企業で働いている、または企業を所有している場合は、サイバー攻撃や詐欺が発生するリスクが常に高いことを知っておく必要があります。電子メール詐欺^{(Email Scams)}はそれらの中で最も一般的です。フィッシングには、タブナビング、 スピアフィッシング^{(Spear Phishing)}、ビッシング、スミッシングなど、さまざまな種類があります。数日前に、ファーミングのオンライン詐欺^{(Pharming online frauds)}について調べました。今日は、新たなサイバーセキュリティの脅威である捕鯨詐欺^{(Whaling Scams)}について見ていきます。

捕鯨詐欺とは

捕鯨^(Whaling)詐欺では、通常、電子メールの標的になります。これは、特殊なフィッシング詐欺^{(Phishing scam)}です。攻撃者はあなたのオンライン活動を調査し、他の情報源からあなたに関する有用な情報を入手します。そして、その情報は、プロ並みのパーソナライズされた電子メールを作成するために使用されます。公式の電子メールを見ると、防御が失われる可能性があり、そのような電子メールを信頼する可能性が非常に高くなります。アイデアは、さらなる不正行為のためにあなたから情報を入手することです。

ここで、捕鯨^(Whaling)とスピアフィッシング^{(Spear Phishing)}の間に細い線があることを理解する必要があります。 捕鯨^(Whaling)は通常、高レベルの幹部を標的にしますが、後者の詐欺は企業の従業員、一般的には企業の顧客を標的にします。標的が通常大きいか重要であるため、捕鯨^(Whaling)と呼ばれます。そのため、クジラ^(Whales)は組織内での権限とアクセスのために選ばれます。

捕鯨^(Whaling)はどのように機能し、なぜあなたは標的にされているのですか？

ターゲットのほとんどは、通常、ビジネスマン、起業家、CEO^(CEOs)、および企業の従業員です。標的は通常ビジネス固有であり、組織の活動に関する機密情報を取得する目的で攻撃が計画されています。

この種のソーシャルエンジニアリング攻撃を特定することは非常に困難であり、人々は通常、そのような詐欺師にデータを提供することになります。詐欺師は、あなたがよく知っているアドレスからパーソナライズされた電子メールを送信します。詐欺師はあなたの上司や他の友好的な組織を模倣している可能性があります。または彼/彼女はあなたのファイナンシャルコンサルタントまたはあなたの弁護士として模倣するかもしれません。メールの内容は、すぐに返信でき、引っ掛かる可能性が最も少ないように、主に注意を引くものです。

電子メールでは、支払期日までの支払いとしていくらかの送金が必要になる場合や、本社で必要な会社のデータを要求される場合があります。または、組織の従業員に関する個人情報を尋ねる場合もあります。

詐欺師または攻撃者は、あなたのためにパーソナライズされた電子メールを作成するためにあなたをすでに調査しています。そして、調査はあなたのオンライン活動または他の情報源から得られた情報に基づいているかもしれません。捕鯨の電子メール^{(Whaling emails)}は普通で完璧に見え、それが人々が罠に陥る唯一の理由です。電子メールで使用されている名前、ロゴ、およびその他の情報は、本物である場合とそうでない場合があります。ただし、通常、これらの電子メールの違いを示すことができないような方法で表示されます。

また、記載されている送信者またはWebサイトの電子メールアドレスは、あなたが知っている可能性のある誰かに似ています。添付ファイルは悪意がある場合とない場合があります。これらの詐欺の唯一の目的は、電子メールが完全に正常であり、緊急のアクションが必要であることをあなたに納得させることです。また、電子メールの指示に従うと、機密データが許可されていない人物やWebサイトに漏洩することになります。

捕鯨攻撃からの保護を維持する方法

フィッシング詐欺を回避^{(avoid Phishing scams)}できるように、一般的なフィッシングからの保護について詳しく知るには、フィッシング攻撃^{(identify Phishing Attacks)}を特定する方法を学ぶ必要があります。

保護を維持するための鍵は、注意を払うことです。仕事に関連するすべてのメールを端から端まで読んで、何か怪しいものに目を光らせてください。メールに問題があると感じた場合は、メールの発信元の組​​織に連絡してください。

1]送信者の電子メールを確認^(Verify)してから、電子メールにのみ返信します。通常、電子メールを受信して​​いるWebサイトまたは電子メールアドレスは、知っている通常の電子メールアドレスとほぼ同じです。「o」は「0」（ゼロ）に置き換えるか、1つの「s」の代わりに2つの「ss」を使用できます。この種のエラーは人間の目では見落とされがちであり、これらがそのような攻撃の基礎を形成します。

2]電子メールに緊急のアクションが必要な場合は、注意深く調べてから決定を下す必要があります。アウトバウンドWebサイトのリンクがある場合は、そのWebサイトに情報を提供する前に、それらのアドレスを確認してください。また、南京錠のサインを確認するか、Webサイトの証明書を確認してください。

