e-maile, niektoré dôverné údaje prezradíte neoprávnenej osobe alebo webovej stránke.

Ako zostať chránený pred útokmi lovu veľrýb

Musíte sa naučiť identifikovať phishingové útoky^{(identify Phishing Attacks)} , aby ste sa dozvedeli viac o ochrane pred phishingom vo všeobecnosti, aby ste sa vyhli phishingovým podvodom^{(avoid Phishing scams)} .

Kľúčom k ochrane je zostať pozorný. Prečítajte si všetky e-maily súvisiace s prácou od konca do konca a dávajte pozor na niečo zaujímavé. Ak ste práve cítili, že s e-mailom nie je niečo v poriadku, kontaktujte organizáciu, od ktorej e-mail údajne pochádza.

1] Overte^(Verify) e-mail odosielateľa a potom odpovedajte iba na e-maily. Webové stránky alebo e-mailové adresy, z ktorých dostávate e-maily, sú zvyčajne takmer totožné s bežnými e-mailovými adresami, ktoré možno poznáte. Písmeno „o“ môže byť nahradené „0“ (nula) alebo môžu byť namiesto jedného „s“ dve „s“. Tento druh chýb je ľudským okom ľahko prehliadnuteľný a tvoria základ takýchto útokov.

2] Ak e-mail vyžaduje naliehavú akciu, musíte si ho pozorne pozrieť a potom sa rozhodnúť. Ak existujú nejaké odchádzajúce odkazy na webové stránky, overte ich adresu pred poskytnutím akýchkoľvek informácií danej webovej lokalite. Skontrolujte tiež znak visiaceho zámku alebo overte certifikát webovej lokality.

3] Neuvádzajte žiadne finančné ani žiadne kontaktné údaje na žiadne webové stránky ani e-maily. Zistite, kedy dôverovať webovej stránke^{(Know when to trust a website)} , urobte preventívne opatrenia pred kliknutím na akékoľvek webové odkazy^{(precautions before clicking on any web links)} a dodržujte základné bezpečnostné normy používania internetu.

4] Majte správny antivírus, firewall, ktorý chráni váš počítač, a nesťahujte žiadne prílohy zo žiadneho z týchto e-mailov. RAR/7z alebo akékoľvek iné spustiteľné súbory obsahujú malvér alebo trójske kone^(Trojans) . Pravidelne si meňte heslá a vytvorte si zálohu dôležitých dokumentov na bezpečnom mieste.

5 ] Úplne^{(] Completely)} zničte svoje fyzické dokumenty pred ich likvidáciou, aby nemohli poskytnúť žiadne informácie o vás a vašej organizácii.

Príklady lovu veľrýb

Aj keď takýchto podvodných príbehov môžete nájsť online. Dokonca aj veľké spoločnosti ako Snapchat a Seagate sa dostali do pascí týchto podvodov. Minulý rok sa vysoko postavený zamestnanec Snapchatu^(Snapchat) stal obeťou takéhoto podvodu, keď sa e-mail vydávajúci za generálneho riaditeľa spoločnosti pýtal na mzdy zamestnancov. Pozrite si niekoľko príkladov:

• Seagate : Úspešný lov veľrýb priniesol zlodejom až 10 000 daňových dokladov W-2 pre všetkých súčasných aj minulých zamestnancov.
• Snapchat : Zamestnanec dostal e-mail, v ktorom sa vydával za žiadosť generálneho riaditeľa Evana Spiegela^{(CEO Evan Spiegel)} , a kompromitoval údaje o mzdách 700 zamestnancov.
• FACC : Rakúsky dodávateľ leteckého priemyslu prišiel o 50 miliónov eur v dôsledku útoku veľrýb.
• Ubiquiti Networks : Táto sieťová technologická spoločnosť utrpela stratu 39,1 milióna dolárov v dôsledku útoku veľrýb.
• Weight Watchers International : E-mail o love veľrýb umožnil zlodejom získať daňové údaje pre takmer 450 súčasných a bývalých zamestnancov.

Už ste scammed?

