การหลอกลวงแบบปลาวาฬคืออะไรและจะปกป้ององค์กรของคุณได้อย่างไร

หากคุณทำงานในหรือเป็นเจ้าขององค์กร คุณจำเป็นต้องรู้ว่ามีความเสี่ยงสูงที่การโจมตีทางไซเบอร์และการหลอกลวงจะเกิดขึ้น อีเมลหลอกลวง(Email Scams)เป็นเรื่องธรรมดาที่สุดในหมู่พวกเขา ฟิชชิงมีหลายรสชาติ เช่นTabnabbing, Spear Phishingเช่นเดียวกับVishing และ Smishing เมื่อไม่กี่วันก่อน เราได้ดูการฉ้อโกงออนไลน์ของ Pharming(Pharming online frauds) – วันนี้เราจะมาดูที่Whaling Scamsซึ่งเป็นภัยคุกคามด้านความปลอดภัยทางไซเบอร์ที่เกิดขึ้นใหม่

กลโกงปลาวาฬคืออะไร

การโจมตีปลาวาฬ

ใน การหลอกลวงแบบ ปลาวาฬ(Whaling)คุณมักจะตกเป็นเป้าหมายทางอีเมล ซึ่งเป็น กล ลวงฟิชชิ่ง(Phishing scam) เฉพาะ ทาง ผู้โจมตีศึกษากิจกรรมออนไลน์ของคุณและรับข้อมูลที่เป็นประโยชน์เกี่ยวกับตัวคุณจากแหล่งอื่น และข้อมูลดังกล่าวจะใช้เพื่อสร้างอีเมลส่วนบุคคลที่ดูเป็นมืออาชีพ การเห็นอีเมลอย่างเป็นทางการอาจทำให้คุณล้มเลิกการป้องกัน และคุณมีแนวโน้มที่จะเชื่อถืออีเมลดังกล่าว แนวคิดคือการได้รับข้อมูลจากคุณสำหรับกิจกรรมที่เป็นการฉ้อโกงเพิ่มเติม

ตอนนี้ คุณต้องตระหนักว่ามีข้อแตกต่างระหว่างWhaling (.)และ(Whaling) Spear Phishing (Spear Phishing)โดยทั่วไปการ ล่าวาฬ(Whaling)จะมุ่งเป้าไปที่ผู้บริหารระดับสูง ในขณะที่การหลอกลวงแบบหลังมุ่งเป้าไปที่พนักงานของบริษัท ลูกค้าของบริษัทโดยทั่วไป เรียกว่า การ ล่าวาฬ(Whaling)เพราะว่าเป้าหมายมักจะใหญ่หรือสำคัญ ดังนั้นวาฬ(Whales) จึง ถูกเลือกเพราะอำนาจและการเข้าถึงภายในองค์กร

การล่าวาฬ(Whaling)ทำงานอย่างไรและทำไมคุณถึงตกเป็นเป้าหมาย

หลอกลวงปลาวาฬ

เป้าหมายส่วนใหญ่มักจะเป็นนักธุรกิจ ผู้ประกอบการซีอีโอ(CEOs)และพนักงานในองค์กร เป้าหมายมักจะเป็นธุรกิจเฉพาะและมีการวางแผนการโจมตีเพื่อให้ได้มาซึ่งข้อมูลที่ละเอียดอ่อนเกี่ยวกับกิจกรรมขององค์กร

การโจมตีทางวิศวกรรมทางสังคมประเภทนี้ยากต่อการระบุตัวตน และผู้คนมักจะลงเอยด้วยการให้ข้อมูลแก่ผู้หลอกลวงดังกล่าว นักต้มตุ๋นจะส่งอีเมลส่วนบุคคลจากที่อยู่ที่คุณอาจคุ้นเคย นักต้มตุ๋นอาจเลียนแบบเป็นเจ้านายของคุณหรือองค์กรที่เป็นมิตรอื่นๆ หรือเขา/เธออาจเลียนแบบเป็นที่ปรึกษาทางการเงินหรือทนายความของคุณ เนื้อหาของอีเมลส่วนใหญ่เป็นการเรียกร้องความสนใจ เพื่อที่คุณจะได้ตอบกลับในทันทีและมีโอกาสน้อยที่สุดที่จะถูกจับได้

อีเมลอาจกำหนดให้คุณต้องโอนเงินบางส่วนเพื่อชำระเงินตามใบแจ้งหนี้ หรืออาจขอข้อมูลบริษัทบางอย่างที่จำเป็นสำหรับสำนักงานใหญ่ หรืออาจถามข้อมูลส่วนตัวเกี่ยวกับพนักงานขององค์กร

