Perburuan paus adalah bentuk khusus dari phishing yang ditargetkan pada eksekutif bisnis terkenal, manajer, dan sejenisnya. Ini berbeda dari phishing biasa dalam hal itu dengan perburuan paus, email atau halaman web yang melayani penipuan mengambil tampilan yang lebih resmi atau serius dan biasanya menargetkan seseorang pada khususnya.
Untuk perspektif, phishing non-penangkapan ikan biasa biasanya merupakan upaya untuk mendapatkan informasi login seseorang ke situs media sosial atau bank. Dalam kasus-kasus tersebut, email / situs phishing terlihat sangat normal, sedangkan dalam hal penangkapan ikan paus, halaman ini dirancang untuk secara khusus menangani manajer / eksekutif tempat serangan itu ditempatkan.
Catatan: Phishing tombak adalah serangan phishing terhadap seseorang yang spesifik, seperti individu atau perusahaan. Oleh karena itu, penangkapan ikan paus juga dapat dianggap sebagai phishing tombak.
Apa Tujuan dari penangkapan ikan paus?
Intinya adalah untuk menipu seseorang di manajer tingkat atas untuk membocorkan informasi rahasia perusahaan. Ini biasanya datang dalam bentuk kata sandi ke akun sensitif, yang kemudian dapat diakses oleh penyerang untuk mendapatkan lebih banyak informasi.
Permainan akhir dalam semua serangan phishing seperti perburuan paus adalah menakut-nakuti penerima; untuk meyakinkan mereka bahwa mereka perlu mengambil tindakan untuk melanjutkan, seperti menghindari biaya hukum, mencegah dipecat, menghentikan perusahaan dari kebangkrutan, dll.
Seperti apakah Scam Whaling Scaling?
Perburuan paus, seperti halnya game phishing, melibatkan halaman web atau email yang menyamar sebagai salah satu yang sah dan mendesak. Mereka dirancang agar terlihat seperti email bisnis penting atau sesuatu dari seseorang dengan otoritas yang sah, baik secara eksternal atau bahkan secara internal dari perusahaan itu sendiri.
Upaya perburuan paus mungkin terlihat seperti tautan ke situs web biasa yang Anda kenal. Mungkin meminta informasi login Anda seperti yang Anda harapkan. Namun, jika Anda tidak berhati-hati, yang terjadi selanjutnya adalah masalahnya.
Ketika Anda mencoba mengirimkan informasi Anda ke dalam kolom login, Anda mungkin diberitahu bahwa informasinya salah dan Anda harus mencoba lagi. Tidak ada ruginya, bukan? Anda baru saja memasukkan kata sandi Anda dengan salah ... Itulah penipuannya!
Apa yang terjadi di balik layar adalah ketika Anda memasukkan informasi Anda ke situs palsu (yang tidak dapat benar-benar memasukkan Anda karena itu tidak nyata), informasi yang Anda masukkan dikirim ke penyerang dan kemudian Anda dialihkan ke situs web nyata. Anda mencoba kata sandi Anda lagi dan itu berhasil dengan baik.
Pada titik ini, Anda tidak tahu bahwa halaman itu palsu dan seseorang hanya mencuri kata sandi Anda. Namun, penyerang sekarang memiliki nama pengguna dan kata sandi Anda ke situs web yang Anda pikir Anda masuk.
Alih-alih tautan, scam phishing mungkin mengunduh program untuk melihat dokumen atau gambar. Program, apakah nyata atau tidak, juga memiliki nada jahat yang digunakan untuk melacak semua yang Anda ketik atau menghapus sesuatu dari komputer Anda.
Bagaimana Whaling Berbeda dari Penipuan Phishing Lainnya
Dalam scam phishing biasa , halaman web / email mungkin merupakan peringatan palsu dari bank Anda atau PayPal. Halaman yang dipalsukan mungkin menakut-nakuti target dengan klaim bahwa akun mereka telah dibebankan atau diserang, dan bahwa mereka harus memasukkan ID dan kata sandi untuk mengonfirmasi tagihan atau untuk memverifikasi identitas mereka.
Dalam kasus penangkapan ikan paus, halaman web / email penyamaran akan mengambil bentuk tingkat eksekutif yang lebih serius. Konten akan dibuat untuk menargetkan manajer tingkat atas seperti CEO atau bahkan hanya seorang supervisor yang mungkin memiliki banyak tarikan di perusahaan atau yang mungkin memiliki kredensial ke akun yang berharga.
Email atau situs web penangkapan ikan paus bisa datang dalam bentuk panggilan pengadilan palsu, pesan palsu dari FBI, atau semacam keluhan hukum kritis.
Bagaimana Saya Melindungi Diri Saya Dari Serangan-Serangan Penyembunyian?
Cara termudah untuk melindungi diri Anda dari jatuh karena tipuan penangkapan ikan paus adalah menyadari apa yang Anda klik. Sesederhana itu. Karena penangkapan ikan paus terjadi melalui email dan situs web, Anda dapat menghindari semua tautan palsu dengan memahami apa yang nyata dan apa yang tidak.
Sekarang, tidak selalu mungkin untuk mengetahui apa yang palsu. Terkadang, Anda mendapatkan email baru dari seseorang yang belum pernah Anda kirimi email sebelumnya, dan mereka mungkin mengirimkan sesuatu yang tampaknya sepenuhnya sah.
Namun, jika Anda melihat URL di browser web Anda dan pastikan untuk melihat-lihat situs, bahkan secara singkat, untuk hal-hal yang terlihat sedikit, Anda dapat sangat mengurangi peluang Anda diserang dengan cara ini.
Lihat Cara Melindungi Diri Anda Dari Penipuan Phishing untuk informasi lebih lanjut.
Apakah Eksekutif dan Manajer Benar-Benar Jatuh Untuk Email Penangkapan Ikan Paus Ini?
Ya, sayangnya, manajer sering jatuh karena penipuan email penangkapan ikan paus. Ambil contoh scam penangkapan paus FBI 2008 sebagai contoh.
20.000 CEO perusahaan diserang dan sekitar 2.000 dari mereka jatuh karena penipuan penangkapan ikan paus dengan mengklik tautan di email. Mereka percaya itu akan mengunduh add-on browser khusus untuk melihat seluruh panggilan pengadilan.
Sebenarnya, perangkat lunak yang terhubung adalah keylogger yang diam-diam merekam kata sandi CEO dan meneruskan kata sandi itu kepada para penipu. Sebagai akibatnya, masing-masing dari 2000 perusahaan yang dikompromikan diretas lebih jauh sekarang karena para penyerang memiliki informasi yang mereka butuhkan.