Whale phishing, atau penangkapan ikan paus, adalah jenis serangan phishing khusus yang menargetkan pejabat tinggi perusahaan dengan email, pesan teks, atau panggilan telepon palsu. Pesan-pesan tersebut ditulis dengan hati-hati untuk memanipulasi penerima agar mengizinkan pembayaran dalam jumlah besar kepada penjahat siber, atau membocorkan informasi perusahaan atau pribadi yang sensitif atau berharga.
Target whale phishing adalah para eksekutif tingkat C (CEO, CFO, COO), eksekutif senior lainnya, pemegang jabatan politik, dan pemimpin organisasi yang dapat mengesahkan pembayaran dalam jumlah besar atau transfer bank atau merilis informasi sensitif tanpa persetujuan dari orang lain. Target ini disebut sebagai paus setelah istilah slang untuk pelanggan (atau penjudi) yang memiliki akses ke lebih banyak uang daripada rata-rata orang.
Penting untuk memahami bagaimana phishing, spear phishing, dan whale phishing saling berkaitan-terutama karena istilah-istilah ini sering digunakan secara bergantian, salah atau tanpa konteks.
Phishing adalah email, pesan teks, atau panggilan telepon palsu yang dirancang untuk mengelabui pengguna agar mengunduh malware (melalui tautan berbahaya atau lampiran file), berbagi informasi sensitif, mengirimkan uang kepada penjahat, atau melakukan tindakan lain yang membuat diri mereka atau organisasi mereka terpapar kejahatan siber.
Siapa pun yang memiliki komputer atau ponsel cerdas telah menerima serangan phishing massal — pada dasarnya pesan formulir yang tampaknya berasal dari bisnis atau organisasi terkenal, menggambarkan situasi umum atau kredibel, dan menuntut tindakan segera — misalnya, Kartu kredit Anda telah ditolak. Silakan klik tautan di bawah ini untuk memperbarui informasi pembayaran Anda. Penerima yang mengklik tautan tersebut akan dibawa ke situs web berbahaya yang dapat mencuri nomor kartu kredit mereka atau mengunduh malware ke komputer mereka.
Kampanye phishing massal adalah permainan angka: Penyerang mengirimkan pesan ke sebanyak mungkin orang, dengan mengetahui bahwa beberapa persen akan tertipu dan menerima umpan tersebut. Satu studi mendeteksi lebih dari 255 juta pesan phishing selama periode enam bulan pada tahun 2022 (tautan berada di luar ibm.com). Menurut laporan Cost of a Data Breach 2022 dari IBM, phishing adalah penyebab paling umum kedua dari pelanggaran data pada tahun 2022, dan metode yang paling umum untuk mengirimkan ransomware kepada korban.
Spear phishing adalah serangan phishing yang menargetkan individu atau sekelompok individu tertentu dalam sebuah organisasi. Serangan spear phishing biasanya dilancarkan terhadap manajer tingkat menengah yang dapat mengesahkan pembayaran atau transfer data - manajer hutang, direktur sumber daya manusia - oleh penyerang yang menyamar sebagai rekan kerja yang memiliki wewenang atas target, atau kolega (misalnya vendor, mitra bisnis, penasihat) yang dipercaya oleh target.
Serangan spear phishing lebih personal dibandingkan serangan phishing massal, dan membutuhkan lebih banyak pekerjaan dan penelitian. Namun kerja ekstra tersebut dapat membuahkan hasil bagi para penjahat siber. Sebagai contoh, pelaku spear phishing mencuri lebih dari USD 100 juta dari Facebook dan Google antara tahun 2013 dan 2015 dengan menyamar sebagai vendor yang sah dan mengelabui karyawan untuk membayar faktur palsu (tautan berada di luar ibm.com).
Serangan whale phishing atau serangan ikan paus adalah serangan spear phishing yang ditujukan secara eksklusif kepada eksekutif atau pejabat tingkat tinggi. Penyerang biasanya menyamar sebagai rekan kerja di dalam organisasi target, atau kolega atau rekan kerja yang setara atau lebih tinggi dari organisasi lain.
Pesan whale phishing sangat dipersonalisasi-penyerang berusaha keras untuk meniru gaya penulisan pengirim yang sebenarnya dan, jika memungkinkan, konteks referensi dari percakapan bisnis yang sedang berlangsung. Penipu whale phishing sering kali memata-matai percakapan antara pengirim dan target; banyak yang akan mencoba membajak akun email atau pesan teks pengirim yang sebenarnya untuk mengirimkan pesan serangan langsung dari sana, demi keaslian yang tertinggi.
