Target whale phishing adalah para eksekutif tingkat C (CEO, CFO, COO), eksekutif senior lainnya, pemegang jabatan politik, dan pemimpin organisasi yang dapat mengesahkan pembayaran dalam jumlah besar atau transfer bank atau merilis informasi sensitif tanpa persetujuan dari orang lain. Target ini disebut sebagai paus setelah istilah slang untuk pelanggan (atau penjudi) yang memiliki akses ke lebih banyak uang daripada rata-rata orang.

Penting untuk memahami bagaimana phishing, spear phishing, dan whale phishing saling berkaitan-terutama karena istilah-istilah ini sering digunakan secara bergantian, salah atau tanpa konteks.

Phishing adalah email, pesan teks, atau panggilan telepon palsu yang dirancang untuk mengelabui pengguna agar mengunduh malware (melalui tautan berbahaya atau lampiran file), berbagi informasi sensitif, mengirimkan uang kepada penjahat, atau melakukan tindakan lain yang membuat diri mereka atau organisasi mereka terpapar kejahatan siber.

Siapa pun yang memiliki komputer atau ponsel cerdas telah menerima serangan phishing massal — pada dasarnya pesan formulir yang tampaknya berasal dari bisnis atau organisasi terkenal, menggambarkan situasi umum atau kredibel, dan menuntut tindakan segera — misalnya, Kartu kredit Anda telah ditolak. Silakan klik tautan di bawah ini untuk memperbarui informasi pembayaran Anda. Penerima yang mengklik tautan tersebut akan dibawa ke situs web berbahaya yang dapat mencuri nomor kartu kredit mereka atau mengunduh malware ke komputer mereka.

Kampanye phishing massal adalah permainan angka: Penyerang mengirimkan pesan ke sebanyak mungkin orang, dengan mengetahui bahwa beberapa persen akan tertipu dan menerima umpan tersebut. Satu studi mendeteksi lebih dari 255 juta pesan phishing selama periode enam bulan pada tahun 2022 (tautan berada di luar ibm.com). Menurut  laporan Cost of a Data Breach 2022 dari IBM, phishing adalah penyebab paling umum kedua dari pelanggaran data pada tahun 2022, dan metode yang paling umum untuk mengirimkan ransomware kepada korban.

Spear phishing adalah serangan phishing yang menargetkan individu atau sekelompok individu tertentu dalam sebuah organisasi. Serangan spear phishing biasanya dilancarkan terhadap manajer tingkat menengah yang dapat mengesahkan pembayaran atau transfer data - manajer hutang, direktur sumber daya manusia - oleh penyerang yang menyamar sebagai rekan kerja yang memiliki wewenang atas target, atau kolega (misalnya vendor, mitra bisnis, penasihat) yang dipercaya oleh target.

Serangan spear phishing lebih personal dibandingkan serangan phishing massal, dan membutuhkan lebih banyak pekerjaan dan penelitian. Namun kerja ekstra tersebut dapat membuahkan hasil bagi para penjahat siber. Sebagai contoh, pelaku spear phishing mencuri lebih dari USD 100 juta dari Facebook dan Google antara tahun 2013 dan 2015 dengan menyamar sebagai vendor yang sah dan mengelabui karyawan untuk membayar faktur palsu (tautan berada di luar ibm.com).

Serangan whale phishing atau serangan ikan paus adalah serangan spear phishing yang ditujukan secara eksklusif kepada eksekutif atau pejabat tingkat tinggi. Penyerang biasanya menyamar sebagai rekan kerja di dalam organisasi target, atau kolega atau rekan kerja yang setara atau lebih tinggi dari organisasi lain.

Pesan whale phishing sangat dipersonalisasi-penyerang berusaha keras untuk meniru gaya penulisan pengirim yang sebenarnya dan, jika memungkinkan, konteks referensi dari percakapan bisnis yang sedang berlangsung. Penipu whale phishing sering kali memata-matai percakapan antara pengirim dan target; banyak yang akan mencoba membajak akun email atau pesan teks pengirim yang sebenarnya untuk mengirimkan pesan serangan langsung dari sana, demi keaslian yang tertinggi.

Karena serangan perburuan paus menargetkan individu yang dapat memberikan otorisasi pembayaran yang lebih besar, serangan ini menawarkan potensi imbalan langsung yang lebih tinggi bagi penyerang.

