Phishing for Your Information: Spear-Phishing and Whaling Explained

homepageTop News
Written By David Shipley

French | Spanish

Did you know that 91% of cyber attacks are spear-phishing attacks? This makes them the most dangerous threat to individuals and organizations alike. In this blog, we define what spear phishing and whaling are, how to recognize a potential attack and how to protect yourself and your organization.

Spear-Phishing

Spear-phishing is a targeted social engineering attack where the hacker uses targeted information to try and convince users to disclose their or their organization’s confidential information. While phishing attacks are not personalized and are sent out to multiple individuals at once in hopes that some will fall for the ploy, spear-phishing attacks target a single individual or group of individuals that share similar characteristics. The cybercriminals group folks based on similar attributes such as interests, place of work or location and then create specific and detailed attacks targeting those shared characteristics.

Cybercriminals are able to craft these detailed attacks based off of easily available information that you post online. By viewing social networking site profiles like Facebook, LinkedIn or Twitter, they may be able to gather information such as an email address, place of work, friends list and location. Cybercriminals get as much information as possible to craft emails that are believable in an attempt to convince you that they are legit.

Spear-phishing attacks often include messages conveying urgency or the need to act quickly without reflecting on the situation. Attackers often ask for confidential information such as passwords, account numbers and access codes to name a few. You will be asked to provide this information by replying directly to the email, or by clicking on a malicious link.

If you supply cybercriminals with the desired information, the ramifications can be disastrous. With your personal information, hackers can gain access to your personal accounts, banking information and other confidential identification details that can lead to identity theft among other crimes. With company information, hackers can gain access to the company network and steal confidential data such as IP or access codes.

Whaling

While spear-phishing is a specified form of phishing, whaling is even more specific and often only targets a single, high-level individual. There are two types of whaling attacks: 1) which targets high-level individuals such as CEO, COO, CISCO, etc., or 2) where a cybercriminal impersonates high-level personnel and targets other company employees. For both types of whaling attacks, the hackers often try to have the target either authorize or complete large wire transfers.

Unlike spear-phishing attacks which involve some planning, whaling attacks are often very strategic and well-planned, lasting anywhere from a day, to weeks, to even months of planning and communication. These attacks take longer to execute and plan because the payout is expected to be much larger. As a result, whaling attacks are often more difficult to spot and deter.

Whaling attacks involve a high level of detail and personalization. These attacks can include your name, job title, location and other relevant information. Like with spear-phishing attacks, hackers take information from online social networking profiles and use that information to create highly specific and detailed scams. Cybercriminals take their time and every precaution when executing whaling attacks, often consulting more than just your social media accounts because of the potential of a high return.  

How to Avoid a Spear-Phishing or Whaling Attack

Follow these recommended steps to protect yourself and your organization from a spear-phishing or whaling attack:

1.      Watch what personal information you post online

2.      Have a unique and strong password

3.      Keep software up to date

4.      Use common sense when opening emails or checking links

5.      Implement a data protection program

Popular Spear-Phishing and Whaling Attacks

The following attacks have been reported to the Canadian Anti-Fraud Centre. For more examples of reported spear-phishing attacks, please visit their website.

  • Gift cards: The cybercriminal send an email to an employee pretending to be the CEO or another high-ranking colleague and tries to persuade the employee that the high-level official they are impersonating needs their assistance purchasing gift cards for the office. Like with most spear-phishing and whaling scams, the purpose is to persuade the recipient to transfer or disclose confidential information.

  •   Wire transfer: Similar to the gift card scam, the attacker sends an employee an email pretending to be a high-level colleague asking for a urgent wire transfer to a foreign account.

  • Financial industry client scam: Instead of impersonating a high-level individual in the company, the cybercriminal for this scam impersonates an existing client. Like with the other two scams, the attacker directs the company to make an urgent wire transfer.

  • Payroll: The cybercriminal sends an email impersonating an employee requesting a change to their direct deposit information. If the organization complies with the attacker’s request, the employees pay is deposited into an account of the cybercriminal’s creation.

How to Spot a Spear-Phishing or Whaling Attack

According to the government of Canada, the best way to spot a potential spear-phishing or whaling attack is to slow down and analysis the following three things:

  • Email Address: Check to make sure that the address matches the one used in previous communications. Make sure that words are spelled correctly and that there are no additional letters or numbers in the email address or domain name.

  • Formatting: Is the email formatted in a way that resembles past communications with this person or organization? Are there new spelling or grammar mistakes that don’t match past communications with the sender? Are there inconsistencies in tone or word choice that seem different?

  • Urgency: Is there a sense of urgency around the request? Is this urgency explained, and is the explanation logical? Consider if this type of request is what you would expect from the sender and if it resembles past interactions with them.  