Karena serangan perburuan paus menargetkan individu yang dapat memberikan otorisasi pembayaran yang lebih besar, serangan ini menawarkan potensi imbalan langsung yang lebih tinggi bagi penyerang.
Perburuan paus kadang-kadang disamakan dengan kompromi email bisnis (BEC), jenis lain dari serangan spear phishing di mana penyerang mengirimkan email penipuan target yang tampaknya berasal dari rekan kerja atau kolega. BEC tidak selalu perburuan paus (karena sering menargetkan karyawan tingkat bawah), dan perburuan paus tidak selalu BEC (karena tidak selalu melibatkan email), tetapi banyak serangan perburuan paus yang paling mahal juga melibatkan serangan BEC. Sebagai contoh:
Phishing, spear phishing, dan whale phishing adalah contoh-contoh serangan rekayasa sosial-seranganyang terutama mengeksploitasi kerentanan manusia dan bukan kerentanan teknis untuk membahayakan keamanan. Karena mereka meninggalkan bukti digital yang jauh lebih sedikit daripada malware atau peretasan, serangan ini bisa jadi jauh lebih sulit dideteksi atau dicegah oleh tim keamanan dan profesional keamanan siber.
Sebagian besar serangan pembajakan bertujuan untuk mencuri uang dalam jumlah besar dari sebuah organisasi, dengan mengelabui pejabat tingkat tinggi untuk membuat, mengesahkan, atau memerintahkan transfer uang ke vendor atau rekening bank palsu. Namun serangan perburuan paus juga bisa memiliki tujuan lain
Sekali lagi, sebagian besar serangan whale phishing dimotivasi oleh keserakahan. Namun, mereka juga dapat dimotivasi oleh dendam pribadi terhadap seorang eksekutif atau perusahaan, tekanan persaingan, atau aktivisme sosial atau politik. Serangan whaling terhadap pejabat tinggi pemerintah bisa jadi merupakan tindakan terorisme siber independen atau yang disponsori negara.
Penjahat siber memilih paus yang memiliki akses ke tujuan mereka, dan pengirim yang memiliki akses ke paus mereka. Misalnya, penjahat siber yang ingin mencegat pembayaran ke mitra rantai pasokan perusahaan mungkin mengirim faktur kepada CFO perusahaan dan meminta pembayaran dari CEO mitra rantai pasokan. Seorang penyerang yang ingin mencuri data karyawan mungkin berpura-pura sebagai CFO dan meminta informasi penggajian dari VP sumber daya manusia.
Untuk membuat pesan pengirim menjadi kredibel dan meyakinkan, para penipu paus melakukan riset menyeluruh terhadap target dan pengirim, serta organisasi tempat mereka bekerja.
Berkat banyaknya orang yang berbagi dan bercakap-cakap di media sosial dan di tempat lain secara online, para penipu dapat menemukan banyak informasi yang mereka butuhkan hanya dengan mencari di situs media sosial atau web. Sebagai contoh, hanya dengan mempelajari profil LinkedIn target potensial, penyerang dapat mempelajari jabatan pekerjaan, tanggung jawab, alamat email perusahaan, nama departemen, nama dan jabatan rekan kerja dan mitra bisnis, acara yang baru saja dihadiri, dan rencana perjalanan bisnis.
Bergantung pada targetnya, media arus utama, bisnis, dan lokal dapat memberikan informasi tambahan, misalnya, kesepakatan yang diisukan atau telah selesai, proyek yang sedang dalam proses penawaran, proyeksi biaya pembangunan yang dapat digunakan oleh penipu. Menurut laporan dari analis industri Omdia, peretas dapat membuat email spear phishing yang meyakinkan setelah sekitar 100 menit melakukan pencarian di Google secara umum (tautan berada di luar ibm.com).
Tetapi ketika mempersiapkan serangan whale phishing, scammers akan sering mengambil langkah ekstra penting untuk meretas target dan pengirim untuk mengumpulkan materi tambahan. Ini bisa sesederhana menginfeksi komputer target dan pengirim dengan spyware yang memungkinkan scammer untuk melihat konten file untuk penelitian tambahan. Penipu yang lebih ambisius akan meretas jaringan pengirim dan mendapatkan akses ke akun email atau pesan teks pengirim, di mana mereka dapat mengamati dan menyisipkan diri mereka ke dalam percakapan yang sebenarnya.