Perburuan paus kadang-kadang disamakan dengan kompromi email bisnis (BEC), jenis lain dari serangan spear phishing di mana penyerang mengirimkan email penipuan target yang tampaknya berasal dari rekan kerja atau kolega. BEC tidak selalu perburuan paus (karena sering menargetkan karyawan tingkat bawah), dan perburuan paus tidak selalu BEC (karena tidak selalu melibatkan email), tetapi banyak serangan perburuan paus yang paling mahal juga melibatkan serangan BEC. Sebagai contoh:

• Pada tahun 2015, Ubiquity Networks kehilangan hampir 47 juta dolar AS hanya dalam waktu 17 hari (tautan berada di luar ibm.com) ketika penyerang whale phishing yang menyamar sebagai CEO dan Kepala Penasihat perusahaan mengirimkan email yang meyakinkan Chief Accounting Officer untuk melakukan serangkaian transfer untuk membiayai akuisisi rahasia.
  
  
• Pada tahun 2018, Pathe Film Group kehilangan EUR 19,2 juta (USD 21 juta ) (tautan berada di luar ibm.com) ketika penipu yang berpura-pura menjadi CEO di kantor pusat Pathe di Prancis mengirim email ke CEO kantor Pathe di Belanda, meminta transfer untuk mendanai akuisisi.
  
  
• Juga pada tahun 2018, para penyerang yang menyamar sebagai CEO, eksekutif senior, dan penasihat hukum perusahaan Italia Tecnimont SpA menipu pemimpin unit bisnis perusahaan di India untuk mentransfer INR 1,3 miliar (USD 18,25 juta) ke sebuah bank di Hong Kong (tautan berada di luar ibm.com), yang juga seolah-olah untuk mendanai akuisisi. Sebagai bagian dari penipuan ini, para penyerang mengambil langkah ekstra dengan melakukan beberapa panggilan konferensi palsu untuk mendiskusikan rincian 'akuisisi'.

Phishing, spear phishing, dan whale phishing adalah contoh-contoh serangan rekayasa sosial-seranganyang terutama mengeksploitasi kerentanan manusia dan bukan kerentanan teknis untuk membahayakan keamanan. Karena mereka meninggalkan bukti digital yang jauh lebih sedikit daripada malware atau peretasan, serangan ini bisa jadi jauh lebih sulit dideteksi atau dicegah oleh tim keamanan dan profesional keamanan siber.

Sebagian besar serangan pembajakan bertujuan untuk mencuri uang dalam jumlah besar dari sebuah organisasi, dengan mengelabui pejabat tingkat tinggi untuk membuat, mengesahkan, atau memerintahkan transfer uang ke vendor atau rekening bank palsu. Namun serangan perburuan paus juga bisa memiliki tujuan lain

• Mencuri data sensitif atau informasi rahasia. Ini dapat mencakup pencurian data pribadi, seperti informasi penggajian karyawan atau data keuangan pribadi pelanggan. Tetapi penipuan whale phishing juga dapat menargetkan kekayaan intelektual, rahasia dagang, dan informasi sensitif lainnya.
  
  
• Mencuri kredensial pengguna. Beberapa penjahat siber akan meluncurkan serangan whale phishing awal untuk mencuri kredensial email, sehingga mereka dapat meluncurkan serangan whale phishing berikutnya dari akun email yang dibajak. Orang lain akan mencuri menggunakan kredensial untuk mendapatkan akses tingkat tinggi ke aset atau data di jaringan target.
  
  
• Menanam malware. Sebagian kecil serangan whale phishing mencoba mengelabui target untuk menyebarkan ransomware atau malware lainnya dengan membuka lampiran file berbahaya atau mengunjungi situs web berbahaya.

Sekali lagi, sebagian besar serangan whale phishing dimotivasi oleh keserakahan. Namun, mereka juga dapat dimotivasi oleh dendam pribadi terhadap seorang eksekutif atau perusahaan, tekanan persaingan, atau aktivisme sosial atau politik. Serangan whaling terhadap pejabat tinggi pemerintah bisa jadi merupakan tindakan terorisme siber independen atau yang disponsori negara.

Penjahat siber memilih paus yang memiliki akses ke tujuan mereka, dan pengirim yang memiliki akses ke paus mereka. Misalnya, penjahat siber yang ingin mencegat pembayaran ke mitra rantai pasokan perusahaan mungkin mengirim faktur kepada CFO perusahaan dan meminta pembayaran dari CEO mitra rantai pasokan. Seorang penyerang yang ingin mencuri data karyawan mungkin berpura-pura sebagai CFO dan meminta informasi penggajian dari VP sumber daya manusia.