À la pêche pour vos informations : Le harponnage et la chasse à la baleine

Saviez-vous que 91 % des cyberattaques sont des attaques de harponnage? Cela en fait la menace la plus dangereuse pour les individus et les organisations. Dans ce billet de blogue, nous définissons ce que sont les attaques de harponnage et de chasse à la baleine, comment reconnaître une attaque potentielle et comment vous protéger et protéger votre organisation.

Harponnage

Le harponnage est une attaque d’ingénierie sociale ciblée dans laquelle le pirate utilise des informations spécifiques pour tenter de convaincre les utilisateurs de divulguer leurs informations sensibles ou celles de leur organisation. Alors que les attaques d’hameçonnage ne sont pas personnalisées et sont envoyées à plusieurs personnes à la fois dans l’espoir que certaines tomberont dans le stratagème, les attaques de harponnage ciblent un seul individu ou un groupe d’individus qui partagent des caractéristiques similaires. Les cybercriminels regroupent les personnes en fonction d’attributs similaires, tels que les intérêts, le lieu de travail ou l’emplacement, puis créent des attaques spécifiques et détaillées ciblant ces caractéristiques communes.

Les cybercriminels peuvent créer ces attaques détaillées en fonction des informations facilement disponibles que vous publiez en ligne. En consultant des profils de sites de médias sociaux tels que Facebook, LinkedIn ou Twitter, ils sont en mesure de collecter des informations telles qu’une adresse courriel, un lieu de travail, une liste d’amis et un emplacement. Les cybercriminels obtiennent autant d’informations que possible pour créer des courriels crédibles dans le but de vous convaincre qu’ils sont légitimes.

Les attaques de harponnage comprennent souvent des messages véhiculant l’urgence ou la nécessité d’agir rapidement sans réfléchir à la situation. Les attaquants demandent souvent des informations sensibles telles que des mots de passe, des numéros de compte et des codes d’accès, pour n’en nommer que quelques-uns. Il vous sera demandé de fournir ces informations en répondant directement au courriel ou en cliquant sur un lien malveillant.

Fournir aux cybercriminels les informations souhaitées peut entraîner des ramifications désastreuses. Avec vos informations personnelles, les pirates peuvent accéder à vos comptes personnels, à vos informations bancaires et à d’autres informations d’identification sensibles qui peuvent conduire au vol d’identité, entre autres crimes. Avec les informations de l’entreprise, les pirates peuvent accéder au réseau de l’entreprise et voler des données sensibles telles que des adresses IP ou des codes d’accès.

Chasse à la baleine

Alors que le harponnage est une forme spécifique d’hameçonnage, la chasse à la baleine est encore plus spécifique et ne cible souvent qu’une seule personne de haut niveau. Il existe deux types d’attaques de chasse à la baleine : 1) des attaques qui ciblent des personnes de haut niveau comme le PDG, le chef d’exploitation, CISCO, etc., ou 2) des attaques où un cybercriminel usurpe l’identité d’un membre du personnel de haut niveau et cible d’autres employés de l’entreprise. Pour les deux types d’attaques de chasse à la baleine, les pirates tentent souvent d’obtenir de la cible qu’elle autorise ou effectue de gros virements bancaires.

Contrairement aux attaques de harponnage qui impliquent une certaine planification, les attaques de chasse à la baleine sont souvent très stratégiques et bien planifiées, et peuvent impliquer d’une journée à des semaines, voire des mois de planification et de communication. Ces attaques prennent plus de temps à exécuter et à planifier, car le montant demandé est beaucoup plus élevé. Par conséquent, les attaques de chasse à la baleine sont souvent plus difficiles à détecter et à prévenir.

Les attaques de chasse à la baleine impliquent un niveau élevé de détail et de personnalisation. Ces attaques peuvent inclure votre nom, votre titre, votre emplacement et d’autres informations pertinentes. Comme pour les attaques de harponnage, les pirates prennent leurs informations sur des profils de médias sociaux en ligne et utilisent ces informations pour créer des escroqueries extrêmement personnalisées et détaillées. Les cybercriminels prennent leur temps et toutes les précautions lors de l’exécution d’attaques de chasse à la baleine, consultant souvent bien plus que seulement les comptes de médias sociaux en raison du potentiel de retour élevé.

Comment éviter une attaque de harponnage ou de chasse à la baleine

Suivez ces étapes recommandées pour vous protéger et protéger votre organisation contre les attaques de harponnage ou de chasse à la baleine :

1. Faites attention aux renseignements personnels que vous publiez en ligne

2. Utilisez des mots de passe uniques et robustes

3. Gardez vos logiciels à jour

4. Faites preuve de bon sens lorsque vous ouvrez des courriels ou cliquez sur des liens

5. Mettez en œuvre un programme de protection des données

Attaques populaires de harponnage et de chasse à la baleine

Les attaques suivantes ont été signalées au Centre antifraude du Canada. Pour plus d’exemples d’attaques de harponnage signalées, visitez le site Web du Centre.

