Bir kuruluşta çalışıyorsanız veya bir kuruluşa sahipseniz, siber saldırı ve dolandırıcılık riskinin her zaman yüksek olduğunu bilmeniz gerekir. E-posta Dolandırıcılıkları^{(Email Scams)} , bunlar arasında en yaygın olanıdır. Kimlik Avı, Tabnabbing, Spear Phishing ve ayrıca Vishing ve Smishing gibi birçok çeşide sahiptir. Birkaç gün önce, Pharming çevrimiçi dolandırıcılıklarına^{(Pharming online frauds)} bir göz attık - bugün , ortaya çıkan siber güvenlik tehdidi olan Balina Dolandırıcılığına^{(Whaling Scams)} bir göz atacağız .

Balina dolandırıcılığı nedir

Balina^(Whaling) avı dolandırıcılıklarında , genellikle e-posta ile hedeflenirsiniz - bu özel bir Kimlik Avı dolandırıcılığıdır^{(Phishing scam)} . Saldırgan, çevrimiçi etkinliğinizi inceler ve diğer kaynaklardan sizinle ilgili yararlı bilgiler elde eder. Ve bu bilgiler profesyonel görünümlü kişiselleştirilmiş bir e-posta oluşturmak için kullanılır. Resmi bir e-posta görmek, savunmanızı bırakmanıza neden olabilir ve bu tür e-postalara güvenmeniz çok olasıdır. Buradaki fikir, daha fazla dolandırıcılık faaliyetleri için sizden bilgi almaktır.

Şimdi, Balina Avcılığı^(Whaling) ve Mızraklı Kimlik Avı^{(Spear Phishing)} arasında ince bir fark olduğunu anlamalısınız . Balina avcılığı^(Whaling) tipik olarak üst düzey yöneticileri hedeflerken, ikinci dolandırıcılık bir şirketin çalışanlarını, genel olarak bir şirketin müşterilerini hedef alır. Hedefler genellikle büyük veya önemli olduğu için Balina Avcılığı^(Whaling) denir . Ve böylece Balinalar^(Whales) , yetkileri ve bir organizasyon içindeki erişimleri nedeniyle seçilir.

Balina avcılığı^(Whaling) nasıl çalışır ve neden hedeftesiniz?

Hedeflerin çoğu genellikle iş adamları, girişimciler, CEO'lar^(CEOs) ve kurumsal çalışanlardır. Hedefler genellikle işletmeye özeldir ve saldırılar, bir kuruluşun faaliyetleri hakkında herhangi bir hassas bilgi elde etmek amacıyla planlanır.

Bu tür sosyal olarak tasarlanmış saldırıları tespit etmek çok zordur ve insanlar genellikle bu tür dolandırıcılara veri verir. Dolandırıcı, aşina olabileceğiniz bir adresten kişiselleştirilmiş bir e-posta gönderir. Dolandırıcı, patronunuz veya başka bir dost kuruluşmuş gibi davranabilir. Ya da mali danışmanınız veya avukatınız olarak taklit edebilir. E-postanın içeriği çoğunlukla dikkat çekmek içindir, bu nedenle hemen yanıt verebilirsiniz ve yakalanma ihtimalleri çok düşüktür.

E-posta, ödenmesi gereken bir faturanın ödemesi olarak bir miktar para aktarmanızı gerektirebilir veya bir merkez ofiste gerekli olan bazı şirket verilerini isteyebilir. Veya kurum çalışanları hakkında kişisel bilgiler isteyebilir.

Dolandırıcı veya saldırgan, sizin için kişiselleştirilmiş bir e-posta oluşturmak için sizi zaten araştırdı. Ve araştırma, çevrimiçi etkinliklerinize veya diğer kaynaklardan elde edilen bilgilere dayanabilir. Balina avı e-postaları^{(Whaling emails)} normal ve mükemmel görünüyor ve insanların tuzağa düşmesinin tek nedeni bu. E-postada kullanılan isimler, logolar ve diğer bilgiler gerçek olabilir veya olmayabilir. Ancak normalde insanların bu e-postalar arasında bir fark gösteremeyecekleri şekilde sunulur.

