Jika Anda bekerja di atau memiliki perusahaan, maka Anda perlu tahu bahwa selalu ada risiko tinggi terjadinya serangan cyber & penipuan. Penipuan Email^{(Email Scams)} adalah yang paling umum di antara mereka. Phishing hadir dalam berbagai rasa seperti Tabnabbing, Spear Phishing , serta Vishing dan Smishing. Beberapa hari yang lalu, kita melihat penipuan online Pharming^{(Pharming online frauds)} – hari ini kita akan melihat Penipuan Whaling^{(Whaling Scams)} yang merupakan ancaman keamanan cyber yang muncul.

Apa itu Penipuan Penangkapan Ikan Paus?

Dalam penipuan perburuan paus^(Whaling) , Anda biasanya ditargetkan melalui email – ini adalah penipuan Phishing^{(Phishing scam)} khusus . Penyerang mempelajari aktivitas online Anda dan memperoleh informasi berguna tentang Anda dari sumber lain. Dan informasi itu digunakan untuk membuat email pribadi yang terlihat profesional. Melihat email resmi dapat menyebabkan Anda kehilangan pertahanan dan kemungkinan besar Anda akan mempercayai email tersebut. Idenya adalah untuk mendapatkan informasi dari Anda untuk kegiatan penipuan lebih lanjut.

Sekarang Anda harus menyadari bahwa ada garis tipis perbedaan antara Whaling dan Spear Phishing . Penangkapan ikan paus^(Whaling) biasanya menargetkan eksekutif tingkat tinggi, sedangkan penipuan terakhir menargetkan karyawan perusahaan, pelanggan perusahaan pada umumnya. Disebut Whaling karena targetnya biasanya besar atau penting. Dan Paus^(Whales) dipilih karena otoritas dan akses mereka dalam suatu organisasi.

Bagaimana cara kerja perburuan paus^(Whaling) dan mengapa Anda menjadi sasaran

Sebagian besar target biasanya pengusaha, pengusaha, CEO^(CEOs) , dan karyawan perusahaan. Target biasanya spesifik bisnis dan serangan direncanakan untuk tujuan memperoleh informasi sensitif tentang aktivitas organisasi.

Jenis serangan rekayasa sosial ini sangat sulit untuk diidentifikasi dan orang-orang biasanya akhirnya memberikan data kepada scammers tersebut. Penipu mengirimkan email yang dipersonalisasi dari alamat yang mungkin Anda kenal. Penipu mungkin meniru menjadi bos Anda atau organisasi ramah lainnya. Atau dia mungkin meniru sebagai konsultan keuangan Anda atau pengacara Anda. Isi email sebagian besar mencari perhatian sehingga Anda dapat segera membalas dan kemungkinan mereka tertangkap sangat kecil.

Email tersebut mungkin mengharuskan Anda untuk mentransfer sejumlah uang sebagai pembayaran untuk tagihan yang jatuh tempo atau mungkin meminta beberapa data perusahaan yang diperlukan di kantor pusat. Atau mungkin menanyakan detail pribadi tentang karyawan organisasi.

Penipu atau penyerang telah meneliti Anda untuk membuat email yang dipersonalisasi untuk Anda. Dan penelitian mungkin didasarkan pada aktivitas online Anda atau pada informasi apa pun yang diperoleh dari sumber lain. Email perburuan paus^{(Whaling emails)} tampak normal dan sempurna dan itulah satu-satunya alasan orang jatuh ke dalam perangkap. Nama, logo, dan informasi lain yang digunakan dalam email mungkin asli atau tidak. Tapi itu disajikan sedemikian rupa sehingga biasanya orang tidak dapat menandai perbedaan antara email-email ini.

Juga, alamat email pengirim atau situs web yang disebutkan mirip dengan seseorang yang mungkin Anda kenal. Lampiran mungkin berbahaya atau tidak. Satu-satunya tujuan penipuan ini adalah untuk meyakinkan Anda bahwa email tersebut benar-benar normal dan memerlukan tindakan segera. Dan ketika Anda mengikuti instruksi di email, Anda akhirnya membocorkan beberapa data rahasia ke orang atau situs web yang tidak berwenang.

