Ako radite u poduzeću ili posjedujete poduzeće, morate znati da uvijek postoji visok rizik od cyber-napada i prijevara. Prijevare e^{(Email Scams)} -poštom najčešće su među njima. Krađa identiteta dolazi u mnogim okusima kao što su Tabnabbing, Spear Phishing kao i Vishing i Smishing. Prije nekoliko dana pogledali smo internetske prijevare Pharminga^{(Pharming online frauds)} – danas ćemo pogledati kitolovske prijevare^{(Whaling Scams)} koja je nova prijetnja kibernetičkoj sigurnosti.

Što su kitolovske prijevare

U kitolovskim^(Whaling) prijevarama ste obično ciljani putem e-pošte – radi se o specijaliziranoj prevari krađi identiteta^{(Phishing scam)} . Napadač proučava vašu mrežnu aktivnost i dobiva korisne informacije o vama iz drugih izvora. I te se informacije koriste za izradu personalizirane e-pošte profesionalnog izgleda. Gledanje službene e-pošte može uzrokovati da odustanete od obrane i vrlo je vjerojatno da ćete vjerovati takvoj e-pošti. Ideja je od vas dobiti informacije za daljnje prijevarne aktivnosti.

Sada morate shvatiti da postoji tanka linija razlike između lova na kitove^(Whaling) i krađe identiteta ^{(Spear Phishing)}. Lov na kitove^(Whaling) obično cilja na visoke rukovoditelje, dok je potonja prijevara usmjerena na zaposlenike tvrtke, općenito klijente tvrtke. Zove se kitolov^(Whaling) jer su mete obično velike ili važne. Stoga se kitovi^(Whales) biraju zbog svog autoriteta i pristupa unutar organizacije.

Kako funkcionira kitolov^(Whaling) i zašto ste ciljani

Većina meta obično su poslovni ljudi, poduzetnici, izvršni direktori^(CEOs) i zaposlenici poduzeća. Ciljevi su obično specifični za poslovanje, a napadi se planiraju u svrhu dobivanja bilo kakvih osjetljivih informacija o aktivnostima organizacije.

Ovakvu vrstu društveno projektiranih napada vrlo je teško identificirati i ljudi obično na kraju daju podatke takvim prevarantima. Prevarant šalje personaliziranu e-poštu s adrese koja vam je možda poznata. Prevarant može oponašati da je vaš šef ili druga prijateljska organizacija. Ili se on/ona može oponašati kao vaš financijski konzultant ili vaš odvjetnik. Sadržaj e-pošte uglavnom traži pažnju, tako da možete brzo odgovoriti i najmanja je šansa da ih uhvate.

E-poruka može zahtijevati da prenesete nešto novca kao plaćanje na dospjeli račun ili može od vas tražiti neke podatke o tvrtki koji su potrebni u glavnom uredu. Ili može tražiti osobne podatke o zaposlenicima organizacije.

Prevarant ili napadač već vas je istražio kako bi za vas izradio personaliziranu e-poštu. A istraživanje se može temeljiti na vašim mrežnim aktivnostima ili na bilo kojoj informaciji dobivenoj iz drugih izvora. E-poruke o lovu na kitove^{(Whaling emails)} jednostavno izgledaju normalno i savršeno i to je jedini razlog zašto ljudi upadaju u zamku. Imena, logotipi i drugi podaci korišteni u e-poruci mogu biti stvarni ili ne. Ali to je predstavljeno na takav način da ljudi obično ne mogu označiti razliku između ovih e-mailova.

Također, adresa e-pošte pošiljatelja ili spomenuta web stranica slična je nekome koga možda poznajete. Privici mogu, ali i ne moraju biti zlonamjerni. Jedina svrha ovih prijevara je uvjeriti vas da je e-pošta potpuno normalna i zahtijeva hitnu akciju. A kada slijedite upute u e-poruci, na kraju ćete procuriti neke povjerljive podatke neovlaštenoj osobi ili web stranici.