นักต้มตุ๋นหรือผู้โจมตีได้ทำการวิจัยเกี่ยวกับคุณเพื่อสร้างอีเมลส่วนบุคคลสำหรับคุณ และการวิจัยอาจขึ้นอยู่กับกิจกรรมออนไลน์ของคุณหรือข้อมูลใด ๆ ที่ได้รับจากแหล่งอื่น อีเมลล่าวาฬ(Whaling emails)ดูเป็นเรื่องปกติและสมบูรณ์แบบ และนั่นเป็นเหตุผลเดียวที่ผู้คนจะตกหลุมพราง ชื่อ โลโก้ และข้อมูลอื่นๆ ที่ใช้ในอีเมลอาจเป็นจริงหรือไม่ก็ได้ แต่มันถูกนำเสนอในลักษณะที่คนปกติไม่สามารถทำเครื่องหมายความแตกต่างระหว่างอีเมลเหล่านี้

นอกจากนี้ ที่อยู่อีเมลของผู้ส่งหรือเว็บไซต์ที่กล่าวถึงนั้นคล้ายกับบุคคลที่คุณอาจรู้จัก สิ่งที่แนบมาอาจเป็นอันตรายหรือไม่ก็ได้ จุดประสงค์เดียวของการหลอกลวงเหล่านี้คือการโน้มน้าวใจคุณว่าอีเมลนั้นเป็นเรื่องปกติอย่างสมบูรณ์และจำเป็นต้องดำเนินการอย่างเร่งด่วน และเมื่อคุณทำตามคำแนะนำในอีเมล คุณจะสูญเสียข้อมูลที่เป็นความลับไปยังบุคคลหรือเว็บไซต์ที่ไม่ได้รับอนุญาต

วิธีป้องกันการโจมตีจากปลาวาฬ

คุณต้องเรียนรู้ที่จะระบุการโจมตีแบบฟิชชิ่ง(identify Phishing Attacks)เพื่อทราบข้อมูลเพิ่มเติมเกี่ยวกับการป้องกันฟิชชิงโดยทั่วไป เพื่อหลีกเลี่ยงฟิชชิ่ง(avoid Phishing scams)กล โกง

กุญแจสำคัญในการได้รับการปกป้องคือการเอาใจใส่ อ่านอีเมลที่เกี่ยวข้องกับงานทั้งหมดของคุณตั้งแต่ต้นจนจบและจับตาดูสิ่งที่คาว ถ้าคุณรู้สึกว่ามีบางอย่างผิดปกติกับอีเมล ให้ติดต่อองค์กรที่ระบุว่าเป็นอีเมลนั้น

1] ยืนยัน(Verify)อีเมลของผู้ส่งแล้วตอบกลับเฉพาะอีเมลเท่านั้น โดยปกติ เว็บไซต์หรือที่อยู่อีเมลจากที่ที่คุณได้รับอีเมลเกือบจะเหมือนกับที่อยู่อีเมลปกติที่คุณอาจทราบ 'o' อาจถูกแทนที่ด้วย '0' (ศูนย์) หรืออาจมี 's' สองตัวแทนที่จะเป็น 's' ข้อผิดพลาดประเภทนี้มองข้ามได้ง่ายด้วยสายตามนุษย์ และเป็นพื้นฐานของการโจมตีดังกล่าว

2] หากอีเมลต้องการการดำเนินการเร่งด่วน คุณต้องพิจารณาอย่างรอบคอบแล้วจึงตัดสินใจ หากมีลิงก์เว็บไซต์ขาออก ให้ตรวจสอบที่อยู่ก่อนที่จะให้ข้อมูลใดๆ แก่เว็บไซต์นั้น ตรวจสอบสัญลักษณ์แม่กุญแจหรือตรวจสอบใบรับรองของเว็บไซต์ด้วย

3] อย่าให้รายละเอียดทางการเงินหรือการติดต่อใด ๆ แก่เว็บไซต์หรืออีเมลใด ๆ รู้ว่าเมื่อใดควรเชื่อถือเว็บไซต์(Know when to trust a website)ใช้ความระมัดระวังก่อนที่จะคลิกลิงก์ของเว็บใดๆ(precautions before clicking on any web links)และปฏิบัติตามบรรทัดฐานความปลอดภัยในการใช้งานอินเทอร์เน็ตขั้นพื้นฐาน

4] มีโปรแกรมป้องกันไวรัสที่เหมาะสม ซอฟต์แวร์ไฟร์วอลล์ปกป้องคอมพิวเตอร์ของคุณ และไม่ดาวน์โหลดไฟล์แนบใด ๆ จากอีเมลเหล่านี้ RAR/7zหรือไฟล์ปฏิบัติการอื่น ๆ ส่วนใหญ่สงสัยว่ามีมัลแวร์หรือโทรจัน (Trojans)เปลี่ยนรหัสผ่านเป็นประจำและสร้างสำเนาสำรองของเอกสารสำคัญในตำแหน่งที่ปลอดภัย

