Om du arbetar i eller äger ett företag måste du veta att det alltid finns en hög risk för cyberattacker och bedrägerier. E-postbedrägerier^{(Email Scams)} är de vanligaste bland dem. Nätfiske finns i många smaker som Tabnabbing, Spear Phishing samt Vishing och Smishing. För några dagar sedan tittade vi på Pharming onlinebedrägerier^{(Pharming online frauds)} – idag ska vi ta en titt på Whaling Scams som är det framväxande cybersäkerhetshotet.

Vad är valfångstbedrägerier

I valfångstbedrägerier^(Whaling) riktas du vanligtvis mot e-post – det är en specialiserad nätfiskebedrägeri^{(Phishing scam)} . Angriparen studerar din onlineaktivitet och får användbar information om dig från andra källor. Och den informationen används för att skapa en personlig e-post som ser professionellt ut. Att se ett officiellt e-postmeddelande kan få dig att släppa ditt försvar och det är mycket troligt att du litar på sådan e-post. Tanken är att få information från dig för ytterligare bedrägliga aktiviteter.

Nu måste du inse att det finns en tunn skillnad mellan valfångst^(Whaling) och spjutfiske ^{(Spear Phishing)}. Valfångst^(Whaling) riktar sig vanligtvis till chefer på hög nivå, medan den senare bluffen riktar sig till anställda på ett företag, kunder på ett företag i allmänhet. Det kallas valfångst^(Whaling) eftersom målen vanligtvis är stora eller viktiga. Och så valar^(Whales) väljs på grund av deras auktoritet och tillgång inom en organisation.

Hur fungerar valfångst^(Whaling) och varför är du måltavla

De flesta av målen är vanligtvis affärsmän, entreprenörer, VD^(CEOs) :ar och företagsanställda. Målen är vanligtvis affärsspecifika och attacker planeras i syfte att erhålla känslig information om verksamheten i en organisation.

Den här typen av socialt utformade attacker är mycket svåra att identifiera och det slutar vanligtvis med att människor ger data till sådana bedragare. Bedragaren skickar ett personligt e-postmeddelande från en adress som du kanske känner till. Bedragaren kan härma att vara din chef eller en annan vänlig organisation. Eller så kan han/hon härma som din finansiella konsult eller din advokat. Innehållet i e-postmeddelandet är mest uppmärksamhetssökande så att du kan svara snabbt och det finns minsta chans att de fastnar.

E-postmeddelandet kan kräva att du överför lite pengar som betalning till en förfallen räkning eller så kan det be dig om vissa företagsuppgifter som krävs på ett huvudkontor. Eller det kan fråga om personlig information om de anställda i organisationen.

Bedragaren eller angriparen har redan undersökt dig för att skapa ett personligt e-postmeddelande åt dig. Och forskningen kan baseras på dina onlineaktiviteter eller på all information som erhållits från andra källor. Valfångstmeddelanden^{(Whaling emails)} verkar bara normala och perfekta och det är den enda anledningen till att människor går i fällan. Namnen, logotyperna och annan information som används i e-postmeddelandet kan vara riktiga eller inte. Men det presenteras på ett sådant sätt att folk normalt inte kan markera skillnad mellan dessa e-postmeddelanden.

Dessutom liknar e-postadressen till avsändaren eller webbplatsen som nämns någon du kanske känner. Bilagorna kan vara skadliga eller inte. Det enda syftet med dessa bedrägerier är att övertyga dig om att e-postmeddelandet är helt normalt och kräver brådskande åtgärder. Och när du följer instruktionerna i mejlet slutar du med att du läcker ut en del konfidentiell data till en obehörig person eller webbplats.

Hur man håller sig skyddad från valfångsattacker

Du måste lära dig att identifiera nätfiskeattacker^{(identify Phishing Attacks)} för att veta mer om skydd mot nätfiske i allmänhet så att du kan undvika nätfiskebedrägerier^{(avoid Phishing scams)} .

Nyckeln till att hålla sig skyddad är att vara uppmärksam. Läs alla dina jobbrelaterade e-postmeddelanden från början till slut och håll ett öga på något skumt. Om du bara kände att det är något fel på mejlet, kontakta den organisation som mejlet sägs vara ifrån.

1] Verifiera^(Verify) avsändarens e-post och svara sedan bara på e-postmeddelanden. Vanligtvis är webbplatserna eller e-postadresserna där du får e-postmeddelanden nästan identiska med vanliga e-postadresser som du kanske känner till. Ett 'o' kan ersättas med ett '0' (noll) eller så kan det finnas två 's' istället för ett 's'. Den här typen av fel förbises lätt av ett mänskligt öga, och dessa utgör grunden för sådana attacker.

2] Om e-postmeddelandet kräver brådskande åtgärder, måste du titta noga och sedan fatta beslutet. Om det finns några utgående webbplatslänkar, verifiera deras adress innan du tillhandahåller någon information till den webbplatsen. Kontrollera också efter hänglåstecknet eller verifiera webbplatsens certifikat.

