Whaling – cyberbrott mot beslutsfattare

Whaling är en typ av bedrägerimetod där angriparna riktar in sig på de största fiskarna i vattnet – beslutsfattarna. Här är vad du som högt uppsatt bör känna till för att undvika att drabbas.

Phishing är en populär attackmetod som går ut på att lura offer att lämna ifrån sig känslig information eller installera skadlig programvara via falska mail. Angreppsättet har i princip funnits lika länge som vi har använt oss av mail, men dess utformning - och framförallt dess offer - har på många sätt utvecklats sedan dess.

I phishing-angreppens begynnelse försökte angriparen i regel snärja så många offer som möjligt i sitt nät och brydde sig mindre om vilka som fastnade. Nästa steg i utvecklingen är så kallad spear-phishing, där riktade och mer välformulerade mail skickas till utstuderade offer – i många fall anställda på företag.

Under senare år har en ny form av spear-phishing vuxit sig stark – så kallad whaling. Som namnet antyder riktar attacken in sig på de största fiskarna i vattnet, det vill säga beslutsfattarna. Genom att angripa dessa personer, som i många fall har tillgång till känslig information, höga behörigheter i IT-system och mandat att betala ut pengar, kan angripare åsamka stor skada genom en eller ett fåtal välriktade attacker.

Skillnaden mellan whaling och VD-bedrägerier

Det är lätt att blanda ihop whaling med VD-bedrägerier, som också är en typ av attack där c-levels spelar en nyckelroll. Det finns dock en väsentlig skillnad mellan metoderna; medan ett VD-bedrägeri går ut på att förmå anställda att dela med sig av information eller genomföra handlingar genom att utge sig för att vara en beslutsfattare, är målet i en whaling-attack själva beslutsfattaren.

För att exemplifiera skulle ett typiskt VD-bedrägeri kunna vara när en angripare utger sig för att vara företagets VD och kräver att en anställd på ekonomiavdelningen ska överföra en stor summa omgående. Vid en whaling-attack skulle angriparen istället direkt ge sig på VD:n, med förhoppningen att förmå honom eller henne att läcka information eller ladda ner skadlig kod som ger angriparen tillgång till interna system.

Hur går en whaling-attack till?

Vid avancerade whaling-angrepp lägger angriparen mycket tid på förberedelser för att kunna utforma så effektiva attacker som möjligt. Med hjälp av olika publika källor på internet kartläggs och studeras företaget, dess anställda och deras aktiviteter i detalj. Sociala medier, som Linkedin, kan till exempel vara en guldgruva för en angripare som vill ha information om vem som sitter på beslutsmandat, personalansvar och hur hierarkin inom bolaget ser ut. Vid sidan av det kan företagets webbplats, intervjuer med anställda och pressmeddelanden ge en bild av vilka processer som är aktiva, vilka leverantörer företaget använder, vilka branschorganisationer företaget ingår i samt information om teknik och tjänster som används.

Den samlade information kan sedan användas för att avgöra vem offret blir, vem avsändaren ska vara och hur ett autentiskt mail med rätt namn, språkbruk och grafiska profil ska utformas.

När det kommer till själva budskapet är det vanligt att angriparen försöker famkalla ett “sense of urgency” för att få offret att agera snabbt och irrationellt. Ett exempel kan vara att angriparen utger sig för att vara en leverantör som påminner om en faktura som har löpt ut och behöver betalas omgående. Ett annat mål kan vara att förmå offret att klicka på en länk eller en bilaga som installerar skadlig programvara på enheten, som angriparen sedan kan använda sig av för att tillskansa sig hemlig information, kunddata eller andra uppgifter som kan säljas vidare på svarta marknaden eller användas i utpressningsförsök.

För att öka framgångsfaktorn ytterligare kan en dedikerad angripare även använda sig av en kombination av bluff-sms (smishing) och telefonsamtal (vishing), som följer samma mönster som de mailbaserade attackerna. Utger sig då angriparen för att vara en leverantör eller kund är det inte säkert att offret känner igen rösten.

Vad kan man göra för att skydda sig på whaling?

Trots att angriparnas metoder ständigt förfinas och attackerna blir allt mer sofistikerade så finns det åtgärder för att värja sig mot whaling. Det effektivaste skyddet uppnås bäst genom en kombination av tekniska hjälpmedel och en ökad medvetenhet bland anställda.

Begränsa publik information
Då whaling till stor del bygger på att lära känna dig och din organisation är det klokt att vara försiktig med vilken information du delar offentligt. Var restriktiv med uppgifter som avslöjar företagets pågående processer, events, semestrar och andra aktiviteter som kan användas för att skapa mer träffsäkra kampanjer mot dig och din organisation. Minimera även läckage av teknisk information om mjukvaror och tjänster som exponeras mot internet.

Tekniska hjälpmedel
Det finns flera tekniska åtgärder som kan minska risken för att drabbas whaling. En effektiv åtgärd är att låta din IT-avdelning sätta upp ett filter som flaggar för mail som kommer utifrån organisationen. Utöver det tillhandahåller vissa leverantörer, såsom Micosoft, ett utökat skydd för c-levels som innefattar hjälpmedel som hårdare spamskydd och inställningar som gör det svårare för deras enheter och konton att drabbas av malware eller ransomware.

Utbildning
En viktig del i förebyggandet av incidenter orsakade av olika typer av phishing är att utbilda företagets personal i vad attacken innebär, hur den kan identifieras och vad man ska göra om man drabbas. Det finns även goda skäl till att anpassa utbildningen efter olika avdelningar och deras specifika hot. En ekonomiavdelning utsätts till exempel i regel för en viss typ av spear-phishing, där tydliga rutiner för att verifiera avsändare och mottagare samt processer för autentisering av betalningar kan göra stor skillnad. På samma sätt bör företagets c-levels få kunskap om vilka hot de står inför de i egenskap av beslutsfattare, och utbildas därefter.

Testa motståndskraften
Ett bra sätt att ta reda på hur motståndskraftig du och din organisation är mot phishing, spear-phishing och whaling-attacker är låta er utsättas för ett simulerat angrepp, såsom ett Red Team-test eller ett dedikerat phishing-test. Informationen från ett sådant test kan dels avslöja brister i teknisk och processer och kunskapsluckor hos dig och din personal, men även ligga till grund för vilka säkerhetsåtgärder som bör prioriteras framöver.