Ne paslaptis, kad sparti visuomenės skaitmenizacija iš esmės pakeitė asmeninius ir verslo santykius Tyrimai rodo, kad 2024 metais internetinio sukčiavimo sukelti finansiniai nuostoliai siekė 10,1 mlrd R$, ty 17% padidėjimą, palyginti su ankstesniais metais.
Tačiau ši transformacija taip pat išplėtė kibernetinių nusikaltėlių, kurie vis labiau pasikliauja socialine inžinerija, vykdydami sudėtingas sukčiavimo schemas, atakų paviršių.
Tarp labiausiai paplitusių yra sukčiavimo, smishing ir vishing 'PRAKTIKA, kuri, nors ir skiriasi naudojamais metodais, turi tą patį tikslą: apgaudinėti aukas, kad pavogtų neskelbtiną informaciją, ypač prieigos kredencialus Nors tradiciškai siejama su sukčiavimu prieš vartotojus, šios socialinės inžinerijos formos taip pat yra labai veiksmingos įmonės aplinkoje. sukčiai taikosi į įmones, kad gautų prieigą prie vidinių sistemų, pakenktų tiekimo grandinėms ir vykdytų didelio masto finansinį sukčiavimą.
Ar sukčiavimas, smishing ir Vishing kelia tas pačias grėsmes?
Pirmiausia svarbu suprasti, kad terminas socialinė inžinerija reiškia metodų rinkinį, kurį sukčiai naudoja emociškai ir socialiai manipuliuoti aukomis, paskatindami jas veikti prieš savo interesus ir pakenkti jų saugumui.
Sukčiavimas yra geriausiai žinomas tokio tipo sukčiavimo tipas Sukčiavimo rinkinius el. Tamsiajame žiniatinklyje galima rasti Tiems sukčiams, kurie nėra šios temos ekspertai, yra tie, kurie jiems teikia paslaugą. paprastai tai apima el. laiškų ar pranešimų siuntimą, kurie prisistato kaip patikimos institucijos, pvz., bankai, mažmenininkai ar internetinės paslaugos.
Tikslas yra apgauti gavėją spustelėti kenkėjiškas nuorodas, dėl kurių atsiranda netikrų svetainių, labai panašių į originalias, siekiant užfiksuoti slaptažodžius ir kitą neskelbtiną informaciją, pvz., Dokumentų numerius ar kredito kortelių duomenis., Serpro duomenimis, sukčiavimas išlieka viena iš dažniausiai pasitaikančių sukčiavimo rūšių Brazilijoje, o nusikaltėliai tobulino savo strategijas naudodami dirbtinį intelektą (AI) ir giluminius klastotes, kad sukurtų dar įtikinamesnį ir labiau suasmenintą turinį. neseniai atvejis buvo vyro areštas už dalyvavimą nusikalstamoje grupėje, kuri taikė vaizdo įrašus, manipuliuojamus su deepfake, su laidos vedėjo Marcoso Miono atvaizdu ir balsu.
Sukčiai taip pat vykdo sukčiavimus, tokius kaip verslo el. pašto kompromisas (BEC) ir netikras generalinio direktoriaus sukčiavimas, o el. laiškai apsimeta vadovais, kad apgautų darbuotojus pervesti pinigus arba suteikti įgaliojimus.
Kita vertus, smishing (sujungiant SMS ir phishing) naudoja tekstinius pranešimus apgauti aukas. Su pranešimų programų populiarinimo, pavyzdžiui, WhatsApp ir Telegram, šis metodas įgijo trauką, išnaudojant žmonių polinkį greitai reaguoti į pranešimus, kurie atrodo skubūs ar svarbūs.
Vizingas (balso sukčiavimas) atliekamas per telefono skambučius, kuriuose sukčius apsimeta įmonės ar institucijos atstovu Įtikinamas tonas, kartu su duomenų, anksčiau gautų nutekėjus, naudojimu, daro aukas labiau linkusias dalytis konfidencialia informacija telefonu. tokio tipo sukčiavimas vis labiau nukentėjo Brazilijos įmonėse, ypač didelėse korporacijose.
Senos sąskaitos - pats vertingiausias turtas nusikaltėliams
Šių sukčių augimas yra tiesiogiai susijęs su verte, kurią atstovauja sąskaitomis pagrįstos ekosistemos Sena, patikima sąskaita yra vertingesnė nusikaltėliams nei tiesioginė pinigų vagystė Taip yra todėl, kad sąskaitos, turinčios teisėtos veiklos istoriją, yra mažiau tikėtina, kad jos bus automatiškai aptiktos tradicinėmis sukčiavimo aptikimo sistemomis.
