Wat is een walvisaanval?

Blog

Bij een Whaling-aanval richten aanvallers zich op individuen die autoritaire of besluitvormende posities bekleden in een organisatie, om een bedrijf op te lichten.

door YunesTarada

Leestijd: 5 min
Wat is een walvisaanval?
Inhoudsopgave-

Walvisaanvallen zijn synoniem met CEO-fraudeDit is een populaire tactiek van cybercriminelen om bedrijven op te lichten. Bij een Whaling-aanval richten aanvallers zich op individuen die autoritaire of besluitvormende posities bekleden in een organisatie, zoals senior executives en hoge functionarissen. Het is een krachtige, zeer gerichte vorm van phishing of spear phishing aanval die is ontworpen om belangrijke doelwitten (HVT's) te verleiden tot het verstrekken van bedrijfsgegevens, referenties, het klikken op schadelijke links, het openen van schadelijke bestanden of het initiëren van overschrijvingen. Het doel is vaak om gevoelige gegevens te stelen, toegang te krijgen tot kritieke systemen (zoals die met financiële gegevens) of gecompromitteerde referenties te gebruiken voor verdere kwaadaardige activiteiten. Phishing-aanvallen blijven een belangrijke bedreiging; CISCO ontdekte dat 86% van de bedrijven in hun onderzoek van 2021 minstens één werknemer in een phishing-zwendel trapte, en de Anti-Phishing Working Group (APWG) registreerde alleen al in het eerste kwartaal van 2022 meer dan een miljoen unieke phishingaanvallen.

Belangrijkste punten

  1. Whaling-aanvallen gebruiken geavanceerd onderzoek om hooggeplaatste leidinggevenden als doelwit te nemen voor gevoelige bedrijfsgegevens of systeemtoegang.
  2. Whaling verschilt van gewone phishing door het specifieke doelwit, de hogere geavanceerdheid en de mogelijk meer verwoestende gevolgen (financieel, reputatie).
  3. Voor een effectieve verdediging is een gelaagde aanpak nodig met een combinatie van e-mailverificatie (DMARC met p=afwijzen), best practices op het gebied van beveiliging (2FA, updates) en bewustmakingstrainingen voor medewerkers.
  4. Aanvallers onderzoeken doelwitten vaak met behulp van sociale media en openbare informatie om overtuigende, persoonlijke walvis e-mails te maken.
  5. Het implementeren van DMARC, SPF en DKIM is essentieel voor het blokkeren van domain spoofing bij whaling-aanvallen en het monitoren van bedreigingen.

Hoe vindt een walvisaanval plaats?

Om te begrijpen hoe whaling plaatsvindt, moeten we eerst proberen het verschil te begrijpen tussen whalingaanvallen, phishing en spear phishing:

Wat is reguliere phishing?

Social engineeringBij social engineering of phishing worden mensen misleid om gevoelige informatie te onthullen, zoals inloggegevens of financiële informatie. De aanvaller doet zich vaak voor als een betrouwbare entiteit, zoals een bank of overheidsinstelling, en stuurt een e-mail of bericht met een verzoek om informatie of een link naar een nepwebsite. Regelmatige phishing-aanvallen worden vaak naar grote groepen mensen gestuurd in de hoop dat een klein percentage in de truc trapt.

