ESET Threat Report D1 2022によると、電子メールの脅威は2022年の最初の37か月でXNUMX%増加しました。 フィッシング詐欺は、偽の電子メール戦術を使用して、攻撃者をだましてマルウェアをインストールさせ、資格情報を盗み、ユーザーをだまして企業の送金をさせます。 詐欺師は、購入者が考えずに行動を起こすように設計されたソーシャルエンジニアリング手法を使用します。
これらの戦術は次のとおりです。
- 偽の送信者ID/ドメイン/電話番号を使用し、場合によってはタイプミスや国際化ドメイン名(IDN)を使用する
- フィッシングの試みとして検出することがほぼ不可能なハイジャックされた送信者アカウント、
- スピアフィッシングの試みをより信頼できるものにするためのオンライン調査(ソーシャルメディア経由)
- 公式ロゴ、ヘッダー、フッターなど。 使用する、
- ユーザーに急いで決断を迫るような切迫感や興奮を生み出す。
- 送信者の本当の宛先を隠す短縮リンク、
- 合法的なエントリーポータル、ウェブサイトなど。 作成。
最新のVerizonDBIRレポートによると、昨年のセキュリティインシデントの大部分は、クレデンシャル、フィッシング、エクスプロイト、ボットネットの25つのベクトルが原因でした。 これらの最初の82つは、ヒューマンエラーに関するものです。 レポートで調査された違反全体のXNUMX分のXNUMX(XNUMX%)は、ソーシャルエンジニアリング攻撃の結果でした。 ヒューマンエラーと特権の乱用を組み合わせると、人的要素がすべての違反のXNUMX%を占めました。
デバイスの保護が不十分な気が散っている在宅労働者は、脅威の攻撃者によって残酷に標的にされています。 2020年18月、Googleは、世界中で毎日XNUMX万通もの悪意のあるフィッシングメールをブロックすると主張しました。
これらの従業員の多くがオフィスに戻ると、SMSスミッシングや音声通話ベースのフィッシング攻撃にさらされるリスクもあります。 外出中のユーザーは、リンクをクリックして、すべきでない追加のファイルを開く可能性が高くなります。 これにより、次のことが発生する可能性があります。
- ランサムウェアのダウンロード、
- バンキング型トロイの木馬、
- データの盗難/違反、
- マイニングマルウェア、
- ボットネットの展開、
- 後続の攻撃で使用するためにハッキングされたアカウント、
- 不正な請求書/支払い要求のためにお金を失う結果となるビジネス電子メール(BEC)の傍受。
データ漏えいの平均コストは4,2万ドルを超えており、これは今日の記録的な高さですが、一部のランサムウェア侵害のコストはその数倍です。
ESETトルコの製品およびマーケティングマネージャーであるCanErginkurbanは、トレーニングは常に重要であると強調し、次のように述べています。 フィッシングの認識トレーニングは、ソーシャルエンジニアリングの脅威と戦うための多層戦略の一部にすぎません。 最も訓練を受けた人員でさえ、洗練された詐欺の犠牲になることがあります。 そのため、セキュリティ管理も重要です。 組織をフィッシング攻撃から保護したい場合は、トレーニングで従業員を確実にサポートする必要があります。」 言った。
最初にコメントする