Ei ole salaisuus, että yhteiskunnan nopea digitalisaatio on syvästi muuttanut henkilökohtaisia ja kaupallisia suhteita. Tutkimukset osoittavat, että vuonna 2024 verkkohuijauksista aiheutuneet taloudelliset menetykset olivat 10,1 miljardia R$ eli 17 % enemmän kuin edellisenä vuonna.
Tämä muutos kuitenkin laajensi myös kyberrikollisten hyökkäyspintaa, jotka yhä enemmän luottavat sosiaaliseen manipulointiin toteuttaakseen monimutkaisia petosskemoja.
Yleisimmät ovat phishing, smishing ja vishing — käytännöt, jotka vaikka menetelmiltään eroavatkin, jakavat saman tavoitteen: huijata uhrit varastamaan arkaluonteisia tietoja, erityisesti pääsytietoja. Vaikka ne liittyvät perinteisesti kuluttajia vastaan tehtäviin huijauksiin, nämä sosiaalisen manipuloinnin muodot ovat myös erittäin tehokkaita yritysympäristössä. Huijarit kohdistavat yrityksiin saadakseen pääsyn sisäisiin järjestelmiin, vaarantaakseen toimitusketjuja ja suorittaakseen laajamittaisia taloudellisia petoksia.
Phishing, Smishing ja Vishing ovatko samat uhat?
Selittääkseni aluksi on tärkeää ymmärtää, että termi sosiaalinen engineering viittaa joukkoon tekniikoita, joita huijarit käyttävät manipuloidakseen uhreja emotionaalisesti ja sosiaalisesti, saaden heidät toimimaan omia etuja vastaan ja vaarantaen heidän turvallisuutensa.
Phishing on tunnetuin tämän tyyppisistä huijauksista. Sähköpostipohjaiset phishing-kokit löytyvät dark webistä. Niille huijareille, jotka eivät ole alan asiantuntijoita, on niitä, jotka suorittavat palvelun heidän puolestaan. Se yleensä sisältää sähköpostien tai viestien lähettämistä, jotka vaikuttavat luotettavilta instituutioilta, kuten pankeilta, vähittäiskauppiailta tai verkkopalveluilta.
Tavoitteena on huijata vastaanottajaa klikkaamaan haitallisia linkkejä, jotka johtavat väärennettyihin sivustoihin, erittäin samankaltaisiin alkuperäisiin, tarkoituksena kerätä salasanoja ja muita arkaluonteisia tietoja, kuten asiakirjannumeroita tai luottokorttitietoja. Serpron tietojen mukaan phishing on edelleen yksi Brasilian yleisimmistä petostyypeistä, ja rikolliset ovat kehittäneet strategioitaan käyttämällä tekoälyä (AI) ja deepfakeja luodakseen vieläkin vakuuttavampia ja räätälöidympiä sisältöjä. Äskettäinen tapaus oli miehen pidätys rikollisryhmässä, joka käytti manipuloituja videoita deepfake-teknologialla, joissa oli juontaja Marcos Mionin kuva ja ääni.
Huijarit tekevät myös petoksia kuten Business Email Compromise (BEC) ja väärennetty toimitusjohtajan huijaus, joissa sähköposteilla esitetään johtajia, jotta työntekijöitä saadaan siirtämään rahaa tai luovuttamaan tunnistetietoja.
Toisaalta smishing (SMS:n ja kalastelun yhdistelmä) käyttää tekstiviestejä huijatakseen uhreja. Yleistymisen myötä viestintäsovelluksissa kuten WhatsApp ja Telegram tämä menetelmä on saanut jalansijaa, hyödyntäen ihmisten taipumusta vastata nopeasti viesteihin, jotka vaikuttavat kiireellisiltä tai tärkeiltä.
Vishing (puhelinperäinen kalastelu) tehdään puheluiden avulla, joissa huijari esittäytyy yrityksen tai laitoksen edustajaksi. Persuatiivinen sävy, yhdistettynä aiemmin vuotaneisiin tietoihin, tekee uhreista alttiimpia jakamaan luottamuksellisia tietoja puhelimitse. Tämäntyyppiset huijaukset ovat osuneet yhä useampiin brasilialaisiin yrityksiin, erityisesti suuriin yrityksiin.
Vanhat tilit ovat rikollisten arvokkaimpia omaisuuksia
Näiden petosten kasvu liittyy suoraan tilipohjaisiin ekosysteemeihin liittyvään arvoon. Vanhentunut ja luotettava tili on rikollisille arvokkaampi kuin suora rahan varastaminen. Se siitä, että laitteet, joilla on todellisia toimintohistoriaa, ovat vähemmän alttiita perinteisten petostentorjuntajärjestelmien automaattiselle havaitsemiselle.