Walvisjacht VS Phishing

  • Gerichtheid: Een gewone phishingaanval is niet gericht op specifieke hooggeplaatste personen, maar op een breed publiek. Een whaling-aanval is specifiek gericht op senior leidinggevenden en hoge functionarissen ("walvissen" of "grote vissen").
  • Verfijning: Gewone phishingaanvallen zijn vaak eenvoudig. Whaling-aanvallen zijn meestal uitgebreider, goed ontworpen en persoonlijker, waarbij vaak officiële logo's, taal en ogenschijnlijk legitieme e-mailadressen worden gebruikt na zorgvuldig onderzoek naar de rol, verantwoordelijkheden en gewoonten van het doelwit.
  • Gerichte informatie: Gewone phishing is vaak gericht op inloggegevens of persoonlijke financiële informatie. Whaling is gericht op gevoelige bedrijfsinformatie van hoge waarde, zoals handelsgeheimen, vertrouwelijke documenten of toegang tot financiële rekeningen en systemen van het bedrijf.
  • Tactiek: Gewone phishing kan algemene tactieken gebruiken om af te schrikken. Whaling kan uitgebreidere tactieken gebruiken, zoals het maken van valse websites die legitieme websites weerspiegelen of het creëren van een vals gevoel van urgentie met betrekking tot zakelijke aangelegenheden.
  • Gevolgen: Hoewel elke phishingaanval schadelijk kan zijn, is een succesvolle whalingaanval vaak nog verwoestender vanwege de toegang op hoog niveau en de gevoelige gegevens waar het om gaat. Een whalingaanval is twee keer zo succesvol en gevaarlijk omdat deze inspeelt op de betrouwbaarheid en autoriteit van een bestaand individu om slachtoffers voor de gek te houden.
  • Wijze van aanvallen: Beiden gebruiken vaak e-mail, maar de walvisjacht kan ook gerichte telefoongesprekken of andere communicatiemethoden omvatten.

Walvisjacht VS Spear Phishing

  • Spear phishing-aanvallen zijn ook zeer gerichte phishingaanvallen die specifieke personen of groepen binnen een organisatie uitkiezen om frauduleuze campagnes te lanceren.
  • Whaling verschilt van spear phishing in het algemeen doordat ze alleen de hoogste bedrijfsleiders (de "walvissen") uitkiezen als hun primaire doelwit.

Bij whaling stuurt een aanvaller een phishing-e-mail naar een senior leidinggevende, die zich voordoet als zijn manager, CEO of CFO, of soms richt hij zich op een lagere medewerker door zich voor te doen als een leidinggevende. Deze e-mail zet aan tot een overboeking van bedrijfsgelden of vraagt om bedrijfsgegevens waarmee de aanvaller toegang kan krijgen tot het systeem van de organisatie.

Definitie Walvisaanval

De term "Whaling" wordt gebruikt om leidinggevenden of grote vissen zoals de CEO en CFO aan te duiden. Omdat deze personen hoge posities in het bedrijf bekleden, hebben ze als geen ander toegang tot gevoelige informatie. Daarom kan het nadelig zijn voor de zaken en de reputatie van een bedrijf om zich als hen voor te doen of hen te misleiden, wat kan leiden tot mogelijke financiële verliezen, datalekken, productiviteitsverlies en zelfs juridische gevolgen.

Voorbeelden van walvisaanvallenVoorbeeld van een e-mail over een walvisaanval: CEO vraagt financieel manager om dringende overboeking

In het bovenstaande voorbeeld ontving John, de manager van het financiële team, een e-mail van Harry, de CEO van de organisatie, waarin hem werd gevraagd een dringende overboeking te initiëren. In dit geval, als John het verzoek niet verifieert via een ander kanaal of de tekenen van phishing niet herkent, zou hij uiteindelijk het geld overmaken waartoe hij toegang heeft en daarmee ten prooi vallen aan de whaling aanval.

Hoe walvisaanvallen te stoppen: uw organisatie en gegevens beschermen

Om deze aanvallen nog effectiever te maken als social engineering tactiek, doen aanvallers hun huiswerk vaak uitgebreid en gedetailleerd. Ze maken gebruik van openbaar beschikbare informatie van sociale mediaplatforms zoals Facebook, Twitter en LinkedIn en van websites van bedrijven om inzicht te krijgen in het dagelijks leven, de activiteiten, verantwoordelijkheden en professionele relaties van een leidinggevende. Hierdoor komen ze geloofwaardig en legitiem over en kunnen ze hun slachtoffers gemakkelijk voor de gek houden.