Ayrıca, gönderenin e-posta adresi veya bahsedilen web sitesi, tanıdığınız birine benzer. Ekler kötü amaçlı olabilir veya olmayabilir. Bu dolandırıcılıkların tek amacı, sizi e-postanın tamamen normal olduğuna ve acil eylem gerektirdiğine ikna etmektir. Ve e-postadaki talimatları uyguladığınızda, bazı gizli verileri yetkisiz bir kişiye veya web sitesine sızdırmış olursunuz.

Balina saldırılarından nasıl korunuruz

Genel olarak kimlik avına karşı koruma hakkında daha fazla bilgi edinmek ve Kimlik Avı dolandırıcılıklarından kaçınmak için Kimlik ^{(avoid Phishing scams)}Avı Saldırılarını tanımlamayı^{(identify Phishing Attacks)} öğrenmelisiniz .

Korunmanın anahtarı dikkatli olmaktır. İşle ilgili tüm e-postalarınızı baştan sona okuyun ve şüpheli bir şeye dikkat edin. E-postada bir sorun olduğunu hissettiyseniz, e-postanın gönderildiği söylenen kuruluşla iletişime geçin.

1] Gönderenin e-postasını doğrulayın^(Verify) ve ardından yalnızca e-postalara yanıt verin. Genellikle, e-postaları aldığınız web siteleri veya e-posta adresleri, bildiğiniz normal e-posta adresleriyle neredeyse aynıdır. Bir 'o', bir '0' (sıfır) ile değiştirilebilir veya bir 's' yerine iki 'ss' olabilir. Bu tür hatalar insan gözü tarafından kolayca gözden kaçırılır ve bu tür saldırıların temelini bunlar oluşturur.

2] E-posta acil bir işlem gerektiriyorsa, dikkatlice bakmalı ve sonra karar vermelisiniz. Herhangi bir giden web sitesi bağlantısı varsa, o web sitesine herhangi bir bilgi vermeden önce adreslerini doğrulayın. Ayrıca, asma kilit işaretini kontrol edin veya web sitesinin sertifikasını doğrulayın.

3] Herhangi bir web sitesine veya e-postaya herhangi bir finansal veya herhangi bir iletişim bilgisi vermeyin. Bir web sitesine ne zaman güveneceğinizi bilin ^{(Know when to trust a website)}, herhangi bir web bağlantısına tıklamadan önce önlem alın^{(precautions before clicking on any web links)} ve temel internet kullanım güvenliği normlarına uyun.

4] Bilgisayarınızı koruyan uygun bir antivirüs, güvenlik duvarı yazılımına sahip olun ve bu e-postalardan herhangi bir ek indirmeyin. RAR/7z veya diğer yürütülebilir dosyaların en çok herhangi bir kötü amaçlı yazılım veya Truva atı^(Trojans) içerdiğinden şüphelenilir . Parolaları düzenli olarak değiştirin ve önemli belgelerin güvenli bir yerde yedeklerini oluşturun.

5 ]^{(] Completely)} Fiziksel belgelerinizi elden çıkarmadan önce tamamen imha edin, böylece siz ve kuruluşunuz hakkında herhangi bir bilgi sağlayamazlar.

balina saldırısı örnekleri

İnternette böyle bir ton dolandırıcılık hikayesi bulabilirsiniz. Snapchat ve Seagate gibi büyük şirketler bile bu dolandırıcılık tuzağına düştü. Geçen yıl, Snapchat'in^(Snapchat) üst düzey bir çalışanı , şirketin CEO'sunu taklit eden bir e-postanın çalışanların maaş bordrosunu sorduğu böyle bir dolandırıcılığın kurbanı oldu. Bazı örneklere bir göz atın:

• Seagate : Başarılı bir balina saldırısı, hırsızların tüm mevcut ve geçmiş çalışanlar için 10.000 W-2 vergi belgesine ulaşmasına neden oldu.
• Snapchat : Bir çalışan, ^(Snapchat)CEO Evan Spiegel'in^{(CEO Evan Spiegel)} bir talebini taklit eden bir e-postaya düştü ve 700 çalışanın maaş bordrosu verilerini tehlikeye attı.
• FACC : Avusturyalı uçak endüstrisi tedarikçisi bir balina saldırısı nedeniyle 50 milyon euro kaybetti.
• Ubiquiti Networks : Bu ağ teknolojisi şirketi, bir balina saldırısı sonucunda 39,1 milyon dolar zarara uğradı.
• Weight Watchers International : Bir balina avcılığı e-postası, hırsızların yaklaşık 450 mevcut ve eski çalışanın vergi verilerini elde etmesine olanak sağladı.