5 ](] Completely)ทำลายเอกสารทางกายภาพของคุณให้หมดก่อนที่จะทิ้งเพื่อไม่ให้ข้อมูลใด ๆ เกี่ยวกับคุณและองค์กรของคุณ

ตัวอย่างการโจมตีปลาวาฬ

ในขณะที่คุณสามารถหาเรื่องหลอกลวงออนไลน์ได้มากมาย แม้แต่บริษัทใหญ่ๆ อย่างSnapchatและSeagateก็ตกหลุมพรางของการหลอกลวงเหล่านี้ เมื่อปีที่แล้ว พนักงานระดับสูงของSnapchatตกเป็นเหยื่อของการหลอกลวงดังกล่าว โดยมีอีเมลที่แอบอ้างเป็น CEO ของบริษัทสอบถามเกี่ยวกับการจ่ายเงินเดือนของพนักงาน ดูตัวอย่างบางส่วน:

  • ซีเกท(Seagate) : การโจมตีปลาวาฬที่ประสบความสำเร็จทำให้ขโมยเอกสารภาษี W-2 ได้มากถึง 10,000 ฉบับสำหรับพนักงานปัจจุบันและอดีตทั้งหมด
  • Snapchat : พนักงานรายหนึ่งตกหล่นในอีเมลที่แอบอ้างเป็นคำขอจากCEO Evan Spiegelและทำให้ข้อมูลบัญชีเงินเดือนของพนักงาน 700 คนถูกบุกรุก
  • FACC : ซัพพลายเออร์ในอุตสาหกรรมเครื่องบินของออสเตรียสูญเสียเงินไป 50 ล้านยูโรเนื่องจากการล่าวาฬ
  • Ubiquiti Networks : บริษัทเทคโนโลยีด้านเครือข่ายแห่งนี้ขาดทุน 39.1 ล้านดอลลาร์จากการล่าวาฬ
  • Weight Watchers International : อีเมลล่าวาฬอนุญาตให้โจรรับข้อมูลภาษีสำหรับพนักงานปัจจุบันและอดีตเกือบ 450 คน

หลอกลวงแล้ว?

คุณคิดว่าคุณตกเป็นเหยื่อของการหลอกลวงปลาวาฬ หรือไม่? (Whaling)แจ้งหัวหน้าองค์กรของคุณและขอความช่วยเหลือทางกฎหมายทันที หากคุณให้รายละเอียดธนาคารหรือรหัสผ่านใดๆ แก่พวกเขา ให้เปลี่ยนทันที ปรึกษาผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์เพื่อติดตามเส้นทางและรู้ว่าใครเป็นผู้โจมตี ขอความช่วยเหลือทางกฎหมายและปรึกษาทนายความ

มีบริการออนไลน์ต่างๆ ที่คุณสามารถรายงานการหลอกลวงดังกล่าวได้ โปรดรายงานการหลอกลวงดังกล่าวเพื่อให้กิจกรรมของพวกเขาหยุดชะงักและผู้คนจำนวนมากขึ้นไม่ได้รับผลกระทบ

หากคุณสนใจที่จะทราบข้อมูลเพิ่มเติม มี eBook ที่ยอดเยี่ยมนี้ชื่อWhaling, Anatomy of an Attackซึ่งคุณสามารถดาวน์โหลดได้ฟรี

ปกป้องตัวคุณเอง พนักงาน และองค์กรของคุณจากการฉ้อโกงและการหลอกลวงทางออนไลน์ กระจายข่าวและช่วยให้เพื่อนร่วมงาน เพื่อน และครอบครัวของคุณได้รับการปกป้อง(Protect yourself, your employees and your organization from such frauds and online scams. Spread the word and help your colleagues, friends, and family stay protected.)

อ่านที่นี่เกี่ยวกับการหลอกลวงและการฉ้อโกงทางออนไลน์และอีเมลที่พบบ่อย(most common Online and Email scams & frauds)ที่สุด



About the author

ฉันเป็นผู้เชี่ยวชาญด้าน Windows และทำงานในอุตสาหกรรมซอฟต์แวร์มากว่า 10 ปี ฉันมีประสบการณ์กับทั้งระบบ Microsoft Windows และ Apple Macintosh ทักษะของฉัน ได้แก่ การจัดการหน้าต่าง ฮาร์ดแวร์คอมพิวเตอร์และเสียง การพัฒนาแอพ และอื่นๆ ฉันเป็นที่ปรึกษาที่มีประสบการณ์ซึ่งสามารถช่วยให้คุณได้รับประโยชน์สูงสุดจากระบบ Windows ของคุณ



Related posts