کلاهبرداری های نهنگ چیست و چگونه از شرکت خود محافظت کنید
اگر در یک شرکت کار می کنید یا مالک آن هستید، باید بدانید که همیشه خطر حملات سایبری و کلاهبرداری زیاد است. کلاهبرداری(Email Scams) های ایمیلی رایج ترین در میان آنها هستند. فیشینگ در انواع مختلفی مانند Tabnabbing، Spear Phishing و Vishing و Smishing وجود دارد. چند روز پیش، نگاهی به کلاهبرداری های آنلاین Pharming انداختیم(Pharming online frauds) – امروز نگاهی به کلاهبرداری های نهنگ(Whaling Scams) خواهیم انداخت که تهدید امنیت سایبری در حال ظهور است.
کلاهبرداری های نهنگ چیست؟
در کلاهبرداری های نهنگ(Whaling) ، شما معمولاً از طریق ایمیل هدف قرار می گیرید - این یک کلاهبرداری تخصصی فیشینگ(Phishing scam) است. مهاجم فعالیت آنلاین شما را مطالعه می کند و اطلاعات مفیدی در مورد شما از منابع دیگر به دست می آورد. و از این اطلاعات برای ایجاد یک ایمیل شخصی حرفه ای استفاده می شود. دیدن یک ایمیل رسمی می تواند باعث شود که دفاع خود را کنار بگذارید و به احتمال زیاد به چنین ایمیلی اعتماد خواهید کرد. ایده این است که برای فعالیت های متقلبانه بیشتر از شما اطلاعاتی به دست آوریم.
اکنون باید متوجه شوید که یک خط باریک تفاوت بین نهنگ(Whaling) و نیزه فیشینگ (Spear Phishing)وجود دارد. (.) شکار نهنگ(Whaling) معمولاً مدیران سطح بالا را هدف قرار می دهد، در حالی که کلاهبرداری دوم کارکنان یک شرکت، مشتریان یک شرکت را به طور کلی هدف قرار می دهد. آن را شکار نهنگ(Whaling) می نامند زیرا اهداف معمولاً بزرگ یا مهم هستند. و بنابراین نهنگ(Whales) ها به دلیل اقتدار و دسترسی آنها در یک سازمان انتخاب می شوند.
Whaling چگونه کار می کند و چرا شما هدف قرار گرفته اید
بیشتر اهداف معمولاً تجار، کارآفرینان، مدیران عامل(CEOs) و کارمندان شرکتها هستند. اهداف معمولاً مختص تجارت هستند و حملات با هدف به دست آوردن هرگونه اطلاعات حساس در مورد فعالیت های یک سازمان برنامه ریزی می شوند.
شناسایی این نوع حملات مهندسی شده اجتماعی بسیار دشوار است و افراد معمولاً در نهایت دادههایی را به چنین کلاهبردارانی میدهند. کلاهبردار یک ایمیل شخصی از آدرسی که ممکن است با آن آشنا باشید ارسال می کند. کلاهبردار ممکن است تقلید کند که رئیس شما یا سازمان دوستانه دیگری است. یا ممکن است به عنوان مشاور مالی یا وکیل شما تقلید کند. محتوای ایمیل بیشتر جلب توجه است تا بتوانید به سرعت پاسخ دهید و کمترین احتمال گرفتار شدن آنها وجود داشته باشد.
ممکن است ایمیل از شما بخواهد که مقداری پول را به عنوان پرداخت به صورت حساب سررسید انتقال دهید یا ممکن است از شما اطلاعات شرکتی را که در دفتر مرکزی لازم است درخواست کند. یا ممکن است اطلاعات شخصی کارکنان سازمان را بپرسد.
کلاهبردار یا مهاجم قبلاً درباره شما تحقیق کرده است تا یک ایمیل شخصی برای شما ایجاد کند. و این تحقیق ممکن است بر اساس فعالیت های آنلاین شما یا بر اساس هر گونه اطلاعات به دست آمده از منابع دیگر باشد. ایمیل های شکار نهنگ(Whaling emails) به نظر عادی و بی نقص به نظر می رسند و این تنها دلیلی است که مردم در دام می افتند. نام ها، آرم ها و سایر اطلاعات استفاده شده در ایمیل ممکن است واقعی باشند یا نباشند. اما به گونه ای ارائه می شود که به طور معمول افراد نمی توانند تفاوتی بین این ایمیل ها مشخص کنند.