  • Cartes-cadeaux : le cybercriminel envoie un courriel à un employé d’une organisation en se faisant passer pour le PDG ou un autre membre de la haute direction et tente de persuader l’employé que le haut fonctionnaire qu’il se fait passer a besoin de son aide pour acheter des cartes-cadeaux pour le bureau. Comme pour la plupart des escroqueries par harponnage et chasse à la baleine, le but est de persuader le destinataire de transférer un montant d’argent ou de divulguer des informations sensibles.

  • Virement bancaire : à l’instar de l’escroquerie par carte-cadeau, l’attaquant envoie à un employé un courriel en se faisant passer pour un membre de la haute direction pour demander un virement bancaire urgent vers un compte à l’étranger.

  • Escroquerie des clients de l’industrie financière : au lieu de se faire passer pour un membre de la direction de l’entreprise, le cybercriminel se fait plutôt passer pour un client existant. Comme pour les deux autres escroqueries, l’attaquant ordonne à l’entreprise d’effectuer un virement bancaire urgent.

  • Paie : le cybercriminel envoie un courriel en se faisant passer pour un employé demandant une modification de ses informations de dépôt direct. Si l’organisation se conforme à la demande de l’attaquant, le paiement des employés est déposé sur un compte de la création du cybercriminel.

Comment détecter une attaque de harponnage ou de chasse à la baleine

Selon le gouvernement du Canada, la meilleure façon de détecter une éventuelle attaque de harponnage ou de chasse à la baleine est de s’arrêter et d’analyser les trois éléments suivants :

  • Adresse courriel : vérifiez que l’adresse correspond à celle utilisée dans les communications précédentes. Assurez-vous que les mots sont orthographiés correctement et qu’il n’y a pas de lettres ou de chiffres supplémentaires dans l’adresse courriel ou le nom de domaine.

  • Format : le courriel est-il formaté d’une manière qui ressemble aux communications passées avec cette personne ou cette organisation? Y a-t-il des fautes d’orthographe ou de grammaire qui ne correspondent pas aux standards des communications précédents de l’expéditeur? Y a-t-il des incohérences dans le choix du ton ou des mots qui semblent différents?

  • Urgence : La demande implique-t-elle un sentiment d’urgence? Cette la raison de cette urgence est expliquée et l’explication est-elle logique? Demandez-vous si ce type de demande est ce que vous attendez de l’expéditeur et si cela ressemble à des interactions passées avec lui.

Phishing, para su información: explicamos el spear-phishing y el whaling

¿Sabía que el 91% de los ciberataques son ataques de spear-phishing? Esto los convierte en la amenaza más peligrosa para personas y organizaciones por igual. En esta entrada de blog, definimos qué son el spear-phishing y el whaling, cómo reconocer un posible ataque y cómo protegerse usted mismo y a su organización.

Spear-phishing

El spear-phishing es un ataque de ingeniería social dirigido en el que el hacker utiliza información específica para tratar de convencer a los usuarios de que divulguen su información confidencial o la de su organización. Si bien los ataques de phishing no son personalizados y se envían a varias personas a la vez con la esperanza de que algunos caigan en la trampa, los ataques de spear-phishing se dirigen a un solo individuo o grupo de individuos que comparten características similares. Los ciberdelincuentes agrupan a las personas en función de atributos similares, como intereses, lugar de trabajo o ubicación, y luego crean ataques específicos y detallados dirigidos a esas características compartidas.

Los ciberdelincuentes pueden crear estos ataques detallados basados en la información fácilmente disponible que usted publica en línea. Al ver perfiles de sitios de redes sociales como Facebook, LinkedIn o Twitter, es posible que puedan recopilar información como una dirección de correo electrónico, lugar de trabajo, lista de amigos y ubicación. Los ciberdelincuentes obtienen tanta información como sea posible para crear direcciones de correo electrónico creíbles en un intento de convencerlo de que son legítimos.

Los ataques de spear-phishing a menudo incluyen mensajes que transmiten urgencia o la necesidad de actuar rápidamente sin reflexionar sobre la situación. Los atacantes a menudo piden información confidencial como contraseñas, números de cuenta y códigos de acceso, por nombrar algunos. Se le pedirá que proporcione esta información respondiendo directamente al correo electrónico o haciendo clic en un enlace malicioso.

Si proporciona a los ciberdelincuentes la información deseada, las ramificaciones pueden ser desastrosas. Con su información personal, los hackers pueden acceder a sus cuentas personales, información bancaria y otros detalles de identificación confidenciales que pueden conducir al robo de identidad, entre otros delitos. Con la información de la empresa, los hackers pueden obtener acceso a la red de la empresa y robar datos confidenciales como IP o códigos de acceso.