Bagaimana agar tetap terlindungi dari serangan Paus

Anda harus belajar mengidentifikasi Serangan Phishing^{(identify Phishing Attacks)} untuk mengetahui lebih banyak tentang perlindungan dari phishing secara umum sehingga Anda dapat menghindari penipuan Phishing^{(avoid Phishing scams)} .

Kunci untuk tetap terlindungi adalah tetap penuh perhatian. Baca semua email terkait pekerjaan Anda dari ujung ke ujung dan awasi sesuatu yang mencurigakan. Jika Anda baru saja merasa ada yang salah dengan email tersebut, hubungi organisasi asal email tersebut.

1] Verifikasi^(Verify) email pengirim dan kemudian hanya menanggapi email. Biasanya, situs web atau alamat email tempat Anda menerima email hampir sama dengan alamat email biasa yang mungkin Anda ketahui. Sebuah 'o' dapat diganti dengan '0' (nol) atau mungkin ada dua 'ss' bukan satu 's'. Kesalahan semacam ini mudah diabaikan oleh mata manusia, dan ini merupakan dasar dari serangan semacam itu.

2] Jika email memerlukan tindakan segera, maka Anda harus melihat dengan cermat dan kemudian mengambil keputusan. Jika ada tautan situs web keluar, verifikasi alamatnya sebelum memberikan informasi apa pun ke situs web itu. Juga, periksa tanda gembok atau verifikasi sertifikat situs web.

3] Jangan berikan detail keuangan atau kontak apa pun ke situs web atau email apa pun. Ketahui kapan harus memercayai situs web^{(Know when to trust a website)} , lakukan tindakan pencegahan sebelum mengeklik tautan web apa pun^{(precautions before clicking on any web links)} dan ikuti norma keamanan penggunaan internet dasar.

4] Miliki antivirus yang tepat, perangkat lunak firewall yang melindungi komputer Anda dan jangan mengunduh lampiran apa pun dari email ini. RAR/7z atau file executable lainnya paling dicurigai mengandung malware atau Trojan^(Trojans) . Ubah kata sandi secara teratur dan buat cadangan dokumen penting di lokasi yang aman.

5 ] Hancurkan^{(] Completely)} sepenuhnya dokumen fisik Anda sebelum membuangnya sehingga mereka tidak dapat memberikan informasi apa pun tentang Anda dan organisasi Anda.

Contoh serangan paus

Meskipun Anda dapat menemukan banyak cerita penipuan seperti itu secara online. Bahkan perusahaan besar seperti Snapchat dan Seagate telah jatuh ke dalam perangkap penipuan ini. Tahun lalu, seorang karyawan tinggi Snapchat menjadi korban penipuan semacam itu di mana sebuah email yang meniru CEO perusahaan menanyakan tentang gaji karyawan. Lihatlah beberapa contoh:

• Seagate : Serangan penangkapan ikan paus yang berhasil mendaratkan pencuri hingga 10.000 dokumen pajak W-2 untuk semua karyawan saat ini dan sebelumnya.
• Snapchat : Seorang karyawan jatuh untuk email yang meniru permintaan dari CEO Evan Spiegel dan mengkompromikan data penggajian untuk 700 karyawan.
• FACC : Pemasok industri pesawat Austria kehilangan 50 juta euro karena serangan ikan paus.
• Ubiquiti Networks : Perusahaan teknologi jaringan ini menderita kerugian $39,1 juta akibat serangan ikan paus.
• Weight Watchers International : Email perburuan paus memungkinkan pencuri mendapatkan data pajak untuk hampir 450 karyawan saat ini dan mantan karyawan.

Sudah Tertipu?

