Ei ole salaisuus, että yhteiskunnan nopea digitalisointi on mullistanut syvästi sekä henkilökohtaiset että liiketoimintayhteydet. Tutkimukset osoittavat, että vuonna 2024 verkkohyvitysten aiheuttama taloudellinen tappio oli 10,1 miljardia R$, mikä on 17% nousua edellisestä vuodesta.
Tämä muutos kuitenkin lisäsi myös kyberrikollisille hyökkäyspintaa, jotka ovat yhä enemmän riippuvaisia sosiaalisesta manipuloinnista kehitettyjen petotempausten toteuttamiseksi.
Yleisimpiin kuuluvat phishing, smishing ja vishing – menetelmät, jotka, vaikka eroavat käytetyistä menetelmistä, jakavat saman tavoitteen: huiata uhrit viemään herkkiä tietoja, erityisesti käyttöoikeuksia. Vaikka ne on perinteisesti liitetty kuluttajiin kohdistuviin huijausyrityksiin, nämä sosiaalisen insinööritieteen muodot ovat myös erittäin tehokkaita yritysympäristössä. Huijaajat kohdistavat yrityksiin saavuttaakseen sisäisiä järjestelmiä, murtaakseen toimitusketjuja ja suorittaakseen laajoja taloudellisia petoksia.
Onko phishing, smishing ja vishing samaa uhkaa?
Selityksen alkuun on tärkeää ymmärtää, että sosiaalinen insinööritiede tarkoittaa joukkoa tekniikoita, joita huijaajat käyttävät manipuloidakseen uhreja emotionaalisesti ja sosiaalisesti, jolloin uhrit toimivat itseään vastaan ja vaarantuu turvallisuutensa.
Phishing onnet tunnetuin tyypin huijaus. Phishing-sähköpostipaketteja voi löytää pimeältä verkosta. Niille huijaajille, jotka eivät ole asiasta asiantuntijoita, on niitä, jotka suorittavat palvelun heidän puolestaan. Se yleensä sisältää sähköpostien tai viestien lähettämisen, jotka teeskentelevät luotettavia instituutioita, kuten pankkeja, vähittäiskauppiaita tai verkkopalveluita.
Tavoitteena on huiata vastaanottajaa klikkaamaan haitallisia linkkejä, jotka johtavat vääriin verkkosivustoihin, jotka muistuttavat täysin alkuperäisiä, jotta he paljastavat salasanoja ja muita arkaluonteisia tietoja, kuten henkilöasiakirjanumeroita tai luottokorttitietoja. Serpron tietojen mukaan phishing on edelleen yksi yleisimmistä petoksista Brasiliassa, ja rikolliset kehittävät strategioitaan käyttämällä tekoälyä (AI) ja deepfake-tekniikkaa luodakseen entistä vakuuttavampia ja yksilöllisempiä sisältöjä. Viimeaikaiselle tapaukselle on ominaista miehen pidättäminen osallisuudesta rikollisryhmään, joka käytti deepfake-tekniikalla manipuloituja videoita petosten toteuttamiseen, joissa esiintyi esittäjä Marcos Mion.
Petolliset käyttävät myös huijaustoimintaa, kuten Business Email Compromise (BEC) -huijausta ja vale-CIO-huijausta, jossa he lähettävät sähköpostia, jotka näyttävät tulevan johtajilta, jotta he saavat työntekijöitä siirtämään rahaa tai luovuttamaan tunnuksia.
Toisaalta, smishing (SMS ja phishingin yhdistelmä) käyttää tekstiviestejä huijaamaan uhreja. WhatsAppin ja Telegramin kaltaisten viestisovellusten yleistymisen myötä tämä menetelmä on saanut vauhtia hyödyntäen ihmisten taipumusta vastata nopeasti kiireellisiltä tai tärkeiltä vaikuttaville viesteille.
Vishing (äänipohjaista phishingia) puolestaan suoritetaan puheluiden kautta, joissa huippari esittelee itsensä yrityksen tai instituution edustajana. Vakuuttava sävy, yhdistettynä aiemmin tietovuodoista saatuun tietoon, tekee uhreista todennäköisempiä jakamaan luottamuksellisia tietoja puhelimitse. Tämän tyyppinen huijaus on koskettanut yhä enemmän brasilialaisia yrityksiä, erityisesti suuria yrityksiä.
Vanhat debitit ovat rikollisille arvokkaimpia varoja.
Näiden petosten kasvu on suoraan verrannollinen tilisysteemien edustamalle arvolle. Vanha ja luotettava tili on rikollisille arvokkaampi kuin rahan suora varastaminen. Syy tähän on, että tilillä, jolla on historiaa laillisista toiminnoista, on pienempi todennäköisyys, että sitä havaitaan automaattisesti perinteisillä petosilmaisujärjestelmillä.