3] Ange inga ekonomiska eller kontaktuppgifter till någon webbplats eller ett e-postmeddelande. Vet när du ska lita på en webbplats^{(Know when to trust a website)} , vidta försiktighetsåtgärder innan du klickar på någon webblänk^{(precautions before clicking on any web links)} och följ de grundläggande säkerhetsnormerna för internetanvändning.

4] Ha ordentligt antivirusprogram, brandväggsprogram som skyddar din dator och ladda inte ner några bilagor från någon av dessa e-postmeddelanden. RAR/7z eller andra körbara filer är mest misstänkta för att innehålla skadlig programvara eller trojaner^(Trojans) . Byt regelbundet lösenord och skapa en säkerhetskopia av viktiga dokument på en säker plats.

5 ] Förstör^{(] Completely)} dina fysiska dokument helt innan du gör dig av med dem så att de inte kan ge någon information om dig och din organisation.

Exempel på valfångsattack

Även om du kan hitta massor av sådana bluffhistorier på nätet. Även de stora företagen som Snapchat och Seagate har fallit i fällorna av dessa bedrägerier. Förra året blev en högt uppsatt anställd på Snapchat offer för en sådan bluff där ett mejl som utger sig för att vara VD för företaget frågade om de anställdas löner. Ta en titt på några exempel:

• Seagate : En framgångsrik valfångsattack gav tjuvar upp till 10 000 W-2-skattedokument för alla nuvarande och tidigare anställda.
• Snapchat : En anställd föll för ett e-postmeddelande som efterliknade en begäran från VD Evan Spiegel^{(CEO Evan Spiegel)} och äventyrade löneuppgifter för 700 anställda.
• FACC : Den österrikiska flygindustrins leverantör förlorade 50 miljoner euro på grund av en valfångsattack.
• Ubiquiti Networks : Detta nätverksteknikföretag led en förlust på 39,1 miljoner dollar till följd av en valfångsattack.
• Weight Watchers International : Ett valfångstmejl gjorde det möjligt för tjuvar att skaffa skattedata för nästan 450 nuvarande och tidigare anställda.

Redan lurad?

Tror du att du har blivit offer för en valfångstbedrägeri^(Whaling) ? Informera omedelbart chefen för din organisation och sök juridisk hjälp. Om du försett dem med bankuppgifter eller någon form av lösenord, ändra dem omedelbart. Rådfråga en cybersäkerhetsexpert för att spåra vägen och veta vem angriparen var. Sök juridisk hjälp och rådfråga en advokat.

Det finns olika onlinetjänster tillgängliga där du kan rapportera sådana bedrägerier. Vänligen rapportera sådana bedrägerier så att deras aktivitet kan störas och fler människor inte drabbas.

Om du är intresserad av att veta mer finns den här utmärkta e-boken med titeln Whaling, Anatomy of an attack , som du kan ladda ner gratis.

Skydda dig själv, dina anställda och din organisation från sådana bedrägerier och onlinebedrägerier. Sprid ordet och hjälp dina kollegor, vänner och familj att hålla sig skyddade.^{(Protect yourself, your employees and your organization from such frauds and online scams. Spread the word and help your colleagues, friends, and family stay protected.)}

Läs här om de vanligaste online- och e-postbedrägerierna och bedrägerierna^{(most common Online and Email scams & frauds)} .

What are Whaling scams & how to protect your Enterprise

If уou work in or own аn enterprise, then you need to know that there is аlways a high risk of cyber-attacks & scams taking place. Email Scams are the most common among them. Phishing сomes in many flavors like Tabnabbing, Spear Phishing as well as Vishing and Smishing. A few days back, we took a look at Pharming online frauds – today we will take a look at Whaling Scams which is the emerging cyber-security threat.

What are Whaling scams

In Whaling scams, you are targeted usually by email – it is a specialized Phishing scam. The attacker studies your online activity and obtains useful information about you from other sources. And that information is used to create a professional looking personalized e-mail. Seeing an official email can cause you to drop your defenses and you are very likely to trust such email. The idea is to obtain information from you for further fraudulent activities.

Now you have to realize that there is a thin line of difference between Whaling and Spear Phishing. Whaling typically targets high-level executives, whereas the latter scam targets employees of a company, customers of a company generally. It is called Whaling because the targets are usually large or important. And so Whales are chosen because of their authority and access within an organization.

How does Whaling work and why are you targeted

Most of the targets are usually businessmen, entrepreneurs, CEOs, and corporate employees. The targets are usually business specific and attacks are planned for the purpose of obtaining any sensitive information about the activities of an organization.

These kind of socially engineered attacks are very difficult to identify and people usually end up giving data to such scammers. The scammer sends a personalized email from an address you may be familiar with. The scammer may mimic to be your boss or another friendly organization. Or he/she may mimic as your financial consultant or your lawyer. The content of the email is mostly attention seeking so that you may reply promptly and there is the least chance of them getting caught.

