Rubén M. Mateo.- Pridobite informacije in obdržite naš denar. Cilj ostaja enak, čeprav se je profil kibernetskih kriminalcev v zadnjih letih spremenil. Ni jim več treba imeti visoke ravni računalniškega znanja; preprosto kupijo zlonamerno programsko opremo od drugih, da izvajajo svoje napade. In kibernetski kriminal že deluje kot komercialna družba. Njegova zmožnost kraje z uporabo običajnih tehnik, kot so goljufive e-poštne povezave, pa tudi pridobitev naših podatkov in vložitev davčne napovedi, da jo je mogoče vrniti. Pozdravljeni, seveda. Ob soočanju s temi grožnjami je za stranke in subjekte pomembno, da se seznanijo s kibernetsko varnostjo.
"Podjetje, ki danes kibernetske varnosti ne smatra za ključnega pomena, predstavlja resen problem konkurenčnosti v svojem poslovanju," je dejal Gustavo Lozano, CISO bančnega subjekta ING, med "Kibernetske goljufije", novim spletnim seminarjem "Cikla digitalnih srečanj o preglednosti in finančno izobraževanje«, ki ga sponzorira ASNEF v sodelovanju z LA LEY.
Med digitalnim srečanjem, ki je potekalo 25. aprila letos in ga je predstavil Ignacio Pla, generalni sekretar ASNEF, moderiral pa Javier Muñoz, direktor operacij in tehnologije Sabadell Consumer Finance SAU, so strokovnjaki iz sektorjev kibernetske varnosti in policije analizirali z vidika pogled na preprečevanje in ukrepanje s strani oblasti, kibernetska kriminaliteta, zlasti tista, povezana z goljufijami.
»S pandemijo se je še povečalo. Mnogi kriminalci so se iz fizične sfere preselili v spletno sfero, ker se skrivajo za anonimnostjo in jim prodajajo izdelek, ki ga potrebujejo za izvedbo napadov. Navsezadnje gre za posel, ki je na našo žalost vse bolj v razcvetu,« je poudaril Diego Alejandro, glavni inšpektor in vodja oddelka za goljufije v elektronskem poslovanju centralne enote nacionalne policije za kibernetski kriminal.
»Kiberkriminalci so ljudje, ki so vedno manj pripravljeni na računalništvo, saj lahko z malo truda ustvarijo veliko dobička. bodite tudi kibernetski kriminalci,« je opozoril Víctor Calleja, inšpektor in vodja skupine za goljufije pri uporabi telekomunikacij pri centralni enoti za kibernetski kriminal nacionalne policije.
Strokovnjaki so razpravljali o nekaterih najpogostejših tehnikah, ki jih kibernetski kriminalci uporabljajo za delovanje. Med njimi je lažno predstavljanje. »Gre za pošiljanje informacij po e-pošti z zadevo, vsebino ali zlonamerno povezavo, ki nas v finančnem primeru pripelje na stran, ki poskuša simulirati in podvojiti finančne subjekte, da zajame informacije in nato poskusi izvesti transakcije usposabljanja. ,« je pojasnil Lozano iz ING, da bi izpostavil druge koncepte, kot so smishing – prevare prek sporočil SMS; vishing – glasovne prevare; ali spoofing – prilastitev elektronske identitete za skrivanje lastne identitete za storitve kaznivih dejanj.
Pri lažnem predstavljanju je najpogostejše, da so sporočila personalizirana s podrobnostmi o žrtvinih javnih informacijah za večjo verodostojnost in da gre za klik na povezavo ali prenos zlonamernih datotek. In kibernetski kriminalci so skoraj vedno strokovnjaki za socialni inženiring in vdiranje v človeško psihologijo s tehnikami, kot so laganje, strah ali pozivanje žrtev, naj razkrijejo informacije, tako osebne kot informacije podjetij, za katera delajo.
Najnovejša izdaja Proofpointovega letnega poročila »State of the Phish« za Evropo in Bližnji vzhod, ki ustreza letu 2023, je v španski izdaji prinesla nekaj zanimivih podatkov. Na primer, 90 % podjetij, vključenih v našo anketo, je lani doživelo uspešen lažni napad po e-pošti. Od tega jih je imelo 24 % gospodarske izgube, kar je pomenilo znatno povečanje v primerjavi s tistimi, ki jih je leta 2021 razkrila ista študija, in sicer 9 %.
Poroča, da opozarja na veliko grožnjo, ki jo predstavlja izsiljevalska programska oprema – zlonamerna programska oprema, ki šifrira podatke v zameno za finančno odkupnino. 89 % vprašanih španskih podjetij je leta 2022 utrpelo napad z izsiljevalsko programsko opremo, od tega jih je 72 % uspelo. Le polovici prizadetih podjetij je po začetnem plačilu uspelo obnoviti svoje podatke.
Realnost, tista izsiljevalska programska oprema, ki vpliva tako na zasebno kot poslovno sfero. Izsiljevanje subjektov je eno najljubših dejanj kibernetskih kriminalcev. Ko se izvaja napad s temi značilnostmi proti poslovnežu, ki je imel navado "štirikratnega izsiljevanja", je opisal vodja oddelka za goljufije v elektronskem poslovanju Centralne enote za kibernetski kriminal pri nacionalni policiji, Diego Alejandro.
