Oszuści dostosowują swoją taktykę w odpowiedzi na pandemię Covid-19 i kryzys związany z kosztami życia, wykorzystując osoby znajdujące się w trudnej sytuacji finansowej, a około 80 000 Brytyjczyków miesięcznie pada ofiarą ataków phishingowych i dostarcza dane osobowe, zgodnie z Raport Urzędu Statystyk Narodowych (ONS).
Opublikowany 26 września raport wykazał, że podczas gdy tylko 3% podejrzanych odbiorców wiadomości phishingowych odpowiedziało lub kliknęło łącze, odpowiada to około 700 000 osobom w Anglii i Walii.
Okazało się również, że spośród osób, które odpowiedziały lub kliknęły łącze, 11% podało informacje, które mogłyby zostać wykorzystane przez oszustów – co odpowiada około 80 000 osób.
Krajowe Biuro Wywiadu ds. Nadużyć Finansowych (NFIB) w City of London Police, które jest krajowym organem policyjnym zajmującym się oszustwami, również zidentyfikowało rosnącą tendencję oszustów obiecujących ulgi w rachunkach za energię i podatku komunalnego lub w inny sposób zachęcających ludzi do ubiegania się o „koszt zapłata za życie” w sposób naśladujący autentyczne rządowe pakiety wsparcia.
Na przykład w ciągu dwóch tygodni do 5 sierpnia do usługi Suspicious Emails Reporting Service (Sers) wysłano ponad 1500 zgłoszeń o fałszywych wiadomościach e-mail udających legalne rabaty od brytyjskiego regulatora energetycznego Ofgem.
NFIB odnotował również wzrost liczby doniesień o oszustwach, w których ofiary są kierowane na WhatsApp przez przestępców udających kogoś, kogo znają, zazwyczaj ich dzieci.
„Oszustwa phishingowe nadal stanowią poważne zagrożenie zarówno dla osób fizycznych, jak i firm” – powiedział nadinspektor detektyw Oliver Shaw z City of London Police. „Proszę wszystkich, aby byli czujni na nieoczekiwane wiadomości lub telefony z prośbą o podanie danych osobowych lub finansowych. Pamiętaj, że Twój bank ani żadne oficjalne źródło nigdy nie poprosi Cię o podanie danych osobowych za pośrednictwem poczty elektronicznej lub wiadomości tekstowej”.
Brytyjska służba zapobiegania oszustwom Cifas powiedziała, że „istnieje prawdziwe zaniepokojenie ze względu na wzrost kosztów życia, przestępcy będą szukać produktów kredytowych i usług odroczonych kredytów”.
Typowe kampanie, z którymi zetknął się Cifas, obejmują oszustów udających dostawców mediów oferujących oferty dotyczące rachunków za energię lub konkursy na kupony na paliwo.
„Oszuści stosują coraz bardziej wyrafinowane metody, aby nakłonić ludzi do rozstania się z danymi osobowymi i finansowymi” – powiedziała Sandra Peaston, dyrektor ds. badań i rozwoju w Cifas. „Sprawdzenie, czy dana osoba lub organizacja jest autentyczna, skontaktowanie się z nią za pośrednictwem ich oficjalnej strony internetowej i skorzystanie z narzędzia do sprawdzania strony internetowej, aby upewnić się, że strona jest bezpieczna, to sposoby na udaremnienie próby wyłudzenia informacji”.
ONS dodał, że istnieją również dowody na to, że oszuści wykorzystują powszechne zmiany zachowań wywołane pandemią, takie jak wzrost zakupów online i przejście na pracę zdalną.
Ponad połowa ofiar phishingu zgłosiła na przykład, że otrzymana wiadomość pochodziła od nadawców podszywających się pod firmy kurierskie. ONS odnotował ponadto dziewięciokrotny wzrost liczby „oszustw z zaliczką” (ofiary dokonujące płatności z góry za towary lub usługi, które następnie się nie urzeczywistniają) oraz 57% wzrost „oszustw konsumenckich i detalicznych” w porównaniu z poziomem sprzed pandemii.
