اگر در یک شرکت کار می کنید یا مالک آن هستید، باید بدانید که همیشه خطر حملات سایبری و کلاهبرداری زیاد است. کلاهبرداری^{(Email Scams)} های ایمیلی رایج ترین در میان آنها هستند. فیشینگ در انواع مختلفی مانند Tabnabbing، Spear Phishing و Vishing و Smishing وجود دارد. چند روز پیش، نگاهی به کلاهبرداری های آنلاین Pharming انداختیم^{(Pharming online frauds)} – امروز نگاهی به کلاهبرداری های نهنگ^{(Whaling Scams)} خواهیم انداخت که تهدید امنیت سایبری در حال ظهور است.

کلاهبرداری های نهنگ چیست؟

حملات صید نهنگ

در کلاهبرداری های نهنگ^(Whaling) ، شما معمولاً از طریق ایمیل هدف قرار می گیرید - این یک کلاهبرداری تخصصی فیشینگ^{(Phishing scam)} است. مهاجم فعالیت آنلاین شما را مطالعه می کند و اطلاعات مفیدی در مورد شما از منابع دیگر به دست می آورد. و از این اطلاعات برای ایجاد یک ایمیل شخصی حرفه ای استفاده می شود. دیدن یک ایمیل رسمی می تواند باعث شود که دفاع خود را کنار بگذارید و به احتمال زیاد به چنین ایمیلی اعتماد خواهید کرد. ایده این است که برای فعالیت های متقلبانه بیشتر از شما اطلاعاتی به دست آوریم.

اکنون باید متوجه شوید که یک خط باریک تفاوت بین نهنگ^(Whaling) و نیزه فیشینگ ^{(Spear Phishing)}وجود دارد. ^(.) شکار نهنگ^(Whaling) معمولاً مدیران سطح بالا را هدف قرار می دهد، در حالی که کلاهبرداری دوم کارکنان یک شرکت، مشتریان یک شرکت را به طور کلی هدف قرار می دهد. آن را شکار نهنگ^(Whaling) می نامند زیرا اهداف معمولاً بزرگ یا مهم هستند. و بنابراین نهنگ^(Whales) ها به دلیل اقتدار و دسترسی آنها در یک سازمان انتخاب می شوند.

Whaling چگونه کار می کند و چرا شما هدف قرار گرفته اید

کلاهبرداری های شکار نهنگ

بیشتر اهداف معمولاً تجار، کارآفرینان، مدیران عامل^(CEOs) و کارمندان شرکت‌ها هستند. اهداف معمولاً مختص تجارت هستند و حملات با هدف به دست آوردن هرگونه اطلاعات حساس در مورد فعالیت های یک سازمان برنامه ریزی می شوند.

شناسایی این نوع حملات مهندسی شده اجتماعی بسیار دشوار است و افراد معمولاً در نهایت داده‌هایی را به چنین کلاهبردارانی می‌دهند. کلاهبردار یک ایمیل شخصی از آدرسی که ممکن است با آن آشنا باشید ارسال می کند. کلاهبردار ممکن است تقلید کند که رئیس شما یا سازمان دوستانه دیگری است. یا ممکن است به عنوان مشاور مالی یا وکیل شما تقلید کند. محتوای ایمیل بیشتر جلب توجه است تا بتوانید به سرعت پاسخ دهید و کمترین احتمال گرفتار شدن آنها وجود داشته باشد.

ممکن است ایمیل از شما بخواهد که مقداری پول را به عنوان پرداخت به صورت حساب سررسید انتقال دهید یا ممکن است از شما اطلاعات شرکتی را که در دفتر مرکزی لازم است درخواست کند. یا ممکن است اطلاعات شخصی کارکنان سازمان را بپرسد.

