I følge ESET Threat Report D1 2022 økte e-posttrusler med 2022 prosent i de første fire månedene av 37. Phishing-svindel bruker falske e-posttaktikker for å lure angripere til å installere skadelig programvare, stjele legitimasjon og lure brukere til å foreta pengeoverføringer fra bedriften. Svindlere bruker sosiale ingeniørteknikker designet for å få kjøperen til å skynde seg til handling uten å tenke.
Disse taktikkene inkluderer:
- Bruk av falske avsender-IDer/domener/telefonnumre og noen ganger skrivefeil eller internasjonaliserte domenenavn (IDNs)
- Kaprede avsenderkontoer som er nesten umulige å oppdage som phishing-forsøk,
- Nettbasert forskning (via sosiale medier) for å gjøre spyd-phishing-forsøk mer troverdig
- Offisielle logoer, topptekster, bunntekster osv. bruk,
- Skaper en følelse av at det haster eller spenning som presser brukeren til å ta forhastede beslutninger.
- Forkortede lenker som skjuler den sanne destinasjonen til avsenderen,
- Legit utseende inngangsportaler, nettsteder, etc. opprettelse.
I følge den siste Verizon DBIR-rapporten var fire vektorer ansvarlige for flertallet av sikkerhetshendelsene i fjor: legitimasjon, phishing, utnyttelser og botnett. De to første av disse handler om menneskelige feil. En fjerdedel (25 %) av de totale bruddene som ble undersøkt i rapporten var et resultat av sosiale ingeniørangrep. Kombinert med menneskelige feil og misbruk av privilegier, sto det menneskelige elementet for 82 % av alle brudd.
Distraherte og hjemmearbeidere med dårlig beskyttede enheter har blitt brutalt målrettet av trusselaktører. I april 2020 hevdet Google å blokkere så mange som 18 millioner ondsinnede og phishing-e-poster over hele verden hver dag.
Ettersom mange av disse ansatte kommer tilbake til kontoret, er det også en risiko for at de vil bli utsatt for flere SMS-smishing og taleanropsbaserte phishing-angrep. Brukere på farten kan være mer sannsynlig å klikke på lenker og åpne flere filer de ikke burde. Dette kan føre til:
- ransomware nedlastinger,
- Banktrojanere,
- Datatyveri/-brudd,
- kryptominerende skadelig programvare,
- distribusjon av botnett,
- Kontoer hacket for bruk i påfølgende angrep,
- Avlytting av forretningse-poster (BEC) som resulterer i tapte penger på grunn av falske fakturaer/betalingsforespørsler.
Mens den gjennomsnittlige kostnaden for et datainnbrudd er over 4,2 millioner dollar, som er rekordhøye i dag, koster noen løsepengevarebrudd flere ganger så mye.
ESET Tyrkia produkt- og markedssjef Can Erginkurban understreket at opplæring alltid er viktig og sa: «Regelmessig opplæring bør gjennomføres for å forhindre angrep mot ansatte. Opplæring om phishing-bevissthet bør bare være en del av en flerlagsstrategi for å bekjempe sosiale ingeniørtrusler. Selv det mest trente personellet kan noen ganger bli offer for sofistikert svindel. Derfor er også sikkerhetskontroller viktig. Hvis du ønsker å beskytte organisasjonen din mot phishing-angrep, bør du definitivt støtte de ansatte med opplæring.» sa.
Vær den første til å kommentere