Σύμφωνα με την ESET Threat Report D1 2022, οι απειλές μέσω email παρουσίασαν αύξηση 2022 τοις εκατό τους πρώτους τέσσερις μήνες του 37. Οι απάτες ηλεκτρονικού ψαρέματος χρησιμοποιούν πλαστές τακτικές ηλεκτρονικού ταχυδρομείου για να ξεγελάσουν τους εισβολείς ώστε να εγκαταστήσουν κακόβουλο λογισμικό, να κλέψουν διαπιστευτήρια και να εξαπατήσουν τους χρήστες να πραγματοποιήσουν εταιρικές μεταφορές χρημάτων. Οι απατεώνες χρησιμοποιούν τεχνικές κοινωνικής μηχανικής που έχουν σχεδιαστεί για να κάνουν τον αγοραστή να βιαστεί στη δράση χωρίς να το σκεφτεί.
Αυτές οι τακτικές περιλαμβάνουν:
- Χρησιμοποιώντας πλαστά αναγνωριστικά αποστολέα / τομείς / αριθμούς τηλεφώνου και μερικές φορές τυπογραφικά λάθη ή διεθνοποιημένα ονόματα τομέα (IDN)
- Παραβιασμένοι λογαριασμοί αποστολέα που είναι σχεδόν αδύνατο να εντοπιστούν ως απόπειρες phishing,
- Ηλεκτρονική έρευνα (μέσω των μέσων κοινωνικής δικτύωσης) για να γίνουν πιο αξιόπιστες οι απόπειρες ψαρέματος με δόρυ
- Επίσημα λογότυπα, κεφαλίδες, υποσέλιδα κ.λπ. χρήση,
- Δημιουργία μιας αίσθησης επείγοντος ή ενθουσιασμού που ωθεί τον χρήστη να πάρει βιαστικές αποφάσεις.
- Συντομευμένοι σύνδεσμοι που κρύβουν τον πραγματικό προορισμό του αποστολέα,
- Πύλες εισόδου, ιστότοποι, κ.λπ. με νόμιμη εμφάνιση. δημιουργία.
Σύμφωνα με την τελευταία έκθεση της Verizon DBIR, τέσσερις φορείς ήταν υπεύθυνοι για τα περισσότερα συμβάντα ασφαλείας πέρυσι: Διαπιστευτήρια, ηλεκτρονικό ψάρεμα, εκμεταλλεύσεις και botnets. Τα δύο πρώτα από αυτά αφορούν ανθρώπινο λάθος. Το ένα τέταρτο (25%) των συνολικών παραβιάσεων που εξετάστηκαν στην έκθεση ήταν αποτέλεσμα επιθέσεων κοινωνικής μηχανικής. Σε συνδυασμό με ανθρώπινα λάθη και κατάχρηση προνομίων, το ανθρώπινο στοιχείο αντιπροσώπευε το 82% όλων των παραβιάσεων.
Οι αποσπασμένοι και οι οικιακόι εργαζόμενοι με συσκευές ανεπαρκώς προστατευμένες έχουν γίνει βάναυσοι στόχοι απειλών. Τον Απρίλιο του 2020, η Google ισχυρίστηκε ότι μπλοκάρει έως και 18 εκατομμύρια κακόβουλα μηνύματα ηλεκτρονικού ταχυδρομείου και ηλεκτρονικού ψαρέματος σε όλο τον κόσμο καθημερινά.
Καθώς πολλοί από αυτούς τους υπαλλήλους επιστρέφουν στο γραφείο, υπάρχει επίσης ο κίνδυνος να εκτεθούν σε περισσότερες επιθέσεις ηλεκτρονικού ψαρέματος μέσω SMS και φωνητικών κλήσεων. Οι χρήστες εν κινήσει ενδέχεται να είναι πιο πιθανό να κάνουν κλικ σε συνδέσμους και να ανοίξουν πρόσθετα αρχεία που δεν θα έπρεπε. Αυτό μπορεί να οδηγήσει σε:
- λήψεις ransomware,
- Τρώες τραπεζών,
- κλοπή/παραβιάσεις δεδομένων,
- κακόβουλο λογισμικό κρυπτογράφησης,
- αναπτύξεις botnet,
- Χακαρισμένοι λογαριασμοί για χρήση σε επόμενες επιθέσεις,
- Υποκλοπή επαγγελματικών email (BEC) με αποτέλεσμα την απώλεια χρημάτων λόγω δόλιων τιμολογίων/αιτημάτων πληρωμής.
Ενώ το μέσο κόστος μιας παραβίασης δεδομένων είναι πάνω από 4,2 εκατομμύρια δολάρια, που είναι υψηλό ρεκόρ σήμερα, ορισμένες παραβιάσεις ransomware κοστίζουν πολλαπλάσιο.
Ο διευθυντής προϊόντων και μάρκετινγκ της ESET Turkey Can Erginkurban τόνισε ότι η εκπαίδευση είναι πάντα σημαντική και είπε: «Πρέπει να πραγματοποιείται τακτική εκπαίδευση προκειμένου να αποφευχθούν επιθέσεις κατά των εργαζομένων. Η εκπαίδευση ευαισθητοποίησης για το phishing θα πρέπει να αποτελεί μόνο μέρος μιας στρατηγικής πολλαπλών επιπέδων για την καταπολέμηση των απειλών κοινωνικής μηχανικής. Ακόμη και το πιο εκπαιδευμένο προσωπικό μπορεί μερικές φορές να πέσει θύμα περίπλοκων απατών. Γι' αυτό και οι έλεγχοι ασφαλείας είναι επίσης σημαντικοί. Εάν θέλετε να προστατέψετε τον οργανισμό σας από επιθέσεις phishing, θα πρέπει οπωσδήποτε να υποστηρίξετε τους υπαλλήλους σας με εκπαιδεύσεις». είπε.
Γίνετε ο πρώτος που θα σχολιάσει