Als u niet over de juiste online beveiligingsmaatregelen beschikt, loopt u het risico dat uw bedrijf het slachtoffer wordt van een aanval zoals whaling, wat meestal leidt tot financiële verliezen, gestolen klantgegevens of cybercriminelen die toegang hebben tot relevante bedrijfssystemen of software.
Specifieke preventie- en onderhoudstechnieken, kennis van de basisprincipes van whaling en inzicht in de overeenkomsten en verschillen met andere phishing-aanvallen kunnen aanzienlijke verliezen als gevolg van deze aanvalsvorm voorkomen. In dit artikel bespreken we wat whaling is en hoe het verschilt van andere veelvoorkomende phishing-aanvallen. Daarna geven we u praktische tips over hoe u whaling kunt bestrijden.
Wat is whaling?
Whaling komt steeds vaker voor omdat het specifiek gericht is op bedrijfsleiders met exclusieve toegang tot een deel van de meest beschermde informatie in het bedrijf. Laten we een paar belangrijke vragen over whaling beantwoorden om beter te begrijpen waarom het zo'n aanzienlijke bedreiging voor cyberbeveiliging is.
Wat is whaling?
Whaling is een vorm van phishing waarbij criminelen zich voordoen als hooggeplaatste personen binnen een organisatie om contant geld, klantgegevens en vertrouwelijke bedrijfsgegevens te verkrijgen. Whaling gebeurt voornamelijk via e-mail, maar kan ook via telefonische communicatie gebeuren. Bedrijfseigenaars, directeurs en belangrijke medewerkers zijn de belangrijkste doelwitten van deze phishingmethode.
Welke bedrijven zijn het belangrijkste doelwit van whaling?
Whaling wordt vaak ingezet bij bedrijven met slechte online beveiliging en bedrijven met veel waardevolle klant- en bedrijfsinformatie die gemakkelijk voor identiteitsdiefstal kan worden gebruikt.
Ziekenhuizen, huisartsenpraktijken en andere bedrijven in de gezondheidszorg zijn vaak het doelwit van cybercriminelen. Medische instellingen hebben al te weinig financiële middelen, dus is er meestal geen budget om te investeren in de nieuwste cyberbeveiligingssoftware en -technologie.
Hierdoor zijn ze aangewezen op zelfgebouwde of verouderde besturingssystemen en onveilige internetbrowsers die gemakkelijk te infiltreren zijn.
Financiële instellingen, betalingsdiensten, bedrijven voor cloudopslag, sites voor bestandshosting, online services en e-commercesites zijn ook vaak het doelwit van whaling.
Waarom whaling?
De personen die het doelwit zijn van whaling hebben een hoog niveau van verantwoordelijkheid, vertrouwen en toegang binnen hun gerespecteerde bedrijven. Voor cybercriminelen is het de tijd en moeite waard om het vertrouwen van deze personen te winnen, want dit kan hen toegang geven tot de persoonlijke gegevens, betaalgegevens of bedrijfsgegevens van duizenden mensen.
Het verschil tussen whaling en andere phishing-aanvallen
Naast whaling moeten bedrijven op hun hoede zijn voor andere phishing-aanvallen die in hun bedrijf kunnen infiltreren. Whaling valt onder de noemer phishing en maakt gebruik van soortgelijke technieken als andere phishing-aanvallen om digitaal fraude te plegen. De meest voorkomende vorm van phishing is grootschalige e-mailphishing, waarbij iemand een e-mail verzendt die afkomstig lijkt te zijn van een betrouwbare afzender om de ontvanger te misleiden om iets te doen, meestal inloggen op een website of downloaden van malware.
Vishing is een andere phishingtechniek waarbij de telefoon wordt gebruikt en de persoon aan de andere kant van de lijn vraagt om een nummer te bellen en zijn rekeninggegevens, pincode, burgerservicenummer of andere persoonlijke gegevens voor officiële doeleinden in te voeren. BEC of Business Email Compromise is een andere vorm van e-mailfraude die specifiek gericht is op slachtoffers en organisaties met een hoge waarde.