Untuk membuat pesan pengirim menjadi kredibel dan meyakinkan, para penipu paus melakukan riset menyeluruh terhadap target dan pengirim, serta organisasi tempat mereka bekerja.

Berkat banyaknya orang yang berbagi dan bercakap-cakap di media sosial dan di tempat lain secara online, para penipu dapat menemukan banyak informasi yang mereka butuhkan hanya dengan mencari di situs media sosial atau web. Sebagai contoh, hanya dengan mempelajari profil LinkedIn target potensial, penyerang dapat mempelajari jabatan pekerjaan, tanggung jawab, alamat email perusahaan, nama departemen, nama dan jabatan rekan kerja dan mitra bisnis, acara yang baru saja dihadiri, dan rencana perjalanan bisnis.

Bergantung pada targetnya, media arus utama, bisnis, dan lokal dapat memberikan informasi tambahan, misalnya, kesepakatan yang diisukan atau telah selesai, proyek yang sedang dalam proses penawaran, proyeksi biaya pembangunan yang dapat digunakan oleh penipu. Menurut laporan dari analis industri Omdia, peretas dapat membuat email spear phishing yang meyakinkan setelah sekitar 100 menit melakukan pencarian di Google secara umum (tautan berada di luar ibm.com).

Tetapi ketika mempersiapkan serangan whale phishing, scammers akan sering mengambil langkah ekstra penting untuk meretas target dan pengirim untuk mengumpulkan materi tambahan. Ini bisa sesederhana menginfeksi komputer target dan pengirim dengan spyware yang memungkinkan scammer untuk melihat konten file untuk penelitian tambahan. Penipu yang lebih ambisius akan meretas jaringan pengirim dan mendapatkan akses ke akun email atau pesan teks pengirim, di mana mereka dapat mengamati dan menyisipkan diri mereka ke dalam percakapan yang sebenarnya.

Ketika tiba waktunya untuk menyerang, penipu akan mengirimkan pesan serangan. Pesan whale phishing yang paling efektif tampaknya sesuai dengan konteks percakapan yang sedang berlangsung, termasuk referensi terperinci tentang proyek atau kesepakatan tertentu, menyajikan situasi yang kredibel (taktik rekayasa sosial yang disebut pretexting), dan membuat permintaan yang sama kredibelnya. Sebagai contoh, seorang penyerang yang menyamar sebagai CEO perusahaan dapat mengirimkan pesan ini kepada CFO:

Sesuai dengan percakapan kami kemarin, terlampir adalah faktur dari pengacara yang menangani akuisisi BizCo. Harap bayar sebelum pukul 17:00 ET besok seperti yang ditentukan dalam kontrak. Terima kasih.

Dalam contoh ini, faktur yang dilampirkan bisa jadi merupakan salinan faktur dari firma hukum, yang dimodifikasi untuk pembayaran langsung ke rekening bank penipu.

Agar terlihat otentik bagi target, pesan perburuan paus dapat menggunakan beberapa taktik rekayasa sosial, termasuk:

• Domain email palsu. Jika penyerang tidak dapat meretas akun email pengirim, mereka akan membuat domain email yang mirip (misalnya, bill.smith@cornpany.com untuk bill.smith@company.com). Email yang disalin mungkin juga berisi tanda tangan email yang disalin, pernyataan privasi, dan petunjuk visual lainnya yang membuatnya tampak asli secara sekilas.
  
  
• Rasa urgensi. Tekanan waktu-misalnya, referensi tentang tenggat waktu yang kritis atau denda keterlambatan-dapat mendorong target untuk bertindak lebih cepat tanpa pertimbangan yang cermat atas permintaan tersebut.
  
  
• Desakan untuk menjaga kerahasiaan. Pesan perburuan paus sering kali berisi instruksi sepertitolong simpan ini untuk diri Anda sendiri untuk saat ini agar target tidak memberitahukannya kepada orang lain yang mungkin mempertanyakan permintaan tersebut.
  
  
• Pencadangan phishing suara (vishing). Semakin banyak, pesan phishing menyertakan nomor telepon yang dapat dihubungi target untuk konfirmasi. Beberapa scammer menindaklanjuti email phishing dengan pesan suara yang menggunakan peniruan identitas berbasis kecerdasan buatan dari suara pengirim yang diduga.