Kako ostati zaštićen od kitolovskih napada

Morate naučiti identificirati napade krađe identiteta^{(identify Phishing Attacks)} kako biste saznali više o zaštiti od krađe identiteta općenito kako biste mogli izbjeći phishing prijevare^{(avoid Phishing scams)} .

Ključ da ostanete zaštićeni je da ostanete pažljivi. Pročitajte sve svoje e-poruke vezane uz posao od kraja do kraja i pripazite na nešto sumnjivo. Ako ste upravo osjetili da nešto nije u redu s e-poštom, kontaktirajte organizaciju iz koje se kaže da je e-mail.

1] Potvrdite^(Verify) e-poštu pošiljatelja, a zatim odgovorite samo na e-poštu. Obično su web-mjesta ili adrese e-pošte s kojih primate e-poštu gotovo identične uobičajenim adresama e-pošte koje možda znate. 'o' se može zamijeniti s '0' (nula) ili mogu postojati dva 's' umjesto jednog 's'. Ovu vrstu pogrešaka ljudsko oko lako previdi i one čine osnovu takvih napada.

2] Ako e-poruka zahtijeva neke hitne radnje, onda morate pažljivo pogledati i zatim donijeti odluku. Ako postoje odlazne veze na web stranicu, provjerite njihovu adresu prije nego što toj web stranici date bilo kakve informacije. Također, provjerite ima li znak lokota ili potvrdite certifikat web stranice.

3] Nemojte davati nikakve financijske ili bilo kakve podatke za kontakt na bilo kojoj web stranici ili e-mailu. Znajte kada vjerovati web stranici^{(Know when to trust a website)} , poduzmite mjere opreza prije nego kliknete na bilo koju web-vezu^{(precautions before clicking on any web links)} i slijedite osnovne sigurnosne norme za korištenje interneta.

4] Imajte odgovarajući antivirusni softver, softver vatrozida koji štiti vaše računalo i nemojte preuzimati nikakve privitke s bilo koje od ovih e-poruka. RAR/7z ili bilo koje druge izvršne datoteke sadrže zlonamjerni softver ili trojance^(Trojans) . Redovito mijenjajte lozinke i stvarajte sigurnosnu kopiju važnih dokumenata na sigurnom mjestu.

5 ] Potpuno^{(] Completely)} uništite svoje fizičke dokumente prije nego ih odložite tako da ne mogu pružiti nikakve informacije o vama i vašoj organizaciji.

Primjeri napada kitolova

Dok na internetu možete pronaći gomilu takvih priča o prijevarama. Čak su i velike tvrtke poput Snapchata^(Snapchat) i Seagatea^(Seagate) pale u zamke ovih prijevara. Prošle godine, visokorangirani zaposlenik Snapchata^(Snapchat) bio je žrtva takve prevare u kojoj se e-poštom u kojem se lažno predstavlja izvršni direktor tvrtke raspitivao o plaćama zaposlenika. Pogledajte neke primjere:

• Seagate : Uspješan napad lova na kitove donio je lopovima do 10.000 W-2 poreznih dokumenata za sve sadašnje i bivše zaposlenike.
• Snapchat : Zaposlenik je pao na e-mail u kojem se lažno predstavljao zahtjev glavnog direktora Evana Spiegela^{(CEO Evan Spiegel)} i kompromitirao podatke o plaćama za 700 zaposlenika.
• FACC : Austrijski dobavljač zrakoplovne industrije izgubio je 50 milijuna eura zbog napada kitolovca.
• Ubiquiti Networks : Ova mrežna tehnološka tvrtka pretrpjela je gubitak od 39,1 milijuna dolara kao rezultat napada kitolovca.
• Weight Watchers International : E-poruka o kitolovu omogućila je lopovima da dobiju porezne podatke za gotovo 450 sadašnjih i bivših zaposlenika.

Već ste prevareni?

