기업에서 일하거나 소유하고 있다면 사이버 공격 및 사기가 발생할 위험이 항상 높다는 것을 알아야 합니다. 이메일 사기(Email Scams) 는 그 중 가장 일반적입니다. 피싱은 탭내빙, 스피어 피싱(Spear Phishing) , 비싱 및 스미싱과 같은 다양한 형태로 나타납니다. 며칠 전 Pharming 온라인 사기(Pharming online frauds) 에 대해 살펴보았습니다. 오늘 은 새롭게 부상하는 사이버 보안 위협인 Whaling Scam(Whaling Scams) 에 대해 살펴보겠습니다 .
고래잡이 사기란?
고래잡이(Whaling) 사기 에서는 일반적으로 이메일의 표적이 됩니다. 이는 전문적인 피싱 사기(Phishing scam) 입니다. 공격자는 귀하의 온라인 활동을 연구하고 다른 출처에서 귀하에 대한 유용한 정보를 얻습니다. 그리고 그 정보는 전문가처럼 보이는 개인화된 전자 메일을 만드는 데 사용됩니다. 공식 이메일을 보는 것은 방어력을 떨어뜨릴 수 있으며 그러한 이메일을 신뢰할 가능성이 매우 높습니다. 추가 사기 행위에 대한 정보를 얻기 위한 것입니다.
이제 당신은 웨일링(Whaling) 과 스피어 피싱(Spear Phishing) 사이에 미세한 차이가 있다는 것을 깨달아야 합니다 . 고래잡이(Whaling) 는 일반적으로 고위 경영진을 대상으로 하는 반면 후자의 사기는 일반적으로 회사의 직원, 회사의 고객을 대상으로 합니다. 목표물이 일반적으로 크거나 중요하기 때문에 고래잡(Whaling) 이라고 합니다. 따라서 고래(Whales) 는 조직 내에서 권한과 액세스 권한 때문에 선택됩니다.
고래잡이(Whaling) 의 작동 원리와 표적 이 된 이유
대상의 대부분은 일반적으로 사업가, 기업가, CEO(CEOs) 및 기업 직원입니다. 목표는 일반적으로 비즈니스에 따라 다르며 공격은 조직 활동에 대한 민감한 정보를 얻을 목적으로 계획됩니다.
이러한 종류의 사회 공학적 공격 은 식별하기가 매우 어렵고 사람들은 일반적으로 이러한 사기꾼에게 데이터를 제공합니다. 사기꾼은 귀하가 잘 알고 있는 주소에서 개인화된 이메일을 보냅니다. 사기꾼은 상사나 다른 우호적인 조직으로 가장할 수 있습니다. 또는 그/그녀는 귀하의 재정 컨설턴트 또는 변호사를 모방할 수 있습니다. 이메일의 내용은 대부분 주의를 끌기 위한 것이므로 즉시 회신할 수 있고 적발될 가능성이 최소화됩니다.
이메일은 귀하가 미지급 청구서에 대한 지불로 일부 금액을 이체하도록 요구하거나 본사에서 필요한 일부 회사 데이터를 요구할 수 있습니다. 또는 조직의 직원에 대한 개인 정보를 요청할 수 있습니다.
사기꾼 또는 공격자는 이미 개인화된 이메일을 만들기 위해 귀하를 조사했습니다. 그리고 연구는 귀하의 온라인 활동 또는 다른 출처에서 얻은 정보를 기반으로 할 수 있습니다. 고래잡이 이메일(Whaling emails) 은 정상적이고 완벽해 보이며 이것이 사람들이 함정에 빠지는 유일한 이유입니다. 이메일에 사용된 이름, 로고 및 기타 정보는 실제일 수도 있고 아닐 수도 있습니다. 그러나 일반적으로 사람들이 이러한 이메일의 차이를 표시할 수 없는 방식으로 표시됩니다.
또한 발신인의 이메일 주소나 언급된 웹사이트가 귀하가 알고 있는 사람과 유사합니다. 첨부 파일은 악성일 수도 있고 아닐 수도 있습니다. 이러한 사기의 유일한 목적은 이메일이 완전히 정상이며 긴급 조치가 필요하다는 것을 귀하에게 확신시키는 것입니다. 그리고 이메일의 지침을 따를 때 일부 기밀 데이터가 승인되지 않은 사람이나 웹사이트에 유출됩니다.
고래잡이 공격으로부터 보호받는 방법
피싱 사기를 피하기 위해(avoid Phishing scams) 일반적으로 피싱으로부터 보호하는 방법에 대해 자세히 알아보려면 피싱 공격(identify Phishing Attacks) 을 식별하는 방법을 배워야 합니다 .
보호를 유지하는 열쇠는 주의를 기울이는 것입니다. 업무와 관련된 모든 이메일을 처음부터 끝까지 읽고 수상한 내용을 주시하세요. 이메일에 문제가 있다고 생각되면 이메일을 보낸 기관에 문의하십시오.
