Det är ingen hemlighet att den snabba digitaliseringen av samhället har förändrat personliga och kommersiella relationer djupt. Studier visar att de finansiella förlusterna orsakade av nätbedrägerier uppgick till 10,1 miljarder R$, en ökning med 17 % jämfört med föregående år.
Denna omvandling har dock också ökat attackytan för cyberbrottslingar, som i allt högre grad förlitar sig på social ingenjörskonst för att genomföra sofistikerade bedrägerisystem.
Bland de vanligaste är phishing, smishing och vishing — metoder som, även om de skiljer sig åt i sina tillvägagångssätt, delar samma mål: att lura offren att stjäla känslig information, särskilt inloggningsuppgifter. Även om de traditionellt är förknippade med bedrägerier mot konsumenter, är dessa former av social ingenjörskonst också mycket effektiva i företagsmiljön. Bedragare riktar sig mot företag för att få tillgång till interna system, kompromettera försörjningskedjor och genomföra storskaliga finansiella bedrägerier.
Är phishing, smishing och vishing samma hot?
För att börja förklara är det viktigt att förstå att termen social engineering hänvisar till en uppsättning tekniker som används av bedragare för att manipulera offer emotionellt och socialt, vilket får dem att agera mot sina egna intressen och äventyrar deras säkerhet.
Phishing är den mest kända typen av denna bedrägeriform. E-postfiskningskit kan hittas på dark webben. För de bedragare som inte är experter på området finns det de som utför tjänsten åt dem. Det involver ofta att skicka e-post eller meddelanden som utger sig för att vara från pålitliga institutioner, som banker, detaljhandlare eller online-tjänster.
Målet är att lura mottagaren att klicka på skadliga länkar som leder till falska webbplatser, mycket lik originalen, i syfte att fånga lösenord och annan känslig information, som ID-nummer eller kreditkortsuppgifter. Enligt data från Serpro är phishing fortfarande en av de vanligaste bedrägerityperna i Brasilien, och brottslingarna har förbättrat sina strategier med hjälp av artificiell intelligens (AI) och deepfakes för att skapa ännu mer övertygande och personliga innehåll. Ett nyligen fall var fängslandet av en man för deltagande i en kriminell grupp som utförde bedrägerier med manipulerade videor med deepfake, med bild och röst av programledaren Marcos Mion.
Bedragare utför också bedrägerier som Business Email Compromise (BEC) och falska VD-scam, med e-postmeddelanden som utger sig för att vara chefer för att få anställda att överföra pengar eller lämna ut inloggningsuppgifter.
Å andra sidan använder smishing (kombination av SMS och phishing) textmeddelanden för att lura offren. Med populariseringen av meddelandeappar som WhatsApp och Telegram har denna metod fått styrka, genom att utnyttja människors tendens att snabbt svara på meddelanden som verkar brådskande eller viktiga.
Vishing (röstphishing) utförs via telefonsamtal där bedragaren utger sig för att vara en företags- eller institutionsrepresentant. En övertygande ton, kombinerad med användning av data som tidigare läckt, gör offren mer benägna att dela konfidentiell information via telefon. Denna typ av bedrägeri har drabbat allt fler brasilianska företag, särskilt stora koncerner.
Gamla konton är de mest värdefulla tillgångarna för brottslingar
Tillväxten av dessa bedrägerier är direkt kopplad till värdet som kontobaserade ekosystem representerar. Ett gammalt och pålitligt konto är mer värdefullt för brottslingar än direkt stöld av pengar. Det därför att konton med en historia av legitima aktiviteter har mindre chans att upptäckas automatiskt av traditionella bedrägeribekämpningssystem.
Bedragarna använder phishing och dess variationer tillsammans för att få tillgång till dessa konton, som kan ha år av relationer och transaktioner som bekräftar deras rykte. Väl inne kan brottslingen studera köphistorik, beteendemönster och i vissa fall till och med interagera med kundtjänst och låtsas vara den legitima kontoinnehavaren.
Enligt rapporten från Nethone bygger vissa bedragare till och med relationer med supportpersonal, lurar dem att göra ändringar på kontot som underlättar genomförandet av bedrägeriet — en process som kallas account takeover (kontokapning). Den här typen av attacker orsakar inte bara direkta ekonomiska förluster utan äventyrar också förtroendet för digitala plattformar och tjänster.
Påverkan av artificiell intelligens och automation på bedrägerier
Historiskt krävde kampanjer för social ingenjörskonst planering, tid och en viss grad av manuell anpassning. Men dock har den storskaliga adoptionen av generativa språkmodeller (LLMs) helt förändrat detta scenario.
Idag kan brottslingar med hjälp av automatiserade verktyg baserade på generativ AI skapa och lansera phishingkampanjer på några minuter. Välskrivna texter, som tidigare krävde flyt eller tid för att utarbetas, genereras nu automatiskt med hög grad av sofistikering. Som ett resultat har volymen och frekvensen av dessa attacker ökat alarmande.
Denna tillväxt speglar inte bara den ökade räckvidden för bedrägliga kampanjer, utan också effektiviteten hos de nya teknikerna baserade på AI och automation.
Den som tror att phishing, smishing och vishing är enbart risker för enskilda konsumenter har fel. Företag är också ofta offer för dessa bedrägerier, särskilt när företagsuppgifter exponeras på dark webben. Enligt en analys från Nethone kan bedragare få tillgång till läckta uppgifter om anställda och därigenom få privilegierad tillgång till interna system och känsliga databaser.
Från och med då gör de subtila rörelser: de studerar företagets köpbeteende eller operation, skapar interaktioner med teknisk support eller försäljning och manipulerar gradvis interna processer för att genomföra bedrägliga transaktioner utan att väcka omedelbar misstanke. Denna praxis äventyrar inte bara organisationens säkerhet utan också förtroendeförhållandet med kunder och partners.
Hur skyddar man sig mot dessa hot?
Skydd mot phishing, smishing och vishing innebär en kombination av teknik, processer och medvetenhet.
Utbildning och medvetenhet:Det första försvaret är alltid personen. Både företag och användare måste utbildas för att känna igen vanliga tecken på dessa bedrägerier, såsom stavfel, överdriven brådska i meddelanden, begäran om känslig information och ovanliga kommunikationskanaler.
Flerfaktorsautentisering (MFA):Även om inloggningsuppgifterna är komprometterade, försvårar användningen av flera autentiseringslager obehörig åtkomst.
Credentialövervakning:Verktyg som övervakar exponeringen av inloggningsuppgifter på dark web är avgörande för att företag och individer snabbt ska kunna bli varnade för läckor.
AI-baserade bedrägeridetekteringssystemPrecis som brottslingarna måste företagen använda artificiell intelligens för att upptäcka anomalösa beteendemönster som kan indikera möjliga intrång eller bedrägeriförsök.
I tider då förtroende är en värdefull valuta är det avgörande att skydda inloggningsuppgifter och behålla en vaksam hållning för att bevara den digitala integriteten hos individer och företag.
