Whaling

Whaling is een vorm van social engineering waarbij een cybercrimineel zich bijvoorbeeld voordoet als een hooggeplaatst persoon binnen een organisatie, maar dit hoeft niet altijd zo te zijn, en zich richt op andere invloedrijke personen binnen een organisatie.

Wat is whaling?

Whaling is een vorm van social engineering en phishing. In het nederlands vertaald whaling naar grote vissen, wat wijst op personen met een hoge functie binnen een organisatie. De crimineel neemt de identiteit van zo’n ‘grote vis’ over. Vaak is dit een CEO, COO, CFO, maar het kan ook een manager zijn die hoog in de hiërarchie van een organisatie staat. Vervolgens kiest de cybercrimineel één specifiek slachtoffer uit. In het geval van whaling heeft het slachtoffer ook een invloedrijke positie binnen een organisatie.

Met whaling proberen criminelen informatie of geld uit een organisatie te stelen. Dit heet phishing. Doordat whaling gaat om een gerichte aanval waar vaak veel voorwerk bij komt kijken, staat deze vorm van phishing ook wel bekend als spear phishing.

whaling

Whaling stap-voor-stap

1. Voorbereiding

In veel gevallen zit er een hoop werk in de voorbereiding van whaling. Criminelen houden de persoon wiens identiteit voor whaling wordt gestolen, vaak al weken van tevoren in de gaten. Van diens persoonlijke leven tot de manier van schrijven, alles wordt grondig bestudeerd en overgenomen. Dit gebeurt zonder dat de persoon in kwestie het door heeft. Doordat veel informatie tegenwoordig erg toegankelijk is, met dank aan tools als social media en AI, hebben criminelen vrij spel in de voorbereidingsfase.

Ook het slachtoffer wordt ruim voor de aanval nauwlettend in de gaten gehouden. Zo kunnen criminelen bijvoorbeeld proberen om in de mailbox van het slachtoffer te komen. Vanuit hier observeren zij het mailverkeer tussen het slachtoffer en de persoon die de criminelen nadoen. Ze verzamelen allerlei relevante informatie om het verhaal zo geloofwaardig mogelijk neer te zetten.

2. De val opzetten

Nadat er voldoende informatie is verzameld, moeten de criminelen een geloofwaardig verhaal opstellen. Dit wordt pretexting genoemd. Iedereen kan in theorie vragen om 1 miljoen euro, maar als crimineel wil je dat dit verzoek zo logisch en geloofwaardig mogelijk klinkt. Alle verzamelde details worden gebruikt om het verhaal kracht bij te zetten: bekende namen en logo’s worden gebruikt om vertrouwen uit te stralen, ze delen interne details die alleen medewerkers zouden kennen en ze creëren dringende redenen waarom het geld onmiddellijk nodig is.

Ook worden de technische zaken voorbereid. Het een vraagt net iets meer technische know-how dan het ander, maar je kan hierbij denken aan zaken zoals:

  • Het opstellen van een nep e-mailaccount.
  • Het spoofen van e-mailadressen en telefoonnummers.
  • Het creëren van neppe landingspagina’s.
  • Het opstellen van scripts voor mails, telefoongesprekken, videochats etc.

Met de komst van deepfake-technologie en AI kunnen criminelen extra tools inzetten om de aanval nog meer kracht en overtuiging te geven.

3. De aanval

Nadat er voldoende informatie is verzameld, het verhaal tot in de puntjes is voorbereid en alles klaar staat, is het tijd voor de criminelen om toe te slaan. Het doel van de crimineel is om zo snel en onopvallend mogelijk aan zo veel mogelijk informatie of geld te komen.

Over het algemeen wordt er een tactisch moment gekozen door de criminelen om toe te slaan. Dit kan bijvoorbeeld het moment zijn wanneer de directeur met vakantie is, een drukke vakantieperiode of op een vrijdagmiddag wanneer veel mensen al weekend hebben. Dit verkleint de kans dat het slachtoffer direct contact opneemt met de persoon die de crimineel nadoet of diens collega’s.

In deze fase van whaling wordt er contact gelegd tussen de criminelen die zich voordoen als iemand anders en het slachtoffer. Er is een kort moment waarop er een band wordt opgebouwd, vaak door het verhaal wat de criminelen eromheen hebben bedacht. Aan allerlei kanten wordt het slachtoffer misleid en onder druk gezet in het verstrekken van gevoelige informatie of het overmaken van geld.