Apakah Anda berpikir bahwa Anda telah menjadi korban penipuan Whaling ? Segera beri tahu pimpinan organisasi Anda dan cari bantuan hukum. Jika Anda memberi mereka detail bank atau kata sandi apa pun, segera ubah. Konsultasikan dengan pakar keamanan siber untuk melacak kembali jalurnya dan mengetahui siapa penyerangnya. Cari bantuan hukum dan konsultasikan dengan pengacara.

Ada berbagai layanan online yang tersedia di mana Anda dapat melaporkan penipuan tersebut. Harap laporkan penipuan tersebut agar aktivitas mereka dapat terganggu dan lebih banyak orang tidak terpengaruh.

Jika Anda tertarik untuk mengetahui lebih banyak, ada eBook luar biasa berjudul Whaling, Anatomy of an attack , yang dapat Anda unduh secara gratis.

Lindungi diri Anda, karyawan Anda, dan organisasi Anda dari penipuan dan penipuan online semacam itu. Sebarkan berita dan bantu kolega, teman, dan keluarga Anda tetap terlindungi.^{(Protect yourself, your employees and your organization from such frauds and online scams. Spread the word and help your colleagues, friends, and family stay protected.)}

Baca di sini tentang penipuan & penipuan Online dan Email yang paling umum^{(most common Online and Email scams & frauds)} .

What are Whaling scams & how to protect your Enterprise

If you work in or own an enterprise, then you need to know that there is always a high risk of cyber-attacks & scams taking place. Email Scams are the most common among thеm. Phishing comеs in many flavors likе Tabnabbing, Spear Phishing as well as Vishing and Smishing. A few days back, we took a look at Pharming online frauds – today we will take a look at Whaling Scams which is the emerging cyber-security threat.

What are Whaling scams

In Whaling scams, you are targeted usually by email – it is a specialized Phishing scam. The attacker studies your online activity and obtains useful information about you from other sources. And that information is used to create a professional looking personalized e-mail. Seeing an official email can cause you to drop your defenses and you are very likely to trust such email. The idea is to obtain information from you for further fraudulent activities.

Now you have to realize that there is a thin line of difference between Whaling and Spear Phishing. Whaling typically targets high-level executives, whereas the latter scam targets employees of a company, customers of a company generally. It is called Whaling because the targets are usually large or important. And so Whales are chosen because of their authority and access within an organization.

How does Whaling work and why are you targeted

Most of the targets are usually businessmen, entrepreneurs, CEOs, and corporate employees. The targets are usually business specific and attacks are planned for the purpose of obtaining any sensitive information about the activities of an organization.

These kind of socially engineered attacks are very difficult to identify and people usually end up giving data to such scammers. The scammer sends a personalized email from an address you may be familiar with. The scammer may mimic to be your boss or another friendly organization. Or he/she may mimic as your financial consultant or your lawyer. The content of the email is mostly attention seeking so that you may reply promptly and there is the least chance of them getting caught.

The email might require you to transfer some money as a payment to a due bill or it may ask you for some company data that is required at a head office. Or it may ask personal details about the employees of the organization.

The scammer or the attacker has already researched you to create a personalized email for you. And the research may be based upon your online activities or upon any information obtained from other sources. Whaling emails just seem normal and perfect and that is the only reason people fall into the trap. The names, logos and other information used in the email may be real or not. But it is presented in such a way that normally people cannot mark a difference between these emails.

Also, the email address of the sender or the website mentioned is similar to someone you may know. The attachments may or may not be malicious. The sole purpose of these scams is to convince you that the email is completely normal and requires urgent action. And when you follow the instructions in the email, you end up leaking out some confidential data to an unauthorized person or website.

How to stay protected from Whaling attacks

You have to learn to identify Phishing Attacks to know more about protection from phishing in general so that you can avoid Phishing scams.

The key to staying protected is to stay attentive. Read all your work related emails end to end and keep an eye on something fishy. If you just felt that there is something wrong with the email, contact the organization from which the email is said to be.