Najprej pride do izsiljevanja za odklepanje sistema, torej odklepanje informacij. Drugo izsiljevanje je namenjeno nefinanciranju podatkov, pridobljenih od podjetja, kar bi lahko povzročilo škodo ugledu. Tretji je stik s strankami, od katerih so bili pridobljeni podatki, in potem je tu še četrti. »Ranljivost, s katero so dostopali do tega sistema, prodajo tretjim osebam, da lahko napad izvedejo na enak način. Zaskrbljujoče je, ker vstopamo v krog, ki ga je zapleteno rešiti. Hekerji prenašajo izdelke ali informacije za izvedbo tovrstnih napadov. Delujejo kot prava podjetja. "Vlagajo v nove tehnologije, da bi nadaljevali svojo zasvojljivo dejavnost," je opozoril Alejandro. Inšpektor in vodja skupine za goljufije pri uporabi telekomunikacij Centralne enote za kibernetski kriminal nacionalne policije Víctor Calleja je med spletnim seminarjem zagotovil, da plačilo tega izsiljevanja ne zagotavlja, da vam bodo ponudili odklepanje, zato pred vsem, najbolje je, da se ne pogajate s kriminalci in poročate o situaciji.
Policijski organi so predstavili nekaj primerov tehnik, ki jih kibernetski kriminalci uporabljajo na področju elektronskega poslovanja. Običajno ustvarijo izmišljena spletna mesta za prodajo hipotetičnega izdelka. Velikokrat ne le posnemajo ali klonirajo spletna mesta drugih podjetij, ampak vzamejo podatke podjetij na fizični ravni in ustvarijo spletno stran, da izkoristijo prestiž trgovine. Prav tako plačujejo iskalnikom, da ta goljufiva spletna mesta postavijo nad prave strani. Policija beleži tudi primere nepremičninskih oglasov in lažnih ponudb za delo.
»Namen je pridobiti podatke od možnih žrtev in materializirati goljufijo. Včasih so podatki, ki jih pridobijo, kot so identiteta, dokumenti ali napovedi za dohodnino, namenjeni formalizaciji najemnih pogodb. Te identitete uporabljajo za vstavljanje oglasov ali vlaganje dohodninskih napovedi za lastno korist. Pogosto se srečujemo tudi z nakupi izdelkov zaradi kraje kartic,« je pojasnil Diego Alejandro in izpostavil eno izmed težav, ki ga najbolj skrbi. »Izkoriščajo ljudi, ki potrebujejo ljubezen, ki jim ogoljufajo velike količine denarja.
Dodatne cenovne linije so tudi velik posel za kriminalce. Ti so znani kot 902 ali 807. "Kar počnejo, je, da vdrejo v centrale in samodejno kličejo na številke, ki so običajno v državah zunaj EU in ki niso preveč sodelovalne," je pojasnil Calleja, ki je dal primer nekaterih primerov, ki ponujajo upravljanje datotek o prestopništvu. Ljudje, ki so klicali v upanju, da bodo dobili to storitev, je nazadnje niso prejeli. "Tovrstni zločini se zdijo neverjetni, vendar smo videli dve operaciji, ki sta v eni zbrali 2 milijona evrov dobička, v drugi pa 6 milijonov evrov," je dejal Calleja.
Vse te grožnje kažejo na potrebo subjektov, da še naprej krepijo svojo varnost in napredujejo ozaveščenost. Glede na zgoraj omenjeno poročilo »State of the Phish« iz leta 2023 le 46 % analiziranih španskih podjetij vključuje vse svoje zaposlene v akcije usposabljanja za kibernetsko varnost. Prav tako le 48 % izvaja vaje lažnega predstavljanja.
Gustavo Lozano je kot CISO pri ING menil, da je kibernetska varnost ključna za konkurenčnost podjetij. »Nočemo strašiti. "Želimo aktivno in poučno vlogo v smislu usposabljanja, da bi se z znanjem lahko izognili grožnjam, ki obstajajo danes," je dejal med webinarjem in ponudil nekaj nasvetov za zaščito.
»Vztrajati moramo pri zaupanju v bančne aplikacije. Če stranka nima transakcije, ne uporablja aplikacije in prejme SMS zunaj te aplikacije, zakaj odgovori? osebni ali finančni, zakaj je na voljo, če ne uporabljajo finančne aplikacije? Finančne aplikacije. Bančne aplikacije morajo poslati pomirjujoče sporočilo. Prestanejo vse vrste kontrol,« je vztrajal Lozano, ki priporoča uporabo biometrije na vseh napravah.
V vsakem primeru goljufije, so poudarili policijski organi, je prva stvar, da se je ne bojite prijaviti. »Brez žrtve ni zločina. Začetna pritožba je bistvenega pomena in da zagotovi čim več informacij,« je dejal Calleja, ki se je zanašal na internetno skupnost, branje mnenj ali izkušenj uporabnikov, ki so preizkusili storitve. Poročanje je ključnega pomena, saj lahko, kot je komentiral Diego Alejandro, kriminalci uporabijo identiteto žrtve, da naključno zagrešijo kazniva dejanja. Policija dnevno prejme več kot 1.000 sporočil državljanov, ki pa niso pritožbena.
Pri goljufijah je mednarodno sodelovanje, ugotavlja policija, nujno. Boj oblasti je treba spremljati s treh različnih točk, so poudarili. Na politični ravni s posebno ureditvijo, ki omogoča bolj usklajeno zakonodajo vseh držav za pregon kaznivih dejanj na bolj naraven in transnacionalen način. Na policijski ravni sodelovanje javnih institucij, kot sta Europol, Interpol in sodelovanje večstranskih sporazumov. In na pravosodni ravni sodelovanje pri preiskavah in krepitev mednarodnih virov.
