Rubén M. Mateo.- Cael gwybodaeth a chadw ein harian. Mae'r pwrpas yn aros yr un fath, er bod proffil seiberdroseddwyr wedi newid yn y blynyddoedd diwethaf. Nid oes angen iddynt fod â lefel uchel o wybodaeth gyfrifiadurol mwyach, y cyfan sydd ei angen arnynt yw prynu meddalwedd maleisus gan eraill i gyflawni eu hymosodiadau. A bod seiberdroseddu eisoes yn gweithredu fel cwmni sy'n gwerthu. Ei allu i ddwyn gan ddefnyddio technegau cyffredin fel cysylltiadau e-bost twyllodrus, ond hefyd i gael ein gwybodaeth a ffeilio'r ffurflen dreth incwm fel ei fod yn mynd allan ac yn dychwelyd. Helo, wrth gwrs. Yn wyneb y bygythiadau hyn, mae dod yn gyfarwydd â seiberddiogelwch yn bwysig i gwsmeriaid ac endidau.
"Mae'r cwmni nad yw heddiw yn ystyried cybersecurity allweddol yn broblem cystadleurwydd difrifol yn ei fusnes," meddai Gustavo Lozano, CISO yr endid bancio ING, yn ystod "Cyberfrauds", gweminar newydd y "Cylch cyfarfodydd digidol ar dryloywder ac addysg ariannol », a noddir gan ASNEF gyda chydweithrediad LA LEY.
Yn ystod y cyfarfod digidol, a gynhaliwyd ar Ebrill 25 ac a gyflwynwyd gan Ignacio Pla, Ysgrifennydd Cyffredinol ASNEF, ac a gymedrolwyd gan Javier Muñoz, Cyfarwyddwr Gweithrediadau a Thechnoleg SAU Cyllid Defnyddwyr Sabadell, dadansoddwyd arbenigwyr o'r sectorau cybersecurity a heddlu, o safbwynt atal a gweithredu gan yr awdurdodau, troseddau seiberdrosedd, yn enwedig y rhai sy'n ymwneud â thwyll.
“Gyda’r pandemig mae wedi cynyddu hyd yn oed yn fwy. Mae llawer o droseddwyr wedi symud o'r byd corfforol i'r byd ar-lein oherwydd eu bod yn cuddio y tu ôl i anhysbysrwydd ac yn gwerthu'r cynnyrch sydd ei angen arnynt i gyflawni'r ymosodiadau. Yn y diwedd, mae'n fusnes sy'n tyfu fwyfwy, yn anffodus i ni», pwysleisiodd Diego Alejandro, Prif Arolygydd a Phennaeth yr Adran Twyll mewn masnach electronig Uned Seiberdroseddu Ganolog yr Heddlu Cenedlaethol.
“Mae seiberdroseddwyr yn bobl sy’n llai a llai parod am gyfrifiadura oherwydd heb fawr o ymdrech gallant gynhyrchu llawer o elw. hefyd yn seiberdroseddwyr”, rhybuddiodd Víctor Calleja, Arolygydd a Phennaeth Grŵp Twyll wrth ddefnyddio telathrebu, Uned Seiberdroseddu Ganolog yr Heddlu Cenedlaethol.
Trafododd yr arbenigwyr rai o'r technegau mwy byw y mae seiberdroseddwyr yn eu defnyddio i weithredu. Yn eu plith mae gwe-rwydo. «Anfon gwybodaeth trwy e-bost gyda phwnc, cynnwys neu ddolen faleisus sy'n ein harwain, yn yr achos ariannol, at dudalen sy'n ceisio efelychu a dyblygu endidau ariannol i gipio gwybodaeth ac yna ceisio cynnal trafodion hyfforddi twyllodrus ”, esboniodd Lozano, o ING, i ddatgelu cysyniadau eraill fel smishing –SMS scams–; vishing – sgamiau llais–; neu ffugio – trawsfeddiannu hunaniaeth electronig i guddio hunaniaeth rhywun i gyflawni troseddau.
Yn achos gwe-rwydo, y mwyaf cyffredin yw bod y negeseuon yn cael eu personoli gyda manylion gwybodaeth gyhoeddus y dioddefwr er mwyn cynyddu hygrededd ac mai clic ar y ddolen neu lawrlwytho ffeiliau maleisus ydyw. Ac mae'n wir bod seiberdroseddwyr bron bob amser yn arbenigwyr mewn peirianneg gymdeithasol ac mewn hacio seicoleg ddynol gyda thechnegau fel celwyddau, ofn neu frys fel bod dioddefwyr yn datgelu gwybodaeth, yn bersonol ac gan y cwmnïau y maent yn gweithio iddynt.