Sukčiai kartu naudoja sukčiavimą ir jo variantus, kad gautų prieigą prie šių sąskaitų, kurios gali turėti ilgus metus trunkančius santykius ir sandorius, patvirtinančius jų reputaciją. patekęs į vidų, nusikaltėlis gali ištirti pirkimo istoriją, elgesio modelius ir kai kuriais atvejais netgi bendrauti su klientų aptarnavimu, apsimesdamas teisėtu sąskaitos turėtoju.
Kaip nurodoma Nethone ataskaitoje, kai kurie sukčiai netgi užmezga ryšius su pagalbiniais agentais, apgaudinėdami juos, kad jie atliktų paskyros pakeitimus, kurie palengvintų perversmo (sąskaitos perėmimo) vykdymą. tokio tipo išpuoliai ne tik sukelia tiesioginių finansinių nuostolių, bet ir kompromituoja pasitikėjimą skaitmeninėmis platformomis ir paslaugomis.
Dirbtinio intelekto ir automatizavimo įtaka sukčiavimui
Istoriškai socialinės inžinerijos kampanijos reikalavo planavimo, laiko ir tam tikro laipsnio rankinio pritaikymo. Tačiau didelio masto generatyvinių kalbų modelių (LLM) priėmimas visiškai pakeitė šį kraštovaizdį.
Šiandien, naudojant automatizuotus įrankius, pagrįstus generatyviniu AI, nusikaltėliai gali sukurti ir pradėti sukčiavimo kampanijas per kelias minutes. Gerai parašyti tekstai, kuriuos anksčiau reikėjo sklandžiai arba laiko, kad būtų galima tobulinti, dabar automatiškai generuojami su dideliu rafinuotumo laipsniu. dėl to šių atakų apimtis ir dažnis nerimą keliančiai išaugo.
Šis augimas atspindi ne tik didesnį nesąžiningų kampanijų pasiekiamumą, bet ir naujų dirbtiniu intelektu pagrįstų metodų bei automatizavimo efektyvumą.
Kas mano, kad sukčiavimas, smishing ir vishing yra rizika, išskirtinė individualiems vartotojams, yra klaidinga. Įmonės taip pat dažnai nukenčia nuo šių sukčių, ypač kai įmonės įgaliojimai yra atskleidžiami tamsiajame žiniatinklyje. remiantis Nethone analize, sukčiai gali įsigyti nutekėjusių darbuotojų duomenų, įgydami privilegijuotą prieigą prie vidinių sistemų ir jautrių duomenų bazių.
Iš ten jie daro subtilius judesius: tiria įmonės pirkimo ar veiklos elgesį, kuria sąveikas su technine ar komercine pagalba ir palaipsniui manipuliuoja vidiniais procesais, kad atliktų apgaulingus sandorius, nesukeldami tiesioginių įtarimų Ši praktika kompromituoja ne tik organizacijos saugumą, bet ir pasitikėjimo santykius su klientais ir partneriais.
Kaip galima apsisaugoti nuo šių grėsmių?
Apsauga nuo sukčiavimo, smishing ir vishing apima technologijų, procesų ir sąmoningumo derinį.
Švietimas ir sąmoningumas: tiek įmonės, tiek vartotojai turi būti mokomi atpažinti bendrus šių sukčiavimo požymius, pvz., rašybos klaidas, pernelyg skubų pranešimų siuntimą, neskelbtinos informacijos užklausas ir neįprastus komunikacijos kanalus.
Daugiafaktorių autentifikavimas (MFA): net jei kredencialai yra pažeisti, naudojant kelis autentifikavimo sluoksnius, neteisėta prieiga tampa sudėtinga.
Kredencialų stebėjimas: įrankiai, stebintys kredencialų poveikį tamsiajame žiniatinklyje, yra būtini, kad įmonės ir asmenys būtų greitai įspėti apie nutekėjimą.
AI pagrįstos sukčiavimo aptikimo sistemos: kaip ir nusikaltėliams, įmonėms reikia kreiptis į dirbtinį intelektą, kad aptiktų anomalius elgesio modelius, rodančius galimus įsibrovimus ar bandymus sukčiauti.
Tais laikais, kai pasitikėjimas yra vertinga valiuta, norint išsaugoti asmenų ir įmonių skaitmeninį vientisumą, būtina apsaugoti įgaliojimus ir išlaikyti budrią poziciją.
