Ifølge ESET Threat Report D1 2022 oplevede e-mailtrusler en stigning på 2022 procent i de første fire måneder af 37. Phishing-svindel bruger falske e-mail-taktik til at narre angribere til at installere malware, stjæle legitimationsoplysninger og narre brugere til at foretage virksomhedsoverførsler. Svindlere bruger social engineering-teknikker designet til at få køberen til at skynde sig til handling uden at tænke.
Disse taktikker omfatter:
- Brug af falske afsender-id'er/domæner/telefonnumre og nogle gange stavefejl eller internationaliserede domænenavne (IDN'er)
- Kaprede afsenderkonti, der er næsten umulige at opdage som phishing-forsøg,
- Online research (via sociale medier) for at gøre spyd-phishing-forsøg mere troværdige
- Officielle logoer, sidehoveder, sidefødder osv. brug,
- Skaber en følelse af, at det haster eller spænding, der presser brugeren til at træffe forhastede beslutninger.
- Forkortede links, der skjuler afsenderens sande destination,
- Legit udseende indgangsportaler, hjemmesider osv. skabelse.
Ifølge den seneste Verizon DBIR-rapport var fire vektorer ansvarlige for størstedelen af sikkerhedshændelser sidste år: legitimationsoplysninger, phishing, exploits og botnets. De to første af disse handler om menneskelige fejl. En fjerdedel (25 %) af de samlede overtrædelser, der blev undersøgt i rapporten, var resultatet af sociale ingeniørmæssige angreb. Kombineret med menneskelige fejl og misbrug af privilegier udgjorde det menneskelige element 82 % af alle krænkelser.
Distraherede og hjemmearbejdere med dårligt beskyttede enheder er blevet brutalt målrettet af trusselsaktører. I april 2020 hævdede Google at blokere så mange som 18 millioner ondsindede og phishing-e-mails over hele verden hver dag.
Da mange af disse medarbejdere vender tilbage til kontoret, er der også risiko for, at de bliver udsat for flere SMS-smishing og taleopkaldsbaserede phishing-angreb. Brugere på farten kan være mere tilbøjelige til at klikke på links og åbne yderligere filer, som de ikke burde. Dette kan føre til:
- ransomware downloads,
- Banktrojanske heste,
- Datatyveri/overtrædelser,
- kryptominerende malware,
- installation af botnet,
- Konti hacket til brug i efterfølgende angreb,
- Aflytning af virksomheds-e-mails (BEC), der resulterer i tabte penge på grund af svigagtige fakturaer/betalingsanmodninger.
Mens den gennemsnitlige pris for et databrud er over 4,2 millioner dollars, hvilket er rekordhøjt i dag, koster nogle ransomware-brud flere gange så meget.
ESET Tyrkiets produkt- og marketingchef, Can Erginkurban, understregede, at træning altid er vigtigt, og sagde: "Regelmæssig træning bør udføres for at forhindre angreb på medarbejdere. Phishing-bevidsthedstræning bør kun være en del af en flerlagsstrategi til bekæmpelse af sociale ingeniørmæssige trusler. Selv det mest uddannede personale kan nogle gange blive offer for sofistikeret svindel. Derfor er sikkerhedskontrollen også vigtig. Hvis du vil beskytte din organisation mod phishing-angreb, bør du helt sikkert støtte dine medarbejdere med træning.” sagde.
Vær den første til at kommentere