Если вы работаете на предприятии или владеете им, вам необходимо знать, что всегда существует высокий риск кибератак и мошенничества. Мошенничество с электронной почтой^{(Email Scams)} является наиболее распространенным среди них. Фишинг бывает разных видов, таких как Tabnabbing, Spear Phishing , а также Vishing и Smishing. Несколько дней назад мы рассмотрели онлайн-мошенничество с фармингом^{(Pharming online frauds)} , а сегодня мы рассмотрим китобойное мошенничество^{(Whaling Scams)} , которое представляет собой новую угрозу кибербезопасности.

Что такое китобойный промысел

В китобойном^(Whaling) мошенничестве вас обычно преследуют по электронной почте — это специализированная фишинговая афера^{(Phishing scam)} . Злоумышленник изучает вашу активность в Интернете и получает полезную информацию о вас из других источников. И эта информация используется для создания профессионально выглядящего персонализированного электронного письма. Увидев официальное электронное письмо, вы можете отказаться от своей защиты, и вы, скорее всего, будете доверять такому электронному письму. Идея состоит в том, чтобы получить от вас информацию для дальнейших мошеннических действий.

Теперь вы должны понимать, что между китобойным промыслом^(Whaling) и целевым фишингом существует тонкая грань ^{(Spear Phishing)}. Китобойный промысел^(Whaling) обычно нацелен на руководителей высокого уровня, тогда как последнее мошенничество нацелено на сотрудников компании, клиентов компании в целом. Это называется китобойным промыслом^(Whaling) , потому что цели обычно большие или важные. Итак, китов^(Whales) выбирают из-за их авторитета и доступа в организации.

Как работает китобойный промысел^(Whaling) и почему вы нацелены на него

Большинство целей, как правило, бизнесмены, предприниматели, генеральные директора^(CEOs) и корпоративные сотрудники. Цели обычно связаны с бизнесом, а атаки планируются с целью получения любой конфиденциальной информации о деятельности организации.

Такого рода атаки с использованием социальной инженерии очень трудно идентифицировать, и люди обычно в конечном итоге предоставляют данные таким мошенникам. Мошенник отправляет персонализированное электронное письмо с адреса, с которым вы, возможно, знакомы. Мошенник может выдать себя за вашего начальника или другую дружественную организацию. Или он/она может изображать из себя вашего финансового консультанта или вашего адвоката. Содержание электронного письма в основном направлено на привлечение внимания, поэтому вы можете быстро ответить, и вероятность того, что вас поймают, будет минимальной.

Электронное письмо может потребовать, чтобы вы перевели некоторую сумму денег в качестве платежа по счету, подлежащему оплате, или оно может запросить у вас некоторые данные о компании, которые требуются в головном офисе. Или может запросить личные данные о сотрудниках организации.

Мошенник или злоумышленник уже изучил вас, чтобы создать для вас персонализированное электронное письмо. И исследование может быть основано на ваших действиях в Интернете или на любой информации, полученной из других источников. Электронные письма китов^{(Whaling emails)} кажутся нормальными и идеальными, и это единственная причина, по которой люди попадают в ловушку. Имена, логотипы и другая информация, используемая в электронном письме, может быть реальной или нет. Но оно представлено таким образом, что обычно люди не могут заметить разницу между этими электронными письмами.

Кроме того, адрес электронной почты отправителя или упомянутого веб-сайта похож на адрес кого-то, кого вы, возможно, знаете. Вложения могут быть или не быть вредоносными. Единственная цель этих мошенников — убедить вас, что письмо совершенно нормальное и требует срочных действий. И когда вы следуете инструкциям в электронном письме, вы в конечном итоге передаете некоторые конфиденциальные данные неавторизованному лицу или веб-сайту.

Как защититься от китобойных атак

Вы должны научиться идентифицировать фишинговые атаки^{(identify Phishing Attacks)} , чтобы узнать больше о защите от фишинга в целом, чтобы вы могли избежать мошенничества^{(avoid Phishing scams)} с фишингом .

Ключ к тому, чтобы оставаться защищенным, — оставаться внимательным. Прочитайте все ваши электронные письма, связанные с работой, от начала до конца и следите за чем-нибудь подозрительным. Если вы просто почувствовали, что с электронным письмом что-то не так, обратитесь в организацию, от которой, как утверждается, пришло электронное письмо.

1] Проверьте^(Verify) электронную почту отправителя, а затем отвечайте только на электронные письма. Обычно веб-сайты или адреса электронной почты, с которых вы получаете электронные письма, почти идентичны обычным адресам электронной почты, которые вы можете знать. «О» может быть заменен на «0» (ноль) или может быть два «ss» вместо одного «s». Такого рода ошибки легко не заметить человеческому глазу, и они составляют основу таких атак.

2] Если электронное письмо требует каких-то срочных действий, вы должны внимательно посмотреть, а затем принять решение. Если есть какие-либо исходящие ссылки на веб-сайты, проверьте их адреса, прежде чем предоставлять какую-либо информацию на этот веб-сайт. Кроме того, проверьте знак замка или проверьте сертификат веб-сайта.