Mislite li da ste bili žrtva kitolovske^(Whaling) prijevare? Odmah obavijestite čelnika svoje organizacije i potražite pravnu pomoć. Ako ste im dali bilo kakve bankovne podatke ili bilo koju vrstu lozinke, odmah ih promijenite. Posavjetujte se sa stručnjakom za kibernetičku sigurnost kako biste pratili put i znali tko je napadač. Potražite pravnu pomoć i posavjetujte se s odvjetnikom.

Dostupne su razne online usluge na kojima možete prijaviti takve prijevare. Molimo prijavite takve prijevare kako bi se njihova aktivnost mogla poremetiti i kako to ne bi utjecalo na više ljudi.

Ako vas zanima više, postoji ova izvrsna e-knjiga pod naslovom Whaling, Anatomy of an attack , koju možete besplatno preuzeti.

Zaštitite sebe, svoje zaposlenike i svoju organizaciju od takvih prijevara i internetskih prijevara. Širite vijest i pomozite svojim kolegama, prijateljima i obitelji da ostanu zaštićeni.^{(Protect yourself, your employees and your organization from such frauds and online scams. Spread the word and help your colleagues, friends, and family stay protected.)}

Ovdje pročitajte o najčešćim prijevarama i prijevarama putem interneta i e-pošte^{(most common Online and Email scams & frauds)} .

What are Whaling scams & how to protect your Enterprise

If you work in or own an enterprise, then you need to know that there is always a high risk of cyber-attacks & scаms taking placе. Email Scams are the most cоmmon among them. Phishing comes іn many flavors like Tаbnabbing, Spear Phishing as well as Vishing and Smishing. A few days back, we took a look at Pharming online frauds – today we will take a look at Whaling Scams which is the emerging cyber-security threat.

What are Whaling scams

In Whaling scams, you are targeted usually by email – it is a specialized Phishing scam. The attacker studies your online activity and obtains useful information about you from other sources. And that information is used to create a professional looking personalized e-mail. Seeing an official email can cause you to drop your defenses and you are very likely to trust such email. The idea is to obtain information from you for further fraudulent activities.

Now you have to realize that there is a thin line of difference between Whaling and Spear Phishing. Whaling typically targets high-level executives, whereas the latter scam targets employees of a company, customers of a company generally. It is called Whaling because the targets are usually large or important. And so Whales are chosen because of their authority and access within an organization.

How does Whaling work and why are you targeted

Most of the targets are usually businessmen, entrepreneurs, CEOs, and corporate employees. The targets are usually business specific and attacks are planned for the purpose of obtaining any sensitive information about the activities of an organization.

These kind of socially engineered attacks are very difficult to identify and people usually end up giving data to such scammers. The scammer sends a personalized email from an address you may be familiar with. The scammer may mimic to be your boss or another friendly organization. Or he/she may mimic as your financial consultant or your lawyer. The content of the email is mostly attention seeking so that you may reply promptly and there is the least chance of them getting caught.

The email might require you to transfer some money as a payment to a due bill or it may ask you for some company data that is required at a head office. Or it may ask personal details about the employees of the organization.

The scammer or the attacker has already researched you to create a personalized email for you. And the research may be based upon your online activities or upon any information obtained from other sources. Whaling emails just seem normal and perfect and that is the only reason people fall into the trap. The names, logos and other information used in the email may be real or not. But it is presented in such a way that normally people cannot mark a difference between these emails.

Also, the email address of the sender or the website mentioned is similar to someone you may know. The attachments may or may not be malicious. The sole purpose of these scams is to convince you that the email is completely normal and requires urgent action. And when you follow the instructions in the email, you end up leaking out some confidential data to an unauthorized person or website.

How to stay protected from Whaling attacks

You have to learn to identify Phishing Attacks to know more about protection from phishing in general so that you can avoid Phishing scams.

The key to staying protected is to stay attentive. Read all your work related emails end to end and keep an eye on something fishy. If you just felt that there is something wrong with the email, contact the organization from which the email is said to be.