3]ウェブサイトやメールに金銭的または連絡先の詳細を提供しないでください。Webサイトを信頼するタイミングを把握^{(Know when to trust a website)}し、Webリンクをクリックする前に予防策^{(precautions before clicking on any web links)}を講じ、基本的なインターネット使用の安全基準に従ってください。

4]コンピュータを保護する適切なウイルス対策、ファイアウォールソフトウェアを用意し、これらの電子メールから添付ファイルをダウンロードしないでください。RAR/7zまたはその他の実行可能ファイルには、マルウェアまたはトロイの木馬^(Trojans)が含まれている可能性が最も高いです。定期的にパスワードを変更し、安全な場所に重要なドキュメントのバックアップを作成します。

5 ]物理的な文書を廃棄する前に完全^{(] Completely)}に破棄して、あなたとあなたの組織に関する情報を提供できないようにします。

捕鯨攻撃の例

あなたはそのような詐欺の話をオンラインでたくさん見つけることができますが。SnapchatやSeagateのような大手企業でさえ、これらの詐欺の罠に陥っています。昨年、Snapchatの上級従業員は、会社のCEOになりすました電子メールが従業員の給与について尋ねるような詐欺の被害者でした。いくつかの例を見てください：

• シーゲイト^(Seagate)：捕鯨攻撃が成功すると、現在および過去のすべての従業員に対して最大10,000のW-2税務書類が盗まれました。
• Snapchat ：ある従業員が、 ^(Snapchat)CEOのEvan Spiegel^{(CEO Evan Spiegel)}からのリクエストを装ったメールに堕ち、700人の従業員の給与データを侵害しました。
• FACC：オーストリアの航空機産業サプライヤーは、捕鯨攻撃により5,000万ユーロを失いました。
• Ubiquiti Networks：このネットワーク技術会社は、捕鯨攻撃の結果として3,910万ドルの損失を被りました。
• ウェイトウォッチャーズインターナショナル^{(Weight Watchers International)}：捕鯨メールにより、泥棒は約450人の現職および元従業員の税データを入手できました。

すでに詐欺？

あなたは捕鯨^(Whaling)詐欺の被害者だったと思いますか？すぐに組織の長に通知し、法的支援を求めてください。銀行の詳細やパスワードを提供した場合は、すぐに変更してください。サイバーセキュリティの専門家に相談して、経路を追跡し、攻撃者が誰であるかを確認してください。法的支援を求め、弁護士に相談してください。

このような詐欺を報告できるさまざまなオンラインサービスが利用可能です。そのような詐欺を報告して、彼らの活動が中断され、より多くの人々が影響を受けないようにしてください。

詳細を知りたい場合は、この優れた電子書籍「捕鯨、攻撃の解剖学^{(Whaling, Anatomy of an attack)}」を無料でダウンロードできます。

あなた自身、あなたの従業員、そしてあなたの組織をそのような詐欺やオンライン詐欺から守ってください。言葉を広め、同僚、友人、家族を保護し続けるのを手伝ってください。^{(Protect yourself, your employees and your organization from such frauds and online scams. Spread the word and help your colleagues, friends, and family stay protected.)}

最も一般的なオンラインおよび電子メールの詐欺と詐欺^{(most common Online and Email scams & frauds)}については、こちらをお読みください。

What are Whaling scams & how to protect your Enterprise

If you work in or оwn an enterprise, then уou nеed to know that there is always a high risk of cyber-attacks & scams taking place. Emаil Scams are the most common among them. Phіshing comеs in many flavors like Tabnabbing, Spear Phishing as well as Vishing and Smishing. A few days back, we took a look at Pharming online frauds – today we will take a look at Whaling Scams which is the emerging cyber-security threat.

What are Whaling scams

In Whaling scams, you are targeted usually by email – it is a specialized Phishing scam. The attacker studies your online activity and obtains useful information about you from other sources. And that information is used to create a professional looking personalized e-mail. Seeing an official email can cause you to drop your defenses and you are very likely to trust such email. The idea is to obtain information from you for further fraudulent activities.

Now you have to realize that there is a thin line of difference between Whaling and Spear Phishing. Whaling typically targets high-level executives, whereas the latter scam targets employees of a company, customers of a company generally. It is called Whaling because the targets are usually large or important. And so Whales are chosen because of their authority and access within an organization.

How does Whaling work and why are you targeted

Most of the targets are usually businessmen, entrepreneurs, CEOs, and corporate employees. The targets are usually business specific and attacks are planned for the purpose of obtaining any sensitive information about the activities of an organization.

These kind of socially engineered attacks are very difficult to identify and people usually end up giving data to such scammers. The scammer sends a personalized email from an address you may be familiar with. The scammer may mimic to be your boss or another friendly organization. Or he/she may mimic as your financial consultant or your lawyer. The content of the email is mostly attention seeking so that you may reply promptly and there is the least chance of them getting caught.

The email might require you to transfer some money as a payment to a due bill or it may ask you for some company data that is required at a head office. Or it may ask personal details about the employees of the organization.

