Penjenayah siber suka memberi makna baharu pada frasa “tipu atau layan”.
Melalui serangan siber, pancingan data , perisian tebusan dan pelanggaran data , orang jahat suka menyebabkan kekacauan kepada perniagaan dan pengguna. Tetapi tindakan mereka tidak sesuai dengan gurauan yang dijangkakan pada Malam All Hallows. Kesan mereka jauh lebih mahal dan memusnahkan mangsa.
Mengetahui perkara ini, mari kita terokai 13 fakta jenayah siber yang akan membuat rambut anda berdiri tegak.
Apabila orang jahat datang mengetuk, saya berjanji mereka tidak mencari cawan Butterfingers atau Reese anda. Mereka sedang mencari pembayaran yang jauh lebih besar daripada gula-gula — kita bercakap mengenai ratusan, ribuan, malah berjuta-juta dolar. Laporan daripada Chainalysis menunjukkan bahawa pembayaran ransomware yang diterima oleh orang jahat pada 2023 melebihi $1.1 bilion.
Sebagai perbandingan, jumlah yang mereka terima dalam pembayaran tebusan pada 2023 boleh membeli lebih daripada tujuh jet pejuang F-22 Raptor ! Perlu diingat bahawa setiap mesin perang ini didatangkan dengan tanda harga yang tinggi iaitu $143 juta seunit (mengikut data Tentera Udara Ogos 2022 ).
Man… itu bermakna banyak syarikat akhirnya mengeluarkan wang untuk pembayaran ransomware. Tidak semestinya seramai yang anda fikirkan, berdasarkan fakta jenayah siber kami yang seterusnya…
Ringkasnya, permintaan perisian tebusan boleh melemahkan kehidupan syarikat. Menurut Zscaler , satu syarikat membayar jumlah yang sangat besar ini kepada kumpulan perisian tebusan Dark Angels, yang mempunyai kecenderungan untuk menyasarkan syarikat sektor infrastruktur kritikal.
Untuk perspektif, wang tebusan tunggal itu menelan kos yang sama seperti yang dikhaskan oleh Google untuk membiayai Dana Peluang AInya .
Tidak kira sama ada puncanya adalah ancaman berasaskan AI atau didorong oleh AI, lebih separuh daripada organisasi yang ditinjau oleh Biocatch membayar antara $5 dan $25 juta pada tahun 2023. Sebanyak 12% responden berkata mereka menghadapi sekurang-kurangnya $25 juta sebagai ganti rugi . Kami tidak bercakap tentang pertukaran poket di sini; itulah anggaran kos rumah agam Hollywood Angelina Jolie :
Malangnya, hanya 3% menunjukkan bahawa mereka tidak mengalami kerugian daripada ancaman ini, bermakna 97% mengalami kerugian dalam satu cara atau yang lain.
Data daripada Suruhanjaya Perdagangan Persekutuan (FTC) AS menunjukkan bahawa orang dewasa yang lebih tua melaporkan kerugian melebihi $1.9 bilion pada 2023. Walau bagaimanapun, sekali lagi, jumlah itu hanya mewakili kerugian yang dilaporkan. Laporan agensi itu menunjukkan bahawa kos penipuan sebenar kepada orang dewasa yang lebih tua mungkin melebihi $61 bilion. kenapa? Kerana banyak penipuan tidak dilaporkan.
Bilangan orang dewasa yang lebih tua yang melaporkan terjatuh kerana penipuan dengan kerugian $100k meningkat "lebih tiga kali ganda sejak 2020."
FBI memberi amaran bahawa penjenayah siber semakin menggunakan teknologi AI generatif untuk melakukan serangan siber. Khususnya, AI generatif digunakan untuk pelbagai penipuan penipuan .
