Η KnowBe4 μια φημισμένη παγκόσμια πλατφόρμα κυβερνοασφάλειας που ασχολείται ολοκληρωμένα με τη διαχείριση κινδύνων από ανθρώπους και παράγοντες τεχνητής νοημοσύνης, σημειώνει ότι οι εποχιακές περίοδοι υψηλής κατανάλωσης, όπως η Black Friday και τα Χριστούγεννα, παραμένουν μεταξύ των περιόδων με τον μεγαλύτερο κυβερνοκίνδυνο για εταιρείες σε όλη τη Λατινική Αμερική.
Κατά τη διάρκεια αυτής της περιόδου, η αυξημένη ψηφιακή κίνηση, ο υψηλότερος όγκος email και η υπερφόρτωση της ομάδας IT δημιουργούν την «τέλεια καταιγίδα» κινδύνου. Το σενάριο επιδεινώνεται από παράγοντες που είναι τυπικοί για τον τομέα του λιανικού εμπορίου, όπως η χρήση ανεκπαίδευτων προσωρινών υπαλλήλων και η πολυπλοκότητα των πολυκαναλικών περιβαλλόντων που συνδυάζουν φυσικά καταστήματα, ηλεκτρονικό εμπόριο, εφαρμογές και συστήματα πληρωμών.
Σύμφωνα με την Παγκόσμια Έκθεση Λιανικής για το 2025 , το λιανικό εμπόριο συγκαταλέγεται στους πέντε τομείς που δέχονται τις περισσότερες στοχοποιήσεις παγκοσμίως. Το μέσο κόστος μιας παραβίασης δεδομένων σε αυτόν τον τομέα έφτασε τα 3,48 εκατομμύρια δολάρια ΗΠΑ το 2024 (IBM), σημειώνοντας αύξηση 18% σε σύγκριση με το προηγούμενο έτος. Η Λατινική Αμερική εμφανίζεται ως η δεύτερη πιο επιτιθέμενη περιοχή, αντιπροσωπεύοντας το 32% όλων των απόπειρων, πίσω μόνο από τη Βόρεια Αμερική (56%). Η Βραζιλία συγκαταλέγεται στις πέντε χώρες που έχουν πληγεί περισσότερο από ransomware στο λιανικό εμπόριο.
Πώς λειτουργούν οι πιο συνηθισμένες απάτες
Οι κυβερνοεγκληματίες εκμεταλλεύονται τον επιταχυνόμενο ρυθμό και την αυξημένη επικοινωνία κατά τη διάρκεια αυτής της περιόδου για να εισάγουν δόλια μηνύματα που αναμειγνύονται με νόμιμα. Αυτές οι επιθέσεις επηρεάζουν τόσο τις εταιρείες, των οποίων τα συστήματα ενδέχεται να έχουν παραβιαστεί, όσο και τους καταναλωτές, οι οποίοι συχνά κοινοποιούν προσωπικά δεδομένα και δεδομένα πληρωμών κατά τη διάρκεια διαδικτυακών προωθητικών ενεργειών.
Μία από τις πιο συχνές απάτες αφορά ψεύτικες προωθητικές ενέργειες που μιμούνται προσφορές από μεγάλους λιανοπωλητές και ανακατευθύνουν τους χρήστες σε κλωνοποιημένους ιστότοπους. Σε αυτές τις σελίδες, κλέβονται εταιρικά ή προσωπικά στοιχεία σύνδεσης και κωδικοί πρόσβασης και πωλούνται σε κακόβουλα φόρουμ.
Μια άλλη συνηθισμένη τακτική περιλαμβάνει μηνύματα που μιμούνται τεχνικές ειδοποιήσεις, όπως ενημερώσεις λογισμικού, επαναφορές κωδικού πρόσβασης ή ειδοποιήσεις παράδοσης. Επαγγελματικά γραμμένες και εμφανώς νόμιμες, αυτές οι επικοινωνίες ξεγελούν τον χρήστη ώστε να κάνει κλικ σε συνδέσμους ή να ανοίξει συνημμένα αρχεία, με αποτέλεσμα την εγκατάσταση κακόβουλου λογισμικού ή spyware ικανού να παρακολουθεί δραστηριότητες, να κλέβει cookies περιόδου σύνδεσης και να καταγράφει αποθηκευμένα διαπιστευτήρια.
