Ja, je leest het goed. Whaling. En het is anders dan walvisvangst, die omstreden business van walvissen vangen voor winst die in bepaalde delen van de wereld plaatsvindt.
En als we het over vissen hebben, doet dit denken aan de gelijkluidende term phishing die extreem populair is geworden – nee, berucht – over de hele wereld. Phishing is een soort computer- of netwerk beveiligingsdreiging die valt onder de grotere categorie dreiging genaamd social engineering. Je kunt meer lezen over social engineering en phishing in ons KnowledgeBase artikel Veiligheidsmaatregelen tegen phishing.
Whaling is een veiligheidsdreiging die bijna hetzelfde werkt als phishing, behalve dat: bij phishing de aanval gericht is op duizenden gebruikers (als een enkele vislijn gegooid in een school vissen) in de hoop dat een aantal van hen daadwerkelijke slachtoffers worden in plaats van alleen kandidaat-slachtoffers; daarentegen is een whaling-aanval gericht op één high-profile gebruiker (de grote “vis” of walvis) die de sleutel heeft tot de grote geheimen onder zijn/haar controle. De modus operandi is hetzelfde, alleen het aantal en profiel van de doelen verschilt.
Hier is een whaling scenario. John Doe is de CEO van ImaginaryConglomerate, een organisatie die hem miljoenen dollars aan salarissen en extraatjes betaalt. Zijn profiel staat op de website van de organisatie. Joe Scammer, een whaling-expert, leert van de ImaginaryConglomerate website dat John Doe dol is op golf. Mr. Scammer leert ook uit andere bronnen dat John niet zo goed is in golf en vaak voor het bier moet betalen na potjes met vrienden in de club. Met deze stukjes informatie stelt Mr. Scammer een slim whaling-bericht op en stuurt het naar de computer van Mr. Doe. Voor het gemak zeggen we dat het bericht zo is geformuleerd: Imponeer de dames en heren op de fairway met je winnende drives en putts. Dit jaloers bewaakte ebook “Golfgeheimen die PGA-kampioenen je niet vertellen” is slechts beschikbaar voor een gelukkige paar – en voor een zeer beperkte tijd… zo beperkt dat de aanbieding binnen de volgende 12 uur verloopt. Klik nu op deze link. “
Niet iedereen trapt in dit soort berichten. Maar wie weet doet John Doe dat wel. Per slot van rekening heeft zijn toppositie bij ImaginaryConglomerate hem niet geholpen zijn gekrenkte ego in de golfclub te herstellen. Maar zonder dat hij het weet, leidt het klikken op de link hem naar de website van Mr. Scammer en zal hem om zijn creditcardnummer vragen (samen met andere sappige stukjes gevoelige informatie) in ruil voor een kopie van het jaloers bewaakte ebook. Of erger nog… het klikken op de link zou malware kunnen activeren die stiekem in zijn computer is geslopen en de veiligheid van het hele systeem van zijn bedrijf in gevaar brengt vanwege zijn toegangsprivileges op hoog niveau.
John Doe is zojuist sociaal gemanipuleerd door een techniek genaamd whaling.
Om te voorkomen dat je ten prooi valt aan whaling, helpt het om high-profile gebruikers zoals John Doe te informeren over het bestaan van whaling en andere social engineering aanvallen. Het helpt nog meer om regelmatig veiligheidscontroles uit te voeren op computers van leidinggevenden om er zeker van te zijn dat ze vrij zijn van malware en andere dreigingen die geactiveerd zouden kunnen worden door acties voorgesteld in een whaling-bericht.
De eerste alinea van dit bericht zegt dat whaling anders is dan de omstreden business van walvissen vangen voor winst. Bij nader inzien zouden de twee wel eens vergelijkbaar kunnen zijn.
0 reacties