1] 발신자의 이메일을 확인한 다음 이메일에만 응답하십시오. (Verify)일반적으로 이메일을 수신하는 웹사이트 또는 이메일 주소는 알고 있는 일반 이메일 주소와 거의 동일합니다. 'o'는 '0'(영)으로 대체되거나 하나의 ''' 대신 2개의 's'가 있을 수 있습니다. 이러한 종류의 오류는 사람의 눈으로 쉽게 간과되며 이러한 오류가 이러한 공격의 기반이 됩니다.
2] 이메일에 긴급 조치가 필요한 경우 신중하게 검토한 후 결정을 내려야 합니다. 아웃바운드 웹사이트 링크가 있는 경우 해당 웹사이트에 정보를 제공하기 전에 해당 주소를 확인하십시오. 또한 자물쇠 표시를 확인하거나 웹 사이트의 인증서를 확인하십시오.
3] 웹사이트나 이메일에 재정적 또는 연락처 정보를 제공하지 마십시오. 웹사이트를 신뢰할 때를 알고 (Know when to trust a website)웹 링크를 클릭하기 전에 예방 조치를(precautions before clicking on any web links) 취하고 기본적인 인터넷 사용 안전 규범을 따르십시오.
4] 컴퓨터를 보호하는 적절한 바이러스 백신, 방화벽 소프트웨어를 사용하고 이러한 이메일에서 첨부 파일을 다운로드하지 마십시오. RAR/7z 또는 기타 실행 파일에는 맬웨어 또는 트로이 목마(Trojans) 가 포함된 것으로 가장 의심됩니다 . 정기적으로 비밀번호를 변경하고 중요한 문서는 안전한 위치에 백업하십시오.
5 ] 귀하와 귀하의 조직에 대한 정보를 제공할 수 없도록 물리적 문서를 폐기하기 전에 완전히 파기하십시오.(] Completely)
고래잡이 공격 사례
온라인에서 그러한 사기 이야기를 많이 찾을 수 있습니다. Snapchat 및 Seagate 와 같은 주요 회사조차도 이러한 사기의 함정에 빠졌습니다. 지난해 Snapchat 의 고위 직원 이 회사 CEO를 사칭한 이메일이 직원들의 급여를 문의하는 등의 사기 피해를 입었습니다. 몇 가지 예를 살펴보십시오.
- Seagate : 성공적인 포경 공격으로 모든 현재 및 과거 직원에 대해 최대 10,000개의 W-2 세금 문서가 도둑이 되었습니다.
- Snapchat : 한 직원이 (Snapchat)CEO Evan Spiegel 의 요청을 사칭하고 700명의 직원에 대한 급여 데이터를 손상 시킨 이메일에 빠졌습니다 .
- FACC : 오스트리아 항공기 산업 공급업체는 포경 공격으로 5천만 유로의 손실을 입었습니다.
- Ubiquiti Networks : 이 네트워킹 기술 회사는 고래잡이 공격의 결과로 3,910만 달러의 손실을 입었습니다.
- Weight Watchers International : 포경 이메일을 통해 도둑들은 거의 450명의 현직 및 전직 직원에 대한 세금 데이터를 얻을 수 있었습니다.
이미 사기를 당했습니까?
고래잡이(Whaling) 사기 의 피해자라고 생각하십니까 ? 즉시 기관장에게 알리고 법적 도움을 받으십시오. 은행 정보나 비밀번호를 제공했다면 즉시 변경하십시오. 사이버 보안 전문가에게 문의하여 경로를 추적하고 공격자가 누구인지 확인하십시오. 법적 도움을 구하고 변호사와 상담하십시오.
이러한 사기를 신고할 수 있는 다양한 온라인 서비스가 있습니다. 이러한 사기를 신고하여 활동이 중단되고 더 많은 사람들이 영향을 받지 않도록 하십시오.
더 자세히 알고 싶다면 Whaling, Anatomy of a attack(Whaling, Anatomy of an attack) 이라는 훌륭한 eBook을 무료로 다운로드할 수 있습니다.
이러한 사기 및 온라인 사기로부터 자신, 직원 및 조직을 보호하십시오. 널리 알리고 동료, 친구 및 가족이 보호받을 수 있도록 도와주세요.(Protect yourself, your employees and your organization from such frauds and online scams. Spread the word and help your colleagues, friends, and family stay protected.)
여기에서 가장 일반적인 온라인 및 이메일 사기 및 사기(most common Online and Email scams & frauds) 에 대해 읽어보십시오 .
What are Whaling scams & how to protect your Enterprise
If you work in or own аn enterprise, then you nеed to know that there is always a hіgh risk of cyber-attacks & scams taking place. Email Scams are the most common among thеm. Phishing comes in many flavors like Tabnabbing, Spear Phishing as well as Vishing and Smishing. A few days back, we took a look at Pharming online frauds – today we will take a look at Whaling Scams which is the emerging cyber-security threat.