کلاهبردار یا مهاجم قبلاً درباره شما تحقیق کرده است تا یک ایمیل شخصی برای شما ایجاد کند. و این تحقیق ممکن است بر اساس فعالیت های آنلاین شما یا بر اساس هر گونه اطلاعات به دست آمده از منابع دیگر باشد. ایمیل های شکار نهنگ^{(Whaling emails)} به نظر عادی و بی نقص به نظر می رسند و این تنها دلیلی است که مردم در دام می افتند. نام ها، آرم ها و سایر اطلاعات استفاده شده در ایمیل ممکن است واقعی باشند یا نباشند. اما به گونه ای ارائه می شود که به طور معمول افراد نمی توانند تفاوتی بین این ایمیل ها مشخص کنند.

همچنین آدرس ایمیل فرستنده یا وب سایت ذکر شده مشابه شخصی است که ممکن است بشناسید. پیوست ها ممکن است مخرب باشند یا نباشند. تنها هدف از این کلاهبرداری ها متقاعد کردن شما به این است که ایمیل کاملاً عادی است و نیاز به اقدام فوری دارد. و هنگامی که دستورالعمل های ایمیل را دنبال می کنید، در نهایت برخی از داده های محرمانه را به یک شخص یا وب سایت غیرمجاز درز می کنید.

چگونه از حملات نهنگ در امان بمانیم

باید یاد بگیرید که حملات فیشینگ را شناسایی^{(identify Phishing Attacks)} کنید تا به طور کلی در مورد محافظت در برابر فیشینگ بیشتر بدانید تا بتوانید از کلاهبرداری های فیشینگ جلوگیری^{(avoid Phishing scams)} کنید.

کلید محافظت ماندن این است که مراقب باشید. تمام ایمیل‌های مربوط به کارتان را تمام و کمال بخوانید و به چیزهای عجیب و غریب توجه کنید. اگر احساس کردید که مشکلی در ایمیل وجود دارد، با سازمانی که گفته می شود ایمیل از آن ارسال شده است، تماس بگیرید.

1] ایمیل فرستنده را تأیید^(Verify) کنید و سپس فقط به ایمیل ها پاسخ دهید. معمولاً، وب‌سایت‌ها یا آدرس‌های ایمیلی که از آنجا ایمیل دریافت می‌کنید، تقریباً مشابه آدرس‌های ایمیل معمولی هستند که ممکن است بدانید. ممکن است "o" با "0" (صفر) جایگزین شود یا ممکن است به جای یک "دو" دو "s" وجود داشته باشد. این نوع خطاها به راحتی توسط چشم انسان نادیده گرفته می شوند و اینها اساس چنین حملاتی را تشکیل می دهند.

2] اگر ایمیل نیاز به اقدام فوری دارد، پس باید با دقت نگاه کنید و سپس تصمیم بگیرید. اگر پیوندهای وب سایت خروجی وجود دارد، قبل از ارائه هرگونه اطلاعات به آن وب سایت، آدرس آنها را تأیید کنید. همچنین، علامت قفل را بررسی کنید یا گواهی وب سایت را تأیید کنید.

3] هیچ گونه اطلاعات مالی یا تماسی را به هیچ وب سایت یا ایمیلی ارائه ندهید. بدانید که چه زمانی باید به یک وب سایت اعتماد کنید، قبل از کلیک کردن بر روی پیوندهای وب^{(Know when to trust a website)} ، اقدامات احتیاطی^{(precautions before clicking on any web links)} را انجام دهید و از هنجارهای اولیه ایمنی استفاده از اینترنت پیروی کنید.

4] آنتی ویروس و نرم افزار فایروال مناسبی داشته باشید که از رایانه شما محافظت می کند و هیچ پیوستی را از هیچ یک از این ایمیل ها دانلود نکنید. RAR/7z یا هر فایل اجرایی دیگری به احتمال زیاد حاوی بدافزار یا تروجان^(Trojans) است. به طور مرتب رمزهای عبور را تغییر دهید و یک نسخه پشتیبان از اسناد مهم در یک مکان امن ایجاد کنید.