4. De winst binnenhalen en de afronding

Wanneer de criminelen het vertrouwen van hun slachtoffer volledig hebben gewonnen, gaan ze over naar de volgende fase: maximale winst behalen. Dit kan variëren van het binnenhalen van grote geldbedragen tot het verkrijgen van uiterst gevoelige informatie. Zodra de buit binnen is, moeten de criminelen snel en secuur te werk gaan om al hun sporen uit te wissen. Ze willen hun acties zo goed mogelijk verbergen om zo de kans op ontsnapping te vergroten. Hoe langer hun aanwezigheid verborgen blijft, hoe kleiner de kans dat ze gepakt worden. 

De voorbeelden van whaling en de schade van een whaling aanval

Met een succesvolle whaling-aanval kunnen criminelen veel geld afhandig maken. Zo hebben criminelen de afgelopen jaren al tussen de 20 en 25 miljard dollar verdiend met CEO-fraude. Een grote groei ten aanzien van tien jaar geleden toen de schade ruim 12 miljard dollar was over de jaren 2013 tot 2018. Hieronder delen we voorbeelden van enkele geslaagde whaling aanvallen:

  • In 2018 is bioscoopketen Pathé voor ruim 19 miljoen euro opgelicht. Criminelen stuurden e-mails namens verschillende directeuren van het Franse hoofdkantoor naar de Nederlandse directie. Ze verzochten grote bedragen over te maken voor een zogenaamde overname in het buitenland waar niemand iets vanaf mocht weten.
  • In 2019 werd de directeur van een industrieel bedrijf uit Mierlo slachtoffer van CEO fraude. Hij ontving een frauduleuze mail van het moederbedrijf met het bericht dat de betalingen voortaan via een andere rekening moesten lopen. Het bedrijf verloor hierdoor 160.000 euro.

Er zijn ook gevallen van alerte medewerkers die net op tijd de risico’s wisten te herkennen en daarmee grote schade wisten te voorkomen:

  • In juli 2024 was Ferrari bijna slachtoffer geworden van whaling. Criminelen deden zich voor als de CEO van Ferrari. Met behulp van deepfake wisten ze berichten en telefoongesprekken te voeren met een andere leidinggevende binnen het bedrijf. De oplettende leidinggevende kreeg uiteindelijk argwaan en stelde een persoonlijke vraag die de criminelen nooit konden beantwoorden. Dit heeft het bedrijf gered van een grote whaling aanval.

Hoe bescherm je je organisatie tegen whaling?

Het stellen van een persoonlijke vraag is een goede tactiek die kan helpen om de ware identiteit van een persoon te achterhalen. Er zijn nog een aantal andere tips die je helpen om whaling te herkennen en je organisatie te beschermen:

  • Stel sterke wachtwoordzinnen in en gebruik tweefactorauthenticatie om belangrijke accounts te beschermen.
  • Creëer een veilig protocol in voor financiële transacties en wijk hier nooit van af, ook niet wanneer een hooggeplaatst persoon hierom vraagt.
  • Maak duidelijke regels en afspraken over hoe leidinggevenden informatie delen onderling.
  • Wees voorzichtig met de informatie die je online deelt. Beperk dit tot het strikt noodzakelijke.
  • Voer regelmatig phishing simulaties uit om kwetsbaarheden in je organisatie aan het licht te brengen.
  • Train je organisatie in het herkennen van de online en offline dreigingen en risico’s.

Hoe reageren jouw medewerkers op whaling?

Wist je dat 90% van alle cyberaanvallen gebeurt door phishing? Bescherm je organisatie en train je medewerkers in het herkennen van de gevaren. Maak nu gedurende 28 dagen gratis en vrijblijvend kennis met ons security awareness platform. Hierin train je medewerkers op het gebied van security awareness met interactieve trainingmodules en houd je ze alert met geloofwaardige phishingsimulaties. Je kan tot 5.000 medewerkers phishen met een van onze kant-en-klare phishingmails of maak een phishingmail in je eigen huisstijl. Bekijk de real-time resultaten en maak je medewerkers bewust van de risico’s van phishing.

+31 (0)88 018 16 00 info@awaretrain.com