
Apgaulės dėl apsimetinėjimo tinklalapiais tapo vis didesne problema, nors daugelis įmonių nėra patenkintos įrankiais, kuriuos turi su jomis kovoti.
Skaitmeninės rizikos apsaugos sprendimų bendrovės „Memcyco“ antradienį paskelbtame tyrime nustatyta, kad beveik trys ketvirtadaliai įmonių įdiegė skaitmeninės apsimetinėjimo apsaugos sprendimą, kad išvengtų sukčiavimo internete, tačiau tik 6 % tų organizacijų yra patenkintos, kad jis apsaugo juos ir savo klientus. „Tai tikrai šokiruojanti“, – „TechNewsWorld“ sakė „Memcyco“ BRO Eranas Tsuras.
Remiantis tyrimu, daugiau nei du trečdaliai įmonių (68 %) žino, kad jų svetainėse apsimetinėjama, ir beveik pusė (44 %) žino, kad tai tiesiogiai veikia jų klientus. Tyrimas pagrįstas 200 visą darbo dieną dirbančių direktoriaus iki C lygio darbuotojų apklausa saugumo, sukčiavimo, skaitmeninės ir interneto pramonės srityse JAV ir Jungtinėje Karalystėje.
„Suklastota svetainė gali sukelti didelių finansinių nuostolių klientams, jei jie bus apgaudinėjami pateikti prisijungimo duomenis arba neskelbtiną asmeninę informaciją“, – sakė pasaulinės saugumo, atitikties ir tyrimų įmonės „Guidepost Solutions“ generalinis direktorius Matthew Corwinas.
„Prekės ženklo reputacija gali būti labai pakenkta, jei klientai tampa sukčiavimo, vykdomo per apsimetinėjusią svetainę, aukomis, o tai mažina pasitikėjimą įmone“, – sakė jis „TechNewsWorld“.
Apgaulė, susijusi su apsimetinėjimu svetainėje, gali pakenkti labiau nei įmonės reputacijai. „Taip pat gali būti tiesioginių finansinių nuostolių dėl sukčiavimo, taip pat netiesioginių išlaidų, susijusių su taisymu, teisiniais mokesčiais ir galbūt tam tikra kompensacija klientams“, – „TechNewsWorld“ sakė Tedas Miracco, pasaulinės mobiliųjų programų saugos bendrovės „Approov Mobile Security“ generalinis direktorius.
Remdamiesi klientų ataskaitomis, kad būtų galima aptikti
Tyrimas taip pat parodė, kad dažniausiai du trečdaliai (66 proc.) apklaustų įmonių sužinojo apie apsimetinėjimo atakas svetainėje, buvo pranešimai apie incidentus iš nukentėjusių klientų. „Tai neįtikėtina“, – sakė Tsuras. „Diegti sprendimai ne tik neapsaugo nuo šių atakų arba jų neužkerta kelio, bet ir organizacijos neturi supratimo, ar šios atakos įvyko, ar ne.
„Guidepost Solutions“ atstovas Corwinas pažymėjo, kad įmonės, kurios visų pirma priklauso nuo klientų ataskaitų, kad nustatytų apsimetinėjimo sukčiavimus, gali praleisti svarbius išankstinius įspėjimus ir galimybę aktyviai apsiginti nuo kylančių grėsmių. „Reaktyvus požiūris užkrauna naštą klientams, o tai gali pakenkti santykiams su klientais ir pasitikėjimui“, – sakė jis.
„Sužinojimas apie sukčiavimą iš klientų reiškia, kad ataka jau paveikė asmenis ir padarė žalos dar neprasidėjus švelninimui“, – pridūrė Approov's Miracco. „Reguliarus nuskaitymas yra vienintelė alternatyva, kuri gali panaikinti netikras svetaines, kurios imituoja prekės ženklą, tačiau tai yra sudėtinga, nes turite numatyti įvykius prieš jiems įvykstant.
„Darbas pagal klientų ataskaitas yra reaktyvus, o ne iniciatyvus metodas“, – sakė jis. Nesu tikras, kad dar yra tinkama apsauga, todėl vartotojai turi būti išsilavinę ir atidesni prieš atsakydami į teisėtus el. laiškus.
Dar labiau nerimą kelianti tyrimo išvada yra ta, kad daugiau nei 37 % įmonių teigė, kad pirmą kartą apie netikras svetaines sužino, kai klientai, nukentėjusieji nuo sukčiavimo sukčiavimo, paviešina savo patirtį socialinėje žiniasklaidoje, o ši praktika vadinama „prekės ženklo gėdymu“.
Tyrime buvo abejojama, kiek ilgiau įmonės gali sau leisti pasikliauti klientais, kaip pagrindiniu grėsmės šaltiniu, o dirbtinio intelekto ir sukčiavimo rinkiniai vis dažniau pasiekiami.
„Su šiais rinkiniais viskas yra visiškai automatizuota“, – pastebėjo Memcyco Tsur. „Galite jį paleisti ir pamiršti“.
