Możesz dużo stracić w oszustwie phishingowym. Te ataki pokazują, jak bardzo.
Ataki phishingowe gwałtownie wzrosły, a osoby atakujące wykorzystują najnowsze luki w zabezpieczeniach i możliwości związane z masowym przejściem na pracę zdalną i przechowywanie w chmurze.
Wyłudzanie informacji to oszustwo polegające na wysyłaniu złośliwych wiadomości e-mail, wiadomości lub połączeń telefonicznych przez osoby atakujące w celu nakłonienia ich do kliknięcia szkodliwe linki lub załączniki, odwiedzanie fałszywych stron internetowych, udostępnianie danych wrażliwych lub narażanie ich na ataki ataki komputerowe.
Padanie ofiarą ataków phishingowych obecnie regularnie prowadzi do znacznych strat finansowych dla osób prywatnych i korporacji. Oto niektóre z najbardziej niszczących finansowo ataków phishingowych w historii.
1. Facebooka i Google'a
W latach 2013-2015 Facebook i Google padły ofiarą fałszywej faktury, tracąc ponad 100 milionów dolarów. W oszustwie Evaldas Rimasauskas, litewski haker, założył fałszywą firmę podszywającą się pod Quanta Computer, tajwańskiego producenta komputerów współpracującego z Facebookiem i Google.
Napastnik następnie otworzył konta bankowe do prania brudnych pieniędzy w kilku krajach, w tym na Cyprze i Łotwie, pod tą samą nazwą co fałszywa firma.
Evaldas przystąpił do wysyłania faktur pracownikom Facebooka i Google, co skłoniło ich do przesłania mu żądanych środków. Jednak ostatecznie został aresztowany, formalnie oskarżony o oszustwo przewodowe i zmuszony do przepadku 49,7 miliona dolarów.
2. Zdjęcia Sony
Sony padło ofiarą ataku spear-phishingowego (jednego z wiele różnych rodzajów ataków phishingowych), które powstrzymały firmę przed wypuszczeniem filmu komediowego na całym świecie. Atak był powiązany z grupą hakerską „Guardians of Peace”, która w 2014 roku ujawniła ogromne ilości poufnych danych o pracownikach firmy i jej portfolio filmowym.
Aby przeprowadzić atak, cyberprzestępcy wysłali e-maile do pracowników firmy Sony, w tym dyrektora generalnego Michaela Lyntona, wzywając ich do zweryfikowania identyfikatora Apple ID. do „podejrzanego zachowania na koncie”. Wiadomości e-mail zawierały również odsyłacze do stron phishingowych stworzonych w celu kradzieży loginów pracowników referencje.
Kilka miesięcy później hakerzy włamali się do Microsoft System Center Configuration Manager (SCCM). Dzięki temu mogli instalować złośliwe oprogramowanie na wszystkich urządzeniach pracowników, kraść terabajty prywatnych danych i usuwać oryginalne kopie z komputerów Sony.
Cyberprzestępcy ujawnili cztery niewydane filmy i liczne poufne materiały, w tym prywatne komunikację między kadrą kierowniczą, numery ubezpieczenia społecznego i wynagrodzenia pracowników za pośrednictwem udostępniania plików sieci. Aby zrealizować swój plan, grupa haktywistów zażądała od Sony anulowania planowanej premiery filmu komediowego „The Interview”.
Pomimo tego, że Sony nie opublikowało oficjalnego kosztorysu, wczesne oceny zakresu szkód korporacyjnych wskazują na straty przekraczające ponad 100 milionów.
3. Crelan Banku
W 2016 roku belgijski bank Crelan był celem oszustwa Business Email Compromise (BEC)., co spowodowało stratę w wysokości 75,8 mln USD. Sprawca, podając się za prezesa banku, zwrócił się do działu finansowego o zgodę na przekazanie kwoty, co też uczynił.
Atak został wykryty podczas audytu wewnętrznego i zgłoszony do departamentu sprawiedliwości, ale sprawców nigdy nie zidentyfikowano. W odpowiedzi bank podjął rygorystyczne środki w celu wzmocnienia wewnętrznych procedur bezpieczeństwa.
4. FACC
Fischer Advanced Composite Components (FACC) to austriacka firma specjalizująca się w produkcji części lotniczych. Jego baza klientów obejmuje liderów branży, takich jak Boeing, Airbus i Rolls-Royce.
Rok 2015/16 był fatalnym rokiem biznesowym dla firmy, która padła ofiarą oszustwa BEC, tracąc szacunkowo 55 milionów dolarów. Incydent się rozwinął gdy sprawca podszywa się pod prezesa firmy w mailu poprosił dział księgowości o przekazanie środków do banku zagranicznego w ramach „projektu akwizycyjnego”.