Contohnya, penipuan penculikan maya berasaskan AI semakin meningkat. Dalam senario jenis ini, lelaki jahat menggunakan data yang ditinjau daripada video dan profil dalam talian untuk mensintesis maklumat dan juga menyuarakan sampel individu untuk meniru orang sebenar. Mereka boleh menggunakan teknologi AI generatif untuk mencipta foto, video dan kandungan audio palsu yang kelihatan realistik dan menjadikannya kelihatan seperti seseorang yang anda kenali atau sayang — rakan, ahli keluarga, rakan sekerja atau orang tersayang yang lain — berada dalam bahaya.
Contoh sempurna tentang perkara ini boleh dilihat dalampenipuan penculikan berasaskan AI . Berikut ialah video tentang penipuan telefon berasaskan AI dunia sebenar yang menyasarkan orang di St. Louis County:
72% daripada responden tinjauan Biocatch (laporan yang dipetik sebelum ini) menyatakan bahawa selain isu penipuan tradisional, mereka juga mempunyai orang jahat menggunakan identiti sintetik untuk menjalankan transaksi kewangan, memohon pinjaman dan kad kredit serta membuka akaun bank baharu.
Tidak pasti apakah identiti sintetik ? Ia pada asasnya ialah identiti baharu yang biasanya dicipta dengan menggabungkan maklumat pengenalan peribadi (PII) yang sebenar dan palsu.
Malangnya bagi mereka yang baik, identiti palsu yang dilecek ini biasanya menipu alat pengesanan penipuan tradisional, bermakna mereka tidak dibenderakan dan mungkin tidak disedari. Penyelidikan Biocatch menunjukkan bahawa walaupun organisasi "sebahagian besarnya dapat mendedahkan identiti sintetik ini dalam masa tiga bulan," kami tahu bahawa banyak kerosakan boleh berlaku dalam masa itu.
Hanya 16% menunjukkan mereka dapat mengenal pasti ID synth ini dalam masa 24 jam.
Identiti sintetik menghantui perniagaan — institusi kewangan khususnya. Data Laporan Penipuan Omnichannel State 2024 TransUnion menunjukkan bahawa pemberi pinjaman AS untuk pelbagai jenis kad kredit dan pinjaman mempunyai rekod bilangan akaun yang dibuka pada penghujung tahun 2023.
Anggaran pendedahan akhir tahun 2023 sebanyak $3.1 bilion meningkat daripada $2.8 bilion untuk EOY 2022 dan $2.1 bilion untuk EOY 2020.
Serangan pancingan data lanjutan, terutamanya apabila dipasangkan dengan AI generatif dan teknologi deepfake yang canggih, adalah kaedah yang sangat berkesan untuk penjenayah siber. Alat perisikan ini memberi nafas baharu kepada serangan kejuruteraan sosial , menjadikannya lebih disasarkan, sahih dan berkesan.
Artikel rakan kongsi yang diterbitkan oleh The Hacker News tentang penyelidikan daripada Token dan Datos Insights dengan baik merumuskan kebimbangan yang semakin meningkat ini:
“Serangan pancingan data dan perisian tebusan dahulunya merupakan bidang eksklusif penjenayah siber pakar, tetapi dengan kemunculan AI generatif dan alatan jenayah siber baharu, pelancaran serangan ini boleh diakses oleh sesiapa sahaja yang mempunyai akses kepada web gelap, iaitu sesiapa sahaja yang mempunyai peranti pengkomputeran dan sambungan internet.”
Dalam Penilaian Ancaman Tanah Air 2025 , Pejabat Perisikan dan Analisis Jabatan Keselamatan Dalam Negeri AS menggariskan implikasi keselamatan negara bagi teknologi ini pada tahun akan datang:
“Pada tahun 2025, kami menjangkakan pelakon siber yang berniat jahat akan terus menggunakan kemajuan dalam AI generatif untuk meningkatkan keupayaan mereka secara berperingkat membangunkan perisian hasad, pengimbasan kerentanan dan mengeksploitasi alatan serta menambah baik taktik dan operasi kejuruteraan sosial mereka. Negara musuh akan terus menggunakan AI dalam kempen pengaruh jahat mereka kerana teknologi itu merendahkan ambang teknikal dan meningkatkan kebolehan musuh untuk memperibadikan dan menskalakan mesej yang lebih boleh dipercayai dengan berkesan untuk khalayak sasaran.”