The scammer or the attacker has already researched you to create a personalized email for you. And the research may be based upon your online activities or upon any information obtained from other sources. Whaling emails just seem normal and perfect and that is the only reason people fall into the trap. The names, logos and other information used in the email may be real or not. But it is presented in such a way that normally people cannot mark a difference between these emails.

Also, the email address of the sender or the website mentioned is similar to someone you may know. The attachments may or may not be malicious. The sole purpose of these scams is to convince you that the email is completely normal and requires urgent action. And when you follow the instructions in the email, you end up leaking out some confidential data to an unauthorized person or website.

How to stay protected from Whaling attacks

You have to learn to identify Phishing Attacks to know more about protection from phishing in general so that you can avoid Phishing scams.

The key to staying protected is to stay attentive. Read all your work related emails end to end and keep an eye on something fishy. If you just felt that there is something wrong with the email, contact the organization from which the email is said to be.

1] Verify the sender’s email and then only respond to emails. Usually, the websites or email addresses from where you are receiving emails are almost identical to normal email addresses that you may know. An ‘o’ may be replaced with a ‘0’ (zero) or there may be two ‘ss’ instead of one ‘s’. This kind of errors are easily overlooked by a human eye, and these forms the basis of such attacks.

2] If the email requires some urgent action, then you must look carefully and then take the decision. If there are any outbound website links, verify their address before supplying any information to that website. Also, check for the padlock sign or verify the website’s certificate.

3] Do not provide any financial or any contact details to any website or an email. Know when to trust a website, take precautions before clicking on any web links and follow the basic internet usage safety norms.

4] Have proper antivirus, firewall software protecting your computer and do not download any attachments from any of these emails. RAR/7z or any other executable files are most suspected to contain any malware or Trojans. Regularly change passwords and create a backup of important documents at a secure location.

5] Completely destroy your physical documents before disposing of them so that they cannot provide any information about you and your organization.

Whaling attack examples

While you can find a ton of such scam stories online. Even the major companies like Snapchat and Seagate have fallen into the traps of these scams. Last year, a high-rank employee of Snapchat was a victim of such a scam where an email impersonating the CEO of the company inquired about the payroll of the employees. Take a look at some examples:

• Seagate: A successful whaling attack landed thieves up to 10,000 W-2 tax documents for all current and past employees.
• Snapchat: An employee fell for an email impersonating a request from CEO Evan Spiegel and compromised payroll data for 700 employees.
• FACC: The Austrian aircraft industry supplier lost 50 million euros due to a whaling attack.
• Ubiquiti Networks: This networking tech company suffered a $39.1 million loss as a result of a whaling attack.
• Weight Watchers International: A whaling email allowed thieves to obtain tax data for nearly 450 current and former employees.

Already Scammed?

Do you think that you’ve been a victim of a Whaling scam? Immediately inform the head of your organization and seek legal help. If you provided them with any bank details or any sort of passwords, change them immediately. Consult a cyber-security expert to track back the path and know who the attacker was. Seek out for legal help and consult a lawyer.

There are various online services available where you can report such scams. Please report such scams so that their activity can be disrupted and more people are not affected.

If you are interested in knowing more, there is this excellent eBook titled Whaling, Anatomy of an attack, which you can download free.

Protect yourself, your employees and your organization from such frauds and online scams. Spread the word and help your colleagues, friends, and family stay protected.

Read here about the most common Online and Email scams & frauds.

Related posts

• リンクが安全かどうかを確認する方法Webブラウザを使用していないか

• あなたのonline accountがハッキングされていて電子メールとパスワードの詳細が漏洩したかどうかを調べる

• Kids、Students and Teensの場合はOnline Safety Tips

• Windows 10ユーザーのためのInternet Security article and tips

• Safeguard adult contentからのあなたの子供たちは、きれいなBrowsing8を使っています

• Pharmingとは何ですか？また、このOnline Fraudをどのように防止できますか？

• Fake Identityを生成する無料Fake Name Generator

• 個人的に識別可能なInformation（PII）とは、オンラインで保護する方法は？

• Phishing Scams and Attacksを回避する方法？

• PDFファイルを編集するための無料PDF Editor Online Tool - PDF Yeah

• Avoid online銀行およびその他のサイバー詐欺 - PCユーザー用の安全Tips

• 危険とOversharingオンSocial Mediaの帰結

• フィッシングの種類 - Cheat Sheet and Things知っている必要があります

• Online TemplatesをMicrosoft Wordで検索する方法

• Computer Security、Data Privacy、MicrosoftのOnline Safety Brochures

• 最高の無料Online Font Converter Webサイトのリスト

• Microsoft Scams：Phone & EmailそのミスヒューズMicrosoft Nameを詐欺する

• 在宅中のBest Free Online Training CoursesからStay Fitへ

• Password Spray Attack Definition and Defending

• Fleecewareとは何ですか？ Fleeceware appsから自分を守る方法は？