„KnowBe4“ žinoma pasaulinė kibernetinio saugumo platforma, kuri visapusiškai sprendžia žmonių ir dirbtinio intelekto agentų rizikos valdymo problemas, pažymi, kad sezoniniai didelio vartojimo laikotarpiai, tokie kaip Juodasis penktadienis ir Kalėdos, išlieka vienu didžiausių kibernetinės rizikos laikotarpių įmonėms visoje Lotynų Amerikoje.
Šiuo laikotarpiu padidėjęs skaitmeninis srautas, didesnis el. laiškų kiekis ir IT komandos perkrova sukuria „tobulą audrą“ rizikos srityje. Situaciją dar labiau pablogina mažmeninės prekybos sektoriui būdingi veiksniai, tokie kaip neapmokytų laikinųjų darbuotojų naudojimas ir daugiakanalės aplinkos, kurioje derinamos fizinės parduotuvės, elektroninė prekyba, programos ir mokėjimo sistemos, sudėtingumas.
Remiantis 2025 m. pasauline mažmeninės prekybos ataskaita , mažmeninė prekyba yra tarp penkių labiausiai atakuojamų sektorių pasaulyje. Vidutinė duomenų saugumo pažeidimo kaina šiame segmente 2024 m. pasiekė 3,48 mln. JAV dolerių (IBM) – 18 % daugiau nei ankstesniais metais. Lotynų Amerika yra antras pagal dažnumą atakų regionas, sudarantis 32 % visų bandymų, nusileisdama tik Šiaurės Amerikai (56 %). Brazilija yra tarp penkių šalių, kurias mažmeninėje prekyboje labiausiai paveikė išpirkos reikalaujančios programinės įrangos atakos.
Kaip veikia dažniausiai pasitaikančios sukčiavimo schemos
Kibernetiniai nusikaltėliai pasinaudoja pagreitėjusiu tempu ir padidėjusia komunikacija šiuo laikotarpiu, kad įterptų apgaulingas žinutes, kurios susilieja su teisėtomis. Šios atakos paveikia tiek įmones, kurių sistemos gali būti pažeistos, tiek vartotojus, kurie dažnai dalijasi asmenine ir mokėjimo informacija internetinių reklamų metu.
Viena dažniausių sukčiavimo schemų – netikros akcijos, imituojančios didžiųjų mažmenininkų pasiūlymus ir nukreipiančios vartotojus į klonuotas svetaines. Šiuose puslapiuose vagiami įmonių arba asmeniniai prisijungimo vardai ir slaptažodžiai, kurie parduodami kenkėjiškuose forumuose.
Kita įprasta taktika – pranešimai, imituojantys techninius įspėjimus, pvz., apie programinės įrangos atnaujinimus, slaptažodžių atkūrimą ar pristatymo pranešimus. Profesionaliai parašyti ir teisėti atrodo šie pranešimai apgaule priverčia vartotoją spustelėti nuorodas arba atidaryti pridėtus failus, todėl įdiegiama kenkėjiška ar šnipinėjimo programa, galinti stebėti veiklą, vogti sesijos slapukus ir užfiksuoti saugomus prisijungimo duomenis.
Šios sukčiavimo priemonės išnaudoja psichologinius veiksnius, tokius kaip skubumas, atlygis ir pažįstamumas. Pavyzdžiui, kolegos ar IT skyriaus pasirašytas el. laiškas yra mažiau linkęs būti kvestionuojamas, kai darbo krūvis didelis, o terminai griežti. Dėl to žmogiškasis faktorius tampa pagrindiniu kibernetinių atakų įėjimo tašku.
Rizikos mažinimas taikant kultūrą, elgesį ir nuolatinius mokymus.
Kovojant su tokio tipo sukčiavimu, organizacijose reikia keisti kultūrą. Nuolatinės informavimo programos ir sukčiavimo apsimetant modeliai gali sumažinti darbuotojo sąveikos su kenkėjiškomis žinutėmis tikimybę iki 88 % per 12 mėnesių. Ataskaitoje pabrėžiama, kad prieš mokymus vidutinis jautrumas sukčiavimui (Phish-prone™ procentas) yra 30,7 % mažose įmonėse, 32 % vidutinėse įmonėse ir 42,4 % didelėse organizacijose. Po devyniasdešimties dienų šis rodiklis sumažėja iki maždaug 20 %.
„Ši evoliucija rodo, kad žmogaus elgesys pripažintas vienu veiksmingiausių gynybos nuo kibernetinių grėsmių ramsčių, ypač kai darbuotojai išmoksta atpažinti subtilius sukčiavimo požymius, suprasti psichologinio manipuliavimo taktiką ir tapti aktyviais įmonės kibernetinio saugumo gynybos dalyviais“, – sako Rafaelis Peruchas, „KnowBe4“ techninis CISO patarėjas.
Be mokymų, sezoniniais laikotarpiais labai svarbu sustiprinti vidaus saugumo politiką, peržiūrėti komunikacijos srautus ir visose sistemose įdiegti daugiafaktorinį autentifikavimą (MFA). Tokie ištekliai kaip mokymai realiuoju laiku ir automatiniai sukčiavimo apsimetant įspėjimai padeda nedelsiant reaguoti į sukčiavimo bandymus.
„Automatizavimas padeda aptikti grėsmes, tačiau iš tikrųjų riziką sumažina žmonių rizikos valdymas. Pasitelkę dirbtinį intelektą, galime nustatyti elgesio modelius ir sukurti kiekvienai organizacijai pritaikytas informavimo programas“, – apibendrina Peruchas.