Αυτές οι απάτες εκμεταλλεύονται ψυχολογικά αίτια όπως η επείγουσα ανάγκη, η ανταμοιβή και η εξοικείωση. Ένα email που υπογράφεται από έναν συνάδελφο ή το τμήμα IT, για παράδειγμα, είναι λιγότερο πιθανό να αμφισβητηθεί όταν ο φόρτος εργασίας είναι υψηλός και οι προθεσμίες πιεστικές. Αυτό καθιστά τον ανθρώπινο παράγοντα το κύριο σημείο εισόδου για κυβερνοεπιθέσεις.
Μείωση του κινδύνου μέσω της κουλτούρας, της συμπεριφοράς και της συνεχούς εκπαίδευσης.
Η καταπολέμηση αυτού του είδους απάτης απαιτεί μια αλλαγή νοοτροπίας εντός των οργανισμών. Τα συνεχή προγράμματα ευαισθητοποίησης και οι προσομοιώσεις ηλεκτρονικού "ψαρέματος" (phishing) μπορούν να μειώσουν την πιθανότητα ένας εργαζόμενος να αλληλεπιδράσει με κακόβουλα μηνύματα έως και 88% σε διάστημα 12 μηνών. Η έκθεση επισημαίνει ότι, πριν από την εκπαίδευση, η μέση ευαισθησία στο ηλεκτρονικό "ψάρεμα" (Phish-prone™ Percentage) είναι 30,7% στις μικρές επιχειρήσεις, 32% στις μεσαίες επιχειρήσεις και 42,4% στους μεγάλους οργανισμούς. Μετά από ενενήντα ημέρες, αυτά τα ποσοστά μειώνονται σε περίπου 20%.
«Αυτή η εξέλιξη δείχνει ότι η ανθρώπινη συμπεριφορά έχει αναγνωριστεί ως ένας από τους πιο αποτελεσματικούς πυλώνες στην άμυνα κατά των κυβερνοαπειλών, ειδικά όταν οι εργαζόμενοι μαθαίνουν να εντοπίζουν ανεπαίσθητα σημάδια απάτης, κατανοούν τακτικές ψυχολογικής χειραγώγησης και συμμετέχουν ενεργά στην άμυνα της εταιρείας στον κυβερνοχώρο», λέει ο Rafael Peruch, Τεχνικός Σύμβουλος CISO στην KnowBe4.
Εκτός από την εκπαίδευση, είναι απαραίτητο να ενισχυθούν οι πολιτικές εσωτερικής ασφάλειας κατά τη διάρκεια εποχιακών περιόδων, να επανεξετάζονται οι ροές επικοινωνίας και να εφαρμόζεται έλεγχος ταυτότητας πολλαπλών παραγόντων (MFA) σε όλα τα συστήματα. Πόροι όπως η καθοδήγηση σε πραγματικό χρόνο και οι αυτοματοποιημένες ειδοποιήσεις ηλεκτρονικού "ψαρέματος" (phishing) βοηθούν στη δημιουργία άμεσων αντιδράσεων σε απόπειρες απάτης.
«Ο αυτοματισμός βοηθά στην ανίχνευση απειλών, αλλά η διαχείριση ανθρώπινου κινδύνου είναι αυτή που πραγματικά μειώνει τον κίνδυνο. Με την υποστήριξη της τεχνητής νοημοσύνης, μπορούμε να εντοπίσουμε πρότυπα συμπεριφοράς και να δημιουργήσουμε προγράμματα ευαισθητοποίησης προσαρμοσμένα σε κάθε οργανισμό», καταλήγει ο Peruch.
