An image

W = Whaling

An image


Wat is Whaling?


Whaling of CEO-fraude is een vorm van phishing die specifiek gericht is op financiële afdelingen van organisaties, waarbij een oplichter zich voordoet als bedrijfsleider, manager/CEO (deze personen worden ook wel “Whales” genoemd). Bij deze vorm van fraude wordt er dus geprobeerd om de organisatie geld te laten overmaken naar de bankrekening van de oplichter door zich voor te doen als een CEO of andere hooggeplaatste functie binnen een bedrijf. Whaling onderscheidt zich daarbij van gewone phishing doordat bij whaling, de e-mails specifiek gericht zijn op bepaalde posities in een organisatie en niet naar iedereen.


Hoe werkt Whaling?    

 
Whaling werkt als volgt. Een oplichter doet zich voor als iemand met een hoge functie binnen een organisatie. Vanuit deze naam stuurt hij een medewerker van (de financiële afdeling) het bedrijf per e-mail een betaalopdracht of een verzoek om het rekeningnummer te wijzigen. In dit bericht wordt er vaak veel nadruk gelegd op de vertrouwelijkheid van het bericht, om te voorkomen dat er wordt gecheckt of het wel klopt. Ook kan de oplichter een medewerker bellen en zich telefonisch voordoen als bijvoorbeeld de directeur om zo druk uit te voeren op de betaling. Dit is echter niet de enige manier waarop cybercriminelen te werk gaan. Hieronder leggen we meer uit over de verschillende werkwijze van cybercriminelen:
  • Spoofing: Door e-mails te spoofen kunnen criminelen een e-mail versturen uit de naam van iemand anders. Hierdoor vertrouwen medewerkers het e-mailadres en wordt er geen argwaan gewekt.

  • Wijziging e-mailadres: Cybercriminelen achterhalen een e-mailadres van een “whale” en brengen een kleine wijziging aan in de domeinnaam waardoor het lijkt alsof de e-mail afkomstig is van de juiste persoon. Ze veranderen bijvoorbeeld Jan.martin@..........com naar Jan.rnartin@.......com

  • Toegang tot e-mail: Criminelen weten toegang te krijgen tot het e-mailaccount van de “whale” en sturen vanaf dit account een e-mail met een betaalverzoek.
De criminelen verzamelen van tevoren veel informatie over de organisatie en weten wie zij moeten uitkiezen als doelwit. Dit is vaak een medewerker die (hiërarchisch) genoeg afstand heeft van de directeur, waardoor het makkelijker wordt deze truc uit te voeren omdat de personen elkaar niet (goed) kennen. Daarom wordt Whaling vaak toegepast op grotere organisaties.

Wat kunt u doen tegen Whaling?


1. Stel vaste processen af over betaalopdrachten


2. Vertrouw nooit zomaar telefoonnummers of e-mailadressen en check het door een “bekend” nummer van de organisatie te bellen of een mail te sturen naar een e-mailadres dat binnen de organisatie bekend is.

3.Bekijk meerdere aspecten van de betalingsopdracht, klopt het rekeningnummer? Staat deze al in de administratie? Is het e-mailadres juist?

4. Bel bij een grote betaling altijd de persoon in kwestie privé op met een nummer wat u van de persoon heeft.

5.Volg een Cybersecurity Awareness Training van Ultimum! Meer weten over de inhoud van deze training? Neem dan vrijblijvend contact op met Tel: +31 (0)88 118 98 44 of E-mail: sales@ultimum.nl. Of neem een kijkje op onze website: https://www.ultimum.nl/topics/security-awareness-training.html


Bekijk ons YouTube kanaal voor meer educatieve video’s over uw cyberveiligheid en meld u aan voor onze nieuwsbrief voor meer content.


Kennismaken met Ultimum? 
Neem contact op via onderstaand formulier of bel met: +31 (0)88 118 98 20
Ultimum B.V. 2020 | Privacyverklaring Disclaimer | Responsible Disclosure |+31 (0)88 118 98 98