Rubén M. Mateo.- Få information og behold vores penge. Formålet forbliver det samme, selvom cyberkriminelles profil har ændret sig i de senere år. De behøver ikke længere at have et højt niveau af computerkendskab, de skal blot købe ondsindet software fra andre for at udføre deres angreb. Og det er, at cyberkriminalitet allerede fungerer som en virksomhed, der sælger. Hans evne til at stjæle ved hjælp af almindelige teknikker såsom svigagtige e-mail-links, men også at få vores oplysninger og indsende selvangivelsen, så han går ud og vender tilbage. Hej, selvfølgelig. I lyset af disse trusler er det vigtigt for kunder og enheder at blive fortrolig med cybersikkerhed.
"Virksomheden, der i dag ikke betragter cybersikkerhedsnøgle som et alvorligt konkurrenceevneproblem i sin forretning," sagde Gustavo Lozano, CISO i ING-bankenheden, under "Cyberfrauds", det nye webinar for "Cyklusen af digitale møder om gennemsigtighed og finansiel uddannelse", sponsoreret af ASNEF i samarbejde med LA LEY.
Under det digitale møde, der blev afholdt den 25. april og præsenteret af Ignacio Pla, ASNEFs generalsekretær, og modereret af Javier Muñoz, Sabadell Consumer Finance SAU Director of Operations and Technology, analyserede eksperter fra cybersikkerheds- og politisektoren cyberkriminalitet, især dem, der er relateret til bedrageri, ud fra et synspunkt om forebyggelse og handling fra myndighedernes side.
"Med pandemien er det steget endnu mere. Mange kriminelle er flyttet fra den fysiske verden til den online verden, fordi de gemmer sig bag anonymitet og sælger dem det produkt, de skal bruge for at udføre angrebene. I sidste ende er det en forretning, der vokser mere og mere, desværre for os», understregede Diego Alejandro, chefinspektør og leder af svindelsektionen i elektronisk handel i Rigspolitiets centrale cyberkriminalitetsenhed.
«Cyberkriminelle er mennesker, der er mindre og mindre forberedte på computere, fordi de med en lille indsats kan generere en masse overskud. også at være cyberkriminelle”, advarede Víctor Calleja, inspektør og leder af sviggruppen i brugen af telekommunikation, fra det nationale politis centrale cyberkriminalitetsenhed.
Eksperterne diskuterede nogle af de mere beboelige teknikker, som cyberkriminelle bruger til at betjene. Blandt dem er der phishing. "Det er afsendelsen af information via e-mail med et ondsindet emne, indhold eller link, der fører os, i det finansielle tilfælde, til en side, der forsøger at simulere og duplikere finansielle enheder for at fange information og derefter forsøge at udføre svigagtige transaktioner," forklarede Lozano, fra ING, for at afsløre andre begreber såsom smishing -SMS-svindel-; vishing –stemmesvindel–; eller spoofing – at tilrane sig en elektronisk identitet for at skjule sin egen identitet for at begå forbrydelser.
I tilfælde af phishing er det mest almindelige, at beskederne er personaliseret med detaljer om ofrets offentlige oplysninger for at øge troværdigheden, og at det er et klik på linket eller download af ondsindede filer. Og det er, at cyberkriminelle næsten altid er eksperter i social engineering og i at hacke menneskelig psykologi med teknikker som løgne, frygt eller uopsættelighed, så ofrene afslører information, både personlig og fra de virksomheder, de arbejder for.
Den seneste udgave for Europa og Mellemøsten af Proofpoints årsrapport "State of the Phish", svarende til 2023, bragte nogle interessante data i sin spanske udgave. For eksempel, at 90 % af de adspurgte virksomheder i vores løn oplevede et vellykket phishing-angreb via e-mail sidste år. Af disse havde 24 % økonomiske tab, hvilket var en betydelig stigning i forhold til dem, der blev afsløret i 2021 af samme undersøgelse, som var 9 %.
Han rapporterer, at han advarer om den store trussel, som ransomware udgør – ondsindet software, der krypterer data i bytte for en økonomisk løsesum –. 89 % af de spanske virksomheder, der blev konsulteret, led et ransomware-angreb i 2022, hvoraf 72 % havde succes. Kun halvdelen af de berørte virksomheder formåede at gendanne deres data efter at have foretaget en første betaling.
En realitet, det med ransomware, som forekommer både i den private og i erhvervslivet. Afpresning af enheder er en af cyberkriminelles foretrukne handlinger. Når han udfører et angreb af disse karakteristika mod en forretningsmand, der har haft for vane at "firedobbelt afpresning", forklarede lederen af svigsektionen i elektronisk handel i den centrale cyberkriminalitetsenhed i det nationale politi, Diego Alejandro.