The email might require you to transfer some money as a payment to a due bill or it may ask you for some company data that is required at a head office. Or it may ask personal details about the employees of the organization.

The scammer or the attacker has already researched you to create a personalized email for you. And the research may be based upon your online activities or upon any information obtained from other sources. Whaling emails just seem normal and perfect and that is the only reason people fall into the trap. The names, logos and other information used in the email may be real or not. But it is presented in such a way that normally people cannot mark a difference between these emails.

Also, the email address of the sender or the website mentioned is similar to someone you may know. The attachments may or may not be malicious. The sole purpose of these scams is to convince you that the email is completely normal and requires urgent action. And when you follow the instructions in the email, you end up leaking out some confidential data to an unauthorized person or website.

How to stay protected from Whaling attacks

You have to learn to identify Phishing Attacks to know more about protection from phishing in general so that you can avoid Phishing scams.

The key to staying protected is to stay attentive. Read all your work related emails end to end and keep an eye on something fishy. If you just felt that there is something wrong with the email, contact the organization from which the email is said to be.

1] Verify the sender’s email and then only respond to emails. Usually, the websites or email addresses from where you are receiving emails are almost identical to normal email addresses that you may know. An ‘o’ may be replaced with a ‘0’ (zero) or there may be two ‘ss’ instead of one ‘s’. This kind of errors are easily overlooked by a human eye, and these forms the basis of such attacks.

2] If the email requires some urgent action, then you must look carefully and then take the decision. If there are any outbound website links, verify their address before supplying any information to that website. Also, check for the padlock sign or verify the website’s certificate.

3] Do not provide any financial or any contact details to any website or an email. Know when to trust a website, take precautions before clicking on any web links and follow the basic internet usage safety norms.

4] Have proper antivirus, firewall software protecting your computer and do not download any attachments from any of these emails. RAR/7z or any other executable files are most suspected to contain any malware or Trojans. Regularly change passwords and create a backup of important documents at a secure location.

5] Completely destroy your physical documents before disposing of them so that they cannot provide any information about you and your organization.

Whaling attack examples

While you can find a ton of such scam stories online. Even the major companies like Snapchat and Seagate have fallen into the traps of these scams. Last year, a high-rank employee of Snapchat was a victim of such a scam where an email impersonating the CEO of the company inquired about the payroll of the employees. Take a look at some examples:

• Seagate: A successful whaling attack landed thieves up to 10,000 W-2 tax documents for all current and past employees.
• Snapchat: An employee fell for an email impersonating a request from CEO Evan Spiegel and compromised payroll data for 700 employees.
• FACC: The Austrian aircraft industry supplier lost 50 million euros due to a whaling attack.
• Ubiquiti Networks: This networking tech company suffered a $39.1 million loss as a result of a whaling attack.
• Weight Watchers International: A whaling email allowed thieves to obtain tax data for nearly 450 current and former employees.

Already Scammed?

Do you think that you’ve been a victim of a Whaling scam? Immediately inform the head of your organization and seek legal help. If you provided them with any bank details or any sort of passwords, change them immediately. Consult a cyber-security expert to track back the path and know who the attacker was. Seek out for legal help and consult a lawyer.

There are various online services available where you can report such scams. Please report such scams so that their activity can be disrupted and more people are not affected.

If you are interested in knowing more, there is this excellent eBook titled Whaling, Anatomy of an attack, which you can download free.

Protect yourself, your employees and your organization from such frauds and online scams. Spread the word and help your colleagues, friends, and family stay protected.

Read here about the most common Online and Email scams & frauds.

Related posts

• Så här kontrollerar du om en länk är säker eller inte med din webbläsare

• Ta reda på om ditt onlinekonto har blivit hackat och information om e-post och lösenord har läckt ut

• Säkerhetstips online för barn, studenter och tonåringar

• Internetsäkerhetsartikel och tips för Windows-användare

• Skydda dina barn från vuxet innehåll med Clean Browsing

• Bästa gratis appar för onlineundersökningar och formulärbyggare

• Falska onlineanställningar och jobbbedrägerier ökar

• Lista över bästa gratis online Font Converter-webbplatser

• Vad är Man-In-The-Middle Attack (MITM): Definition, Prevention, Tools

• Globus Free VPN Browser recension: Kryptera all trafik, Bläddra anonymt

• Undvik bedrägerier med onlineshopping och semesterbedrägerier

• Vad är cyberbrott? Hur ska man hantera det?

• Faror och konsekvenser av överdelning på sociala medier

• Vad är personligt identifierbar information (PII) och hur skyddar man den online?

• Bästa gratis onlineverktyg för att skapa flödesscheman

• Vad är Fleeceware? Hur skyddar du dig från Fleeceware-appar?

• Vad är Fingeravtryck för webbplatstrafik? Hur skyddar man sig?

• Hur man söker efter onlinemallar i Microsoft Word

• Vad är Pastejacking? Varför ska du inte kopiera klistra in från webben?

• Microsoft-bedrägerier: Telefon- och e-postbedrägerier som missbrukar Microsoft-namn