Whaling

Mientras que el spear-phishing es una forma específica de phishing, el whaling es aún más específico y, a menudo, solo se dirige a un solo individuo de alto nivel. Hay dos tipos de ataques de whaling: 1) los que se dirigen a personas de alto nivel como CEO, COO, CISCO, etc., o 2) aquellos en los que un ciberdelincuente se hace pasar por personal de alto nivel y se dirige a otros empleados de la empresa. Para ambos tipos de ataques de whaling, los hackers a menudo intentan que el objetivo autorice o realice grandes transferencias bancarias.

A diferencia de los ataques de spear-phishing que implican poca planificación, los ataques de whaling a menudo son muy estratégicos y bien planificados, y su planificación y comunicación puede durar desde un día, hasta semanas, e incluso meses. Estos ataques tardan más en ejecutarse y planificarse porque se espera que el pago sea mucho mayor. Como resultado, los ataques de whaling a menudo son más difíciles de detectar y disuadir.

Los ataques de whaling implican un alto nivel de detalle y personalización. Estos ataques pueden incluir su nombre, cargo, ubicación y otra información relevante. Al igual que con los ataques de spear-phishing, los hackers toman información de los perfiles de redes sociales en línea y utilizan esa información para crear estafas altamente específicas y detalladas. Los ciberdelincuentes se toman su tiempo y todas las precauciones al ejecutar ataques de whaling, a menudo consultando más que solo sus cuentas de redes sociales debido al potencial de un alto rendimiento.

Cómo evitar un ataque de spear-phishing o whaling

Siga estos pasos recomendados para protegerse a usted mismo y a su organización de un ataque de spear-phishing o whaling:

1. Tenga cuidado con la información personal que publica en línea

2. Tenga una contraseña única y segura

3. Mantenga el software actualizado

4. Use el sentido común al abrir correos electrónicos o revisar enlaces

5. Implemente un programa de protección de datos

Ataques populares de spear-phishing y whaling

Los siguientes ataques han sido reportados al Centro Canadiense de Lucha contra el Fraude. Para más ejemplos de ataques de spear-phishing reportados, visite su sitio web.

  • Tarjetas de regalo: El ciberdelincuente envía un correo electrónico a un empleado haciéndose pasar por el CEO u otro compañero de alto rango y trata de persuadir al empleado de que el funcionario de alto nivel que está suplantando necesita su ayuda para comprar tarjetas de regalo para la oficina. Al igual que con la mayoría de las estafas de spear-phishing y whaling, la finalidad es persuadir al destinatario para que transfiera o divulgue información confidencial.

  • Transferencia bancaria: Similar a la estafa de la tarjeta de regalo, el atacante le envía un correo electrónico a un empleado haciéndose pasar por un compañero de alto nivel y solicitando una transferencia bancaria urgente a una cuenta extranjera.

  • Fraude de clientes del sector financiero: En lugar de hacerse pasar por un individuo de alto nivel en la empresa, el ciberdelincuente de este fraude se hace pasar por un cliente existente. Al igual que con las otras dos estafas, el atacante ordena a la empresa que realice una transferencia bancaria urgente.

  • Nómina: El ciberdelincuente envía un correo electrónico haciéndose pasar por un empleado solicitando un cambio en su información de depósito directo. Si la organización cumple con la solicitud del atacante, el pago de los empleados se deposita en una cuenta creada por el ciberdelincuente.

Cómo detectar un ataque de spear-phishing o whaling

Según el gobierno de Canadá, la mejor manera de detectar un posible ataque de spear-phishing o whaling es actuando con más calma y analizando las siguientes tres cosas:

  • Dirección de correo electrónico: Verifique que la dirección coincida con la utilizada en comunicaciones anteriores. Asegúrese de que las palabras estén escritas correctamente y que no haya letras o números adicionales en la dirección de correo electrónico o el nombre de dominio.

  • Formato: ¿El correo electrónico está formateado de una manera que se asemeja a las comunicaciones pasadas con esta persona u organización? ¿Hay nuevos errores ortográficos o gramaticales que no coinciden con las comunicaciones anteriores con el remitente? ¿Hay inconsistencias en el tono o las palabras elegidas parecen diferentes?

  • Urgencia: ¿Hay un sentido de urgencia en torno a la solicitud? ¿Se explica esta urgencia y es lógica la explicación? Considere si este tipo de solicitud es lo que esperaría del remitente y si se asemeja a interacciones pasadas con ellos.

 

David Shipley
Previous

How to Stay Cybersafe During the Holidays
Next

5 Emotions Used in Social Engineering