Valaanpyyntihyökkäys on kyberrikollisten tapa naamioitua organisaation johtoon kuuluvaksi henkilöksi ja kohdistaa hyökkäys suoraan organisaation tärkeimpiin henkilöihin tavoitteenaan varastaa rahaa tai arkaluonteisia tietoja tai päästä tietokonejärjestelmiin rikollisisissa tarkoituksissa. Myös TJ-huijauksena tunnettu valaanpyynti muistuttaa tietojenkalastelua, koska siinä käytetään sähköposti- ja verkkosivustohuijauksen kaltaisia menetelmiä huijaamaan kohde tekemään tiettyjä toimia, kuten paljastamaan arkaluonteisia tietoja tai siirtämään rahaa.
Siinä missä tietojenkalastelu ei kohdistu tiettyihin henkilöihin ja kohdennettu tietojenkalastelu kohdistuu yksilöihin, valaanpyynnissä kohdistetaan hyökkäys avainhenkilöihin sillä tavoin, että heille lähetettävät huijausviestit näyttävät tulevan organisaation merkittävältä tai vaikutusvaltaiselta taholta. Heitä, esim. toimitusjohtajaa tai talousjohtajaa, voidaan pitää yrityksen "valaina". Tämä tuo uuden tason sosiaalista manipulointia hyökkäykseen, sillä henkilöstö ei usein halua kieltäytyä tärkeänä pidetyn henkilön pyynnöstä.
Uhka on todellinen ja se kasvaa jatkuvasti. Vuonna 2016 Snapchatin palkanlaskenta sai valaanpyyntiviestin, joka vaikutti olevan toimitusjohtajan lähettämä sähköpostiviesti, jossa pyydettiin henkilöstön palkkatietoja. Viime vuonna lelujätti Mattel joutui valaanpyyntihyökkäyksen uhriksi, kun rahoituspuolen huippuhenkilö sai uutena toimitusjohtajana esiintyneeltä huijarilta rahansiirtopyynnön. Yhtiö melkein menetti kolme miljoonaa dollaria hyökkäyksen seurauksena.
Kuinka valaanpyyntihyökkäykset tapahtuvat – ja kuinka niiltä suojaudutaan?
Kuten aiemmin mainittiin, valaanpyynti eroaa kohdennetusta tietojenkalastelusta siinä, että huijausviestit vaikuttavat tulevan ylemmältä taholta. Hyökkäyksistä saadaan vakuuttavampia, kun kyberrikolliset valmistautuvat tutkimalla julkisia resursseja, kuten sosiaalista mediaa, ja räätälöivät juuri kohdehenkilöihin vaikuttavan lähestymistavan.
Tämä voi tarkoittaa sähköpostia, joka näyttäisi tulevan ylemmältä johdolta ja johon saattaa sisältyä viittaus asiaan, jonka hyökkääjä on löytänyt verkosta. Hän on esimerkiksi saattanut nähdä somekuvia yrityksen pikkujouluista: "Hei John, Steve tässä taas. Sinulle tuntui maistuvan torstaina. Toivottavasti sait sen oluttahran lähtemään punaisesta paidastasi."
Lisäksi lähettäjän osoite näyttää vakuuttavalta ja viestissä saattaa olla yrityksen logoja tai linkkejä huijaussivustolle, joka sekin on tehty vakuuttavan näköiseksi. Koska valaaseen luotetaan ja hänellä on pääsy moniin tietoihin yrityksessä, kyberrikollisen kannattaa käyttää aikaa ja vaivaa siihen, että hyökkäys tuntuu vakuuttavalta.
Valaanpyyntihyökkäyksiltä suojautuminen alkaa yrityksen avainhenkilöiden kouluttamisella sen varmistamiseksi, että he ovat jatkuvasti varuillaan hyökkäyksen kohteeksi joutumisesta. Kannusta avainhenkilöitä suhtautumaan epäilevästi pyytämättä tuleviin yhteydenottoihin, varsinkin jos ne koskevat tärkeitä tietoja tai taloudellisia tapahtumia. Heidän tulisi aina kysyä itseltään osasivatko he odottaa viestiä, liitettä tai linkkiä. Onko pyyntö millään tapaa epätavallinen?
Heidän pitäisi myös oppia etsimään hyökkäyksen tunnusmerkkejä, kuten väärennettyjä sähköpostiosoitteita tai nimiä. Tietokoneen osoittimen vieminen sähköpostiosoitteen päälle paljastaa koko osoitteen. Huolellisesti katsomalla on mahdollista huomata, vastaako se täysin yrityksen nimeä ja sen muotoa. IT-osaston tulee myös tehdä valaanpyyntikokeiluja avainhenkilöjen reaktioiden testaamiseksi.
Johtajien on myös oltava varovaisia sen suhteen, mitä julkaisevat ja jakavat sosiaalisessa mediassa, kuten Facebookissa, Twitterissä ja LinkedInissä. Syntymäpäivien, harrastusten, lomien, titteleiden, ylennysten ja suhteiden kaltaiset yksityiskohdat voivat olla hyödyllisiä kyberrikollisille hyökkäysten hiomisessa.
Yksi erinomainen tapa pienentää huijaussähköpostien aiheuttamaa riskiä on vaatia IT-osastoa merkitsemään oman verkon ulkopuolelta tulevat viestit tarkistusta varten. Valaanpyynnissä pyritään yleensä saamaan avainhenkilöt uskomaan, että viestit tulevat yrityksen sisältä, kuten vaikkapa talousjohtajan pyyntö lähettää rahaa tilille. Ulkoa tulevien viestien merkitseminen helpottaa vakuuttavalta näyttävien huijaussähköpostien huomaamista jopa maallikoille.
Tietojenkalastelun estoon erikoistuneen ohjelmiston käyttö URL-osoitteiden tarkistamiseen ja linkkien validointiin on suositeltavaa. Kannattaa myös harkita validointitason lisäämistä arkaluonteisten tietojen käsittelyyn tai suurten rahamäärien lähettämiseen. Kriittiset tai arkaluonteiset asiat saattaa esimerkiksi olla parempi hoitaa kasvotusten tai puhelimitse eikä sähköpostilla.
Nettihuijaustenkin kohdalla kaksi päätä on parempi kuin yksi. Harkitse organisaation käytäntöjen muuttamista niin, että maksuihin tarvitaan kaksi kuittausta yhden sijaan. Tämä antaa ensimmäiselle henkilölle jonkun, jonka kanssa voi käsitellä epäilyjä, ja poistaa pelon siitä, että johtohenkilö, jonka pyyntö evätään, kohdistaisi kostotoimia häneen. Pelko on tärkeä hyökkääjien käyttämä sosiaalisen manipuloinnin keino.