3] Не предоставляйте никаких финансовых или контактных данных ни на одном веб-сайте или по электронной почте. Знайте, когда доверять веб-сайту^{(Know when to trust a website)} , примите меры предосторожности, прежде чем нажимать на какие-либо веб-ссылки^{(precautions before clicking on any web links)} , и соблюдайте основные нормы безопасности при использовании Интернета.

4] Имейте надлежащий антивирус, брандмауэр, защищающий ваш компьютер, и не загружайте никакие вложения из любого из этих электронных писем. RAR/7z или любые другие исполняемые файлы чаще всего содержат какие-либо вредоносные программы или трояны^(Trojans) . Регулярно меняйте пароли и создавайте резервные копии важных документов в безопасном месте.

5 ] Полностью^{(] Completely)} уничтожьте свои физические документы, прежде чем утилизировать их, чтобы они не могли предоставить какую-либо информацию о вас и вашей организации.

Примеры китобойных атак

В то время как вы можете найти массу таких мошеннических историй в Интернете. Даже крупные компании, такие как Snapchat и Seagate , попали в ловушки этих мошенников. В прошлом году высокопоставленный сотрудник Snapchat стал жертвой такой аферы, когда электронное письмо, выдающее себя за генерального директора компании, спрашивало о заработной плате сотрудников. Взгляните на некоторые примеры:

• Seagate : Успешная китобойная атака позволила похитителям получить до 10 000 налоговых документов W-2 для всех нынешних и бывших сотрудников.
• Snapchat : Сотрудник попался на электронную почту, выдававшую запрос от генерального директора Эвана Шпигеля^{(CEO Evan Spiegel)} , и скомпрометировал данные о заработной плате 700 сотрудников.
• FACC : Австрийский поставщик авиационной промышленности потерял 50 миллионов евро из-за нападения китов.
• Ubiquiti Networks : эта сетевая технологическая компания понесла убытки в размере 39,1 миллиона долларов в результате нападения китобойного промысла.
• Weight Watchers International : китобойная электронная почта позволила ворам получить налоговые данные почти 450 нынешних и бывших сотрудников.

Уже обманули?

Вы думаете, что стали жертвой аферы с китобойным промыслом? ^(Whaling)Немедленно сообщите об этом руководителю вашей организации и обратитесь за юридической помощью. Если вы предоставили им какие-либо банковские реквизиты или какие-либо пароли, немедленно измените их. Проконсультируйтесь с экспертом по кибербезопасности, чтобы отследить путь и узнать, кто был злоумышленником. Обратитесь за юридической помощью и проконсультируйтесь с юристом.

Существуют различные онлайн-сервисы, где вы можете сообщить о таких мошенничествах. Пожалуйста, сообщайте о таких мошенничествах, чтобы их деятельность могла быть нарушена и не пострадало больше людей.

Если вам интересно узнать больше, есть отличная электронная книга под названием « Китобойный промысел. Анатомия атаки^{(Whaling, Anatomy of an attack)} », которую вы можете скачать бесплатно.

Защитите себя, своих сотрудников и свою организацию от такого мошенничества и онлайн-мошенничества. Распространяйте информацию и помогайте своим коллегам, друзьям и семье оставаться в безопасности.^{(Protect yourself, your employees and your organization from such frauds and online scams. Spread the word and help your colleagues, friends, and family stay protected.)}

Читайте здесь о наиболее распространенных мошенничествах и мошенничестве в Интернете и по электронной почте^{(most common Online and Email scams & frauds)} .

What are Whaling scams & how to protect your Enterprise

If you work in or own an enterprise, then you need to know that there is always a high risk of cyber-attacks & scams taking place. Email Scams are the most commоn among them. Phishing comes in many flavors like Tabnabbing, Spear Phishing as well as Vishing and Smishing. A few days back, we took a look at Pharming online frauds – today we will take a look at Whaling Scams which is the emerging cyber-security threat.

What are Whaling scams

In Whaling scams, you are targeted usually by email – it is a specialized Phishing scam. The attacker studies your online activity and obtains useful information about you from other sources. And that information is used to create a professional looking personalized e-mail. Seeing an official email can cause you to drop your defenses and you are very likely to trust such email. The idea is to obtain information from you for further fraudulent activities.

Now you have to realize that there is a thin line of difference between Whaling and Spear Phishing. Whaling typically targets high-level executives, whereas the latter scam targets employees of a company, customers of a company generally. It is called Whaling because the targets are usually large or important. And so Whales are chosen because of their authority and access within an organization.

How does Whaling work and why are you targeted

Most of the targets are usually businessmen, entrepreneurs, CEOs, and corporate employees. The targets are usually business specific and attacks are planned for the purpose of obtaining any sensitive information about the activities of an organization.

These kind of socially engineered attacks are very difficult to identify and people usually end up giving data to such scammers. The scammer sends a personalized email from an address you may be familiar with. The scammer may mimic to be your boss or another friendly organization. Or he/she may mimic as your financial consultant or your lawyer. The content of the email is mostly attention seeking so that you may reply promptly and there is the least chance of them getting caught.

