Ο αριθμός των εργαζομένων που κάνουν κλικ σε phishing links σημείωσε σημαντική αύξηση το 2024, θέτοντας τις επιχειρήσεις όλων των μεγεθών σε κίνδυνο παραβίασης, σύμφωνα με νέα έρευνα.
Μια αναφορά της Netskope που βασίζεται σε ανωνυμοποιημένα δεδομένα χρήσης που συλλέγονται από την πλατφόρμα Netskope One, διαπίστωσε ότι κατά τη διάρκεια του έτους, για κάθε 1.000 εργαζόμενους, υπήρχαν 8,4 που έκαναν κλικ σε ένα link σε ένα phishing email. Αυτό αντιπροσωπεύει τριπλάσια αύξηση σε σχέση με το προηγούμενο έτος, όταν μόλις 2,9 άτομα έκαναν το ίδιο.
Η Netskope αναφέρει ότι η σημαντική αύξηση των επιτυχημένων προσπαθειών phishing οφείλεται κυρίως σε δύο πράγματα: οι άνθρωποι υποφέρουν από γνωστική κόπωση (υπάρχουν απλώς πάρα πολλές επιθέσεις phishing και οι άνθρωποι τελικά χάνουν την επιφυλακή τους) και οι φορείς απειλών είναι εξαιρετικά δημιουργικοί και προσαρμόσιμοι, δημιουργώντας έτσι πιο δύσκολα ανιχνεύσιμες εκστρατείες.
Με αυτά τα δεδομένα, οι απειλητικοί παράγοντες ενδιαφέρθηκαν περισσότερο για την πρόσβαση σε εφαρμογές cloud. Αυτές κατέλαβαν περισσότερο από το ένα τέταρτο όλων των κλικ, με τα διαπιστευτήρια Live και 365 της Microsoft να παρουσιάζουν ιδιαίτερο ενδιαφέρον. Οι σελίδες που στόχευαν τις Yahoo και AOL ήταν επίσης αρκετά διαδεδομένες, ενώ οι σελίδες για τις Adobe και DocuSign χρησιμοποιήθηκαν ως εφαλτήριο για άλλα διαπιστευτήρια.
«Η δημοτικότητα της Microsoft ως στόχος phishing δεν προκαλεί έκπληξη, επειδή το Microsoft 365 είναι η πιο δημοφιλής σουίτα παραγωγικότητας με μεγάλη διαφορά», αναφέρεται στην έκθεση.
Η εκπαίδευση ευαισθητοποίησης σε θέματα phishing θα πρέπει επίσης να ανανεωθεί φέτος, πρότεινε η Netskope, καθώς επικεντρωνόταν υπερβολικά στο email και όχι αρκετά σε άλλα κανάλια. Το email δεν ήταν ο νούμερο ένα φορέας επίθεσης που διανέμει αυτά τα phishing links. Η Netskope πιστεύει ότι αυτό οφείλεται κυρίως στο γεγονός ότι οι άνθρωποι έχουν μάθει να δίνουν προσοχή στα εισερχόμενα email, αναγκάζοντας τους φορείς απειλών να γίνουν δημιουργικοί.
«Γνωρίζουν ότι τα θύματά τους μπορεί να είναι επιφυλακτικά στα εισερχόμενα email (όπου επανειλημμένα διδάσκονται να μην κάνουν κλικ σε links), αλλά θα κάνουν πολύ πιο ελεύθερα κλικ σε links στα αποτελέσματα των μηχανών αναζήτησης», αναφέρει η έκθεση.
Έτσι, αντί για μέσω emails, οι χρήστες εξαπατήθηκαν στις μηχανές αναζήτησης (μέσω SEO poisoning), καθώς και σε ιστοσελίδες αγορών, τεχνολογίας και ψυχαγωγίας που εκτελούσαν παραπομπές σε σχόλια, κακόβουλες διαφημίσεις και μολυσμένες ιστοσελίδες.
[via]