Data daripada Laporan Tahunan 2024 Perception Point: Cybersecurity Trends & Insights” menunjukkan bahawa bilangan serangan kompromi e-mel perniagaan (BEC) meningkat daripada 1% pada 2022 kepada hampir 19% daripada semua serangan pada 2023.
Syarikat itu mengatakan bahawa serangan BEC yang menunjukkan penyamaran, pancingan data dan teknik kejuruteraan sosial "dikenakan caj tinggi" oleh AI generatif . Tambahan pula, penyelidikan yang ditaja syarikat sebelum ini (dilakukan oleh Osterman Research) menunjukkan bahawa 91.1% organisasi dilaporkan mengalami serangan siber yang berpunca daripada e-mel yang dipertingkatkan GenAI.
Penjenayah siber tidak perlu memakai kostum sut penerbangan dan cermin mata penerbang untuk merasakan keperluan kelajuan. Apabila bercakap mengenai penyingkiran data, pasukan Tindak Balas Insiden Unit 42 Palo Alto melaporkan bahawa ia berlaku lebih cepat berbanding sebelum ini:
“Dalam hampir 45% kes kami tahun ini, penyerang mengeksfiltrasi data dalam masa kurang daripada sehari selepas kompromi. Ini bermakna hampir separuh masa, organisasi mesti bertindak balas dalam beberapa jam untuk menghentikannya."
Ini bermakna bahawa dalam banyak kes, penyerang telah sama ada terlibat dalam atau menyelesaikan penyusutan mereka sebelum organisasi mempunyai masa untuk mengumpulkan pasukan tindak balas dan merancangnya.
Ingat kebocoran RockYou2024 ? Fail itu, dikongsi oleh pelakon ancaman yang menggunakan nama ObamaCare, termasuk 10 bilion kata laluan.
Jadi, adakah kata laluan perlu ditukar secara proaktif? Tidak semestinya, berdasarkan Garis Panduan Identiti Digital versi terkini Institut Piawaian dan Teknologi Kebangsaan (NIST) :
Tidak pasti sama ada kata laluan anda telah bocor atau dilanggar? Lihat alat penyemak kebocoran kata laluan CyberNews. Berikut ialah contoh keputusan untuk kata laluan NoWayJose:
2024 telah menjadi tahun penetapan rekod dalam banyak cara — pastinya tidak sedikit pun termasuk bilangan pelanggaran data yang dilaporkan yang telah berlaku setakat ini. Pusat Sumber Kecurian Identiti (ITRC) melaporkan bahawa bilangan mangsa pelanggaran data meningkat sebanyak 1,170% tahun ke tahun dari S2 2023 hingga S2 2024. Tidak, itu bukan kesilapan menaip — anda telah membacanya dengan betul.
ITRC melaporkan bahawa pelanggaran data H1 2024 dan kompromi lain berjumlah 1,571 dan menjejaskan lebih 1.007 bilion mangsa. Walau bagaimanapun, cepat untuk menyatakan bahawa anggaran 1+ bilion mangsa tidak mengira mereka yang terlibat dengan serangan rantaian bekalan berkaitan Change Healthcare yang besar-besaran, yang berkemungkinan "mempengaruhi 'sebilangan besar' penduduk AS."
