Rubén M. Mateo.- Отримайте інформацію та зберігайте наші гроші. Мета залишається незмінною, хоча профіль кіберзлочинців за останні роки змінився. Їм більше не потрібно мати високий рівень комп’ютерних знань, їм просто потрібно купувати шкідливе програмне забезпечення в інших, щоб здійснювати свої атаки. І це те, що кіберзлочинність вже працює як компанія, яка продає. Його здатність красти, використовуючи такі звичайні методи, як шахрайські посилання в електронній пошті, а також отримувати нашу інформацію та подавати декларацію про доходи, щоб він пішов і повернувся. Привіт, звичайно. Перед лицем цих загроз клієнтам і організаціям важливо ознайомитися з кібербезпекою.
«Компанія, яка сьогодні не вважає ключ кібербезпеки серйозною проблемою конкурентоспроможності у своєму бізнесі», — сказав Густаво Лозано, CISO банківської установи ING, під час «Кібершахрайства», нового вебінару «Цикл цифрових зустрічей з прозорості та фінансової освіти », спонсорований ASNEF у співпраці з LA LEY.
Під час цифрової зустрічі, яка відбулася 25 квітня і була представлена Ігнасіо Пла, генеральним секретарем ASNEF, і модерована Хав’єром Муньосом, директором відділу операцій і технологій Sabadell Consumer Finance SAU, експерти з кібербезпеки та поліції проаналізували з точки зору запобігання та дії органів влади, кіберзлочинності, особливо пов’язані з шахрайством.
«З пандемією воно ще більше зросло. Багато злочинців перейшли з фізичної сфери в онлайн-сферу, оскільки вони ховаються за анонімністю та продають їм продукт, необхідний для здійснення атак. Зрештою, це бізнес, який зростає все більше і більше, на жаль для нас», — підкреслив Дієго Алехандро, головний інспектор і керівник відділу шахрайства в електронній комерції Центрального відділу боротьби з кіберзлочинністю Національної поліції.
«Кіберзлочинці — це люди, які все гірше підготовлені до комп’ютерів, оскільки, докладаючи невеликих зусиль, вони можуть отримати великий прибуток. також є кіберзлочинцями», – попередив Віктор Каллея, інспектор та керівник групи шахрайства з використанням телекомунікацій Центрального відділу боротьби з кіберзлочинністю Національної поліції.
Експерти обговорили деякі з більш прийнятних методів, які використовують кіберзлочинці для роботи. Серед них є фішинг. «Це надсилання електронною поштою інформації зі зловмисною темою, вмістом або посиланням, що приводить нас, у фінансовій справі, до сторінки, яка намагається імітувати та дублювати фінансові установи, щоб отримати інформацію, а потім спробувати здійснити навчальні транзакції. », – пояснив Лозано з ING, щоб розкрити інші поняття, такі як смішинг – SMS-шахрайство–; вішинг – голосове шахрайство–; або спуфінг – узурпація електронної ідентичності для приховування власної ідентичності з метою вчинення злочинів.
У випадку фішингу найпоширенішим є те, що повідомлення персоналізуються з деталями загальнодоступної інформації жертви, щоб підвищити довіру, і це клацання посилання або завантаження шкідливих файлів. І це те, що кіберзлочинці майже завжди є фахівцями з соціальної інженерії та зламу людської психології за допомогою таких методів, як брехня, страх або терміновість, щоб жертви розкривали інформацію, як особисту, так і інформацію від компаній, на які вони працюють.
Останнє видання щорічного звіту Proofpoint «State of the Phish» для Європи та Близького Сходу за 2023 рік містить цікаві дані в іспанському виданні. Наприклад, минулого року 90% опитаних компаній зазнали успішної фішингової атаки електронною поштою. З них 24% мали економічні збитки, що було значним збільшенням у порівнянні з тими самими дослідженнями, які були виявлені у 2021 році (9%).
Він повідомляє, що попереджає про велику загрозу, яку становлять програми-вимагачі – шкідливе програмне забезпечення, яке шифрує дані в обмін на фінансовий викуп. 89% опитаних іспанських компаній зазнали атак програм-вимагачів у 2022 році, з яких 72% були успішними. Лише половині постраждалих компаній вдалося відновити свої дані після здійснення початкового платежу.
Реальність програм-вимагачів, які трапляються як у приватній, так і в бізнес-сфері. Вимагання юридичних осіб є однією з дій, яким кіберзлочинці віддають перевагу. Коли він здійснює атаку з такими характеристиками проти бізнесмена, який мав звичку «чотирикратного вимагання», пояснив керівник відділу шахрайства в електронній торгівлі Центрального відділу боротьби з кіберзлочинністю Національної поліції Дієго Алехандро.