5 ]^{(] Completely)} مدارک فیزیکی خود را قبل از دور انداختن کاملاً از بین ببرید تا نتوانند هیچ اطلاعاتی در مورد شما و سازمان شما ارائه دهند.

نمونه های حمله نهنگ

در حالی که می توانید تعداد زیادی از چنین داستان های کلاهبرداری را به صورت آنلاین پیدا کنید. حتی شرکت های بزرگی مانند اسنپ چت^(Snapchat) و سیگیت^(Seagate) نیز در دام این کلاهبرداری ها افتاده اند. سال گذشته، یکی از کارمندان رده بالای اسنپ چت^(Snapchat) قربانی چنین کلاهبرداری شد که در آن ایمیلی به جعل هویت مدیر عامل شرکت درباره حقوق و دستمزد کارمندان جویا شد. به چند نمونه نگاه کنید:

سیگیت^(Seagate) : یک حمله موفقیت‌آمیز نهنگ باعث شد تا سارقان تا 10000 سند مالیاتی W-2 برای همه کارمندان فعلی و گذشته خود به زمین بفرستند.
اسنپ چت^(Snapchat) : یک کارمند با ایمیلی مواجه شد که جعل درخواست مدیر عامل شرکت ایوان اشپیگل^{(CEO Evan Spiegel)} و به خطر انداختن اطلاعات حقوق و دستمزد 700 کارمند بود.
FACC : تامین‌کننده صنعت هواپیماسازی اتریش 50 میلیون یورو به دلیل حمله شکار نهنگ از دست داد.
Ubiquiti Networks : این شرکت فناوری شبکه در نتیجه حمله شکار نهنگ متحمل خسارت 39.1 میلیون دلاری شد.
Weight Watchers International : یک ایمیل مربوط به شکار نهنگ به سارقان اجازه داد تا اطلاعات مالیاتی تقریباً 450 کارمند فعلی و سابق را به دست آورند.

قبلا کلاهبرداری کرده اید؟

آیا فکر می کنید که قربانی کلاهبرداری نهنگ شده اید؟ ^(Whaling)فوراً به رئیس سازمان خود اطلاع دهید و از حقوقی کمک بگیرید. اگر جزئیات بانکی یا هر نوع رمز عبوری را به آنها ارائه کردید، فوراً آنها را تغییر دهید. با یک کارشناس امنیت سایبری مشورت کنید تا مسیر را ردیابی کنید و بدانید مهاجم چه کسی بوده است. به دنبال کمک حقوقی باشید و با یک وکیل مشورت کنید.

سرویس های آنلاین مختلفی وجود دارد که می توانید چنین کلاهبرداری هایی را گزارش کنید. لطفاً این گونه کلاهبرداری ها را گزارش دهید تا فعالیت آنها مختل شود و افراد بیشتری تحت تأثیر قرار نگیرند.

اگر علاقه مند به دانستن بیشتر هستید، این کتاب الکترونیکی عالی با عنوان نهنگ، آناتومی یک حمله^{(Whaling, Anatomy of an attack)} وجود دارد که می توانید آن را رایگان دانلود کنید.

از خود، کارمندان و سازمان خود در برابر چنین کلاهبرداری ها و کلاهبرداری های آنلاین محافظت کنید. این خبر را پخش کنید و به همکاران، دوستان و خانواده خود کمک کنید محافظت شوند.^{(Protect yourself, your employees and your organization from such frauds and online scams. Spread the word and help your colleagues, friends, and family stay protected.)}

در اینجا درباره رایج ترین کلاهبرداری ها و کلاهبرداری های آنلاین و ایمیلی^{(most common Online and Email scams & frauds)} بخوانید .

What are Whaling scams & how to protect your Enterprise

If you work in or оwn an enterprise, then you nеed to know that there іs always a high risk оf cyber-attаcks & scаms taking place. Email Scams аre the most common among them. Phishing comeѕ in many flavors like Tabnabbing, Spear Phishing as well as Vishing and Smishing. A few days back, we took a look at Pharming online frauds – today we will take a look at Whaling Scams which is the emerging cyber-security threat.