The email might require you to transfer some money as a payment to a due bill or it may ask you for some company data that is required at a head office. Or it may ask personal details about the employees of the organization.

The scammer or the attacker has already researched you to create a personalized email for you. And the research may be based upon your online activities or upon any information obtained from other sources. Whaling emails just seem normal and perfect and that is the only reason people fall into the trap. The names, logos and other information used in the email may be real or not. But it is presented in such a way that normally people cannot mark a difference between these emails.

Also, the email address of the sender or the website mentioned is similar to someone you may know. The attachments may or may not be malicious. The sole purpose of these scams is to convince you that the email is completely normal and requires urgent action. And when you follow the instructions in the email, you end up leaking out some confidential data to an unauthorized person or website.

How to stay protected from Whaling attacks

You have to learn to identify Phishing Attacks to know more about protection from phishing in general so that you can avoid Phishing scams.

The key to staying protected is to stay attentive. Read all your work related emails end to end and keep an eye on something fishy. If you just felt that there is something wrong with the email, contact the organization from which the email is said to be.

1] Verify the sender’s email and then only respond to emails. Usually, the websites or email addresses from where you are receiving emails are almost identical to normal email addresses that you may know. An ‘o’ may be replaced with a ‘0’ (zero) or there may be two ‘ss’ instead of one ‘s’. This kind of errors are easily overlooked by a human eye, and these forms the basis of such attacks.

2] If the email requires some urgent action, then you must look carefully and then take the decision. If there are any outbound website links, verify their address before supplying any information to that website. Also, check for the padlock sign or verify the website’s certificate.

3] Do not provide any financial or any contact details to any website or an email. Know when to trust a website, take precautions before clicking on any web links and follow the basic internet usage safety norms.

4] Have proper antivirus, firewall software protecting your computer and do not download any attachments from any of these emails. RAR/7z or any other executable files are most suspected to contain any malware or Trojans. Regularly change passwords and create a backup of important documents at a secure location.

5] Completely destroy your physical documents before disposing of them so that they cannot provide any information about you and your organization.

Whaling attack examples

While you can find a ton of such scam stories online. Even the major companies like Snapchat and Seagate have fallen into the traps of these scams. Last year, a high-rank employee of Snapchat was a victim of such a scam where an email impersonating the CEO of the company inquired about the payroll of the employees. Take a look at some examples:

• Seagate: A successful whaling attack landed thieves up to 10,000 W-2 tax documents for all current and past employees.
• Snapchat: An employee fell for an email impersonating a request from CEO Evan Spiegel and compromised payroll data for 700 employees.
• FACC: The Austrian aircraft industry supplier lost 50 million euros due to a whaling attack.
• Ubiquiti Networks: This networking tech company suffered a $39.1 million loss as a result of a whaling attack.
• Weight Watchers International: A whaling email allowed thieves to obtain tax data for nearly 450 current and former employees.

Already Scammed?

Do you think that you’ve been a victim of a Whaling scam? Immediately inform the head of your organization and seek legal help. If you provided them with any bank details or any sort of passwords, change them immediately. Consult a cyber-security expert to track back the path and know who the attacker was. Seek out for legal help and consult a lawyer.

There are various online services available where you can report such scams. Please report such scams so that their activity can be disrupted and more people are not affected.

If you are interested in knowing more, there is this excellent eBook titled Whaling, Anatomy of an attack, which you can download free.

Protect yourself, your employees and your organization from such frauds and online scams. Spread the word and help your colleagues, friends, and family stay protected.

Read here about the most common Online and Email scams & frauds.

Related posts

• Как проверить, безопасна ли ссылка или не используя ваш веб-браузер

• Узнайте, был ли ваш online account был взломан и данные электронной почты и пароля утечки

• Online Safety Tips для Kids, Students and Teens

• Internet Security article and tips для Windows 10 пользователей

• Safeguard Ваши дети из adult content с помощью Clean Browsing

• Avoid online Банковское дело и другие кибер-мошеннические мошенничества - Безопасность Tips для пользователей ПК

• Лучший бесплатный облако на базе Online Backup Services

• Что такое фишинг? Объяснение, Examples, Protection

• Что такое фишинг и как определить фишинговые атаки?

• Бесплатные Fake Name Generator для создания Fake Identity

• Free PDF Editor Online Tool для редактирования PDF файлов - PDF Yeah

• Dark Patterns: Веб-сайты, Examples, Types, как Spot & Avoid

• Online Identity Theft: Prevention and Protection tips

• Что такое Fleeceware? Как защитить себя от Fleeceware apps?

• Советы о том, как оставаться в безопасности на публичных компьютерах

• Globus Free VPN Browser review: Encrypt весь трафик, Browse анонимно

• Что такое Cyber crime? Как с этим иметь дело?

• Что такое сайт Traffic Fingerprinting? Как защитить себя?

• PayPal Login: Советы на Sign UP и Sign в надежно

• Best Invoice Templates для Word Online для создания Business Invoices бесплатно