Zdając sobie sprawę, że zostali oszukani, FACC wdrożył środki zaradcze, które doprowadziły do zablokowania transferu 12 milionów dolarów. Mimo to dyrektor generalny firmy Walter Stephan i dyrektor finansowy zostali zwolnieni po incydencie. Firma złożyła również przeciwko nim pozew, powołując się na brak wdrożenia kontroli bezpieczeństwa i nadzoru.
5. Laboratoria Upsher-Smith
Upsher-Smith Laboratories, firma farmaceutyczna z Minnesoty, jest kolejną głośną ofiarą oszustwa na CEO. Firma padła ofiarą oszustwa w 2014 r., kiedy oszuści udający dyrektora generalnego firmy wysłali wiadomość e-mail do koordynatora ds. rozliczeń z dostawcami.
To oszustwo doprowadziło do dziewięciu przelewów bankowych w ciągu trzech tygodni, co spowodowało stratę w wysokości ponad 50 milionów. Firma wykryła jednak trwający atak i skutecznie odwołała jeden przelew bankowy, zmniejszając stratę do 39 milionów dolarów.
6. Sieci Ubiquiti
W 2015 roku Ubiquiti Networks, producent technologii sieciowych z siedzibą w San Jose, stracił 46,7 miliona dolarów z powodu oszustwa CEO. W tym przypadku atakujący podawał się zarówno za dyrektora generalnego firmy, jak i prawnika, informując dział finansowy, że potrzebne są fundusze, aby ułatwić poufne przejęcie.
Wykorzystując e-maile typu spear phishing, sprawca przekonał dział finansowy firmy do przelania środków z filii firmy w Hongkongu na zagraniczne konta atakującego.
Następnie Ubiquiti wykonał 14 przelewów bankowych w ciągu 17 dni do kilku krajów, w tym do Chin, Rosji, Węgier i Polski. Po wykryciu oszustwa firma wszczęła postępowanie sądowe w kilku zagranicznych jurysdykcjach, odzyskując 8,1 miliona dolarów.
7. Leoni AG
Leoni AG, wiodący producent przewodów i kabli z siedzibą w Niemczech, poniósł stratę w wysokości około 44 milionów dolarów w wyniku ataku phishingowego za pośrednictwem wiadomości e-mail. Incydent z 2016 r. dotyczył oszustów, którzy udając wyższą kadrę kierowniczą firmy w Niemczech, oszukali pracownika finansowego w rumuńskim biurze firmy, aby przelał środki na konta zagraniczne.
8. Toyota Boshoku Corporation
W 2019 roku Toyota Boshoku Corporation, europejska spółka zależna Toyota Group i wiodący dostawca części samochodowych Toyoty, stała się celem ataku BEC. Incydent dotyczył atakującego podającego się za partnera biznesowego spółki zależnej, żądającego natychmiastowego przelewu środków na nieznany rachunek bankowy.
Sprawca uzasadnił pilność transakcji, twierdząc, że jakiekolwiek opóźnienie utrudniłoby produkcję części. Doprowadziło to do tego, że dział finansów i księgowości korporacji stracił ponad 37 milionów dolarów.
9. Firma Xoom
Oszustwo phishingowe wymierzone w Xoom Corporation, wiodącego dostawcę usług elektronicznego przesyłania środków, spowodowało stratę w wysokości 30,8 mln USD. W raporcie firmy za czwarty kwartał 2014 roku jako przyczynę straty wymieniono BEC.
Atak obejmował oszustów podszywających się pod pracowników Xoom i proszących dział finansowy o zdeponowanie środków na fałszywych rachunkach zagranicznych. Po tym zdarzeniu dyrektor finansowy (CFO) Xoom, Matt Hibbard, złożył rezygnację.
Chroń siebie i swoją firmę przed atakami typu phishing
Chociaż głównymi celami są duże firmy, oszustwa typu phishing dotykające milionów indywidualnych użytkowników są zdecydowanie zbyt powszechne. Ataki te prowadzą nie tylko do bezpośrednich strat finansowych, ale także do utraty produktywności i danych, utraty reputacji i utraty klientów.
Koszty ataków phishingowych już teraz zmieniają sposób, w jaki osoby fizyczne i firmy działają i zarządzają ryzykiem. Aby bronić się przed atakami phishingowymi, kluczowe jest przyjęcie środków ochronnych, w tym użycie silnych hasła, wdrażanie uwierzytelniania dwuskładnikowego i zapewnianie szkoleń w zakresie świadomości bezpieczeństwa pracownicy.