Blogiausias kibernetinio saugumo košmaras
Corwin paaiškino, kad dirbtinio intelekto valdomų įrankių ir iš anksto supakuotų sukčiavimo rinkinių prieinamumas reiškia, kad net mažiau techniškai įgudę asmenys gali vykdyti įtikinamus apsimetinėjimo atakas. „Su AI patobulinti sukčiavimo įrankiai gali tiksliau imituoti teisėtas svetaines, apgauti net pačius akyliausius vartotojus ir sustiprinti grėsmės aplinką“, – sakė jis.
„Dažnai, – tęsė jis, – kibernetiniai nusikaltėliai taip pat naudoja domenų pavadinimus, kurie atrodo beveik tokie patys kaip teisėtas įmonės ar prekės ženklo adresas, bet turi nedidelių variantų ar klaidų, vadinamų „komboskvotavimu“ arba „typosquattingu“.
„AI yra labai pavojingas“, – pridūrė Miracco. „Šiais įrankiais taip paprasta naudotis net ir neturintiems techninių įgūdžių, todėl praktiškai bet kas gali kurti sudėtingas sukčiavimo kampanijas. Tai išsipildė mūsų baisiausias kibernetinio saugumo košmaras – jį pristato įmonės, kurios kalba apie tai, koks nuostabus bus AI. Deja, ankstyvieji daugumos technologijų pritaikytojai yra blogi veikėjai.
Patrickas Harras, Pleasantone, Kalifornijoje, tinklo saugos įmonės „SlashNext“ generalinis direktorius pažymėjo, kad apsimetinėjimas svetainėmis egzistavo nuo pat interneto atsiradimo.
„Paprastai tai buvo lengva pastebėti beveik bet kuriam vartotojui“, – sakė jis. „Pastaruoju metu pasikeitė du dalykai – sukčiaujantys asmenys veržiasi į teisėtus domenus, o sukčiaujantys asmenys naudoja sukčiavimo rinkinius ir dirbtinį intelektą, kad sukurtų beveik tobulus svetainių puslapius.
„Be dirbtinio intelekto kompiuterinio matymo atsakomųjų priemonių jas labai sunku įžvelgti ir dėl to grėsmės veikėjai bus sėkmingesni, o ne mažiau“, – teigė jis.
Kovos su apsimetinėjimu svetainėse strategijos
Rogeris Grimesas, gynybos evangelistas KnowBe4, saugumo supratimo mokymų teikėjas Klirvoteryje, Fla., rekomendavo kiekvienai el. laiškus siunčiančiai įmonei įdiegti DMARC, SPF ir DKIM, kurie yra pasauliniai kovos su sukčiavimu standartai. „Jie bando nugalėti kenkėjiškus el. laiškus ir nuorodas, esą iš teisėto siuntimo domeno“, – sakė jis „TechNewsWorld“.
„Pavyzdžiui, – paaiškino jis, – jei gaunu el. laišką, kuriame teigiama, kad jis yra iš „Microsoft”, gavėjo el. pašto serveris / klientas gali naudoti DMARC, SPF ir DKIM, kad pamatytų, ar el. laiškas iš tikrųjų buvo gautas iš „Microsoft”.
„Miracco“ rekomendavo įmonių svetainėms užtikrinti, kad visas žiniatinklio srautas būtų užšifruotas naudojant SSL/TLS sertifikatus, kad užpuolikams būtų sunkiau perimti ir suklastoti ryšius.
Jis pridūrė, kad programos mobiliesiems turėtų įdiegti atestavimo mechanizmus, kad patikrintų jų vientisumą ir užtikrintų, kad sąveika su užpakalinėmis API kiltų tik iš teisėtų, nepakeistų programos egzempliorių. Jie taip pat turėtų samdyti grėsmių žvalgybos tarnybas, kurios galėtų stebėti, ar nėra sukčiavimo rinkinių, netikrų domenų ir kitų apsimetinėjimo požymių.
Siekdamas atremti tokias taktikas kaip klaidinimas, Corwin pažymėjo, kad įmonės gali registruoti akivaizdžius esamų domenų variantus arba tikėtinas rašybos klaidas, įskaitant pavadinimus su brūkšneliais, kitus populiarius domenų plėtinius ir šiek tiek netinkamus simbolius.
„Yra prekės ženklo stebėjimo paslaugos, kurios stebės sukčiavimo svetaines ir naujus domenus, kuriuose yra įmonės intelektinės nuosavybės, o kai kurios netgi padės su automatizuotomis domenų panaikinimo paslaugomis“, – sakė jis. „Tai gali padėti kai kurioms įmonėms, bet, deja, yra tiek daug galimų domenų vardų variantų, o dabartiniai įrankiai leidžia lengvai sukurti šias sukčiavimo svetaines, todėl tikėtina, kad rizika išliks.
Miracco pridūrė, kad įmonės turėtų ne tik sutelkti dėmesį į technologinę apsaugą, bet ir puoselėti darbuotojų bei klientų supratimo apie saugumą kultūrą.
„Svetainių apsimetinėjimo sukčiai yra sparčiai besivystanti grėsmė, kuriai reikalingas daugialypis požiūris“, – sakė jis. Dirbtinis intelektas įgalino šią problemą, ir tikimės, kad artimiausiu metu mes įdiegsime sprendimus su dirbtiniu intelektu, kurie gali užkirsti kelią vartotojams padaryti brangių klaidų naudojant netikrą svetainę.