Phishing-aanvallen zijn niets nieuws. De afgelopen jaren is er echter sprake van een sterke stijging van één bepaald type: walvisvangst phishing. Terwijl phishing traditioneel een breed net uitwerpt en zich richt op elk nietsvermoedend individu, gaat de walvisvangst achter de grote vissen aan: leidinggevenden in het topmanagement en senior leiders binnen een organisatie. Deze aanvallen vergen meer tijd, moeite en technische expertise van de aanvallers, maar de beloningen zijn veel groter.
Walvisaanvallen zijn doorgaans geavanceerder en maken gebruik van methoden zoals het nabootsen van CEO’s, deepfake-technologie en dergelijke gerichte spearphishing. Recente cijfers geven dat aan 89% van de phishing-e-mails nu gaat het om de nabootsing van iemand die bekend is bij de ontvanger. In ongeveer 16% van deze e-mails doet de aanvaller zich voor als een collega. In het geval van de walvisjacht betekent dit dat je je moet richten op een leidinggevende, of iemand met toegang tot cruciale bronnen zoals bankrekeningen.
De kosten als u slachtoffer wordt van een phishing-aanval kunnen aanzienlijk zijn. Dat heeft de FBI gemeld $ 52 miljoen aan verliezen alleen al in 2022 tegen phishing-fraude. Dergelijke kosten worden niet alleen door bedrijven gedragen, maar ook door hun klanten, om nog maar te zwijgen van de middelen die aan preventie moeten worden besteed.
Dit soort aanvallen zijn moeilijk te negeren, gezien de potentiële omvang van de financiële en reputatiebelangen die ermee gemoeid zijn. Voor bedrijven bieden ze echter een kans om hun inspanningen te heroriënteren op het beschermen van de meest waardevolle doelen in hun organisaties. In dit artikel onderzoeken we deze groeiende trend en bieden we praktisch advies over hoe organisaties hun verdediging kunnen versterken.
Waarom is de walvisvangst populair?
Phishing werpt over het algemeen een breed net uit, waarbij aanvallers vertrouwen op de enorme omvang van hun mailinglijst om een nietsvermoedend slachtoffer op een link te laten klikken. Walvisphishing daarentegen is zeer gericht en op maat gemaakt. Aanvallers nemen de tijd om hun slachtoffers te onderzoeken.
Dit omvat het verzamelen van persoonlijke gegevens, het begrijpen van hun zakelijke verantwoordelijkheden, het analyseren van e-mailgewoonten en het creëren van zeer gepersonaliseerde inhoud om ontvangers te misleiden. Dit niveau van inspanning lijkt misschien arbeidsintensief, maar het loont aanzienlijk als het lukt.
De walvisjacht richt zich immers op individuen die de macht hebben om financiële overdrachten goed te keuren of toegang te krijgen tot gevoelige bedrijfsgegevens, waardoor zij de voornaamste kandidaten zijn voor kwaadwillende actoren die uit zijn op grote winsten. Op dezelfde manier is de kans kleiner dat leidinggevenden een grondige training voor het detecteren van bedreigingen hebben gevolgd en, omdat ze het zo druk hebben, is de kans groter dat ze veelbetekenende tekenen van oplichting over het hoofd zien.
Eén geval dat de toenemende verfijning van de walvisvangstaanvallen benadrukt, deed zich voor in 2023, toen een multinational in Hong Kong opgelicht voor 25 miljoen dollar via deepfake-videogesprekken waarin de CFO en andere belangrijke bedrijfsleiders worden nagebootst. Een financieel manager met toegang tot de fondsen werd misleid door deze grote hoeveelheid geld schijnbaar in opdracht van de bazen over te maken.
Dergelijke aanvallen berusten vaak op emotionele manipulatie, het creëren van urgentie of het uitbuiten van zakelijke relaties om slachtoffers te misleiden tot het nemen van impulsieve beslissingen, zoals het autoriseren van overboekingen of het verstrekken van vertrouwelijke inloggegevens. In een zakelijke settingWaar niet elke bedrijfsleider elke leidinggevende kent, zijn de gevaren des te groter.
Voor aanvallers is de aantrekkingskracht van deze waardevolle doelen duidelijk. Hoe meer moeite wordt gedaan om de aanval te personaliseren, hoe groter het potentiële financiële rendement. In veel gevallen kan de enorme omvang van de schade, zowel financieel als qua reputatie, op lange termijn gevolgen hebben voor het slachtofferbedrijf.
Een evoluerend speelboek
Phishing-tactieken zijn de afgelopen jaren veel geavanceerder geworden. Dit wordt aangedreven door het toegenomen gebruik van kunstmatige intelligentie (AI) en machine learning-technologieën. Een opmerkelijke evolutie is het gebruik van deepfakes, waarbij aanvallers AI-gestuurde filters gebruiken om zich tijdens videogesprekken voor te doen als leidinggevenden of andere vertrouwde figuren.
De technologie voor het leven diep nep oproepen is nu overal verkrijgbaar en is vaak zo overtuigend dat het slachtoffer vaak geen reden ziet om aan de authenticiteit ervan te twijfelen, vooral als het verzoek legitiem lijkt. Deze techniek was een sleutelfactor in de Hong Kong-zaak uit 2023, waarin aanvallers zich in een deepfake-videogesprek voordeden als de CFO om de overboeking goed te keuren.
