Обзор новостей социальной инженерии
5 самых распространенных когнитивных предубеждений, которые подвергают риску каждую организацию

Из 100% успешных фишинговых кампаний только 23% вызваны техническими сбоями, остальные 77% лежат на плечах человеческого фактора.

Почему же мы так сильно подвержены манипуляциям?

Понимание человеческой природы и поведения должно помочь организациям изменить свой подход к кибербезопасности. Ответ на этот вопрос постарались дать на ресурсе SC Media.

Эффект ореола

Выводы о человеке, опираясь на его образ. Киберпреступники часто выдают себя за доверенные лица, такие как банк или авторитетная организация, заставляя людей открывать вредоносные вложения или переходить по фишинговым ссылкам.

Гиперболическое дисконтирование

Склонность выбирать меньшее, а не большее вознаграждение, правда, которое придет только в будущем. Большинство из нас, не задумываясь о последствиях, готовы поделиться информацией о своей банковской карте, купившись на «бесплатные пробные версии" или "купоны».

Эффект любопытства

Любопытство работает как зуд, который жертва должна снять. Киберпреступники манипулируют читателями в переписке через электронную почту и социальных сетях, создавая сообщения (заголовки новостей, рекламные объявления и другие кликбейтные кампании), которые вызывают интерес среди пользователей.

Эффект последовательной позиции

Склонность запоминать последние события, которая приводит к преждевременным суждениям. По статистике, пользователи игнорируют треть предупреждений безопасности, ведь чаще всего они являются ложными.

Эффект авторитета

Люди бессознательно подвержены влиянию тех, кто обладает большей властью. Мошенничество с компрометацией деловой электронной почты (BEC) является одним из самых финансово разрушительных киберпреступлений, где используется предвзятость пользователей как средство обмана. Например, отправка фишинговых писем от лица генеральных директоров организаций.


»
Вся правда в цифрах: опасность кибератак

К концу 2022 ожидаемая стоимость киберпреступлений во всем мире составит $6 трлн, а в 2025 году ущерб достигнет отметки в $10,5 трлн, по прогнозам Cybersecurity Ventures.

Портал Ceoworld Magazine составил список фишинговых кампаний, из-за которых организации понесли наибольший ущерб в 2021 году:

Безопасность и COVID-19

Пандемия COVID-19 показала, насколько сильно организации могут быть уязвимы. Только в США количество сообщений о киберпреступлениях увеличилось на 300%.

Удаленная работа, вызванная угрозой распространения COVID-19, увеличила среднюю общую стоимость утечки данных примерно на $137 тыс. А около 20% менеджеров заявили, что столкнулись как минимум с одним нарушением безопасности из-за сотрудника на "удаленке".

Google сообщил о 18 миллионах электронных писем с фишингом и вредоносным ПО, связанных с COVID-19, и о 240 миллионах спам-сообщений в день.

Утечка данных

43% руководителей высшего звена заявили, что человеческий фактор является одной из основных причин утечки, стоимость которых в среднем составляла $3,3 млн.

По мнению Ceoworld Magazine, в 85% случаев взлома задействована неосведомленность сотрудников.

Фишинг

Популярность фишинга в последнее время продолжает расти, электронная почта открывает возможности для обмана миллиардов людей. Мошенники используют неосведомленность жертв, чтобы заставить их переходить по ссылкам или открывать вредоносные вложения.

Еще в 2020 году только 22% утечек были связаны с фишингом, а уже в 2021 этот показатель вырос до 36%.

Программы-вымогатели

За первые девять месяцев 2020 года 21 процент зарегистрированных нарушений был связан с программами-вымогателями. А стоимость индустрии программ-вымогателей составила $14 млрд в 2021 году.

В 2021 году, по крайней мере, одна компания подвергалась атаке с использованием программам-вымогателей каждые 11 секунд. Стоимость ущерба увеличится до $20 млрд, что в 57 раз больше, чем в 2015 году.


»
Контактные формы и их угроза

Контактная форма — один из самых распространенных способов для связи с компанией, который присутствует на сайте большинства организаций. Полезный функционал, но и здесь таится угроза.

Как заявляет Security Boulevard, мошенники используют открытые формы компаний в фишинговых атаках.

Схема работает так: злоумышленники заполняют форму данными потенциальной жертвы, а в поле "сообщение" вставляют нужный текст, который может содержать, например, фишинговую ссылку. А уже после всех манипуляций, на электронную почту пользователя приходит письмо от известной компании с "выгодным предложением", ведущее на вредоносный сайт. Но самое интересное — сообщение не попадет в спам, так как отправителем является организация с хорошей репутацией.

Используя формы, мошенники серьезно экономят время: им не потребуется создавать собственную фишинговую инфраструктуру, тратить время на "взлом" легитимных электронных почт и т.д. Главное — придумать "привлекательное предложение", на которое и купится неосведомленная жертва.

Такая кампания создает проблемы для организаций, письмо идет от их лица, а это означает, что репутация может серьезно пострадать.

Повысьте систему безопасности организации — протестируйте своих сотрудников на знание правил ИБ и обучите их по результатам тестирования.
Мы в социальных сетях