What are Whaling scams

whaling attacks

In Whaling scams, you are targeted usually by email – it is a specialized Phishing scam. The attacker studies your online activity and obtains useful information about you from other sources. And that information is used to create a professional looking personalized e-mail. Seeing an official email can cause you to drop your defenses and you are very likely to trust such email. The idea is to obtain information from you for further fraudulent activities.

Now you have to realize that there is a thin line of difference between Whaling and Spear Phishing. Whaling typically targets high-level executives, whereas the latter scam targets employees of a company, customers of a company generally. It is called Whaling because the targets are usually large or important. And so Whales are chosen because of their authority and access within an organization.

How does Whaling work and why are you targeted

whaling scams

Most of the targets are usually businessmen, entrepreneurs, CEOs, and corporate employees. The targets are usually business specific and attacks are planned for the purpose of obtaining any sensitive information about the activities of an organization.

These kind of socially engineered attacks are very difficult to identify and people usually end up giving data to such scammers. The scammer sends a personalized email from an address you may be familiar with. The scammer may mimic to be your boss or another friendly organization. Or he/she may mimic as your financial consultant or your lawyer. The content of the email is mostly attention seeking so that you may reply promptly and there is the least chance of them getting caught.

The email might require you to transfer some money as a payment to a due bill or it may ask you for some company data that is required at a head office. Or it may ask personal details about the employees of the organization.

The scammer or the attacker has already researched you to create a personalized email for you. And the research may be based upon your online activities or upon any information obtained from other sources. Whaling emails just seem normal and perfect and that is the only reason people fall into the trap. The names, logos and other information used in the email may be real or not. But it is presented in such a way that normally people cannot mark a difference between these emails.

Also, the email address of the sender or the website mentioned is similar to someone you may know. The attachments may or may not be malicious. The sole purpose of these scams is to convince you that the email is completely normal and requires urgent action. And when you follow the instructions in the email, you end up leaking out some confidential data to an unauthorized person or website.

How to stay protected from Whaling attacks

You have to learn to identify Phishing Attacks to know more about protection from phishing in general so that you can avoid Phishing scams.

The key to staying protected is to stay attentive. Read all your work related emails end to end and keep an eye on something fishy. If you just felt that there is something wrong with the email, contact the organization from which the email is said to be.

1] Verify the sender’s email and then only respond to emails. Usually, the websites or email addresses from where you are receiving emails are almost identical to normal email addresses that you may know. An ‘o’ may be replaced with a ‘0’ (zero) or there may be two ‘ss’ instead of one ‘s’. This kind of errors are easily overlooked by a human eye, and these forms the basis of such attacks.

2] If the email requires some urgent action, then you must look carefully and then take the decision. If there are any outbound website links, verify their address before supplying any information to that website. Also, check for the padlock sign or verify the website’s certificate.

3] Do not provide any financial or any contact details to any website or an email. Know when to trust a website, take precautions before clicking on any web links and follow the basic internet usage safety norms.

4] Have proper antivirus, firewall software protecting your computer and do not download any attachments from any of these emails. RAR/7z or any other executable files are most suspected to contain any malware or Trojans. Regularly change passwords and create a backup of important documents at a secure location.

5] Completely destroy your physical documents before disposing of them so that they cannot provide any information about you and your organization.

Whaling attack examples

While you can find a ton of such scam stories online. Even the major companies like Snapchat and Seagate have fallen into the traps of these scams. Last year, a high-rank employee of Snapchat was a victim of such a scam where an email impersonating the CEO of the company inquired about the payroll of the employees. Take a look at some examples:

Seagate: A successful whaling attack landed thieves up to 10,000 W-2 tax documents for all current and past employees.
Snapchat: An employee fell for an email impersonating a request from CEO Evan Spiegel and compromised payroll data for 700 employees.
FACC: The Austrian aircraft industry supplier lost 50 million euros due to a whaling attack.
Ubiquiti Networks: This networking tech company suffered a $39.1 million loss as a result of a whaling attack.
Weight Watchers International: A whaling email allowed thieves to obtain tax data for nearly 450 current and former employees.