Huijarit käyttävät phishingiä ja sen muunnelmia yhdessä saadakseen pääsyn näihin tileihin, jotka voivat olla vuosien mittaisia suhteita ja transaktioita, jotka vahvistavat heidän mainettaan. Kun sisällä, rikollinen voi tutkia ostohistoriaa, käyttäytymismalleja ja joissakin tapauksissa jopa olla yhteydessä asiakaspalveluun tekeytyen oikeaksi tilinomistajaksi.
Nethonen raportin mukaan jotkut huijarit rakentavat suhteita tukihenkilöihin, huijaten heitä tekemään tilin muutoksia, jotka helpottavat huijausprosessia — prosessi tunnetaan nimellä account takeover (tilin haltuunotto). Tämäntyyppinen hyökkäys ei ainoastaan aiheuta suoria taloudellisia menetyksiä, vaan myös vaarantaa luottamuksen digitaalisiin alustoihin ja palveluihin.
tekoälyn ja automaation vaikutus petoksiin
Historian mukaan sosiaalisen insinööritaidon kampanjat vaativat suunnittelua, aikaa ja tietynasteista manuaalista räätälöintiä. Kuitenkin laajamittainen generatiivisten kielimallien (LLMs) käyttöönotto on täysin muuttanut tämän tilanteen.
Tänään, tekoälypohjaisilla automatisoiduilla työkaluilla, rikolliset voivat luoda ja käynnistää kalastelukampanjoita minuuteissa. Hyvin kirjoitetut tekstit, jotka aiemmin vaativat sujuvuutta tai aikaa niiden laatimiseen, luodaan nyt automaattisesti korkealla hienostuneisuuden tasolla. Tämän seurauksena näiden hyökkäysten määrä ja taajuus ovat lisääntyneet hälyttävästi.
Tämä kasvu heijastaa ei vain petollisten kampanjoiden laajemman tavoittavuuden, vaan myös uusien tekoälyyn ja automaatioon perustuvien tekniikoiden tehokkuutta.
Joka luulee, että phishing, smishing ja vishing ovat ainoastaan yksittäisten kuluttajien riskejä, hän on väärässä. Yritykset ovat myös usein näiden petosten uhreja, erityisesti kun yritystunnukset paljastuvat dark webissä. Nethonen analyysin mukaan huijarit voivat hankkia vuotaneita työntekijöiden tietoja saadakseen etuoikeutetun pääsyn sisäisiin järjestelmiin ja arkaluonteisiin tietokantoihin.
Tästä lähtien he tekevät hienovaraisia liikkeitä: he tutkivat yrityksen osto- tai toimintakäyttäytymistä, luovat vuorovaikutusta teknisen tai kaupallisen tuen kanssa ja manipuloivat vähitellen sisäisiä prosesseja suorittaakseen petollisia tapahtumia ilman välittömiä epäilyksiä. Tämä käytäntö vaarantaa paitsi organisaation turvallisuuden myös asiakkaiden ja yhteistyökumppaneiden välisen luottamussuhteen.
Kuinka suojautua näiltä uhkilta?
Suojautuminen phishingiltä, smishingiltä ja vishingiltä vaatii yhdistelmän teknologiaa, prosesseja ja tietoisuutta.
Koulutus ja tietoisuuden lisääminenEnsimmäinen puolustuslinja on aina ihminen. Sekä yritysten että käyttäjien on opetettava tunnistamaan näiden petosten yleisiä merkkejä, kuten kirjoitusvirheitä, liiallista kiirettä viesteissä, pyynnöt arkaluonteisista tiedoista ja epätavallisia viestintäkanavia.
Monivaiheinen tunnistautuminen (MFA):Vaikka tunnukset olisivat vaarantuneet, useiden todennustasojen käyttö vaikeuttaa luvattoman pääsyn.
Tunnistautumistietojen seurantaTyökalut, jotka seuraavat tunnusten paljastumista dark webissä, ovat välttämättömiä, jotta yritykset ja yksilöt saavat nopeasti hälytyksiä vuodoista.
Tekoälypohjaiset petostunnistusjärjestelmätSamoin kuin rikolliset, yritysten on turvauduttava tekoälyyn havaitakseen poikkeavia käyttäytymismalleja, jotka voivat viitata mahdollisiin tunkeutumisiin tai petostentekoyrityksiin.
Aikoina, jolloin luottamus on arvokas valuutta, tunnusten suojaaminen ja valppauden ylläpitäminen ovat välttämättömiä yksilöiden ja yritysten digitaalisen eheyden säilyttämiseksi.
