По сообщению Yahoo! Finance, на протяжении всего 2021 года PhishLabs анализировала сотни тысяч фишинговых кампаний, нацеленных на организации и их сотрудников. Согласно полученным данным, число атак в социальных сетях увеличилось на 103% в конце 2021 по сравнению с январем того же года.
«2021 год стал рекордным для использования социальных сетей как канала угроз. Злоумышленники используют социальные сети, чтобы совершать мошенничество, выдавая себя за бренды и руководителей», — сказал Джон Лакур, главный стратег HelpSystems.
Также из их анализа стало известно, что финансовые учреждения являются наиболее целевым сектором, на который приходится 68% атак в социальных сетях
Еще несколько интересных выводов из отчета:
Число атак Hybrid Vishing (голосовой фишинг) увеличилось на 554% с 1 по 4 квартал 2021;
Объем фишинга вырос на 28% по сравнению с 2020, при этом половина всех обнаруженных фишинговых сайтов были созданы с использованием бесплатных сервисов;
Число вредоносного ПО, отправляемого по электронной почте, увеличилось почти втрое.
«В то время как злоумышленники продолжают нацеливаться на ключевые отрасли экономики, они не забывают и о плохо подготовленных организациях, вкладывая ресурсы в фишинговые кампании через социальные сети», — сказал Лакур.
SMS-фишинг — угроза для организации
Предприятия все чаще сталкиваются с фишингом и смишингом (атаки с использованием SMS), но IT-отдел способен нейтрализовать эту угрозу, если вовремя предпринять нужные меры. Стратегия безопасности организации должна учитывать возможность фишинговых атак с использованием текстовых сообщений, телефонных звонков и т.д, как заявляет TechTarget.
В связи с пандемией COVID-19 многие компании перевели сотрудников на “удаленку”, что открыло новые возможности для успешных атак, в том числе и для мобильного фишинга. Преступники выдают себя за все, что только возможно: банки, правительство и т.п. А их цели варьируются, начиная от доступа к банковской информации и заканчивая загрузкой вредоносных программ. У организаций появляется риск заражения корпоративной сети.
По данным Proofpoint, за первые шесть месяцев 2021 года количество смишинг-атак увеличилось почти на 700%. А как заявляют Gartner, пользователи предпочтительнее ответят на SMS-сообщение (45%), чем на письмо в электронной почте (6%). Это делает смишинг основным вектором атаки для хакеров.
Фишинговое SMS-сообщение может напоминать невинное уведомление, которое мы обычно получаем от службы доставки, банка или местного государственного учреждения. Цель состоит в том, чтобы заставить вас щелкнуть по ссылке или ответить, указав банковские реквизиты или другую личную информацию.
Как бороться с фишингом и SMS-атаками
IT-специалисты не могут в полной мере обезопасить организацию от атак с применением социальной инженерии, но они обязаны научить пользователей распознавать угрозу и “правильно” на нее реагировать. Согласно опросу Proofpoint, проведенном в 2020 году, 48% пользователей в США не смогли описать фишинг.
Первый и самый важный шаг: если сотрудник получает фишинговое текстовое сообщение — не отвечать и не взаимодействовать с содержимым. Если нажать на ссылку или вложение, содержащиеся в сообщении, то пользователь может случайно загрузить вредоносное ПО или перейти на сайт, где “попросят” оставить конфиденциальную информацию.
Сотрудники должны немедленно сообщать о подозрительном письме в IT-отдел, что особенно важно, если в компании используют корпоративный мобильный телефон. А политика безопасности любой организации должна включать конкретные рекомендации по противодействию угрозам и взлому.
По мнению TechTarget, чтобы снизить риск утечек, компаниям потребуются ограничить доступ большей части сотрудников к корпоративным базам данных и сети. Должно быть введено обучение кибербезопасности для всего персонала, а IT-отдел, в свою очередь, должен научить сотрудников пользоваться сервисами, одобренными организацией.
Подписывайтесь на наш Телеграм-канал https://t.me/safeinet По большей части там будут собираться свежие схемы мошенников, атакующих сотрудников и физ. лиц