Already Scammed?

Do you think that you’ve been a victim of a Whaling scam? Immediately inform the head of your organization and seek legal help. If you provided them with any bank details or any sort of passwords, change them immediately. Consult a cyber-security expert to track back the path and know who the attacker was. Seek out for legal help and consult a lawyer.

There are various online services available where you can report such scams. Please report such scams so that their activity can be disrupted and more people are not affected.

If you are interested in knowing more, there is this excellent eBook titled Whaling, Anatomy of an attack, which you can download free.

Protect yourself, your employees and your organization from such frauds and online scams. Spread the word and help your colleagues, friends, and family stay protected.

Read here about the most common Online and Email scams & frauds.

ابریشم رسولی

About the author

من یک متخصص کامپیوتر هستم و از سال 2009 به مردم در زمینه کامپیوترشان کمک می‌کنم. مهارت‌های من شامل آیفون، نرم‌افزار، گجت‌ها و غیره است. من همچنین در چهار سال گذشته به عنوان مربی کار کرده ام. در آن زمان، یاد گرفتم که چگونه به مردم کمک کنم تا برنامه های جدید را یاد بگیرند و چگونه از دستگاه های خود به روشی حرفه ای استفاده کنند. من از دادن نکاتی در مورد چگونگی بهبود مهارت هایم لذت می برم تا همه بتوانند در کار یا مدرسه موفق باشند.

کلاهبرداری های نهنگ چیست و چگونه از شرکت خود محافظت کنید

کلاهبرداری های نهنگ چیست؟

Whaling چگونه کار می کند و چرا شما هدف قرار گرفته اید

چگونه از حملات نهنگ در امان بمانیم

نمونه های حمله نهنگ

قبلا کلاهبرداری کرده اید؟

What are Whaling scams & how to protect your Enterprise

What are Whaling scams

How does Whaling work and why are you targeted

How to stay protected from Whaling attacks

Whaling attack examples

Already Scammed?

ابریشم رسولی

About the author

Related posts

چگونه برای بررسی اگر یک لینک امن است یا با استفاده از مرورگر وب خود را نمی

پیدا کردن اگر online account شما هک شده است و ایمیل و رمز عبور اطلاعات به بیرون درز

Online Safety Tips برای Kids، Students and Teens

Internet Security article and tips برای کاربران Windows 10

Safeguard بچه های خود را از adult content با استفاده از Browsing پاک

چگونه به جستجو برای Online Templates در Microsoft Word

Coronavirus COVID-19 Phishing، Scams، Frauds and Schemes

Fake Online Employment And Job Scams در حال افزایش است

فارمینگ چیست و چگونه می تواند به شما برای جلوگیری از این Online Fraud؟

Pastejacking چیست؟ چرا شما باید کپی کنید چسباندن از وب؟

چگونه برای جلوگیری از Phishing Scams and Attacks؟

Avoid online بانکی و دیگر تقلب سایبری - Tips ایمنی برای کاربران کامپیوتر

وب سایت Traffic Fingerprinting چیست؟ چگونه از خودت محافظت کنی؟

Avoid Online Shopping Fraud & Holiday Season Scams

Password Spray Attack Definition and Defending خود

Online Identity Theft: Prevention and Protection tips

سایبری چیست؟ چگونه برای جلوگیری از و گزارش آن را؟

چه انسان در وسط Attack (MITM): تعریف، Prevention، Tools

PDF Editor Online Tool رایگان برای ویرایش فایل های PDF - PDF Yeah

Photo Collage maker Online Tools and Software رایگان