Det är ingen hemlighet att samhällets snabba digitalisering har omvandlat personliga och kommersiella relationer på djupet. Studier visar att de ekonomiska förlusterna till följd av nätbedrägerier uppgick till 10,1 miljarder R$ år 2024, en ökning med 171 % jämfört med föregående år.
Denna transformation har dock också utökat angreppsytan för cyberkriminella, som i allt högre grad förlitar sig på social engineering för att genomföra sofistikerade bedrägerisystem.
Bland de vanligaste förekommer phishing, smishing och vishing – metoder som, trots skillnader i tillvägagångssätt, delar samma mål: att lura offren för att stjäla känslig information, särskilt inloggningsuppgifter. Även om de traditionellt förknippas med bedrägerier mot konsumenter, är dessa former av social ingenjörskon också mycket effektiva i företagsmiljöer. Bedragarna riktar in sig på företag för att få tillgång till interna system, kompromissa leveranskedjor och genomföra storskalig ekonomisk bedrägeri.
Är Phishing, Smishing och Vishing samma hot?
För att börja förklaringen är det viktigt att förstå att termen social ingenjörskonst avser en uppsättning tekniker som används av bedragare för att manipulera offren känslomässigt och socialt, vilket får dem att agera mot sina egna intressen och äventyra sin säkerhet.
Phishing är den mest kända typen av denna typ av bedrägeri. Phishing-kit för e-post kan hittas på dark web. För de bedragare som inte är experter på området finns det de som utför tjänsten åt dem. Det innebär vanligtvis att man skickar e-postmeddelanden eller meddelanden som utger sig för att komma från pålitliga institutioner, som banker, återförsäljare eller onlinetjänster.
Målet är att lura mottagaren att klicka på skadliga länkar som leder till falska webbplatser, mycket lika de ursprungliga, i syfte att stjäla lösenord och annan känslig information, såsom identitetsnummer eller kreditkortsuppgifter. Enligt uppgifter från Serpro är phishing fortfarande en av de vanligaste typerna av bedrägerier i Brasilien, och brottslingarna förfinar sina strategier med hjälp av artificiell intelligens (AI) och deepfakes för att skapa ännu mer övertygande och personligt anpassat innehåll. Ett aktuellt exempel är gripandet av en man för inblandning i en kriminell grupp som utförde bedrägerier med hjälp av manipulerade deepfake-videor, med bild och röst av programledaren Marcos Mion.
Bedragarna använder sig även av bedrägerier som Business Email Compromise (BEC) och falsk VD-bluff, med e-postmeddelanden som utger sig för att komma från chefer för att lura anställda att överföra pengar eller lämna ut inloggningsuppgifter.
Å andra sidan använder smishing (en kombination av SMS och phishing) textmeddelanden för att lura offren. Med ökningen av meddelandeappar som WhatsApp och Telegram har denna metod fått fäste, genom att utnyttja människors tendens att snabbt svara på meddelanden som verkar brådskande eller viktiga.
Vishing (röstfiske) utförs genom telefonsamtal där bedragaren utger sig för att vara representant för ett företag eller en institution. En övertygande ton, kombinerad med användning av data som tidigare läckt ut, gör offren mer benägna att dela konfidentiell information via telefon. Denna typ av bedrägeri har drabbat allt fler brasilianska företag, särskilt stora företag.
Gamla konton är de mest värdefulla tillgångarna för brottslingar.
Ökningen av dessa typ av bedrägerier är direkt relaterad till värdet som kontonbaserade ekosystem representerar. Ett gammalt och pålitligt konto är mer värdefullt för brottslingar än direkt stöld av pengar. Detta beror på att konton med historik av legitim aktivitet har mindre chans att automatiskt upptäckas av traditionella system för bedrägeribekämpning.
Bedragarna använder phishing och dess varianter tillsammans för att få tillgång till dessa konton, som kan ha åratal av relationer och transaktioner som validerar deras rykte. Väl inne kan brottslingen studera köphistoriken, beteende mönster och i vissa fall till och med interagera med kundtjänst, och utge sig för att vara kontoinnehavaren.
Enligt en rapport från Nethone bygger vissa bedragare relationer med supportmedarbetare för att lura dem att göra ändringar i konton som underlättar bedrägeriet – en process som kallas account takeover (kontoövertagande). Denna typ av attack leder inte bara till direkta ekonomiska förluster utan skadar även förtroendet för digitala plattformar och tjänster.
Konsekvenserna av artificiell intelligens och automation på bedrägerier
Historiskt sett krävde social ingenjörskonst kampanjer planering, tid och en viss grad av manuell anpassning. Användningen av stora språkmodeller (LLM) i stor skala har dock förändrat detta helt.
Idag, med hjälp av automatiserade verktyg baserade på generativ AI, kan kriminella skapa och lansera phishingkampanjer på minuter. Välskrivna texter, som tidigare krävde flyt eller tid att utarbeta, genereras nu automatiskt med hög grad av sofistikering. Som ett resultat har volymen och frekvensen av dessa attacker ökat alarmerande.
Denna tillväxt återspeglar inte bara den ökade räckvidden för bedrägliga kampanjer, utan också effektiviteten hos nya AI- och automationsbaserade tekniker.
Den som tror att phishing, smishing och vishing enbart är risker för enskilda konsumenter har fel. Företag är också ofta offer för dessa bedrägerier, särskilt när företagsuppgifter läcker ut på dark web. Enligt en analys från Nethone kan bedragare köpa läckta data från anställda och på så sätt få privilegierad åtkomst till interna system och känsliga databaser.
Därefter utför de subtila rörelser: de studerar företagets köp- eller transaktionsbeteende, skapar interaktioner med teknisk eller kommersiell support och manipulerar gradvis interna processer för att genomföra bedrägliga transaktioner utan att väcka omedelbar misstanke. Denna praxis äventyrar inte bara organisationens säkerhet utan också förtroenderelationen med kunder och partners.
Hur skyddar man sig mot dessa hot?
Skydd mot phishing, smishing och vishing kräver en kombination av teknik, processer och medvetenhet.
Utbildning och medvetandegörande: Det första försvarslinjen är alltid individen. Både företag och användare behöver utbildas för att känna igen vanliga tecken på sådana bedrägerier, som stavfel, överdriven brådska i meddelanden, förfrågningar om känslig information och ovanliga kommunikationskanaler.
Multifaktorautentisering (MFA): Även om inloggningsuppgifterna komprometteras, gör användningen av flera autentiseringslager det svårare för obehörig åtkomst.
Credentialövervakning: Verktyg som övervakar exponering av inloggningsuppgifter på dark web är avgörande för att företag och individer snabbt ska kunna varnas för läckor.
AI-baserade system för bedrägeribekämpning: Precis som kriminella behöver företag använda artificiell intelligens för att upptäcka avvikande beteende som kan indikera potentiella intrång eller bedrägeriförsök.
I en tid då förtroende är en värdefull tillgång är det avgörande att skydda inloggningsuppgifter och vara vaksam för att bevara individers och företags digitala integritet.