Väärentäjät käyttävät phishingiä ja sen variaatioita yhdessä saadakseen pääsyn näihin tileihin, jotka saattavat sisältää vuosien mittaisia suhteita ja tapahtumia, jotka vahvistavat niiden maineen. Kerran sisällä rikollinen voi tutustua ostotarhistoriaan, käyttäytymismalleihin ja joissakin tapauksissa jopa keskustella asiakaspalvelun kanssa teeskentelemällä olevan tilin oikeutettu omistaja.
Nethonen raportin mukaan jotkut huijaajat rakentavat jopa suhteita tukipalveluiden asiakaspalveluihin ja huijaavat heidät muuttaakseen tilin tietoja, jotta huijaus voidaan toteuttaa – prosessia kutsutaan tilin haltuunotto(account takeover). Tämän tyyppinen hyökkäys aiheuttaa ei ainoastaan suoria taloudellisia tappioita, vaan myös heikentää luottamusta digitaalisiin alustoihin ja palveluihin.
Tekoälyn ja automatisoinnin vaikutus huijauksiin
Historiallisesti sosiaalisen insinööri työn kampanjat vaativat suunnittelua, aikaa ja tietynlaista manuaalista mukauttamista. Generatiivisten kielimallien (LLM) laajamittaisen käyttöönoton myötä tämä tilanne on kuitenkin täysin muuttunut.
Nykyään automaattiset, generaatiivisen tekoälyn avulla toimivat työkalut mahdollistavat rikollisille phishing-kampanjoiden luomisen ja käynnistämisen minuuteissa. Aiemmin sujuvan kirjoitustaiton tai aikaa vaatineet, hyvin kirjoitetut viestit luodaan nyt automaattisesti erittäin kehittyneellä tasolla. Tämän seurauksena näiden hyökkäysten määrä ja tiheys ovat kasvaneet hälyttävästi.
Tämä kasvu heijastaa paitsi petotempausten laajempaa ulottuvuutta, myös uusien tekoälyyn ja automaatioon perustuvien tekniikoiden tehokkuutta.
Kenet ajattelee, että phishing, smishing ja vishing ovat vain yksittäisten kuluttajien riskejä, harhaan. Yrityksetkin ovat usein näiden petosten uhreja, etenkin kun yrityksen tunnistetiedot paljastuvat pimeässä verkossa. Nethonen analyysin mukaan huijaajat voivat hankkia vuodetut työntekijöiden tiedot ja saada siten etuoikeutettua pääsyä sisäisiin järjestelmiin ja herkkiin tietokantoihin.
Senin jälkeen he tekevät hienovaraisia liikkeitä: tutkivat yrityksen ostokäyttäytymistä tai toimintaa, luovat vuorovaikutusta tekniseen tai kaupallisen tukeen ja manipuloivat asteittain sisäisiä prosesseja toteuttaakseen petollisen transaktioita herättämättä välittömiä epäilyksiä. Tämä käytäntö vaikuttaa paitsi organisaation turvallisuuteen myös luottamussuhteeseen asiakkaiden ja kumppaneiden kanssa.
Miten suojautua näistä uhkista?
Phishing-, smishing- ja vishing-hyökkäysten torjunta vaatii yhdistelmää teknologiaa, prosesseja ja tietoisuutta.
Koulutus ja tietoisuuden lisääminen Ensimmäinen puolustuslinja on aina ihminen. Sekä yritysten että käyttäjien on ymmärrettävä tunnistaa yleisiä petoksia, kuten kirjoitusvirheitä, liiallista kiireellisyyttä viesteissä, herkkiä tietoja sisältäviä pyyntöjä ja epätavallisia viestintäkanavia.
Monimuotoinen todennus (MFA) Vaikka tunnistetiedot vaarantuvat, useiden todennuskerrosten käyttö vaikeuttaa luvatonta pääsyä.
Tiedostojen seuranta: Työkalut, jotka seuraavat tunnistetietojen altistumista pimeässä verkossa, ovat olennaisia yrityksille ja yksilöille, jotta he saavat nopeasti tietoa vuotoista.
AI-pohjainen petostenpaljastusjärjestelmä Aivan kuten rikolliset, yritykset tarvitsevat keinotekoista älykkyyttä tunnistamaan poikkeavia käyttäytymismalleja, jotka viittaavat mahdollisiin murtoihin tai petostenteisiin.
Aikoina, jolloin luottamus on arvokas valuutta, luottamustiedon suojaaminen ja valppaus ovat välttämättömiä yksilöiden ja yritysten digitaalisen eheydestä huolehtimisessa.