Daeth y rhifyn diweddaraf ar gyfer Ewrop a Dwyrain Canol adroddiad blynyddol Proofpoint "State of the Phish", sy'n cyfateb i 2023, â rhywfaint o ddata diddorol yn ei rifyn Sbaeneg. Er enghraifft, bod 90% o'r cwmnïau a arolygwyd yn ein cyflog wedi profi ymosodiad gwe-rwydo llwyddiannus trwy e-bost y llynedd. O'r rhain, roedd gan 24% golledion economaidd, a oedd yn gynnydd sylweddol ar y rhai a ddatgelwyd yn 2021 gan yr un astudiaeth, sef 9%.
Mae'n adrodd ei fod yn rhybuddio am y bygythiad mawr a achosir gan ransomware - meddalwedd faleisus sy'n amgryptio data yn gyfnewid am bridwerth ariannol -. Dioddefodd 89% o’r cwmnïau Sbaenaidd yr ymgynghorwyd â nhw ymosodiad pridwerth yn 2022, ac roedd 72% ohonynt yn llwyddiannus. Dim ond hanner y cwmnïau yr effeithiwyd arnynt a lwyddodd i adennill eu data ar ôl gwneud taliad cychwynnol.
Realiti, sef nwyddau pridwerth, sy'n digwydd yn y sector preifat ac yn y byd busnes. Mae cribddeiliaeth endidau yn un o weithredoedd dewisol seiberdroseddwyr. Pan fydd yn cynnal ymosodiad o'r nodweddion hyn yn erbyn dyn busnes sydd wedi cael yr arfer o "cribddeiliaeth bedwarplyg", eglurodd Pennaeth yr Adran Twyll mewn Masnach Electronig Uned Seiberdroseddu Ganolog yr Heddlu Cenedlaethol, Diego Alejandro.
Yn gyntaf, mae'r cribddeiliaeth yn digwydd i ddatgloi'r system, hynny yw, i ddatgloi'r wybodaeth. Mae ail gribddeiliaeth wedi'i neilltuo i beidio â chyllido'r data a gafwyd gan y cwmni a gallai hynny achosi niwed i enw da. Y trydydd yw cysylltu â'r cwsmeriaid y mae data wedi'i dynnu ohonynt ac yna mae pedwerydd. “Maen nhw’n gwerthu’r bregusrwydd y maen nhw wedi cael mynediad i’r system honno i drydydd partïon fel y gallant gynnal yr ymosodiad yn yr un modd. Mae'n peri pryder oherwydd ein bod yn mynd i mewn i olwyn gymhleth i'w datrys. Mae hacwyr yn cludo cynhyrchion neu wybodaeth i wneud y mathau hyn o ymosodiadau. Maen nhw'n gweithio fel busnesau go iawn. Maen nhw'n buddsoddi mewn technolegau newydd i barhau â'u gweithgaredd caethiwus," rhybuddiodd Alejandro. Sicrhaodd yr Arolygydd a Phennaeth y Grŵp Twyll wrth ddefnyddio telathrebu Uned Seiberdroseddu Ganolog yr Heddlu Cenedlaethol, Víctor Calleja, yn ystod y weminar nad yw talu'r cribddeiliaeth hwn yn gwarantu y byddant yn cynnig datgloi i chi, felly, cyn popeth, mae'n well peidio â thrafod gyda throseddwyr a rhoi gwybod am y sefyllfa.
Cyflwynodd awdurdodau gorfodi'r gyfraith rai enghreifftiau o dechnegau a ddefnyddir gan seiberdroseddwyr ym maes masnach electronig. Maent fel arfer yn creu gwefannau ffuglen i werthu cynnyrch damcaniaethol. Lawer gwaith, maent nid yn unig yn efelychu neu'n clonio gwefannau cwmnïau eraill, ond maent yn cymryd data cwmnïau ar lefel ffisegol ac yn cynhyrchu gwefan i ddefnyddio bri y siop. Maent hefyd yn talu peiriannau chwilio i raddio'r gwefannau twyllodrus hyn uwchlaw'r tudalennau go iawn. Mae awdurdodau'r heddlu hefyd yn cofnodi digwyddiadau ar hysbysebion eiddo tiriog a chynigion swyddi ffug.
“Y pwrpas yw cael data gan ddioddefwyr posibl a gwireddu'r twyll. Weithiau bwriedir i'r data a gânt, megis hunaniaeth, dogfennau neu'r datganiad incwm, ffurfioli contractau rhentu. Maent yn defnyddio'r hunaniaethau hyn i fewnosod hysbysebion neu gyflwyno'r datganiad incwm er eu budd penodol. Rydyn ni hefyd yn aml yn cael ein hunain yn prynu cynhyrchion oherwydd trawsfeddiant cardiau, "esboniodd Diego Alejandro, i dynnu sylw at un o'r materion sy'n ei boeni fwyaf. “Maen nhw’n manteisio ar bobl sydd angen cariad, gan eu twyllo allan o symiau mawr o arian.