Zaten Dolandırıldınız mı?

Bir Balina^(Whaling) dolandırıcılığının kurbanı olduğunuzu düşünüyor musunuz ? Derhal kurumunuzun başkanını bilgilendirin ve yasal yardım alın. Onlara herhangi bir banka detayı veya herhangi bir şifre verdiyseniz, bunları hemen değiştirin. Yolu takip etmek ve saldırganın kim olduğunu öğrenmek için bir siber güvenlik uzmanına danışın. Hukuki yardım alın ve bir avukata danışın.

Bu tür dolandırıcılıkları bildirebileceğiniz çeşitli çevrimiçi hizmetler vardır. Faaliyetlerinin kesintiye uğraması ve daha fazla kişinin etkilenmemesi için lütfen bu tür dolandırıcılıkları bildirin.

Daha fazlasını öğrenmek istiyorsanız, ücretsiz olarak indirebileceğiniz Whaling, Anatomy of an attack başlıklı bu mükemmel e-Kitap var .

Kendinizi, çalışanlarınızı ve kuruluşunuzu bu tür dolandırıcılıklardan ve çevrimiçi dolandırıcılıklardan koruyun. Haberi yayın ve iş arkadaşlarınızın, arkadaşlarınızın ve ailenizin korunmasına yardımcı olun.^{(Protect yourself, your employees and your organization from such frauds and online scams. Spread the word and help your colleagues, friends, and family stay protected.)}

En yaygın Çevrimiçi ve E-posta dolandırıcılıkları ve sahtekarlıkları^{(most common Online and Email scams & frauds)} hakkında burayı okuyun .

What are Whaling scams & how to protect your Enterprise

If you work in оr own an enterprise, then you need to know that there is always a high risk of cyber-аttacks & scams taking place. Email Scams are the most common among thеm. Phishing comes іn many flavors like Tabnabbing, Spear Phishing as well as Vishing and Smishing. A few days back, we took a look at Pharming online frauds – today we will take a look at Whaling Scams which is the emerging cyber-security threat.

What are Whaling scams

In Whaling scams, you are targeted usually by email – it is a specialized Phishing scam. The attacker studies your online activity and obtains useful information about you from other sources. And that information is used to create a professional looking personalized e-mail. Seeing an official email can cause you to drop your defenses and you are very likely to trust such email. The idea is to obtain information from you for further fraudulent activities.

Now you have to realize that there is a thin line of difference between Whaling and Spear Phishing. Whaling typically targets high-level executives, whereas the latter scam targets employees of a company, customers of a company generally. It is called Whaling because the targets are usually large or important. And so Whales are chosen because of their authority and access within an organization.

How does Whaling work and why are you targeted

Most of the targets are usually businessmen, entrepreneurs, CEOs, and corporate employees. The targets are usually business specific and attacks are planned for the purpose of obtaining any sensitive information about the activities of an organization.

These kind of socially engineered attacks are very difficult to identify and people usually end up giving data to such scammers. The scammer sends a personalized email from an address you may be familiar with. The scammer may mimic to be your boss or another friendly organization. Or he/she may mimic as your financial consultant or your lawyer. The content of the email is mostly attention seeking so that you may reply promptly and there is the least chance of them getting caught.

The email might require you to transfer some money as a payment to a due bill or it may ask you for some company data that is required at a head office. Or it may ask personal details about the employees of the organization.

The scammer or the attacker has already researched you to create a personalized email for you. And the research may be based upon your online activities or upon any information obtained from other sources. Whaling emails just seem normal and perfect and that is the only reason people fall into the trap. The names, logos and other information used in the email may be real or not. But it is presented in such a way that normally people cannot mark a difference between these emails.

Also, the email address of the sender or the website mentioned is similar to someone you may know. The attachments may or may not be malicious. The sole purpose of these scams is to convince you that the email is completely normal and requires urgent action. And when you follow the instructions in the email, you end up leaking out some confidential data to an unauthorized person or website.

How to stay protected from Whaling attacks

You have to learn to identify Phishing Attacks to know more about protection from phishing in general so that you can avoid Phishing scams.