همچنین آدرس ایمیل فرستنده یا وب سایت ذکر شده مشابه شخصی است که ممکن است بشناسید. پیوست ها ممکن است مخرب باشند یا نباشند. تنها هدف از این کلاهبرداری ها متقاعد کردن شما به این است که ایمیل کاملاً عادی است و نیاز به اقدام فوری دارد. و هنگامی که دستورالعمل های ایمیل را دنبال می کنید، در نهایت برخی از داده های محرمانه را به یک شخص یا وب سایت غیرمجاز درز می کنید.
چگونه از حملات نهنگ در امان بمانیم
باید یاد بگیرید که حملات فیشینگ را شناسایی(identify Phishing Attacks) کنید تا به طور کلی در مورد محافظت در برابر فیشینگ بیشتر بدانید تا بتوانید از کلاهبرداری های فیشینگ جلوگیری(avoid Phishing scams) کنید.
کلید محافظت ماندن این است که مراقب باشید. تمام ایمیلهای مربوط به کارتان را تمام و کمال بخوانید و به چیزهای عجیب و غریب توجه کنید. اگر احساس کردید که مشکلی در ایمیل وجود دارد، با سازمانی که گفته می شود ایمیل از آن ارسال شده است، تماس بگیرید.
1] ایمیل فرستنده را تأیید(Verify) کنید و سپس فقط به ایمیل ها پاسخ دهید. معمولاً، وبسایتها یا آدرسهای ایمیلی که از آنجا ایمیل دریافت میکنید، تقریباً مشابه آدرسهای ایمیل معمولی هستند که ممکن است بدانید. ممکن است "o" با "0" (صفر) جایگزین شود یا ممکن است به جای یک "دو" دو "s" وجود داشته باشد. این نوع خطاها به راحتی توسط چشم انسان نادیده گرفته می شوند و اینها اساس چنین حملاتی را تشکیل می دهند.
2] اگر ایمیل نیاز به اقدام فوری دارد، پس باید با دقت نگاه کنید و سپس تصمیم بگیرید. اگر پیوندهای وب سایت خروجی وجود دارد، قبل از ارائه هرگونه اطلاعات به آن وب سایت، آدرس آنها را تأیید کنید. همچنین، علامت قفل را بررسی کنید یا گواهی وب سایت را تأیید کنید.
3] هیچ گونه اطلاعات مالی یا تماسی را به هیچ وب سایت یا ایمیلی ارائه ندهید. بدانید که چه زمانی باید به یک وب سایت اعتماد کنید، قبل از کلیک کردن بر روی پیوندهای وب(Know when to trust a website) ، اقدامات احتیاطی(precautions before clicking on any web links) را انجام دهید و از هنجارهای اولیه ایمنی استفاده از اینترنت پیروی کنید.
4] آنتی ویروس و نرم افزار فایروال مناسبی داشته باشید که از رایانه شما محافظت می کند و هیچ پیوستی را از هیچ یک از این ایمیل ها دانلود نکنید. RAR/7z یا هر فایل اجرایی دیگری به احتمال زیاد حاوی بدافزار یا تروجان(Trojans) است. به طور مرتب رمزهای عبور را تغییر دهید و یک نسخه پشتیبان از اسناد مهم در یک مکان امن ایجاد کنید.
5 ](] Completely) مدارک فیزیکی خود را قبل از دور انداختن کاملاً از بین ببرید تا نتوانند هیچ اطلاعاتی در مورد شما و سازمان شما ارائه دهند.
نمونه های حمله نهنگ
در حالی که می توانید تعداد زیادی از چنین داستان های کلاهبرداری را به صورت آنلاین پیدا کنید. حتی شرکت های بزرگی مانند اسنپ چت(Snapchat) و سیگیت(Seagate) نیز در دام این کلاهبرداری ها افتاده اند. سال گذشته، یکی از کارمندان رده بالای اسنپ چت(Snapchat) قربانی چنین کلاهبرداری شد که در آن ایمیلی به جعل هویت مدیر عامل شرکت درباره حقوق و دستمزد کارمندان جویا شد. به چند نمونه نگاه کنید:
- سیگیت(Seagate) : یک حمله موفقیتآمیز نهنگ باعث شد تا سارقان تا 10000 سند مالیاتی W-2 برای همه کارمندان فعلی و گذشته خود به زمین بفرستند.
