Více než polovina úspěšných phishingových útoků končí únikem dat zákazníků

Zpět na blog

Podle údajů prezentovaných týmem Atlas VPN více než polovina (54 %) úspěšných phishingových útoků končí narušením dat zákazníků nebo klientů, další je pak kompromitace pověření a účtů (48 %). Celkem 83 % organizací uvedlo, že v roce 2021 zažilo „úspěšný“ phishingový útok.

Údaje vycházejí ze zprávy společnosti Proofpoint State of the Phish Report 2022. Zpráva obsahuje údaje z průzkumu mezi 600 odborníky na IT bezpečnost z Austrálie, Francie, Německa, Japonska, Španělska, Velké Británie a Spojených států, kteří byli dotazováni na zkušenosti svých organizací v roce 2021.

Po úniku dat zákazníků nebo klientů a kompromitaci pověření a účtů následovaly ransomwarové útoky. Ty v loňském roce představovaly 46 % výsledků phishingových útoků. Ransomware je typ malwaru, který blokuje přístup k datům oběti, pokud není zaplaceno výkupné (často ani platba výkupného neznamená, že útočnici data zpřístupní, odborníci doporučují výkupné neplatit a nemotivovat tak útočníky k dalším akcím).

Mezi další časté následky phishingových útoků patří ztráta dat a duševního vlastnictví (44 %), jiný malware než ransomware (27 %), poškození pověsti (24 %), rozsáhlý výpadek a odstávka sítě (22 %), pokročilá trvalá hrozba (18 %), finanční ztráta (17 %), zneužití zero-day zranitelnosti (15 %) a finanční postih nebo pokuta od regulačních orgánů (11 %).

Útoky sociálního inženýrství, jako je phishing, se spoléhají na lidský faktor, například na to, že zaměstnanec klikne na škodlivý odkaz. Proto je nejúčinnějším způsobem, jak se proti takovým útokům chránit, investovat do školení zaměstnanců, aby byli poučeni o tom, jak rozpoznat pokusy o kybernetický útok a jak se při nich zachovat.

Ačkoli kyberzločinci zkoušeli různé metody phishingu, aby nalákali oběti, některé typy útoků byly častější než jiné. Ze všech byl nejčastěji používaným útokem hromadný phishing. Celkem 86 % společností se v loňském roce setkalo s hromadnými phishingovými útoky.

Při hromadných phishingových útocích rozesílají kyberzločinci generické phishingové e-maily obrovskému počtu cílů v naději, že alespoň někteří z nich na útok naletí.

Druhým nejčastějším typem phishingových útoků, kterým organizace čelily, byl spear phishing a whaling. Tyto cílené útoky zasáhly 79 % společností po celém světě. Na rozdíl od hromadného phishingu je spear phishing cílený útok, při kterém si kyberzločinci svou oběť předem vytipují a prověří –zjištěné osobní údaje následně použijí k tomu, aby jejich zpráva působila věrohodněji. Zatímco whaling phishing se zaměřuje zejména na vysoce postavené osoby.

Třetí místo na seznamu zaujímají e-mailové útoky ransomwaru, které zasáhly 78 % organizací. S útoky typu BEC (business e-mail compromise) se setkalo 77 % společností. Při útocích BEC rozesílají kyberzločinci e-maily, které vypadají, že pocházejí ze známého zdroje, například od kolegy nebo dodavatele, v naději, že příjemce přimějí k vyzrazení citlivých informací nebo převodu finančních prostředků.

E-mail však nebyl jediným prostředkem, kde se zločinci pokoušeli oběti phishovat. Mezi další typy phishingových útoků, které v loňském roce trápily organizace, patří smishing (74 %), útoky na sociální sítě (74 %), vishing (69 %) a škodlivé USB disky distribuující malware (64 %).

Zdroj: Atlas VPN

27. 5. 2022