Det er ingen hemmelighet at den raske digitaliseringen av samfunnet har forandret personlige og kommersielle forhold dypt. Studier viser at i 2024 nådde de økonomiske tapene forårsaket av nettforsøk 10,1 milliarder R$, en økning på 17 % sammenlignet med året før.
Denne transformasjonen økte imidlertid også angrepsflaten for cyberkriminelle, som i økende grad er avhengige av sosial manipulering for å gjennomføre sofistikerte svindelordninger.
Blant de vanligste er phishing, smishing og vishing — praksiser som, selv om de bruker ulike metoder, deler samme mål: å lure ofrene til å avsløre sensitive opplysninger, spesielt påloggingsinformasjon. Selv om de tradisjonelt er knyttet til svindel mot forbrukere, er disse formene for sosial manipulering også svært effektive i bedriftsmiljøet. Svindlerne retter sig mod virksomheder for at få adgang til interne systemer, kompromittere forsyningskæder og gennemføre store finansielle svindel.
Phishing, Smishing og Vishing er de samme truslene?
For å starte forklaringen er det viktig å forstå at begrepet sosial engineering refererer til et sett med teknikker brukt av svindlere for å manipulere ofrene emosjonelt og sosialt, og få dem til å handle mot sine egne interesser og kompromittere deres sikkerhet.
Phishing er den mest kjente typen av denne typen svindel. E-post phishing-kits kan finnes på det mørke nettet. For de som svindlere som ikke er eksperter på området, er det noen som utfører tjenesten for dem. Det vanligste er å sende e-poster eller meldinger som utgir seg for å være fra pålitelige institusjoner, som banker, detaljister eller nettjenester.
Målet er å lure mottakeren til å klikke på skadelige lenker som fører til falske nettsteder, som ligner de ekte, med hensikt å fange passord og annen sensitiv informasjon, som dokumentnummer eller kredittkortopplysninger. Ifølge data fra Serpro er phishing fortsatt en av de vanligste svindeltypene i Brasil, og kriminalitetene har forbedret sine strategier ved bruk av kunstig intelligens (AI) og deepfakes for å lage enda mer overbevisende og tilpassede innhold. Et nylig tilfelle var arrestasjonen av en mann for deltakelse i en kriminell gruppe som utførte svindel ved bruk av manipulerte videoer med deepfake, med bilde og stemme av programlederen Marcos Mion.
Svindlerne utfører også svindel som Business Email Compromise (BEC) og falsk CEO-svindel, med e-poster som utgir seg for å være ledere for å få ansatte til å overføre penger eller oppgi påloggingsinformasjon.
På den annen side bruker smishing (en kombinasjon av SMS og phishing) tekstmeldinger for å lure ofrene. Med populariseringen av meldingsapper som WhatsApp og Telegram har denne metoden fått styrke, ved å utnytte folks tendens til å svare raskt på meldinger som virker presserende eller viktige.
Vishing (stjeling via telefon) utføres gjennom telefonsamtaler, hvor svindleren utgir seg for å være en representant for et selskap eller en institusjon. En en overbevisende tone, kombinert med bruk av data som er hentet fra tidligere lekkasjer, gjør ofrene mer tilbøyelige til å dele konfidensiell informasjon over telefonen. Denne typen svindel har rammet stadig flere brasilianske selskaper, spesielt store konsern.
Gamle kontoer er de mest verdifulle eiendelene for kriminelle
Veksten av disse svindlene er direkte knyttet til verdien som kontobaserte økosystemer representerer. En gammel og pålitelig konto er mer verdifull for kriminelle enn direkte tyveri av penger. Det skyldes at kontoer med en historikk av legitime aktiviteter har mindre sjanse for å bli oppdaget automatisk av tradisjonelle svindeldeteksjonssystemer.
Svindlerne bruker phishing og dets varianter i kombinasjon for å få tilgang til disse kontoene, som kan ha år med forhold og transaksjoner som bekrefter deres omdømme. Når de er inne, kan den kriminelle studere kjøpshistorikken, atferdsmønstre og i noen tilfeller til og med samhandle med kundeservice, og late som om de er den legitime kontoinnehaveren.
I henhold til rapporten fra Nethone, oppretter noen svindlere til og med relasjoner med kundesupportmedarbeidere, lurer dem til å gjøre endringer på kontoen som letter gjennomføringen av svindelen – en prosess kjent som account takeover (kontotak). Denne typen angrep forårsaker ikke bare direkte økonomiske tap, men også svekker tilliten til digitale plattformer og tjenester.
Innvirkningen av kunstig intelligens og automatisering på svindel
Historisk sett krevde kampanjer med sosial ingeniørkunst planlegging, tid og en viss grad av manuell tilpasning. Imidlertid har den brede implementeringen av generative språkmodeller (LLMs) fullstendig endret dette scenariet.
I dag kan kriminelle med automatiserte verktøy basert på generativ AI opprette og lansere phishingkampanjer på minutter. Velut skrevet tekster, som tidligere krevde flyt eller tid for å bli utarbeidet, genereres nå automatisk med høy grad av sofistikasjon. Som resultat har volumet og hyppigheten av disse angrepene økt alarmant.
Denne veksten reflekterer ikke bare den økte rekkevidden til svindelkampanjene, men også effektiviteten av de nye teknikkene basert på AI og automatisering.
Den som tror at phishing, smishing og vishing er eksklusive risikoer for enkeltkunder, tar feil. Bedrifter er også hyppige ofre for disse svindlene, spesielt når bedriftsopplysninger blir eksponert på dark web. I henhold til en analyse fra Nethone kan svindlere skaffe seg lekkede opplysninger om ansatte, og dermed få privilegert tilgang til interne systemer og sensitive databaser.
Fra det øyeblikket gjør de subtile bevegelser: de studerer kjøps- eller driftsatferden til selskapet, oppretter interaksjoner med teknisk eller kommersiell støtte og manipulerer gradvis interne prosesser for å gjennomføre svindeltransaksjoner uten å vekke umiddelbar mistanke. Denne praksisen kompromitterer ikke bare organisasjonens sikkerhet, men også tillitsforholdet til kunder og partnere.
Hvordan beskytte seg mot disse truslene?
Beskyttelse mot phishing, smishing og vishing involverer en kombinasjon av teknologi, prosesser og bevissthet.
Utdanning og bevisstgjøring:Den første forsvarslinje er alltid personen. Både bedrifter og brukere må læres opp til å gjenkjenne vanlige tegn på disse svindlene, som stavefeil, overdreven hastverk i meldinger, forespørsler om sensitive opplysninger og uvanlige kommunikasjonskanaler.
Multifaktorautentisering (MFA):Selv om legitimasjonene er kompromittert, gjør bruk av flere autentiseringslag det vanskeligere for uautorisert tilgang.
Kredentialovervåkning:Verktøy som overvåker eksponering av legitimasjon på dark web er essensielle for at bedrifter og enkeltpersoner raskt skal bli varslet om lekkasjer.
AI-baserte svindeldeteksjonssystemer:akkurat som kriminelle, må selskaper ty til kunstig intelligens for å oppdage uvanlige atferdsmønstre som kan indikere mulige innbrudd eller forsøk på svindel.
I tider hvor tillit er en verdifull valuta, er det viktig å beskytte legitimasjoner og opprettholde en årvåken holdning for å bevare den digitale integriteten til enkeltpersoner og bedrifter.