Ketika tiba waktunya untuk menyerang, penipu akan mengirimkan pesan serangan. Pesan whale phishing yang paling efektif tampaknya sesuai dengan konteks percakapan yang sedang berlangsung, termasuk referensi terperinci tentang proyek atau kesepakatan tertentu, menyajikan situasi yang kredibel (taktik rekayasa sosial yang disebut pretexting), dan membuat permintaan yang sama kredibelnya. Sebagai contoh, seorang penyerang yang menyamar sebagai CEO perusahaan dapat mengirimkan pesan ini kepada CFO:
Sesuai dengan percakapan kami kemarin, terlampir adalah faktur dari pengacara yang menangani akuisisi BizCo. Harap bayar sebelum pukul 17:00 ET besok seperti yang ditentukan dalam kontrak. Terima kasih.
Dalam contoh ini, faktur yang dilampirkan bisa jadi merupakan salinan faktur dari firma hukum, yang dimodifikasi untuk pembayaran langsung ke rekening bank penipu.
Agar terlihat otentik bagi target, pesan perburuan paus dapat menggunakan beberapa taktik rekayasa sosial, termasuk:
Serangan whale phishing — seperti semua serangan phishing — adalah salah satu serangan siber yang paling sulit untuk dilawan, karena tidak selalu dapat diidentifikasi oleh alat keamanan siber tradisional (berbasis tanda tangan). Dalam banyak kasus, penyerang hanya perlu melewati pertahanan keamanan 'manusia'. Serangan whale phishing sangat menantang karena sifatnya yang ditargetkan dan konten yang dipersonalisasi membuatnya lebih meyakinkan kepada target atau pengamat.
Namun, ada beberapa langkah yang bisa diambil organisasi untuk membantu mengurangi dampak whale phishing, atau bahkan mencegah jenis serangan ini sama sekali.
Pelatihan kesadaran keamanan. Karena whale phishing mengeksploitasi kerentanan manusia, pelatihan karyawan merupakan garis pertahanan yang penting untuk melawan serangan ini. Pelatihan anti-phishing mungkin termasuk
Autentikasi multi-faktor dan adaptif. Menerapkan autentikasi multi-faktor (membutuhkan satu atau lebih kredensial selain nama pengguna dan kata sandi) dan/atau autentikasi adaptif (membutuhkan kredensial tambahan saat pengguna masuk dari perangkat atau lokasi yang berbeda) dapat mencegah peretas untuk mendapatkan akses ke akun email pengguna, bahkan jika mereka dapat mencuri kata sandi email pengguna.
Perangkat lunak keamanan. Tidak ada satu pun perangkat keamanan yang dapat mencegah whale phishing secara keseluruhan, tetapi beberapa perangkat dapat berperan dalam mencegah serangan whale phishing atau meminimalkan kerusakan yang ditimbulkannya:
Tangkap ancaman tingkat lanjut yang hanya dilewatkan orang lain. QRadar SIEM memanfaatkan analitik dan AI untuk memantau intel ancaman, jaringan, dan anomali perilaku pengguna dan untuk memprioritaskan di mana perhatian dan remediasi segera diperlukan.
IBM Trusteer Rapport membantu lembaga keuangan mendeteksi dan mencegah infeksi malware dan serangan phishing dengan melindungi pelanggan ritel dan bisnis mereka.
Amankan titik akhir dari serangan siber, deteksi perilaku anomali, dan lakukan remediasi hampir secara real time dengan solusi deteksi dan respons titik akhir (EDR) yang canggih dan mudah digunakan.
Baca tentang tren whale phishing terbaru dan teknik pencegahannya di Security Intelligence, blog kepemimpinan yang diselenggarakan oleh IBM Security.
Ransomware adalah sebuah bentuk malware yang mengancam untuk menghancurkan atau menahan data atau file korban kecuali jika uang tebusan dibayarkan kepada penyerang untuk membuka enkripsi dan memulihkan akses ke data.
Sekarang di tahun ke-17, laporan ini berbagi wawasan terbaru tentang lanskap ancaman yang semakin meluas, dan menawarkan rekomendasi untuk menghemat waktu dan membatasi kerugian.