E-mail van de CEO: of u even een paar miljoen wil overmaken - hoe werkt whaling?

Hoe goed is uw organisatie voorbereid op whalingaanvallen? Volgens cijfers van de FBI is deze vorm van fraude een groeiend probleem voor organisaties.

De financiële schade van whaling kan bovendien behoorlijk oplopen. Zo werd een Belgische bank vorig jaar het slachtoffer voor ongeveer 70 miljoen euro en gingen Google en Facebook het schip in voor een gezamenlijke kostenpost van zo’n 100 miljoen euro. Lees verder om erachter te komen wat whaling precies is en hoe online criminelen hierbij te werk gaan.

Whaling is een vorm van online fraude die ook wel bekend staat als CEO-fraude en die zich richt op nietsvermoedende finance-medewerkers. Het begint meestal met een e-mail die afkomstig lijkt te zijn van de CEO van een bedrijf, of iemand anders in een leidinggevende functie. In die mail vertelt de persoon die zich voordoet als CEO dat hij zelf niet op kantoor is, maar dat er met spoed een belangrijke betaling moet worden verricht. De finance-medewerker die voldoet aan het verzoek denkt dus dat hij de CEO helpt door geld over te maken naar een zakenpartner, terwijl dit in werkelijkheid natuurlijk in handen komt van een oplichter. 

Verschil tussen whaling en phishing
Hoewel er overeenkomsten te zien zijn tussen phishing en whaling, is er wel degelijk een belangrijk verschil. Bij phishingmails worden er vaak e-mails verstuurd aan meerdere ontvangers tegelijkertijd en gaat het in veel gevallen dus om een bericht dat niet is afgestemd op de specifieke situatie van de ontvanger. Daardoor is het voor de online fraudeurs moeilijker om vertrouwen te winnen van de ontvanger, en om grote bedragen te ontfutselen. Het draait bij phishingmails dan ook vaak om het verzamelen van gevoelige gegevens of het laten downloaden van malware. 

Natuurlijk kan diefstal van gegevens of infectie met malware ook tot grote schade leiden, maar het staat niet altijd in perspectief met de schade als gevolg van whaling. Bovendien is de kans dat een ontvanger daadwerkelijk in een whalingmail trapt een stuk groter. Bij whaling steken online criminelen moeite in het gericht benaderen van een specifiek persoon en nemen ze de tijd om zich goed voor te bereiden. 

Geraffineerd te werk
Zo zoeken ze eerst uit wie de CEO van een bedrijf of de leidinggevende is van een specifiek slachtoffer. Door het e-mailadres van een leidinggevende te achterhalen, zakenpartners in beeld te brengen en de tijd te nemen voor het opstellen van een gerichte mail, is het mogelijk om een bericht op te stellen dat daadwerkelijk van bijvoorbeeld de CEO lijkt te komen. Daarbij gebruiken ze een afzenderadres dat erg op dat van de CEO lijkt, maar slechts een leesteken of punt verschilt van het echte adres. In veel gevallen kiezen ze ook een moment waarvan het bekend is dat de CEO niet op kantoor is, zodat het moeilijker wordt om het waarheidsgehalte van het betalingsverzoek te controleren. 

Doordat whalers zo geraffineerd te werk gaan, kunnen ze veel meer buitmaken dan bij traditionele vormen van phishing. Een CEO of ander leidinggevend persoon heeft immers veel gewicht in een organisatie, waardoor medewerkers zich al snel onder druk gezet voelen om aan een betaalverzoek te voldoen. Daar komt bij dat online criminelen zich bij whaling heel bewust richten op finance-medewerkers, aangezien die het gewend zijn om e-mails te ontvangen met spoedbetalingsverzoeken. 

Alert handelen goede eerste stap om whaling te voorkomen
Het feit dat whaling voor online criminelen een lonende praktijk is, blijkt wel uit onderzoek van de FBI. Het Amerikaanse agentschap stuurde vorig jaar een waarschuwing uit voor deze vorm van online oplichting, waarin het aangaf dat het aantal gevallen van whaling een jaar-op-jaar-groei doormaakt van 270 procent. Alleen al in de Verenigde Staten leidde dit in de afgelopen drie jaar tot een totale kostenpost van maar liefst 3 miljard dollar. 

Gezien de schade die whaling een organisatie kan opleveren, doen bedrijven er goed aan dit probleem nog eens extra onder de aandacht te brengen van finance-medewerkers. Zoals met elke vorm van online fraude geldt immers dat medewerkers zelf de zwakste schakel vormen en dat alert handelen een goede eerste stap is in het voorkomen van grote schade. 

Rob Pronk, Regional Director Central, Northern and Eastern Europe bij LogRhythm