Mae llinellau codi tâl premiwm hefyd yn fusnes mawr i droseddwyr. Gelwir y rhain yn 902 neu 807. "Yr hyn maen nhw'n ei wneud yw hacio'r switsfyrddau a gwneud galwadau'n awtomatig i rifau sydd mewn gwledydd sydd fel arfer y tu allan i'r UE ac nad ydyn nhw'n gydweithredol iawn," esboniodd Calleja, a roddodd yr enghraifft o rai achosion sy'n cynnig rheoli ffeiliau tramgwyddaeth. Yn y pen draw, ni chafodd y bobl a alwodd yn gobeithio cael y gwasanaeth hwnnw. “Mae’r math hwn o ymgyfreitha yn ymddangos yn anhygoel, ond rydym wedi gweld dwy weithrediad sydd mewn un wedi codi 2 filiwn ewro mewn budd-daliadau ac mewn un arall, 6 miliwn ewro,” meddai Calleja.
Mae'r holl fygythiadau hyn yn dangos yr angen i endidau barhau i atgyfnerthu eu diogelwch a chynyddu ymwybyddiaeth. Yn ôl yr adroddiad uchod "State of the Phish" o 2023, dim ond 46% o'r cwmnïau Sbaenaidd a ddadansoddwyd sy'n cynnwys eu holl weithwyr mewn gweithredoedd hyfforddi seiberddiogelwch. Hefyd, dim ond 48% sy'n perfformio driliau gwe-rwydo.
Gan fod CISO o ING, Gustavo Lozano, o'r farn bod seiberddiogelwch yn allweddol i gystadleurwydd cwmnïau. “Dydyn ni ddim eisiau dychryn. Rydyn ni eisiau rôl weithredol ac addysgiadol o ran hyfforddiant fel y gellir osgoi'r bygythiadau sy'n bodoli heddiw gyda gwybodaeth", fe sicrhaodd yn ystod y weminar, yn ogystal â chynnig rhai awgrymiadau i amddiffyn eich hun.
“Rhaid inni fynnu ymddiriedaeth mewn apiau bancio. Os nad oes gan gwsmer drafodiad, nad yw'n defnyddio'r rhaglen ac yn derbyn SMS y tu allan i'r cais hwnnw, pam ei fod yn ateb? personol neu ariannol, pam ei fod yn cael ei ddarparu os nad ydynt yn defnyddio’r ap ariannol? ceisiadau ariannol. Mae'n rhaid i chi roi neges galonogol gan apiau bancio. Maen nhw'n pasio pob math o reolaethau," mynnodd Lozano, a argymhellodd ddefnyddio biometreg ar bob dyfais.
Mewn unrhyw achos o dwyll, pwysleisiodd awdurdodau'r heddlu, y peth cyntaf yw peidio â bod ofn adrodd amdano. “Heb, dioddefwr nid oes trosedd. Mae’r gŵyn gychwynnol yn hanfodol a’i bod yn darparu cymaint o wybodaeth â phosibl, ”meddai Calleja, a oedd yn dibynnu ar y gymuned rhyngrwyd, yn darllen adolygiadau neu brofiadau defnyddwyr sydd wedi rhoi cynnig ar y gwasanaethau. Mae'r gŵyn yn allweddol, oherwydd fel y dywedodd Diego Alejandro, gall troseddwyr ddefnyddio'r hunaniaeth honno o'r dioddefwr i gyflawni troseddau haulwm. Mae'r heddlu'n derbyn mwy na 1.000 o gyfathrebiadau dyddiol gan ddinasyddion, er nad yw'r rhain yn gwasanaethu fel cwynion.
Mae cydweithrediad rhyngwladol, nododd swyddogion yr heddlu, yn hanfodol o ran twyll. Rhaid ymdrin â brwydr yr awdurdodau o dri phwynt gwahanol, dywedasant. Ar y lefel wleidyddol, gyda'r rheoliad penodol sy'n caniatáu i ddeddfwriaeth pob gwlad fod yn fwy cyson i erlyn troseddau mewn ffordd fwy naturiol a thrawswladol. Ar lefel yr heddlu, cyfranogiad sefydliadau cyhoeddus megis Europol, Interpol a chydweithio cytundebau amlochrog. Ac ar y lefel farnwrol, cymryd rhan mewn ymchwiliadau a hyrwyddo adnoddau rhyngwladol.