Deepfakes zijn echter slechts een deel van het verhaal. Walvisaanvallers gebruiken ook vervalste e-mailadressen, sociale-mediaprofielen en zelfs telefoonnummers om hun identiteit verder te maskeren. Het doel is om de aanval zo overtuigend mogelijk te maken, waarbij wordt vertrouwd op het vertrouwen van het slachtoffer in hun communicatie om beveiligingsprotocollen te omzeilen.
Aanvallers worden ook steeds beter in het creëren van een gevoel van urgentie. Door berichten te verzinnen die rechtstreeks van de CEO of een andere senior executive lijken te komen, dwingen ze andere managers om snel te handelen, zonder hun acties te twijfelen. Deze techniek wordt vaak “CEO-fraude” genoemd en blijft een van de meest gebruikte strategieën bij walvisjachtaanvallen.
Deze fraude maakt misbruik van de hiërarchische structuur van bedrijven, waardoor mensen eerder geneigd zijn gehoor te geven aan een dringend verzoek van een meerdere.
Bescherming van uw organisatie
Naarmate de verfijning van phishing op hoog niveau toeneemt, moeten ook de verdedigingsmechanismen die zijn ontworpen om ertegen te beschermen, toenemen. Bedrijfsleiders en beveiligingsprofessionals moeten een meerlaagse aanpak implementeren om gevoelige gegevens te beschermen en op managers gerichte oplichting te voorkomen. Hier zijn enkele cruciale stappen.
Opleiding en bewustwording van medewerkers. Een van de meest effectieve manieren om ons te verdedigen tegen aanvallen door de walvisjacht is door werknemers, vooral degenen in financiële en leidinggevende posities, voor te lichten over hoe ze verdachte activiteiten kunnen opmerken. De training moet betrekking hebben op het identificeren van alarmsignalen, zoals onbekende afzenderadressen, onverwachte verzoeken of tactieken onder hoge druk. Regelmatige phishing-simulatieoefeningen kunnen helpen deze kennis te versterken en het bewustzijn hoog te houden.
Multi-factor authenticatie. Multi-factor authenticatie (MFA) is een van de eenvoudigste maar meest effectieve tools om aanvallers te dwarsbomen, vooral als het gaat om het beschermen van waardevolle accounts. Het vereisen van meerdere vormen van verificatie (bijvoorbeeld een wachtwoord plus biometrische of op tokens gebaseerde authenticatie) voegt een extra beschermingslaag toe die het voor aanvallers moeilijker kan maken om deze te omzeilen.
Software voor e-mailfiltering en antiphishing. Het implementeren van geavanceerde e-mailfiltersystemen kan helpen verdachte berichten te detecteren voordat ze de inbox van een werknemer bereiken. Antiphishingsoftware kan e-mailadressen markeren die inconsistent zijn met het bedrijfsdomein, waardoor werknemers worden gewaarschuwd voor mogelijke pogingen tot nabootsing van identiteit. Deze systemen moeten worden afgestemd om subtiele tekenen van phishing te detecteren, zoals enigszins verkeerd gespelde domeinnamen of ongebruikelijke bijlagen.
Protocollen voor respons op incidenten en rapportage. Het hebben van een duidelijk protocol voor het melden van verdachte communicatie en het reageren op mogelijke inbreuken op de beveiliging is van cruciaal belang. Dit omvat het opzetten van een commandostructuur voor het verifiëren van onverwachte verzoeken en ervoor zorgen dat alle medewerkers weten welke stappen ze moeten nemen als ze een verdachte e-mail, sms of telefoontje ontvangen.
Risicobeheer van derden. Aanvallers richten zich niet alleen specifiek op een organisatie, maar kunnen zich ook richten op externe leveranciers die toegang hebben tot bedrijfsnetwerken. Het is dus essentieel om deze relaties zorgvuldig te beheren. Regelmatige beveiligingsaudits, sterke contractuele verplichtingen en een duidelijk beleid voor het delen van gegevens kunnen de risico’s van externe partijen helpen beperken.
Voorop blijven lopen
Nu het aantal phishing-aanvallen op walvissen blijft toenemen, moeten organisaties proactief zijn in het versterken van hun verdediging. De evoluerende tactieken die door cybercriminelen worden gebruikt, vereisen een meerlaagse, alomvattende aanpak die verder gaat dan traditionele beveiligingsmaatregelen. Het beschermen van C-suite executives en andere waardevolle doelwitten is niet langer optioneel, maar eerder een cruciaal onderdeel van het beschermen van de financiële stabiliteit, gegevens en reputatie van een organisatie.
Door zich te concentreren op voortdurende training, het implementeren van geavanceerde technologische oplossingen en het ontwikkelen van robuuste incidentresponsplannen kunnen bedrijven het risico minimaliseren om slachtoffer te worden van deze zeer geavanceerde aanvallen. Voorbereiding is essentieel, en door opkomende trends voor te blijven, krijgt uw organisatie een kans om te vechten.
Uitgelichte afbeeldingscredits: Kasia Derenda/Unsplash