The key to staying protected is to stay attentive. Read all your work related emails end to end and keep an eye on something fishy. If you just felt that there is something wrong with the email, contact the organization from which the email is said to be.

1] Verify the sender’s email and then only respond to emails. Usually, the websites or email addresses from where you are receiving emails are almost identical to normal email addresses that you may know. An ‘o’ may be replaced with a ‘0’ (zero) or there may be two ‘ss’ instead of one ‘s’. This kind of errors are easily overlooked by a human eye, and these forms the basis of such attacks.

2] If the email requires some urgent action, then you must look carefully and then take the decision. If there are any outbound website links, verify their address before supplying any information to that website. Also, check for the padlock sign or verify the website’s certificate.

3] Do not provide any financial or any contact details to any website or an email. Know when to trust a website, take precautions before clicking on any web links and follow the basic internet usage safety norms.

4] Have proper antivirus, firewall software protecting your computer and do not download any attachments from any of these emails. RAR/7z or any other executable files are most suspected to contain any malware or Trojans. Regularly change passwords and create a backup of important documents at a secure location.

5] Completely destroy your physical documents before disposing of them so that they cannot provide any information about you and your organization.

Whaling attack examples

While you can find a ton of such scam stories online. Even the major companies like Snapchat and Seagate have fallen into the traps of these scams. Last year, a high-rank employee of Snapchat was a victim of such a scam where an email impersonating the CEO of the company inquired about the payroll of the employees. Take a look at some examples:

• Seagate: A successful whaling attack landed thieves up to 10,000 W-2 tax documents for all current and past employees.
• Snapchat: An employee fell for an email impersonating a request from CEO Evan Spiegel and compromised payroll data for 700 employees.
• FACC: The Austrian aircraft industry supplier lost 50 million euros due to a whaling attack.
• Ubiquiti Networks: This networking tech company suffered a $39.1 million loss as a result of a whaling attack.
• Weight Watchers International: A whaling email allowed thieves to obtain tax data for nearly 450 current and former employees.

Already Scammed?

Do you think that you’ve been a victim of a Whaling scam? Immediately inform the head of your organization and seek legal help. If you provided them with any bank details or any sort of passwords, change them immediately. Consult a cyber-security expert to track back the path and know who the attacker was. Seek out for legal help and consult a lawyer.

There are various online services available where you can report such scams. Please report such scams so that their activity can be disrupted and more people are not affected.

If you are interested in knowing more, there is this excellent eBook titled Whaling, Anatomy of an attack, which you can download free.

Protect yourself, your employees and your organization from such frauds and online scams. Spread the word and help your colleagues, friends, and family stay protected.

Read here about the most common Online and Email scams & frauds.

Related posts

• Bir bağlantının güvenli olup olmadığını veya web tarayıcınızı kullanmadığının kontrol edilmesi

• online account'nizin hacklenmiş olup olmadığını ve e-posta ve şifre ayrıntıları sızdırılmış olup olmadığını öğrenin

• Kids, Students and Teens için Online Safety Tips

• Windows 10 kullanıcıları için Internet Security article and tips

• Safeguard adult content'DEN ÇOCUKLARINIZI TEMİZ Browsing

• Password Spray Attack Definition and Defending kendin

• Ne Pharming olduğunu ve bu Online Fraud önleyebilirsiniz nasıl?

• Digital Footprints, Traces or Shadow nelerdir?

• Mızraklı kimlik avı nedir? Açıklama, Examples, Protection

• Fleeceware nedir? Kendinizi Fleeceware apps'dan nasıl korunur?

• Ortadaki MAN-ANTION Attack (MITM): Tanım, Prevention, Tools

• Siber Zorbalık nedir? Nasıl önlemek ve bunu bildirmek için?

• Online Templates için Microsoft Word'de Nasıl Ara

• Avoid online bankacılık ve diğer siber dolandırıcılık - PC kullanıcıları için güvenlik Tips

• kamu bilgisayarlarda kasa kalmak için ipuçları

• Microsoft Scams: Phone & Email Microsoft Name'leri kötüye kullanan dolandırıcılık

• Browser Fingerprinting. Browser parmak izi nasıl devre dışı bırakılır

• PayPal Login: Sign UP ve Sign ile güvenli bir şekilde ipuçları

• Cyber Attacks - Tanım, Types, Önleme

• Online Identity Theft: Prevention and Protection tips