Is er een manier om de aanvallen van de walvisjacht te stoppen? Ja, die is er! Hieronder staan bepaalde proactieve maatregelen die u kunt nemen om phishing, spoofing, whaling en andere vormen van social engineering-aanvallen te bestrijden. Een gelaagde aanpak is het beste:

  1. Protocollen voor authenticatie van e-mail:
    • Sender Policy Framework (SPF) helpt u bij het autoriseren van uw legitieme verzendbronnen. Als je meerdere domeinen of derde partijen gebruikt om e-mails te versturen, helpt een SPF-record je deze te specificeren zodat kwaadwillende domeinen die zich voordoen als de jouwe kunnen worden geïdentificeerd.
    • DomainKeys Identified Mail of DKIM is een e-mailverificatieprotocol dat gebruikmaakt van cryptografische handtekeningen om ervoor te zorgen dat uw berichten ongewijzigd blijven.
    • En tot slot, DMARC (Domain-based Message Authentication, Reporting, and Conformance) helpt bij het afstemmen van SPF- of DKIM-identifiers en geeft aan ontvangende e-mailservers aan hoe je valse whalingberichten die vanaf jouw domein zijn verzonden, wilt afhandelen (bijvoorbeeld afwijzen). Een DMARC-beleid dat is ingesteld op `p=verwerpen` kan direct-domain spoofing, dat wordt gebruikt bij whaling, effectief bestrijden. Hiermee kun je e-mail weigeren die niet voldoet aan de controles, authenticatie vereisen voor uitgaande e-mail en voorkomen dat gespoofde e-mails worden afgeleverd.
  2. DMARC-rapportage: Nadat u uw beleidsmodus hebt afgedwongen, schakelt u DMARC samengevoegde en forensische rapporten om uw e-mailbronnen te bewaken, inzicht te krijgen in deliverability en snel pogingen tot aanvallen op uw domein op te pikken. Een DMARC-analysetool kan helpen bij het beheren van deze rapporten en het veilig upgraden van beleidsregels.
  3. Opleiding en training van werknemers: Zorg ervoor dat werknemers, vooral hoge leidinggevenden en financiële teams, zich bewust zijn van de risico's van whaling en getraind zijn om verdachte e-mails te herkennen, verzoeken (vooral financiële) via een apart communicatiekanaal te verifiëren en te voorkomen dat ze op onbekende links klikken of onverwachte bijlagen openen. Regelmatige cyberbewustzijnstraining is cruciaal.
  4. Sterke verificatie: Implementeer waar mogelijk tweefactorauthenticatie (2FA) of multifactorauthenticatie (MFA), vooral voor e-mail en gevoelige systeemtoegang.
  5. Wachtwoordbeveiliging: Dwing beleidsregels af voor sterke, unieke wachtwoorden voor alle accounts.
  6. Software voor e-mailfiltering en -beveiliging: Gebruik robuuste oplossingen voor het filteren van e-mail om verdachte e-mails te blokkeren of te markeren voor controle. Gebruik endpointbeveiliging zoals antivirus en firewallbescherming.
  7. Regelmatige software-updates: Houd alle software, besturingssystemen en browsers up-to-date met de nieuwste beveiligingspatches om misbruik van kwetsbaarheden te voorkomen.
  8. Netwerkbeveiliging: Implementeer sterke netwerkbeveiligingsmaatregelen, mogelijk inclusief netwerksegmentatie en strenge toegangscontroles.
  9. Incidentbestrijdingsplan: Beschik over een duidelijk plan om te reageren op beveiligingsincidenten zoals phishing- of whalingaanvallen om de schade te beperken en snel herstel mogelijk te maken.

Met deze beveiligingsmaatregelen kunt u de slagingskans van social engineering-aanvallen gericht op de medewerkers van uw organisatie zeker verminderen. Het combineren van technische controles zoals DMARC met voortdurende educatie en bewustzijn is de sleutel tot het opbouwen van een sterke verdediging tegen whaling. Het implementeren van DMARC kan ook de weg vrijmaken voor technologieën zoals BIMIwaarmee u uw geverifieerde merklogo kunt toevoegen aan e-mails, waardoor het vertrouwen en de herkenning verder toenemen.

PowerDMARC oproep tot actie

Laatste berichten van Yunes Tarada (Bekijk alle berichten)
Domeinbeveiliging verbeteren met DMARC-analysedmarc analyseWat is DMARC-kwetsbaarheidWat is een DMARC-kwetsbaarheid?