Myslíte si, že ste sa stali obeťou veľrybárskeho^(Whaling) podvodu? Okamžite informujte vedúceho vašej organizácie a vyhľadajte právnu pomoc. Ak ste im poskytli akékoľvek bankové údaje alebo akékoľvek heslá, okamžite ich zmeňte. Poraďte sa s odborníkom na kybernetickú bezpečnosť, aby ste sledovali cestu späť a vedeli, kto bol útočník. Vyhľadajte právnu pomoc a poraďte sa s právnikom.

K dispozícii sú rôzne online služby, kde môžete takéto podvody nahlásiť. Nahláste prosím takéto podvody, aby mohla byť narušená ich činnosť a nebolo ovplyvnených viac ľudí.

Ak máte záujem dozvedieť sa viac, je tu táto vynikajúca eKniha s názvom Lov veľrýb, anatómia útoku^{(Whaling, Anatomy of an attack)} , ktorú si môžete zadarmo stiahnuť.

Chráňte seba, svojich zamestnancov a svoju organizáciu pred takýmito podvodmi a online podvodmi. Šírte informácie a pomôžte svojim kolegom, priateľom a rodine zostať chránení.^{(Protect yourself, your employees and your organization from such frauds and online scams. Spread the word and help your colleagues, friends, and family stay protected.)}

Prečítajte si tu o najbežnejších online a e-mailových podvodoch a podvodoch^{(most common Online and Email scams & frauds)} .

What are Whaling scams & how to protect your Enterprise

If you work in or own an enterprise, then you need to know that there is always a high risk of cyber-attacks & scams taking place. Email Scams are the most common among them. Phishing comes in many flavors like Tabnabbing, Spear Phishing as well as Vishing and Smishing. A few days back, we took a look at Pharming online frauds – today we will take a look at Whaling Scams which is the emerging cyber-security threat.

What are Whaling scams

In Whaling scams, you are targeted usually by email – it is a specialized Phishing scam. The attacker studies your online activity and obtains useful information about you from other sources. And that information is used to create a professional looking personalized e-mail. Seeing an official email can cause you to drop your defenses and you are very likely to trust such email. The idea is to obtain information from you for further fraudulent activities.

Now you have to realize that there is a thin line of difference between Whaling and Spear Phishing. Whaling typically targets high-level executives, whereas the latter scam targets employees of a company, customers of a company generally. It is called Whaling because the targets are usually large or important. And so Whales are chosen because of their authority and access within an organization.

How does Whaling work and why are you targeted

Most of the targets are usually businessmen, entrepreneurs, CEOs, and corporate employees. The targets are usually business specific and attacks are planned for the purpose of obtaining any sensitive information about the activities of an organization.

These kind of socially engineered attacks are very difficult to identify and people usually end up giving data to such scammers. The scammer sends a personalized email from an address you may be familiar with. The scammer may mimic to be your boss or another friendly organization. Or he/she may mimic as your financial consultant or your lawyer. The content of the email is mostly attention seeking so that you may reply promptly and there is the least chance of them getting caught.

The email might require you to transfer some money as a payment to a due bill or it may ask you for some company data that is required at a head office. Or it may ask personal details about the employees of the organization.

The scammer or the attacker has already researched you to create a personalized email for you. And the research may be based upon your online activities or upon any information obtained from other sources. Whaling emails just seem normal and perfect and that is the only reason people fall into the trap. The names, logos and other information used in the email may be real or not. But it is presented in such a way that normally people cannot mark a difference between these emails.

Also, the email address of the sender or the website mentioned is similar to someone you may know. The attachments may or may not be malicious. The sole purpose of these scams is to convince you that the email is completely normal and requires urgent action. And when you follow the instructions in the email, you end up leaking out some confidential data to an unauthorized person or website.

How to stay protected from Whaling attacks

You have to learn to identify Phishing Attacks to know more about protection from phishing in general so that you can avoid Phishing scams.

The key to staying protected is to stay attentive. Read all your work related emails end to end and keep an eye on something fishy. If you just felt that there is something wrong with the email, contact the organization from which the email is said to be.

