Secondo ESET Threat Report D1 2022, le minacce e-mail hanno registrato un aumento del 2022% nei primi quattro mesi del 37. Le truffe di phishing utilizzano tattiche di posta elettronica false per indurre gli aggressori a installare malware, rubare credenziali e indurre gli utenti a effettuare trasferimenti di denaro aziendali. I truffatori utilizzano tecniche di ingegneria sociale progettate per far correre l'acquirente all'azione senza pensare.
Queste tattiche includono:
- Utilizzo di ID mittente/domini/numeri di telefono falsi e talvolta errori di battitura o nomi di dominio internazionalizzati (IDN)
- Account mittente dirottati che sono quasi impossibili da rilevare come tentativi di phishing,
- Ricerca online (tramite social media) per rendere più credibili i tentativi di spear phishing
- Loghi ufficiali, intestazioni, piè di pagina, ecc. uso,
- Creare un senso di urgenza o eccitazione che spinge l'utente a prendere decisioni affrettate.
- Collegamenti abbreviati che nascondono la vera destinazione del mittente,
- Portali di accesso, siti Web, ecc. dall'aspetto legittimo. creazione.
Secondo l'ultimo rapporto Verizon DBIR, lo scorso anno quattro vettori sono stati responsabili della maggior parte degli incidenti di sicurezza: credenziali, phishing, exploit e botnet. I primi due di questi riguardano l'errore umano. Un quarto (25%) delle violazioni totali esaminate nel rapporto sono state il risultato di attacchi di ingegneria sociale. In combinazione con errori umani e abuso di privilegio, l'elemento umano ha rappresentato l'82% di tutte le violazioni.
I lavoratori distratti e domestici con dispositivi scarsamente protetti sono stati brutalmente presi di mira dagli attori delle minacce. Nell'aprile 2020, Google ha affermato di bloccare ogni giorno fino a 18 milioni di e-mail dannose e di phishing in tutto il mondo.
Poiché molti di questi dipendenti tornano in ufficio, c'è anche il rischio che siano esposti a più smishing di SMS e attacchi di phishing basati su chiamate vocali. È più probabile che gli utenti in movimento facciano clic sui collegamenti e aprano file aggiuntivi che non dovrebbero. Questo può portare a:
- download di ransomware,
- Trojan bancari,
- Furto/violazione di dati,
- malware di crittografia,
- implementazioni di botnet,
- Account compromessi da utilizzare in attacchi successivi,
- Intercettazione di e-mail aziendali (BEC) con conseguente perdita di denaro a causa di fatture/richieste di pagamento fraudolente.
Mentre il costo medio di una violazione dei dati è di oltre $ 4,2 milioni, che è un record oggi, alcune violazioni di ransomware costano molte volte tanto.
Can Erginkurban, Product and Marketing Manager di ESET Turchia, ha sottolineato che la formazione è sempre importante e ha affermato: "È necessario svolgere una formazione regolare per prevenire attacchi contro i dipendenti. La formazione sulla sensibilizzazione al phishing dovrebbe essere solo una parte di una strategia a più livelli per combattere le minacce dell'ingegneria sociale. Anche il personale più addestrato a volte può cadere vittima di truffe sofisticate. Ecco perché anche i controlli di sicurezza sono importanti. Se vuoi proteggere la tua organizzazione dagli attacchi di phishing, dovresti assolutamente supportare i tuoi dipendenti con corsi di formazione". disse.
Sii il primo a commentare