Det voksende udvalg af trusler rettet mod mennesker og virksomheder.
Phishing er en af de mest udbredte og skadelige trusler, der står for næsten en tredjedel af alle cyberangreb sidste år. I anden halvdel af 2024 steg phishing-angrebene med 202 % med brugere, der modtager mindst én avanceret phishing-besked, der er i stand til at omgå sikkerhedsforsvar om ugen. Nedenfor er nogle bemærkelsesværdige 2024-eksempler, der illustrerer, hvordan phishing-trusler er vokset og udviklet sig i kompleksitet. Organisationer bør nøje undersøge disse eksempler for at forberede deres forsvar til 2025.
- Accelereret mobilsidesløring udnyttet til phishing
Google udviklede oprindeligt AMP-URL'er at booste brugeroplevelsen og ydeevnen af indholdstunge hjemmesidesider. Trusselskuespillere er nu udnytter denne funktionalitet til at maskere ondsindede URL'er og undgå e-mailsikkerhedsforsvar. Ved at anvende legitime domæner og tilføje flere lag af omdirigeringer i disse URL'er, kan angribere skjule URL'ernes sande destination og glide forbi URL-scannere uopdaget, fordi disse sikkerhedsværktøjer kun er designet til at verificere synlige domæners omdømme. Angribere ved, at brugere har en tendens til at svæve på URL-links, før de klikker på dem, og derfor hjælper denne sløringsmetode dem med at bedrage brugeren til at tro, at de klikker på en URL fra et pålideligt domæne.
- YouTubere målrettet med phishing-angreb
Mest cyberangreb er økonomisk motiverede. Det er derfor ikke overraskende at se cyberkriminelle målrette sig mod velhavende YouTube-influencers. Ifølge en rapport af CloudSEK , kontakter trusselsaktører YouTubere under påskud af anmodninger om brandpromovering eller samarbejdsaftaler. De efterligner betroede mærker og leverer filer med malware-spidser, der er forklædt som kontrakter eller reklamemateriale, og hoster dem på cloud-platforme som OneDrive. Når sådanne ondsindede vedhæftede filer downloades og åbnes på ofrets maskine, installerer malwaren sig selv og stjæler følsomme data såsom økonomiske oplysninger, intellektuel ejendom og loginoplysninger.
- Phishere øger BEC-angreb mod forhandlere
Nogle kilder hævder 3,4 mia phishing-e-mails udsendes dagligt. Business email compromise (BEC) angreb koster virksomheder næsten 5 millioner dollars pr hændelse . I en sådan hændelse er Pepco gruppens ungarske forretningsenhed blev ramt af en BEC-kampagne, hvor angriberne efterlignede en ledende medarbejder ved at forfalske deres e-mailadresse. E-mailen indeholdt et overbevisende sprog, der fik modtageren til at overføre 15,5 millioner euro uden at bekræfte afsenderens autoritet. Selvom BEC-angreb kan påvirke enhver virksomhed uanset dens størrelse, omsætning eller branche, undersøgelser viser, at organisationer med større indtægt har en større risiko for BEC-angreb end virksomheder med lavere indtægt. Forekomsten af BEC-angreb er den __ højeste __i detailhandlen.
- AI nekrolog svindel på vej
Forskere ved Secureworks faldt over en social engineering fidus, der retter sig mod personer, der søger efter information om nyligt afdøde personer. Fidusen involverer offentliggørelse af falske nekrologer på svigagtige websteder og brug af SEO-forgiftningsteknikker til at drive trafik til disse websteder. Angribere bruger AI-teknologi til at fremstille en længere hyldest ud fra fakta udvundet fra en kortere hyldest. Målet er at omdirigere brugere til ondsindede websteder, hvor de bliver udsat for adware, infostealere og andre ondsindede programmer.
- Kaprede vedhæftede filer i faktura-e-mail-tråde
Forskere ved IBM opdagede en ny form for phishing-angreb, der påvirker finans-, teknologi-, fremstillings-, medie- og e-handelsorganisationer i hele Europa. Angrebet begynder med, at dårlige skuespillere sender rigtige fakturameddelelser, der er blevet stjålet eller kapret ved hjælp af kompromitterede e-mail-legitimationsoplysninger. Det, der er anderledes ved disse e-mails fra den originale e-mail, er, at de indeholder en omskiftet ZIP-vedhæftet fil, der er beskyttet med adgangskode for at undgå e-mailfiltrering og sandkasseinspektion. Filnavnene er endda skræddersyet til målorganisationen for at få dem til at fremstå mere autentiske. Når en modtager udpakker filen, inficerer en infostealer-malware (som StrelaStealer) ofrets maskine og stjæler e-mail-legitimationsoplysninger, der er gemt i MS Outlook eller Mozilla Thunderbird.
Nøgle takeaways
Intet enkelt værktøj i verden kan yde idiotsikker beskyttelse mod phishing. For at afbøde phishing skal organisationer fokusere på grundlæggende sikkerhed:
- Byg en sikkerhedsbevidst arbejdsstyrke: Gennem regelmæssig træning, bevidsthedsøvelser og phishingsimuleringstests, opbyg en arbejdsstyrke, der er ansvarlig og årvågen omkring cybersikkerhed.
- Opdater software regelmæssigt: Sørg for, at systemer, hardware, applikationer og software er opdateret for at forhindre angribere i at udnytte nye eller eksisterende sårbarheder.
- Adopter en nul-tillid-tankegang: Implementer nul-tillid (aldrig stol på, altid verificer) værktøjer og processer, der fokuserer på at verificere brugeridentitet, før der gives adgang til virksomhedens ressourcer eller data.
- Styrk personalet: Giv medarbejderne sikkerhedsværktøjer såsom adgangskodeadministratorer, så de ikke bliver ofre for trusler såsom genbrug af adgangskoder. Gør det nemt for personalet at kontakte sikkerhedsteamet og rapportere phishing-beskeder. Etablere og kommunikere klare og gennemsigtige sikkerhedspolitikker, dos and don'ts mv.
- Implementer robust e-mail-sikkerhed: Anvend avancerede e-mail-filtre (helst AI-baserede), der kan registrere mistænkelige mønstre såsom usædvanlige afsenderadresser, ondsindede URL'er og domæner.
De ovenfor beskrevne phishing-teknikker fremhæver den voksende sofistikering og mangfoldighed af trusler, der er rettet mod enkeltpersoner og organisationer. Disse nye metoder viser behovet for øget årvågenhed og proaktive sikkerhedsforanstaltninger. Opbygning af en sikkerhedsbevidst arbejdsstyrke, bemyndigelse til dem med værktøjer, indførelse af nul tillid, opdatering af software regelmæssigt og implementering af robust e-mail-sikkerhed kan give kritiske forsvar mod fremtidige bølger af phishing-angreb.
