Is het management van jouw organisatie kwetsbaar voor een whaling-aanval? Ontdek hoe je hen beter kunt beschermen.
Toen een investeringsmanager nietsvermoedend op een Zoom-uitnodiging klikte, kon hij niet weten welke gevolgen dat zou hebben. De uitnodiging bleek te zijn voorzien van malware, waardoor cybercriminelen toegang kregen tot zijn e-mailaccount. Vervolgens stuurden zij nepfacturen en keurden deze zelf goed namens de manager.
In totaal werd er voor 8,7 miljoen dollar aan nepfacturen ‘goedgekeurd’. Dit incident betekende uiteindelijk het einde van Levitas Capital, nadat één van hun grootste klanten vertrok.
Helaas zijn gerichte aanvallen op topbestuurders zoals deze geen uitzondering. Waarom zich richten op ‘kleine vissen’ als de ‘walvissen’ zoveel meer opleveren?
Wat is een whaling-aanval?
Een whaling-aanval is een gerichte digitale aanval op iemand in het hogere management van een organisatie. Dit kan via phishing, smishing, vishing of via een Business Email Compromise (BEC). Wat een whaling-aanval anders maakt dan een reguliere gerichte phishingaanval, is de specifieke doelgroep: invloedrijke topmensen.
Waarom zijn ‘walvissen’ aantrekkelijke doelwitten?
Hoewel er minder topbestuurders zijn dan gewone werknemers, zijn er drie belangrijke redenen waarom ze interessant zijn voor aanvallers. Bestuurders zoals CEO’s of CFO’s zijn vaak:
- Tijdgebrek: Ze hebben een volle agenda en kunnen daardoor sneller op een phishingmail klikken, een bijlage openen of een verdacht verzoek goedkeuren zonder dit goed na te kijken. Ook schakelen ze soms beveiligingsmaatregelen zoals tweefactorauthenticatie (2FA) uit om tijd te besparen.
- Online goed zichtbaar: Daardoor kunnen cybercriminelen eenvoudig informatie verzamelen en geloofwaardige misleiding technieken gebruiken, zoals een e-mail die lijkt te komen van een assistent of collega.
- Toegang tot gevoelige gegevens: Ze kunnen bij vertrouwelijke bedrijfsinformatie zoals financiële gegevens en intellectueel eigendom én zijn bevoegd om grote geldtransacties goed te keuren.
Hoe ziet zo’n aanval eruit?
Net als bij andere gerichte phishingaanvallen begint een whaling-aanval vaak met uitgebreide voorbereiding. Aanvallers zoeken informatie over hun doelwit via sociale media, de bedrijfswebsite, interviews en openbare optredens.
Ze willen ook weten wie belangrijke collega’s zijn, welke bedrijfsontwikkelingen er spelen (zoals fusies of evenementen), en wat de persoonlijke interesses en schrijfstijl van het doelwit zijn, vooral als ze deze persoon willen imiteren.
Met die informatie maken aanvallers een overtuigende phishing- of BEC-mail. Die lijkt afkomstig van een vertrouwde bron en speelt vaak in op urgentie, zodat de ontvanger minder kritisch nadenkt.
Het doel? De bestuurder laten inloggen op een nepwebsite of schadelijke software laten installeren. Daarmee krijgen aanvallers toegang tot bedrijfsgeheimen of het e-mailaccount, om daarmee andere medewerkers te misleiden tot grote geldtransfers. Soms doen ze zich zelfs voor als de leidinggevende van de ‘walvis’ om zo toestemming voor een betaling te krijgen.
AI verandert het spel
Door kunstmatige intelligentie (AI) wordt dit soort aanvallen steeds makkelijker en effectiever. Aanvallers gebruiken open source-modellen of aangepaste AI-tools om grote hoeveelheden informatie te verzamelen en vervolgens met generatieve AI (GenAI) foutloze e-mails of berichten op te stellen.
Deze technologie kan zelfs de schrijfstijl van het doelwit nabootsen of context toevoegen aan een boodschap. Met deepfake-technologie kunnen ook overtuigende spraak- of videoberichten worden gemaakt, zogenaamd afkomstig van een bestuurder, met als doel geld over te laten maken.
Door AI kunnen meer cybercriminelen geavanceerde aanvallen uitvoeren – sneller en op grotere schaal.
Wat staat er op het spel?
Een succesvolle BEC-aanval kan miljoenen kosten. Ook een datalek kan leiden tot hoge boetes, juridische claims en grote operationele verstoringen.
Maar de reputatieschade is vaak nog groter, zoals Levitas Capital ontdekte. Hoewel het hen uiteindelijk lukte om de meeste frauduleuze transacties te blokkeren, stapte een van hun grootste klanten toch op en dat betekende het einde van het fonds ter waarde van 75 miljoen dollar.
Daarnaast worden bestuurders die in deze val trappen soms publiekelijk verantwoordelijk gehouden, zelfs als ze slachtoffer zijn geworden van een geavanceerde aanval.
Hoe bescherm je bestuurders tegen whaling?
Er zijn verschillende manieren waarop beveiligingsteams het risico op spearphishing- en BEC-aanvallen kunnen beperken. Maar dit is lastig als een topbestuurder zich niet aan de regels houdt of denkt dat deze niet voor hem of haar gelden.
Daarom zijn specifieke, persoonlijke trainingen voor bestuurders essentieel. Denk aan korte en gerichte simulatietrainingen die inspelen op de nieuwste aanvalstechnieken, waaronder deepfake audio en video.
Daarnaast is het belangrijk om beveiligingsmaatregelen en processen te verbeteren. Bijvoorbeeld een strikt goedkeuringsproces voor grote geldtransfers, waarbij altijd een dubbele controle of bevestiging via een ander kanaal nodig is.
Ook AI kan helpen bij verdediging. AI-gedreven e-mailbeveiliging kan verdachte communicatiepatronen herkennen. Software voor deepfake-detectie kan malafide spraakoproepen in real-time signaleren. En met een Zero Trust-aanpak, waarbij je altijd werkt met minimale toegang en niets of niemand standaard vertrouwt, beperk je wat bestuurders kunnen doen met hun account.
Kijk kritisch naar welke bedrijfsinformatie je publiekelijk deelt. In een wereld waar AI overal is, hebben cybercriminelen de middelen om vrijwel alles wat online staat tegen je te gebruiken.