Hoewel deze aanvallen vaak berusten op e-mail spoofing, de duplicatie van websites en/of telefonische communicatie, vereist whaling een meer gesofisticeerde cybercrimineel omdat het doelwit bestaat uit zeer succesvolle bedrijfsleiders die doorgaans wat meer ‘overtuiging’ nodig hebben om deel te nemen aan een phishing-plan. Whaling e-mails en/of telefoongesprekken voldoen gewoonlijk aan de volgende voorwaarden:
- Bevatten persoonlijke informatie over de beoogde organisatie of persoon die hen ervan overtuigt dat het iemand is die ze kennen.
- Geven een gevoel van urgentie, maar bij die urgentie een oplossing om dit te verlichten, zoals het initiëren van een overschrijving, het verstrekken van een wachtwoord of aanmeldgegevens voor software.
- Gemaakt met een goed begrip van zakelijke taal en toon om de schijn te versterken dat ze een werknemer op hoog niveau, CEO of bedrijfsleider zijn.
3 manieren om uw bedrijf te beschermen tegen whaling
Het is belangrijk om bruikbare tips te implementeren om uw bedrijf te beschermen tegen whaling. Hier zijn 3 manieren om uw bedrijf op dit moment te beschermen tegen whaling:
Maak een back-up van al uw belangrijke bedrijfsinformatie
Uw bedrijf voorbereiden op een cyberaanval begint bij organisatie. Met een systeem voor het maken van back-ups van al uw belangrijke bedrijfsinformatie kunt u niet alleen een cybercrisis voorkomen, maar ook de schade beperken als u er ooit een doormaakt.
Whaling-aanvallen kunnen bijvoorbeeld aanzienlijke financiële schade veroorzaken. Met een gedetailleerde winst- en verliesrekening kunt u uw financiën nauwlettend in de gaten houden en afwijkingen sneller ontdekken dan wanneer uw financiële administratie niet gedetailleerd, georganiseerd en veilig is. Het zou ook nuttig zijn om een plan voor het reageren op incidenten met cyberaanvallen op te stellen, zodat u een procedure hebt die u kunt volgen nadat u van een inbreuk op de hoogte bent gebracht en die uiteindelijk enorme verliezen van gegevens en financiële schade voorkomt.
Voorzie uitgebreide opleiding op het gebied van cyberbeveiliging
Eigenaars, werknemers en bedrijfsleiders moeten voldoende worden opgeleid in het belang van cyberbeveiliging en hun respectieve rol bij het voorkomen van inbreuken. Nu zo veel bedrijven op afstand zijn gaan werken, wordt het steeds belangrijker dat iedereen weet welke rol hij speelt bij het minimaliseren van de foutmarge die cyberbeveiligingsdreigingen hebben om in te groeien.
U moet uw medewerkers trainen in het herkennen van veelgebruikte social engineering-technieken, om geen onbekende e-mails te openen, niet op links te klikken en geen documenten te openen waar ze niet zeker van zijn. Onderzoek of er regelmatige workshops over de beoordeling van bedreigingen kunnen worden gehouden, om ervoor te zorgen dat werknemers deze dreigingen voor de cyberbeveiliging met succes kunnen herkennen.
Gebruik geen openbare netwerken en wifi
Computers en apparaten die op een openbaar netwerk zijn aangesloten, zijn kwetsbaar voor cyberaanvallen. Met spyware die toetsaanslagen registreert kunnen cybercriminelen toegang krijgen tot vertrouwelijke zakelijke, persoonlijke of klantgegevens die op deze netwerken worden gedeeld.
Een extra beschermingslaag voor uw bedrijf zou zijn om alleen verbinding te maken met beveiligde netwerken zoals uw wifi op kantoor of thuis om zakelijke functies uit te voeren.
Whaling is een van de gevaarlijkste vormen van phishing die er zijn voor uw bedrijf. Investeer in de beste cyberbeveiligings- en encryptietechnologie, gebruik geen openbare netwerken en wifi, maak back-ups van al uw belangrijke bedrijfsgegevens en geef uw personeel een adequate opleiding over cyberbeveiliging. Als u begrijpt wat whaling inhoudt en hoe u deze aanvalsvorm kunt bestrijden, wordt uw bedrijf online succesvol.
Opmerking: Dit blogartikel is geschreven door een gastauteur om onze lezers een gevarieerder aanbod te kunnen geven. De meningen die in dit artikel van de gastauteur worden geuit, zijn uitsluitend die van de auteur en komen niet noodzakelijk overeen met die van GlobalSign.