Спочатку вимагання відбувається для розблокування системи, тобто для розблокування інформації. Друге вимагання пов’язане з нефінансуванням даних, отриманих від компанії, що може завдати шкоди репутації. Третій — зв’язатися з клієнтами, дані яких були отримані, і четвертий. «Вони продають уразливість, з якою вони отримали доступ до цієї системи, третім сторонам, щоб вони могли здійснити атаку таким же чином. Це викликає занепокоєння, тому що ми вступаємо в складне колесо, яке потрібно вирішити. Хакери переносять продукти або інформацію для здійснення таких типів атак. Вони працюють як справжні підприємства. Вони інвестують у нові технології, щоб продовжувати свою залежну діяльність», — попередив Алехандро. Інспектор та керівник групи шахрайства у сфері використання телекомунікацій Центрального відділу боротьби з кіберзлочинністю Національної поліції Віктор Каллея під час вебінару запевнив, що оплата цього вимагання не гарантує, що вам запропонують розблокування, тому, перш за все, краще не вести переговори зі злочинцями і повідомляти про ситуацію.
Правоохоронні органи представили кілька прикладів технік, які використовують кіберзлочинці у сфері електронної комерції. Зазвичай вони створюють вигадані веб-сайти для продажу гіпотетичного продукту. Багато разів вони не тільки емулюють або клонують веб-сайти інших компаній, але й беруть дані компаній на фізичному рівні та створюють веб-сайт, щоб використовувати престиж магазину. Вони також платять пошуковим системам за те, щоб ці шахрайські веб-сайти ставили вище за справжні сторінки. Правоохоронці також фіксують інциденти в оголошеннях про нерухомість і неправдивих пропозиціях роботи.
«Мета — отримати дані від потенційних жертв і матеріалізувати шахрайство. Іноді дані, які вони отримують, наприклад, ідентифікаційні дані, документи або звіт про доходи, призначені для оформлення договорів оренди. Вони використовують ці ідентифікаційні дані, щоб вставляти рекламні оголошення або подавати звіт про доходи для своєї конкретної вигоди. Ми також часто стикаємося з покупками продуктів через узурпацію карток", - пояснив Дієго Алехандро, щоб вказати на одну з проблем, яка його найбільше турбує. «Вони використовують людей, які потребують любові, обманом виманюючи у них великі суми грошей.
Преміум-зарядні лінії також є великим бізнесом для злочинців. Вони відомі як 902 або 807. «Вони зламують комутатори й автоматично здійснюють дзвінки на номери, які зазвичай знаходяться за межами ЄС і які не дуже співпрацюють», — пояснив Каллеха, який навів приклади деяких випадків, які пропонують керування файлами прострочення. Люди, які телефонували в надії отримати таку послугу, зрештою не отримали її. «Такий тип судових процесів здається неймовірним, але ми бачили дві операції, в одній з яких було зібрано 2 мільйони євро, а в іншій — 6 мільйонів євро», — сказав Каллея.
Усі ці загрози демонструють потребу суб’єктів продовжувати зміцнювати свою безпеку та підвищувати обізнаність. Згідно зі згаданим вище звітом «State of the Phish» за 2023 рік, лише 46% проаналізованих іспанських компаній залучають усіх своїх співробітників до навчання з кібербезпеки. Крім того, лише 48% використовують фішингові тренування.
Густаво Лозано, керівник інформаційних технологій компанії ING, вважає, що кібербезпека є ключовою для конкурентоспроможності компаній. «Ми не хочемо лякати. Ми хочемо відігравати активну та інструктивну роль у навчанні, щоб завдяки знанням можна було уникнути існуючих сьогодні загроз», – запевнив він під час вебінару, а також запропонував кілька порад, як захистити себе.
«Ми повинні наполягати на довірі до банківських додатків. Якщо клієнт не здійснює трансакцію, не використовує додаток і отримує SMS за межами цього додатка, чому він відповідає? особисті або фінансові, чому це надається, якщо вони не використовують фінансовий додаток? фінансові програми. Ви повинні надіслати заспокійливе повідомлення від банківських програм. Вони проходять усі види контролю», — наполягав Лозано, який рекомендував використовувати біометрію на всіх пристроях.
У будь-якому випадку шахрайства, наголошує поліцейське керівництво, перше – не боятися повідомляти про це. «Без жертви немає злочину. Початкова скарга є важливою, і вона надає якомога більше інформації», — сказав Каллея, який покладався на інтернет-спільноту, читаючи відгуки та досвід користувачів, які пробували послуги. Скарга є ключовою, оскільки, як прокоментував Дієго Алехандро, злочинці можуть використовувати цю особу жертви для вчинення злочинів. Поліція щодня отримує понад 1.000 звернень від громадян, але вони не є скаргами.
Міжнародна співпраця, зазначили поліцейські, є важливою, коли йдеться про шахрайство. Боротьбу влади необхідно висвітлювати з трьох різних точок, зазначили вони. На політичному рівні, з конкретним регулюванням, яке дозволяє законодавству всіх країн бути більш гармонізованим для переслідування злочинів у більш природний і транснаціональний спосіб. На рівні поліції участь державних установ, таких як Європол, Інтерпол, і співпраця багатосторонніх угод. І на судовому рівні, беручи участь у розслідуваннях і просуваючи міжнародні ресурси.
