"Wyłudzanie" to specyficzna forma wyłudzania informacji skierowana do wysoko postawionych biznesmenów, menedżerów i im podobnych. Różni się od zwykłego wyłudzania informacji w związku z wielorybnictwem, wiadomości e-mail lub strony internetowe służące do oszustwa mają bardziej oficjalny lub poważny wygląd i zazwyczaj dotyczą kogoś w szczególności.
Z perspektywy czasu zwykłe wyłudzanie danych niezwiązane z połowem jest zwykle próbą uzyskania danych logowania użytkownika do witryny lub banku mediów społecznościowych. W takich przypadkach strona / witryna wyłudzająca dane wygląda całkiem normalnie, podczas gdy w przypadku połowu wielorybów strona jest zaprojektowana w taki sposób, aby adresować kierownika / kierownika, na którego umieszczono atak.
Uwaga: "Spear phishing" to atak typu phishing skierowany przeciwko konkretnej osobie, np. Osobie lub firmie. Dlatego wielorybnictwo może być również uważane za spear phishing.
Jaki jest cel "wielorybnictwa"?
Chodzi o oszukanie kogoś z wyższego kierownika w celu ujawnienia poufnych informacji firmy. Zwykle przychodzi to w formie hasła do wrażliwego konta, które osoba atakująca może uzyskać dostęp, aby uzyskać więcej informacji.
Ostateczna gra we wszystkich atakach typu phishing, takich jak wielorybnictwo, ma na celu odstraszyć odbiorcę; aby przekonać ich, że muszą podjąć działania, aby przejść dalej, jak uniknąć opłat prawnych, aby nie zostać zwolnionym, aby powstrzymać firmę przed bankructwem itp.
Jak wygląda "wielorybniczy" Scam?
Wielorybnictwo, podobnie jak każda inna gra polegająca na wyłudzaniu informacji, obejmuje stronę internetową lub e-mail, które podszywają się pod takie, które są uzasadnione i pilne. Są zaprojektowane tak, aby wyglądały jak krytyczny biznesowy e-mail lub coś od kogoś, kto ma uzasadnioną władzę, zarówno zewnętrznie, jak i wewnętrznie od samej firmy.
Próba wielorybnictwa może wyglądać jak link do zwykłej strony internetowej, którą znasz. Prawdopodobnie prosi o dane logowania tak, jak można się spodziewać. Jednakże, jeśli nie jesteś ostrożny, to co stanie się dalej, jest problem.
Podczas próby przesłania informacji do pól logowania prawdopodobnie otrzymasz informację, że informacje są nieprawidłowe i że powinieneś spróbować ponownie. Nic się nie stało, prawda? Właśnie wprowadziłeś swoje hasło niepoprawnie - to jest oszustwo!
To, co dzieje się za kulisami, polega na tym, że kiedy wprowadzasz informacje do fałszywej strony (która nie może cię naprawdę zarejestrować, ponieważ nie jest prawdziwa), wprowadzone informacje są wysyłane do atakującego, a następnie przekierowywane do prawdziwa strona internetowa. Ponownie wypróbujesz hasło i wszystko działa dobrze.
W tym momencie nie masz pojęcia, że strona była fałszywa i że ktoś właśnie ukradł twoje hasło. Jednak atakujący ma teraz swoją nazwę użytkownika i hasło do strony internetowej, o której myślałeś, że się zalogowałeś.
Zamiast linku, phishing może spowodować pobranie programu w celu wyświetlenia dokumentu lub obrazu. Program, niezależnie od tego, czy jest prawdziwy, czy też nie, zawiera również złośliwy program, który służy do śledzenia wszystkiego, co wpisujesz lub usuwasz z komputera.
Jak "wielorybnictwo" różni się od innych oszustw związanych z wyłudzaniem informacji
Podczas regularnego phishingu strona internetowa / e-mail może być fałszywym ostrzeżeniem ze strony Twojego banku lub PayPal. Fałszywa strona może przestraszyć cel, twierdząc, że jego konto zostało obciążone lub zaatakowane oraz że musi wprowadzić swój identyfikator i hasło, aby potwierdzić opłatę lub zweryfikować swoją tożsamość.
W przypadku połowów wielorybniczych strona internetowa / adres e-mail będzie wyglądać bardziej poważnie. Treść zostanie opracowana tak, by kierować ją do wyższej kadry kierowniczej, takiej jak dyrektor generalny, a nawet tylko do przełożonego, który może dużo wciągnąć do firmy lub mieć uprawnienia do wartościowych kont.
Wiadomość e-mail o wielorybnictwie lub strona internetowa może mieć formę fałszywego wezwania do sądu, fałszywej wiadomości od FBI lub jakiejś krytycznej skargi prawnej.
Jak chronić się przed atakami na "wielorybnictwo"?
Najprostszym sposobem, aby uchronić się przed upadkiem na wielorybnictwo, jest świadomość tego, co klikasz. To naprawdę takie proste. Ponieważ wielorybnictwo odbywa się za pośrednictwem e-maili i stron internetowych, możesz uniknąć wszystkich fałszywych linków, rozumiejąc, co jest prawdziwe, a co nie.
Teraz nie zawsze można wiedzieć, co jest fałszywe. Czasami otrzymujesz nową wiadomość e-mail od osoby, której nigdy wcześniej nie wysłałeś e-maila, i może wysłać Ci coś, co wydaje się być całkowicie zgodne z prawem.
Jeśli jednak spojrzysz na adres URL w swojej przeglądarce i rozejrzysz się po witrynie, nawet na krótko, w przypadku rzeczy, które wyglądają na nieco od siebie, możesz znacznie zmniejszyć swoje szanse na bycie zaatakowanym w ten sposób.
Czy kadra kierownicza i menedżerowie naprawdę wpadają w te "wielorybnicze" e-maile?
Tak, niestety, menedżerowie często wpadają w oszustwa e-mailowe. Przykładem może być oszustwo dotyczące wielorybów w ramach wezwania do sądu w sprawie FBI z 2008 roku.
Około 20 000 korporacyjnych prezesów zostało zaatakowanych, a około 2000 z nich padło ofiarą oszustwa wielorybniczego, klikając link w wiadomości e-mail. Sądzili, że pobierze specjalny dodatek do przeglądarki, aby zobaczyć całe wezwanie.
W rzeczywistości połączone oprogramowanie było keyloggerem, który potajemnie zapisywał hasła dyrektorów generalnych i przekazywał te hasła do oszustów. W rezultacie każda z 2000 skompromitowanych firm została zhakowana jeszcze bardziej, gdy napastnicy otrzymali potrzebne informacje.