- اسنپ چت(Snapchat) : یک کارمند با ایمیلی مواجه شد که جعل درخواست مدیر عامل شرکت ایوان اشپیگل(CEO Evan Spiegel) و به خطر انداختن اطلاعات حقوق و دستمزد 700 کارمند بود.
- FACC : تامینکننده صنعت هواپیماسازی اتریش 50 میلیون یورو به دلیل حمله شکار نهنگ از دست داد.
- Ubiquiti Networks : این شرکت فناوری شبکه در نتیجه حمله شکار نهنگ متحمل خسارت 39.1 میلیون دلاری شد.
- Weight Watchers International : یک ایمیل مربوط به شکار نهنگ به سارقان اجازه داد تا اطلاعات مالیاتی تقریباً 450 کارمند فعلی و سابق را به دست آورند.
قبلا کلاهبرداری کرده اید؟
آیا فکر می کنید که قربانی کلاهبرداری نهنگ شده اید؟ (Whaling)فوراً به رئیس سازمان خود اطلاع دهید و از حقوقی کمک بگیرید. اگر جزئیات بانکی یا هر نوع رمز عبوری را به آنها ارائه کردید، فوراً آنها را تغییر دهید. با یک کارشناس امنیت سایبری مشورت کنید تا مسیر را ردیابی کنید و بدانید مهاجم چه کسی بوده است. به دنبال کمک حقوقی باشید و با یک وکیل مشورت کنید.
سرویس های آنلاین مختلفی وجود دارد که می توانید چنین کلاهبرداری هایی را گزارش کنید. لطفاً این گونه کلاهبرداری ها را گزارش دهید تا فعالیت آنها مختل شود و افراد بیشتری تحت تأثیر قرار نگیرند.
اگر علاقه مند به دانستن بیشتر هستید، این کتاب الکترونیکی عالی با عنوان نهنگ، آناتومی یک حمله(Whaling, Anatomy of an attack) وجود دارد که می توانید آن را رایگان دانلود کنید.
از خود، کارمندان و سازمان خود در برابر چنین کلاهبرداری ها و کلاهبرداری های آنلاین محافظت کنید. این خبر را پخش کنید و به همکاران، دوستان و خانواده خود کمک کنید محافظت شوند.(Protect yourself, your employees and your organization from such frauds and online scams. Spread the word and help your colleagues, friends, and family stay protected.)
در اینجا درباره رایج ترین کلاهبرداری ها و کلاهبرداری های آنلاین و ایمیلی(most common Online and Email scams & frauds) بخوانید .
Related posts
چگونه برای بررسی اگر یک لینک امن است یا با استفاده از مرورگر وب خود را نمی
پیدا کردن اگر online account شما هک شده است و ایمیل و رمز عبور اطلاعات به بیرون درز
Online Safety Tips برای Kids، Students and Teens
Internet Security article and tips برای کاربران Windows 10
Safeguard بچه های خود را از adult content با استفاده از Browsing پاک
چگونه به جستجو برای Online Templates در Microsoft Word
Coronavirus COVID-19 Phishing، Scams، Frauds and Schemes
Fake Online Employment And Job Scams در حال افزایش است
فارمینگ چیست و چگونه می تواند به شما برای جلوگیری از این Online Fraud؟
Pastejacking چیست؟ چرا شما باید کپی کنید چسباندن از وب؟
چگونه برای جلوگیری از Phishing Scams and Attacks؟
Avoid online بانکی و دیگر تقلب سایبری - Tips ایمنی برای کاربران کامپیوتر
وب سایت Traffic Fingerprinting چیست؟ چگونه از خودت محافظت کنی؟
Avoid Online Shopping Fraud & Holiday Season Scams
Password Spray Attack Definition and Defending خود
Online Identity Theft: Prevention and Protection tips
سایبری چیست؟ چگونه برای جلوگیری از و گزارش آن را؟
چه انسان در وسط Attack (MITM): تعریف، Prevention، Tools
PDF Editor Online Tool رایگان برای ویرایش فایل های PDF - PDF Yeah
Photo Collage maker Online Tools and Software رایگان