Обзор новостей социальной инженерии
1
BEC-атаки: статистика и как защититься
При BEC-атаке злоумышленник получает доступ к почтовому аккаунту жертвы и переписывается от ее имени или «наблюдает» за ее перепиской с коллегами, партнерами, контрагентами. Целью обычно является хищение финансовых средств или конфиденциальной информации.

По данным Blueprint оценочная стоимость кибератак для мировой экономики в 2021 году составила около 6 триллионов долларов США и к 2025 году прогнозируется новый максимум в размере около 10,5 триллионов долларов США в год.

Ниже представлены некоторые из компаний (согласно Tessian), затронутых BEC, и их финансовые потери:

- Facebook и Google: мошенничество с BEC на 121 млн долларов

- Ubiquiti: мошенничество с поставщиками на 46,7 млн долларов

- Toyota 2019: атака BEC на 37 миллионов долларов

- Scouler Co.: мошенничество с приобретением на 17,2 млн долларов

- Правительство Пуэрто-Рико: перевод 2,6 миллиона долларов

BEC-атака - это атака направленная исключительно на людей и их бдительность. Здесь мошенники полагаются только на человеческий фактор, который, судя по статистике, успешно ими используется.

Согласно информации от Perception Point, в 2022 году процент сложных фишинговых атак увеличился на 356%. Также было отмечено, что самых слабым звеном являются сотрудники. Количество BEC-атак было увеличено на 83%.

Являются ли сотрудники самым слабым звеном или нет, думаем будет зависеть от того, насколько они обучены и применяют ли изученное на практике.

«Самое необходимое, что требуется сделать, это обучить ваших сотрудников основам кибербезопасности. Прежде чем понять чему именно их обучать, необходимо понять какой у них уровень осведомленности. StopPhish разработало ПО для проверки знаний сотрудников и курсы для их обучения.»
Stopphish
компания по тренировке
навыков кибербезопасности

Программное обеспечение и несколько из курсов открыты для бесплатного использования.
2
Подходите к обучению с умом
Недавно произошла двоякая ситуация с государственными школами округа Фэрфакс, штат Вирджиния, США.

Как пишет NBC4 Washington, руководство школ решило провести учебную "фишинговую атаку", направив письма учителям, в которых предлагались подарочные карты за еще один успешно проведенный учебный год.

Реакция на письма, судя по словам одного из учителей, а также президента Образовательной ассоциации Фэрфакс - была негативной и направление такого письма являлось не уважительным и почти как пощечина.

В целом, как мы видим, учителям гос. школ просто надавили на больное, так как обычно у таких учителей много работы, им необходима большая выдержка и скорее всего у них не большая зарплата. Так вот отправлять "проверочные" сертификаты учителям, которые на самом деле их заслуживают - думаем было не очень тактично.

В принципе то, что отдел безопасности заботится о безопасности и тестирует учителей это прекрасно. Но здесь еще важно не вызвать расстройство, а наоборот сделать свою работу так профессионально, что это приведет к сотрудничеству.
StopPhish
компания по тренировке
навыков кибербезопасности

3
Статистика в отношении фишинга
Такой рост статистик обусловлен низкой грамотностью в области информационной безопасности, как личной, так и корпоративной.
Согласно автору Jo Rushton с сайта Techopedia, мы имеем не утешительные данные:

- На фишинговые атаки приходится 36% всех утечек данных в США
- В период с 2020 по 2021 год количество уникальных фишинговых сайтов увеличилось на 345 %
- В 2022 году ФБР было зарегистрировано 300 497 фишинговых атак
- Каждая фишинговая атака обходится корпорациям в среднем в 4,91 миллиона долларов

Мы считаем, что прежде чем изменить ситуацию и взять ее под контроль необходимо осуществить первый шаг - получить знание. Ведь какими бы изощренными ни были технические средства как у злоумышленников так и у безопасников, человеческий фактор нужно сводить к минимуму.

Для решения этой проблемы StopPhish разработал курсы, которые помогут сотрудникам предотвращать атаки социальной инженерии на организацию.
Мы в социальных сетях