Dodał, że liczba oszustw wzrosła o 25% w stosunku do poziomu sprzed pandemii (do około 4,5 miliona wykroczeń) w roku poprzedzającym marzec 2022 r., z czego prawie dwie trzecie zostało oznaczonych jako związane z cyberprzestępczością.
„Ponieważ pandemia skłoniła coraz więcej konsumentów do zakupów i usług online, cyberprzestępcy deptali im po piętach” – powiedział Marijus Briedis, dyrektor ds. technologii w NordVPN. „Oszałamiający 900% wzrost oszustw związanych z opłatami zaliczkowymi pokazuje, jak elastyczni są cyberprzestępcy. Covid-19 i kryzys kosztów utrzymania stały się pułapką dla oszustów, powodując coraz bardziej cyniczne sztuczki mające na celu oddzielenie ofiar od ich pieniędzy”.
Zwiększona podatność
W sierpniu 2022 r Ankieta Verizon odkryli, że wraz ze wzrostem liczby godzin, lokalizacji i urządzeń, z których korzystają pracownicy, przedsiębiorstwa są teraz bardziej podatne na szereg cyberataków.
Okazało się, że liczba poważnych ataków rośnie, a 45% ankietowanych firm doznało kompromisu w ciągu ostatnich 12 miesięcy – wzrost o 22% rok do roku. Nieco ponad połowa (52%) stwierdziła, że wcześniej poświęciła bezpieczeństwo urządzeń mobilnych, w tym urządzeń Internetu rzeczy, aby „wykonać zadanie”.
Jednak w lutym 2022 r. ostatni rocznik Proofpoint Stan zgłoszenia phishingowego odkryli, że organizacje w Wielkiej Brytanii znacznie częściej niż średnia światowa nakładają sankcje na pracowników, którzy biorą udział w prawdziwych lub symulowanych atakach phishingowych.
Organizacje brytyjskie są również bardziej skłonne do podejmowania surowych działań, przy czym 42% nakłada kary pieniężne w porównaniu z 26% na całym świecie, a 29% posuwa się tak daleko, że zwalnia ludzi na podstawie ich interakcji z atakami phishingowymiw porównaniu do 18% na całym świecie.
W obliczu rosnącej liczby ataków phishingowych łącznie 78% brytyjskich organizacji poinformowało Proofpoint, że musiało poradzić sobie z co najmniej jedną infekcją ransomware pochodzącą z bezpośredniego ładunku e-mail, drugiego etapu dostarczania złośliwego oprogramowania lub exploita, z czego 82% opłaciło swoim atakującym w pewnym stopniu. „Oszałamiająca liczba brytyjskich firm doświadczyła ataku phishingowego w 2021 r., a 91% tych ataków zakończyło się sukcesem” – powiedziała Adenike Cosgrove, wówczas międzynarodowy strateg ds. bezpieczeństwa cybernetycznego w Proofpoint.
„Ponadto, specjaliści ds. bezpieczeństwa w Wielkiej Brytanii są najbardziej narażeni na dużą liczbę ataków socjotechnicznych innych niż e-mail” – powiedziała. „To potęguje fakt, że Wielka Brytania stoi w obliczu zagrożeń ze wszystkich stron, jednak klucz do walki z tymi zagrożeniami zaczyna się od pracowników.
„Wszystkie te ataki wymagają interakcji człowieka, aby odnieść sukces, co podkreśla potrzebę zwiększenia świadomości i szkolenia pracowników w zakresie bezpieczeństwa. W porównaniu z globalnymi odpowiednikami pracownicy z Wielkiej Brytanii mieli największą świadomość terminu „phishing”, który jest obiecujący, ale tylko w 62% nadal mamy do zrobienia, aby zapewnić bezpieczeństwo firmom”.