Tetapi bagaimana anda boleh mengetahui sama ada maklumat anda telah dimasukkan ke dalam sebarang pelanggaran? Satu cara untuk mengetahui adalah dengan menyemak pangkalan data dalam talian seperti haveibeenpwned.com . Berikut ialah contoh ringkas tentang penampilannya apabila anda menggunakan alat ini:
Bukan rahsia lagi bahawa peranti rangkaian yang tidak diurus menimbulkan risiko keselamatan yang ketara kepada organisasi anda. Walau bagaimanapun, Laporan Pertahanan Digital 2024 Microsoft menunjukkan bahawa dalam kes di mana serangan perisian tebusan berkembang ke peringkat tebusan, mereka banyak menggunakan peranti tidak terurus sebagai sama ada vektor akses awal atau sebagai cara untuk menyulitkan aset dari jauh:
"Kami memerhatikan penyulitan jauh dalam 70% kes yang berjaya, dengan 92% berasal daripada peranti tidak terurus dalam rangkaian, menekankan keperluan untuk organisasi mendaftarkan peranti ke dalam pengurusan atau mengecualikan peranti tidak terurus daripada rangkaian."
Inilah sebabnya pentingnya perniagaan mengesahkan dan mengurus peranti rangkaian mereka. Jika itu tidak mungkin, maka peranti harus dialih keluar daripada rangkaian untuk mengelakkan kemungkinan dieksploitasi.
Pakar keselamatan siber, penggubal undang-undang dan organisasi di seluruh dunia sedang melawan aktiviti jenayah siber jahat ini. Mereka semakin mencari penyelesaian yang dikuasakan AI untuk meningkatkan pertahanan keselamatan siber mereka. Darktrace melaporkan bahawa 95% daripada 1,800 pemimpin dan pengamal keselamatan yang ditinjau syarikat menunjukkan bahawa alat keselamatan yang dikuasakan AI akan meningkatkan kelajuan dan kecekapan organisasi mereka dalam memerangi ancaman siber.
Berikut ialah beberapa cara lain yang beberapa pemimpin industri mengambil inisiatif untuk membendung aktiviti jenayah siber.
Mutual TLS (mTLS atau yang juga dipanggil pengesahan dua hala) ialah penggunaan sijil digital untuk membuktikan bahawa seseorang itu adalah yang mereka dakwa. Ini amat berguna apabila mengesahkan individu dan peranti yang mengakses rangkaian, apl dan sistem lain anda dari jauh.
Menurut Google , akses berasaskan sijil menggunakan TLS bersama untuk "memastikan bukti kelayakan pengguna terikat pada sijil peranti sebelum membenarkan akses kepada sumber awan." Pada asasnya, ini mengenai menggunakan sijil digital sebagai pengecam dan pengesah peranti apabila seseorang cuba mengakses perkhidmatan awan Google. Menurut catatan blog:
“Walaupun penyerang menjejaskan kelayakan pengguna, akses akaun akan kekal disekat kerana mereka tidak mempunyai sijil yang sepadan. Ini menjadikan kelayakan yang dicuri tidak berguna."
Rang undang-undang Senat AS baharu bertajuk "Memerangi Pengubahan Wang Haram dalam Akta Jenayah Siber 2024" (S.4830) bertujuan untuk memberi agensi Perkhidmatan Rahsia AS kuasa untuk menyiasat perkara berikut:
"pelbagai jenayah yang berkaitan dengan transaksi aset digital dan untuk menentang aktiviti jenayah siber transnasional, termasuk perniagaan penghantaran wang tidak berlesen, urus niaga berstruktur dan penipuan terhadap institusi kewangan, dan untuk tujuan lain."
Rang undang-undang itu diperkenalkan pada akhir Julai. Jika ia diluluskan, undang-undang baharu itu akan memperluaskan pihak berkuasa penyiasatan Perkhidmatan Rahsia di bawah Tajuk 18 Kod AS. Ia juga memerlukan Pejabat Akauntabiliti Kerajaan (GAO) melaporkan kajiannya terhadap Seksyen 6102 Akta Pencegahan Pengubahan Wang Haram 2020 dan penilaiannya tentang sejauh mana penguatkuasaan undang-undang mengenal pasti dan menghalang jenayah siber berkaitan pengubahan wang haram.