1] Verify the sender’s email and then only respond to emails. Usually, the websites or email addresses from where you are receiving emails are almost identical to normal email addresses that you may know. An ‘o’ may be replaced with a ‘0’ (zero) or there may be two ‘ss’ instead of one ‘s’. This kind of errors are easily overlooked by a human eye, and these forms the basis of such attacks.

2] If the email requires some urgent action, then you must look carefully and then take the decision. If there are any outbound website links, verify their address before supplying any information to that website. Also, check for the padlock sign or verify the website’s certificate.

3] Do not provide any financial or any contact details to any website or an email. Know when to trust a website, take precautions before clicking on any web links and follow the basic internet usage safety norms.

4] Have proper antivirus, firewall software protecting your computer and do not download any attachments from any of these emails. RAR/7z or any other executable files are most suspected to contain any malware or Trojans. Regularly change passwords and create a backup of important documents at a secure location.

5] Completely destroy your physical documents before disposing of them so that they cannot provide any information about you and your organization.

Whaling attack examples

While you can find a ton of such scam stories online. Even the major companies like Snapchat and Seagate have fallen into the traps of these scams. Last year, a high-rank employee of Snapchat was a victim of such a scam where an email impersonating the CEO of the company inquired about the payroll of the employees. Take a look at some examples:

• Seagate: A successful whaling attack landed thieves up to 10,000 W-2 tax documents for all current and past employees.
• Snapchat: An employee fell for an email impersonating a request from CEO Evan Spiegel and compromised payroll data for 700 employees.
• FACC: The Austrian aircraft industry supplier lost 50 million euros due to a whaling attack.
• Ubiquiti Networks: This networking tech company suffered a $39.1 million loss as a result of a whaling attack.
• Weight Watchers International: A whaling email allowed thieves to obtain tax data for nearly 450 current and former employees.

Already Scammed?

Do you think that you’ve been a victim of a Whaling scam? Immediately inform the head of your organization and seek legal help. If you provided them with any bank details or any sort of passwords, change them immediately. Consult a cyber-security expert to track back the path and know who the attacker was. Seek out for legal help and consult a lawyer.

There are various online services available where you can report such scams. Please report such scams so that their activity can be disrupted and more people are not affected.

If you are interested in knowing more, there is this excellent eBook titled Whaling, Anatomy of an attack, which you can download free.

Protect yourself, your employees and your organization from such frauds and online scams. Spread the word and help your colleagues, friends, and family stay protected.

Read here about the most common Online and Email scams & frauds.

Related posts

• Ako skontrolovať, či je odkaz bezpečný alebo nie pomocou webového prehliadača

• Zistite, či bol váš online účet napadnutý hackermi a či unikli podrobnosti o e-maile a hesle

• Online bezpečnostné tipy pre deti, študentov a tínedžerov

• Článok o zabezpečení internetu a tipy pre používateľov systému Windows

• Chráňte svoje deti pred obsahom pre dospelých pomocou čistého prehliadania

• Prečo mi Microsoft píše SMS? Sú pravé alebo phishing?

• Čo je to pastejacking? Prečo by ste nemali kopírovať pastu z webu?

• Čo je phishing a ako identifikovať phishingové útoky?

• Vyhnite sa online bankovníctvu a iným kybernetickým podvodom – bezpečnostné tipy pre používateľov PC

• Počítačová bezpečnosť, ochrana údajov, brožúry o bezpečnosti online od spoločnosti Microsoft

• Čo je Spear Phishing? Vysvetlenie, Príklady, Ochrana

• Preventívne opatrenia, ktoré je potrebné vykonať pred kliknutím na webové odkazy alebo adresy URL

• Čo je Fleeceware? Ako sa chrániť pred aplikáciami Fleeceware?

• Čo je to odtlačky prstov návštevnosti webových stránok? Ako sa chrániť?

• Bezplatný online nástroj PDF Editor na úpravu súborov PDF - PDF Áno

• Najlepšie bezplatné cloudové online zálohovacie služby

• Tipy, ako zostať v bezpečí na verejných počítačoch

• Ako sa vyhnúť phishingovým podvodom a útokom?

• Čo je to Pharming a ako môžete zabrániť tomuto online podvodu?

• Vyhnite sa podvodom pri nakupovaní online a podvodom v období sviatkov