Ayon sa ESET Threat Report D1 2022, ang mga banta sa email ay nakakita ng 2022 porsiyentong pagtaas sa unang apat na buwan ng 37. Gumagamit ang mga scam sa phishing ng mga pekeng taktika sa email upang linlangin ang mga umaatake sa pag-install ng malware, pagnanakaw ng mga kredensyal, at panlilinlang sa mga user na gumawa ng mga corporate money transfer. Gumagamit ang mga scammer ng mga diskarte sa social engineering na idinisenyo para magmadali ang mamimili sa pagkilos nang hindi nag-iisip.
Kasama sa mga taktikang ito ang:
- Gumagamit ng mga pekeng ID/domain/numero ng telepono at kung minsan ay mga typo o internationalized domain name (IDN)
- Mga na-hijack na account ng nagpadala na halos imposibleng matukoy bilang mga pagtatangka sa phishing,
- Online na pananaliksik (sa pamamagitan ng social media) upang gawing mas kapani-paniwala ang mga pagtatangka sa spear phishing
- Mga opisyal na logo, header, footer, atbp. gamitin,
- Lumilikha ng isang pakiramdam ng pagkaapurahan o kasabikan na nagtutulak sa gumagamit na gumawa ng madaliang pagpapasya.
- Mga pinaikling link na nagtatago sa tunay na patutunguhan ng nagpadala,
- Legit looking entry portals, websites, etc. paglikha.
Ayon sa pinakabagong ulat ng Verizon DBIR, apat na vector ang responsable para sa karamihan ng mga insidente sa seguridad noong nakaraang taon: Mga kredensyal, phishing, pagsasamantala, at botnet. Ang unang dalawa sa mga ito ay tungkol sa pagkakamali ng tao. Isang quarter (25%) ng kabuuang mga paglabag na sinuri sa ulat ay resulta ng mga pag-atake ng social engineering. Kasama ng mga pagkakamali ng tao at pang-aabuso sa pribilehiyo, ang elemento ng tao ay bumubuo ng 82% ng lahat ng mga paglabag.
Ang mga nakakagambala at mga manggagawa sa bahay na may mga device na hindi gaanong pinoprotektahan ay brutal na tinatarget ng mga aktor ng pagbabanta. Noong Abril 2020, inangkin ng Google na i-block ang hanggang 18 milyong malisyosong at phishing na email sa buong mundo araw-araw.
Dahil marami sa mga empleyadong ito ang bumalik sa opisina, mayroon ding panganib na malantad sila sa mas maraming SMS smishing at voice call-based na phishing na pag-atake. Ang mga user na on the go ay maaaring mas malamang na mag-click sa mga link at magbukas ng mga karagdagang file na hindi nila dapat. Ito ay maaaring humantong sa:
- pag-download ng ransomware,
- Mga Trojan sa Pagbabangko,
- Pagnanakaw/paglabag ng data,
- cryptomining malware,
- mga pag-deploy ng botnet,
- Mga account na na-hack para magamit sa mga susunod na pag-atake,
- Pagharang sa mga email ng negosyo (BEC) na nagreresulta sa pagkawala ng pera dahil sa mga mapanlinlang na invoice/mga kahilingan sa pagbabayad.
Habang ang average na halaga ng isang paglabag sa data ay higit sa $4,2 milyon, na isang mataas na rekord ngayon, ang ilang mga paglabag sa ransomware ay nagkakahalaga ng ilang beses.
Binigyang-diin ng ESET Turkey Product and Marketing Manager na si Can Erginkurban na ang pagsasanay ay palaging mahalaga at sinabing, “Dapat na isagawa ang regular na pagsasanay upang maiwasan ang mga pag-atake laban sa mga empleyado. Ang pagsasanay sa kaalaman sa phishing ay dapat na bahagi lamang ng isang multi-layered na diskarte upang labanan ang mga banta sa social engineering. Kahit na ang pinaka sinanay na tauhan ay maaaring maging biktima kung minsan ng mga sopistikadong scam. Kaya naman mahalaga din ang mga kontrol sa seguridad. Kung gusto mong protektahan ang iyong organisasyon laban sa mga pag-atake ng phishing, dapat mo talagang suportahan ang iyong mga empleyado sa mga pagsasanay." sabi.
Maging una sa komento