Først sker afpresningen for at låse systemet op, det vil sige for at låse informationen op. En anden afpresning er dedikeret til ikke-finansiering af de data, der er opnået fra virksomheden, og som kan forårsage skade på omdømmet. Den tredje er at kontakte de kunder, som der er udtrukket data fra, og så er der en fjerde. "De sælger den sårbarhed, som de har fået adgang til det system med, til tredjeparter, så de kan udføre angrebet på samme måde. Det er bekymrende, fordi vi er på vej ind i et komplekst hjul at løse. Hackere transporterer produkter eller information for at udføre disse typer angreb. De fungerer som rigtige virksomheder. De investerer i nye teknologier for at fortsætte deres vanedannende aktivitet," advarede Alejandro. Inspektøren og lederen af sviggruppen i brugen af telekommunikation i den centrale cyberkriminalitetsenhed i det nationale politi, Víctor Calleja, forsikrede under webinaret, at betaling af denne afpresning ikke garanterer, at de vil tilbyde dig oplåsning, så frem for alt er det bedst ikke at forhandle med kriminelle og rapportere situationen.
De retshåndhævende myndigheder præsenterede nogle eksempler på teknikker, der anvendes af cyberkriminelle inden for elektronisk handel. De laver normalt fiktive websteder for at sælge et hypotetisk produkt. Mange gange efterligner eller kloner de ikke kun andre virksomheders hjemmesider, men de tager virksomhedernes data på et fysisk niveau og genererer en hjemmeside for at bruge butikkens prestige. De betaler også søgemaskiner for at placere disse svigagtige websteder over de rigtige sider. Politimyndighederne registrerer også hændelser på ejendomsannoncer og falske jobtilbud.
"Formålet er at indhente data fra potentielle ofre og materialisere svindelen. Nogle gange har de data, de indhenter, såsom identitet, dokumenter eller resultatopgørelse, til formål at formalisere lejekontrakter. De bruger disse identiteter til at indsætte annoncer eller præsentere resultatopgørelsen til deres særlige fordel. Vi står også ofte med køb af produkter på grund af tilranelse af kort," forklarede Diego Alejandro for at påpege et af de problemer, der bekymrer ham mest. "De udnytter mennesker, der har brug for kærlighed, og snyder dem for store mængder penge.
Premium opladningslinjer er også big business for kriminelle. Disse er kendt som 902 eller 807. "Det, de gør, er at hacke centralerne og automatisk foretage opkald til numre, der normalt er i lande uden for EU, og som ikke er særlig samarbejdsvillige," forklarede Calleja, som gav eksemplet med nogle sager, der tilbyder håndtering af kriminalitetsfiler. Folk, der ringede i håb om at få den service, fik den i sidste ende ikke. "Denne type retssager virker utrolig, men vi har set to operationer, der i den ene har rejst 2 millioner euro i ydelser og i en anden 6 millioner euro," sagde Calleja.
Alle disse trusler viser behovet for, at enheder fortsætter med at styrke deres sikkerhed og fremme bevidstheden. Ifølge den førnævnte rapport "State of the Phish" fra 2023 inkluderer kun 46 % af de spanske virksomheder, der er analyseret, alle deres ansatte i cybersikkerhedstræningsaktioner. Desuden udfører kun 48 % phishing-øvelser.
Som CISO for ING mente Gustavo Lozano, at cybersikkerhed er nøglen til virksomhedernes konkurrenceevne. "Vi vil ikke skræmme. Vi ønsker en aktiv og lærerig rolle træningsmæssigt, så man med viden kan undgå de trusler, der findes i dag”, forsikrede han under webinaret, udover at give nogle tips til at beskytte sig selv.
"Vi skal insistere på tillid til bankapps. Hvis en kunde ikke har en transaktion, ikke bruger applikationen og modtager en SMS uden for den applikation, hvorfor svarer de så? personligt eller økonomisk, hvorfor er det givet, hvis de ikke bruger den finansielle app? finansielle ansøgninger. Du skal give en beroligende besked fra bankapps. De passerer alle slags kontroller," insisterede Lozano, der anbefalede at bruge biometri på alle enheder.
I alle tilfælde af svindel, understregede politimyndighederne, er den første ting ikke at være bange for at anmelde det. «Uden offer er der ingen forbrydelse. Den første klage er afgørende, og at den giver så meget information som muligt,” sagde Calleja, der stolede på internetfællesskabet, der læste anmeldelser eller erfaringer fra brugere, der har prøvet tjenesterne. Klagen er nøglen, da som Diego Alejandro kommenterede, kan kriminelle bruge offerets identitet til at begå sunum-forbrydelser. Politiet modtager mere end 1.000 daglige henvendelser fra borgere, selvom disse ikke fungerer som klager.
Internationalt samarbejde, påpegede politifolkene, er essentielt, når det kommer til svindel. Myndighedernes kamp skal dækkes fra tre forskellige punkter, påpegede de. På politisk plan med den specifikke regulering, der gør det muligt at harmonisere lovgivningen i alle lande mere for at retsforfølge forbrydelser på en mere naturlig og tværnational måde. På politiniveau, deltagelse af offentlige institutioner som Europol, Interpol og samarbejdet om multilaterale aftaler. Og på det juridiske plan, deltagelse i efterforskning og fremme af internationale ressourcer.