What are Whaling scams
In Whaling scams, you are targeted usually by email – it is a specialized Phishing scam. The attacker studies your online activity and obtains useful information about you from other sources. And that information is used to create a professional looking personalized e-mail. Seeing an official email can cause you to drop your defenses and you are very likely to trust such email. The idea is to obtain information from you for further fraudulent activities.
Now you have to realize that there is a thin line of difference between Whaling and Spear Phishing. Whaling typically targets high-level executives, whereas the latter scam targets employees of a company, customers of a company generally. It is called Whaling because the targets are usually large or important. And so Whales are chosen because of their authority and access within an organization.
How does Whaling work and why are you targeted
Most of the targets are usually businessmen, entrepreneurs, CEOs, and corporate employees. The targets are usually business specific and attacks are planned for the purpose of obtaining any sensitive information about the activities of an organization.
These kind of socially engineered attacks are very difficult to identify and people usually end up giving data to such scammers. The scammer sends a personalized email from an address you may be familiar with. The scammer may mimic to be your boss or another friendly organization. Or he/she may mimic as your financial consultant or your lawyer. The content of the email is mostly attention seeking so that you may reply promptly and there is the least chance of them getting caught.
The email might require you to transfer some money as a payment to a due bill or it may ask you for some company data that is required at a head office. Or it may ask personal details about the employees of the organization.
The scammer or the attacker has already researched you to create a personalized email for you. And the research may be based upon your online activities or upon any information obtained from other sources. Whaling emails just seem normal and perfect and that is the only reason people fall into the trap. The names, logos and other information used in the email may be real or not. But it is presented in such a way that normally people cannot mark a difference between these emails.
Also, the email address of the sender or the website mentioned is similar to someone you may know. The attachments may or may not be malicious. The sole purpose of these scams is to convince you that the email is completely normal and requires urgent action. And when you follow the instructions in the email, you end up leaking out some confidential data to an unauthorized person or website.
How to stay protected from Whaling attacks
You have to learn to identify Phishing Attacks to know more about protection from phishing in general so that you can avoid Phishing scams.
The key to staying protected is to stay attentive. Read all your work related emails end to end and keep an eye on something fishy. If you just felt that there is something wrong with the email, contact the organization from which the email is said to be.
1] Verify the sender’s email and then only respond to emails. Usually, the websites or email addresses from where you are receiving emails are almost identical to normal email addresses that you may know. An ‘o’ may be replaced with a ‘0’ (zero) or there may be two ‘ss’ instead of one ‘s’. This kind of errors are easily overlooked by a human eye, and these forms the basis of such attacks.
2] If the email requires some urgent action, then you must look carefully and then take the decision. If there are any outbound website links, verify their address before supplying any information to that website. Also, check for the padlock sign or verify the website’s certificate.
3] Do not provide any financial or any contact details to any website or an email. Know when to trust a website, take precautions before clicking on any web links and follow the basic internet usage safety norms.
4] Have proper antivirus, firewall software protecting your computer and do not download any attachments from any of these emails. RAR/7z or any other executable files are most suspected to contain any malware or Trojans. Regularly change passwords and create a backup of important documents at a secure location.
5] Completely destroy your physical documents before disposing of them so that they cannot provide any information about you and your organization.
Whaling attack examples
While you can find a ton of such scam stories online. Even the major companies like Snapchat and Seagate have fallen into the traps of these scams. Last year, a high-rank employee of Snapchat was a victim of such a scam where an email impersonating the CEO of the company inquired about the payroll of the employees. Take a look at some examples:
- Seagate: A successful whaling attack landed thieves up to 10,000 W-2 tax documents for all current and past employees.
- Snapchat: An employee fell for an email impersonating a request from CEO Evan Spiegel and compromised payroll data for 700 employees.
- FACC: The Austrian aircraft industry supplier lost 50 million euros due to a whaling attack.
- Ubiquiti Networks: This networking tech company suffered a $39.1 million loss as a result of a whaling attack.
- Weight Watchers International: A whaling email allowed thieves to obtain tax data for nearly 450 current and former employees.
Already Scammed?
Do you think that you’ve been a victim of a Whaling scam? Immediately inform the head of your organization and seek legal help. If you provided them with any bank details or any sort of passwords, change them immediately. Consult a cyber-security expert to track back the path and know who the attacker was. Seek out for legal help and consult a lawyer.
There are various online services available where you can report such scams. Please report such scams so that their activity can be disrupted and more people are not affected.
If you are interested in knowing more, there is this excellent eBook titled Whaling, Anatomy of an attack, which you can download free.
Protect yourself, your employees and your organization from such frauds and online scams. Spread the word and help your colleagues, friends, and family stay protected.
Read here about the most common Online and Email scams & frauds.
