捕鲸是一种 常见的网络攻击 当攻击者利用鱼叉式网络钓鱼方法追踪大型, 备受关注的目标, 比如高级管理人员.
Malicious actors know that executives 和 high-level employees (like public spokespersons) can be savvy to the usual roster of spam tactics; they may have received extensive 安全意识培训 因为他们的公众形象, 安全团队可能有更严格的政策和更强大的工具来保护他们. 这导致试图对这些目标进行网络钓鱼的攻击者将目光投向更复杂的策略, 有针对性的方法.
像所有的 钓鱼式攻击, 一个成功的捕鲸目标仍然依赖于强迫目标, 通常是在紧急情况的幌子下. 期望的结果可能包括强迫接收方采取不必要的操作并触发电汇, 例如, 或者点击链接或打开安装恶意软件的附件,或将目标发送到假冒合法网站的恶意网站. 目标:捕获敏感信息, 像凭证, 这给了攻击者一把掌握公司知识产权的万能钥匙, 客户数据, 或者其他信息,如果在黑市上出售,可能会有利可图.
由于对典型网络钓鱼策略的认识不断提高, 攻击者正在调整他们的方法,通过缩小范围和修改他们的欺诈信息的细节来说服电子邮件接收者他们的真实性并迫使他们采取行动. 这种更集中的网络钓鱼方法通常被称为 鱼叉式网络钓鱼. 当攻击者决定用鱼叉钓一个大而引人注目的目标时,这就变成了捕鲸.
常见的捕鲸目标, 比如媒体发言人或c级高管, 从本质上讲,有更多关于它们的公开信息可供攻击者收集和利用. 因为他们的资历, 他们也可能比普通员工拥有更多的内部数据访问权限:通过他们的内部凭证,他们可以获得更多的机密信息, 在某些情况下, 他们甚至可能有一定程度的行政特权. 虽然一个组织的潜在捕鲸目标池与整个员工名册相比可能相当小, 赌注要高得多.
在他们的核心, 过去成功的捕鲸活动与成功的网络钓鱼活动的共同点并没有太大的不同:这些信息似乎都很紧急, 如此潜在的灾难性,以至于接受者感到必须迅速采取行动, 把正常的安全卫生习惯放在一边. Scammers writing successful whaling emails know their audience won't be compelled by just a deadline reminder or a stern email from a superior; instead, 他们会利用其他的恐惧, 例如法律诉讼或成为名誉损害的对象.
在捕鲸的一个例子中, 各行各业的许多高管都遭到了攻击,其中包含了有关他们及其业务的准确细节, 据称是美国地方法院发来的传票,要在一起民事案件的大陪审团面前出庭. 邮件中有传票的链接, 当收件人点击链接查看邮件时,他们反而感染了恶意软件.
对于高管和其他可能的捕鲸目标,标准的建议是 预防和保护网络钓鱼 仍然适用:小心点击电子邮件中的链接或附件, 因为任何类型的网络钓鱼攻击仍然需要受害者采取行动才能成功.
组织可以加强自己的防御,并通过实施一些特定的捕鲸最佳实践来教育潜在的捕鲸目标.
首先,要认识到面向公众的员工会分享哪些关于高管的信息. 这些细节可以很容易地通过社交媒体等网站在网上找到, 从生日和家乡到最喜欢的爱好或运动, 捕鲸邮件看起来更合法吗. 重大的公共事件也可以给捕鲸邮件披上合法的外衣. 提醒高管或发言人,在这些高度曝光的时期, 比如一个重要的行业会议或公司活动, 他们会以多种方式成为焦点, 尤其要小心他们的收件箱.
其次,培养一种“信任但要核实”的组织电子邮件文化.鼓励各级员工紧急核实真实性, 意想不到的消息通过另一个通信渠道——比如亲自与发送者交谈, 或者给他们打电话或发短信——让高管和高级管理人员以身作则.
最重要的是, 实施网络钓鱼意识培训计划, 专门针对高级管理人员和面向公众的员工,介绍他们可能收到的捕鲸邮件.
一个多方面的网络钓鱼意识项目不仅会教授防止捕鲸袭击的关键原则, 但他们会安全地让员工测试这些技能. 时不时地模拟捕鲸攻击是个好主意,可以让员工保持敏锐的技能,发现潜在的网络钓鱼活动, 所有这些都在安全的培训工具环境中进行, 强调学习, 尤其是从失败中.