1] Verify the sender’s email and then only respond to emails. Usually, the websites or email addresses from where you are receiving emails are almost identical to normal email addresses that you may know. An ‘o’ may be replaced with a ‘0’ (zero) or there may be two ‘ss’ instead of one ‘s’. This kind of errors are easily overlooked by a human eye, and these forms the basis of such attacks.

2] If the email requires some urgent action, then you must look carefully and then take the decision. If there are any outbound website links, verify their address before supplying any information to that website. Also, check for the padlock sign or verify the website’s certificate.

3] Do not provide any financial or any contact details to any website or an email. Know when to trust a website, take precautions before clicking on any web links and follow the basic internet usage safety norms.

4] Have proper antivirus, firewall software protecting your computer and do not download any attachments from any of these emails. RAR/7z or any other executable files are most suspected to contain any malware or Trojans. Regularly change passwords and create a backup of important documents at a secure location.

5] Completely destroy your physical documents before disposing of them so that they cannot provide any information about you and your organization.

Whaling attack examples

While you can find a ton of such scam stories online. Even the major companies like Snapchat and Seagate have fallen into the traps of these scams. Last year, a high-rank employee of Snapchat was a victim of such a scam where an email impersonating the CEO of the company inquired about the payroll of the employees. Take a look at some examples:

• Seagate: A successful whaling attack landed thieves up to 10,000 W-2 tax documents for all current and past employees.
• Snapchat: An employee fell for an email impersonating a request from CEO Evan Spiegel and compromised payroll data for 700 employees.
• FACC: The Austrian aircraft industry supplier lost 50 million euros due to a whaling attack.
• Ubiquiti Networks: This networking tech company suffered a $39.1 million loss as a result of a whaling attack.
• Weight Watchers International: A whaling email allowed thieves to obtain tax data for nearly 450 current and former employees.

Already Scammed?

Do you think that you’ve been a victim of a Whaling scam? Immediately inform the head of your organization and seek legal help. If you provided them with any bank details or any sort of passwords, change them immediately. Consult a cyber-security expert to track back the path and know who the attacker was. Seek out for legal help and consult a lawyer.

There are various online services available where you can report such scams. Please report such scams so that their activity can be disrupted and more people are not affected.

If you are interested in knowing more, there is this excellent eBook titled Whaling, Anatomy of an attack, which you can download free.

Protect yourself, your employees and your organization from such frauds and online scams. Spread the word and help your colleagues, friends, and family stay protected.

Read here about the most common Online and Email scams & frauds.

Related posts

• Kako provjeriti je li veza sigurna ili ne pomoću vašeg web preglednika

• Saznajte je li vaš mrežni račun hakiran te su procurili detalji e-pošte i lozinke

• Online sigurnosni savjeti za djecu, studente i tinejdžere

• Članak o Internet sigurnosti i savjeti za korisnike Windowsa

• Zaštitite svoju djecu od sadržaja za odrasle koristeći Clean Browsing

• 5 najboljih dodataka za privatnost Firefoxa za sigurnost na mreži

• Besplatni PDF Editor Online alat za uređivanje PDF datoteka - PDF Da

• Najbolje besplatne online sigurnosne usluge u oblaku

• Što je Spear Phishing? Objašnjenje, primjeri, zaštita

• Cyber ​​napadi - definicija, vrste, prevencija

• Računalna sigurnost, privatnost podataka, internetske sigurnosne brošure od Microsofta

• Što su parkirane domene i sinkhole domene?

• Najbolje besplatne aplikacije za online ankete i izradu obrazaca

• Što je cyber kriminal? Kako se nositi s tim?

• Što su digitalni otisci, tragovi ili sjena?

• Popis najboljih besplatnih web stranica za pretvaranje fontova

• Microsoftove prijevare: prijevare telefonom i e-poštom koje zloupotrebljavaju Microsoftovo ime

• Što je otisak prstiju o prometu web-mjesta? Kako se zaštititi?

• Što je napad čovjek u sredini (MITM): definicija, prevencija, alati

• Opasnosti i posljedice pretjeranog dijeljenja na društvenim mrežama