1] Verify the sender’s email and then only respond to emails. Usually, the websites or email addresses from where you are receiving emails are almost identical to normal email addresses that you may know. An ‘o’ may be replaced with a ‘0’ (zero) or there may be two ‘ss’ instead of one ‘s’. This kind of errors are easily overlooked by a human eye, and these forms the basis of such attacks.

2] If the email requires some urgent action, then you must look carefully and then take the decision. If there are any outbound website links, verify their address before supplying any information to that website. Also, check for the padlock sign or verify the website’s certificate.

3] Do not provide any financial or any contact details to any website or an email. Know when to trust a website, take precautions before clicking on any web links and follow the basic internet usage safety norms.

4] Have proper antivirus, firewall software protecting your computer and do not download any attachments from any of these emails. RAR/7z or any other executable files are most suspected to contain any malware or Trojans. Regularly change passwords and create a backup of important documents at a secure location.

5] Completely destroy your physical documents before disposing of them so that they cannot provide any information about you and your organization.

Whaling attack examples

While you can find a ton of such scam stories online. Even the major companies like Snapchat and Seagate have fallen into the traps of these scams. Last year, a high-rank employee of Snapchat was a victim of such a scam where an email impersonating the CEO of the company inquired about the payroll of the employees. Take a look at some examples:

• Seagate: A successful whaling attack landed thieves up to 10,000 W-2 tax documents for all current and past employees.
• Snapchat: An employee fell for an email impersonating a request from CEO Evan Spiegel and compromised payroll data for 700 employees.
• FACC: The Austrian aircraft industry supplier lost 50 million euros due to a whaling attack.
• Ubiquiti Networks: This networking tech company suffered a $39.1 million loss as a result of a whaling attack.
• Weight Watchers International: A whaling email allowed thieves to obtain tax data for nearly 450 current and former employees.

Already Scammed?

Do you think that you’ve been a victim of a Whaling scam? Immediately inform the head of your organization and seek legal help. If you provided them with any bank details or any sort of passwords, change them immediately. Consult a cyber-security expert to track back the path and know who the attacker was. Seek out for legal help and consult a lawyer.

There are various online services available where you can report such scams. Please report such scams so that their activity can be disrupted and more people are not affected.

If you are interested in knowing more, there is this excellent eBook titled Whaling, Anatomy of an attack, which you can download free.

Protect yourself, your employees and your organization from such frauds and online scams. Spread the word and help your colleagues, friends, and family stay protected.

Read here about the most common Online and Email scams & frauds.

Related posts

• Cara memeriksa apakah tautan aman atau tidak menggunakan browser web Anda

• Cari tahu apakah online account Anda telah diretas & detail email & kata sandi bocor

• Online Safety Tips untuk Kids, Students and Teens

• Internet Security article and tips untuk pengguna Windows 10

• Safeguard Anak-anak Anda dari adult content menggunakan Clean Browsing

• Browser Fingerprinting. Cara menonaktifkan sidik jari Browser

• Mengapa Microsoft SMS saya? Apakah mereka asli atau phishing?

• Apa itu Man-In-the-Middle Attack (MITM): Definisi, Prevention, Tools

• Pola Gelap: Trik situs web, Contoh, Jenis, Cara Menemukan & Menghindarinya

• Apa itu phishing tombak? Penjelasan, Examples, Protection

• Tindakan pencegahan untuk mengambil sebelum mengklik tautan web atau URL

• Apa situs web Traffic Fingerprinting? Bagaimana cara melindungi diri sendiri?

• Microsoft Scams: Phone & Email Scams yang penyalahgunaan Microsoft Name

• Best Free Online Training Courses ke Stay Fit saat di rumah

• Apa itu Fleeceware? Bagaimana cara melindungi diri dari Fleeceware apps?

• Avoid Online Shopping Fraud & Holiday Season Scams

• Fake Name Generator gratis untuk menghasilkan Fake Identity

• Computer Security, Data Privacy, Online Safety Brochures dari Microsoft

• Best gratis Online Survey and Form Builder apps

• Apa itu passajacking? Mengapa Anda tidak harus menyalin pasta dari web?