Penjenayah siber sering menggunakan serangan penipuan e-mel yang sangat disasarkan untuk mengkompromikan perbadanan dan institusi kewangan di seluruh dunia. Serangan ini, yang dipanggil serangan pancingan data, menggunakan penipuan untuk mengakses dan mencuri data pengguna seperti kelayakan login, nombor kad kredit, dan data sensitif yang lain. Penyerang menyamar sebagai pihak yang dipercayai dan menipu mangsa untuk membuka e-mel atau mesej teks. Seterusnya, mangsa ditipu untuk mengklik pautan, yang memasang kod jahat pada komputer mereka. Serangan semacam ini boleh merosakkan dan boleh mengakibatkan kecurian identiti, pembelian tanpa kebenaran, atau mencuri dana.
Serangan Phishing boleh dikategorikan sebagai 'phishing spear' dan 'whaling'. Phishing tembak agak mirip dengan serangan ikan paus kerana sifatnya yang sama, kecuali serangan ikan paus adalah sasaran khusus di mana sasarannya adalah sesuatu yang penting atau penting. Serangan phishing lembing bukan sasaran organisasi atau kumpulan tertentu. Walaupun, phishing lembing kelihatan seperti serangan paus, ia sedikit berbeza daripada serangan kejuruteraan sosial tipikal.
Phishing spam adalah subset phishing tetapi ia disasarkan pada organisasi atau kumpulan tertentu dan bukannya kumpulan orang yang rawak. Ini adalah satu bentuk serangan kejuruteraan sosial khusus sasaran di mana pelaku menyamar sebagai individu yang dipercayai dan menipu mangsa untuk mengklik pautan yang berniat jahat dalam e-mel yang palsu atau mesej teks, yang memasang kod jahat pada komputer atau rangkaian mereka. Selepas itu, penyerang dapat mengambil data peribadi dan profesional yang sensitif dari mangsa dan pada masa-masa membolehkan mereka mengakses komputer yang terjejas. Serangan phishing e-mel ini menyasarkan individu khusus dan sering mengandungi maklumat peribadi seperti nama pekerja dan nombor kenalan, alamat pos, nombor keselamatan sosial, dan nombor kad kredit. Matlamatnya ialah untuk mendapatkan akses kepada maklumat perbankan korporat dan maklumat sensitif yang lain untuk memudahkan penipuan kewangan, penipuan dan jenayah siber lain.
Whaling masih lagi satu lagi variasi serangan phishing lembing, kecuali pukulan paus menyasarkan eksekutif peringkat tinggi atau pembuat keputusan organisasi. Orang yang disasarkan adalah seseorang yang penting atau penting; ia mungkin menjadi CEO, COO, atau CTO sesebuah organisasi. Serangan ini biasanya mengambil tanggungjawab spesifik mengenai peranan eksekutif ini, dengan menggunakan mesej terfokus untuk menipu mereka. Serangan ini didasarkan pada andaian bahawa orang-orang ini mempunyai maklumat yang lebih sensitif untuk membocorkan, seperti kata laluan kepada akaun admin, rahsia perdagangan, dan sebagainya. Penyerang menghantar e-mel berpura-pura menjadi organisasi, seperti klien. Mesej itu sangat spesifik sehingga kelihatannya cukup sah bagi korban bertindak dan mengklik link yang mengandung kod jahat yang dipasang di komputernya, atau jika ia dapat mengalihkan kembali ke laman web atau halaman web di bawah kendali hacker.
- Phishing spam adalah bentuk phishing tertentu yang mensasarkan organisasi tertentu atau sekumpulan orang dan bukannya kumpulan orang yang rawak. Pelaku menghantar e-mel yang berniat jahat berpura-pura menjadi pihak yang dipercaya untuk seberapa banyak pengguna yang mungkin dan menipu mangsa untuk mengklik pautan yang berniat jahat dalam e-mel yang palsu atau mesej teks, yang memasang kod jahat pada komputer atau rangkaian mereka. Begitu juga, ikan paus adalah subset dari phishing lembaran yang disasarkan kepada eksekutif peringkat tinggi atau pembuat keputusan organisasi, yang mempunyai lebih banyak maklumat penting untuk kehilangan daripada pengguna rata-rata.
- Serangan phishing dan serangan ikan paus sangat berbeza dari segi tahap kecanggihan mereka dan para korban yang mereka targetkan. Serangan phishing tombak disesuaikan untuk menyasarkan organisasi atau individu tertentu untuk mendapatkan akses kepada maklumat perbankan korporat dan maklumat sensitif yang lain untuk memudahkan penipuan kewangan selanjutnya. Sebaliknya, ikan paus menyasarkan ahli peringkat tinggi atau eksekutif C peringkat organisasi, seperti Ketua Pegawai Eksekutif, COO atau CTO, untuk mendapatkan kelayakan peringkat tinggi untuk akaun syarikat, rahsia syarikat, akaun admin, rahsia perdagangan, dan sebagainya. Sementara serangan ikan paus menyasarkan individu peringkat tinggi, pancingan pancingan mata bertujuan untuk sasaran rendah profil.
- Langkah paling berkesan untuk melindungi komputer atau rangkaian anda dari serangan pancingan pancingan adalah untuk mendidik orang ramai tentang teknik kejuruteraan sosial. E-mel e-mel spam tidak mudah untuk diesan, jadi bijak untuk menyemak destinasi pada pautan yang boleh diklik sebelum benar-benar mengklik pada pautan. Langkah-langkah lain termasuk dasar pengesahan dan pengurusan kata laluan dua faktor. Whaling memerlukan perlindungan yang sama seperti serangan kejuruteraan sosial lain seperti malware yang betul dan perlindungan antivirus, dan di atas semua, kesedaran pengguna. Teknik yang sama digunakan untuk meredakan serangan phishing lembing juga boleh diterapkan untuk ikan paus.
Secara ringkasnya, serangan phishing dan serangan ikan paus sangat berbeza dari segi tahap kecanggihan mereka dan mangsa yang mereka targetkan. Semasa serangan ikan paus menyasarkan individu peringkat tinggi, pancingan pancingan mata bertujuan untuk sasaran rendah profil. Penyerang menyamar sebagai pihak yang dipercayai dan menipu mangsa untuk membuka e-mel atau mesej teks. Seterusnya, mangsa ditipu untuk mengklik pautan, yang memasang kod jahat pada komputer mereka. Walaupun penangkapan ikan paus menyasarkan eksekutif atau pengambil keputusan peringkat C di peringkat organisasi yang tinggi, teknik yang sama digunakan untuk mengurangkan serangan pancingan mata pancingan juga dikenakan untuk ikan paus. Langkah terbaik untuk menghalang kejayaan serangan ikan paus ialah dengan menggunakan tandatangan digital.