SecurityWorldMarket

25-03-2023

Nu undersøgelse viser kraftig stigning i antallet af vellykkede cyberangreb

Det handler om at skabe gode rutiner, så alle ansatte er bevidste om, hvordan de skal rapportere mistænkelig aktivitet, og hvordan man skal agere, hvis der sker fejl, siger Annika Westlund, som er nordisk chef hos Proofpoint.

Proofpoint Inc., en førende aktør inden for cybersikkerhed og compliance fra Californien, har udsendt sin niende udgave af deres årlige State of the Phish-rapport, som kortlægger cyberkriminelles brug af både nye og gennemtestede taktikker i deres angreb. Årets version viser, hvordan trusselsbilledet for virksomheder har ændret sig: De udsættes oftere end tidligere for ransomware-angreb, BEC-relaterede angreb (Business Email Compromise) og phishing-angreb.

Undersøgelsen er baseret på mere end 18 millioner e-mails, som er indrapporteret af slutbrugere, samt 135 millioner simulerede phishing-angreb, som er sendt i løbet af en periode på et år. Rapporten indeholder også en undersøgelse af holdningen hos 7.500 ansatte samt 1.050 sikkerhedseksperter i 15 lande.

84 procent af de adspurgte organisationer, der rapporterede, at de har været udsat for et e-mailbaseret phishing-angreb, blev i løbet af 2022 ramt af minimum ét vellykket angreb, med 30 procent der oplever direkte økonomiske tab

Trusselsaktører benytter sig stadig af veletablerede taktikker såsom at udgive sig for at være et etableret varemærke, kompromittering af virksomhedens e-mails (Business Email Compromise, BEC) og ransomware, men i løbet af året har man desuden udvidet brugen af innovative og mindre etablerede metoder til at infiltrere organisationer.

– Selvom de stadig har stor succes med traditionel phishing, er mange trusselsaktører nu gået over til nye teknikker, fx telefonbaserede angreb og AitM-phishing (Adversary-in-the-Middle), som slipper uden om flerfaktorgodkendelse ved hjælp af mellemmænd. Disse teknikker er blevet benyttet i målrettede angreb i flere år, men i 2022 har vi set, at de er blevet anvendt i stor skala, siger Ryan Kalember, som er executive vice president for cybersikkerhedsstrategi hos Proofpoint.

– Vi har også set en markant stigning i antallet af avancerede phishing-kampagner, hvor trusselsaktørerne udgiver sig for at være flere forskellige personer og fører længere samtaler med deres udvalgte mål. Mange cyberkriminelle – både grupper med tilknytning til en nationalstat og BEC-aktører – er indstillede på at bruge den tid og de ressourcer, der er nødvendige for at udføre mere langsigtede angreb.

Cyberafpresning skaber fortsat problemer

Statistikken for ransomware-angreb viser, at 76 procent af alle organisationer har været udsat for forsøg på ransomware-angreb, at 64 procent af angrebene lykkedes, og at kun halvdelen fik adgang til deres filer efter at have foretaget den første betaling. Det er også værd at bemærke, at cirka to tredjedele af organisationerne rapporterer, at de har været udsat for flere separate tilfælde af ransomware-indtrængen.

De fleste inficerede organisationer valgte at betale løsepengene, og mange gjorde det mere end én gang. Af de organisationer, der blev ramt af ransomware, var 90 procent dækket af en cyberforsikring, som omfattede ransomware-angreb, og de fleste forsikringsselskaber (82 procent) var villige til at betale løsepengene enten helt eller delvist. Det forklarer også den udbredte tendens til at betale – hele 64 procent af de inficerede organisationer betalte løsepenge minimum én gang, hvilket er en stigning på 6 procentpoint siden sidste år.

Slutbrugere lader sig narre af falske e-mails fra "Microsoft"

I 2022 observerede Proofpoint næsten 1.600 kampagner, som involverede en eller anden form for varemærkemisbrug. Microsoft var det mest misbrugte varemærke med over 30 millioner phishing-forsøg og spam-beskeder, som benyttede varemærket eller indeholdt referencer til et produkt såsom Office eller OneDrive. Listen med varemærker, som cyberkriminelle oftest benytter sig af, omfatter desuden Google, Amazon, DHL, Adobe og DocuSign. Det er værd at bemærke, at AitM-angreb viser brugeren organisationens rigtige login-side, hvilket i mange tilfælde er Microsoft 365.

I betragtning af det store antal varemærkerelaterede angreb er det foruroligende, at næsten halvdelen (44 procent) af de ansatte angiver, at de mener, at en e-mail er sikker, når den indeholder et velkendt varemærke, og 63 procent mener, at en e-mailadresse altid svarer til varemærkets faktiske website.

BEC-angreb spredes på tværs af landegrænser

I gennemsnit rapporterede tre fjerdedele af organisationerne, at de oplevede forsøg på BEC-angreb sidste år. Engelsk er det mest benyttede sprog, men en del ikke-engelsktalende lande oplever et stigende antal angreb på deres lokale sprog. Her er nogle eksempler på lande, hvor antallet af BEC-angreb var højere end det globale gennemsnit, eller som oplevede en mærkbar stigning i forhold til 2021:

• Holland 92 procent (ikke med i tidligere analyse)

• Sverige 92 procent (ikke med i tidligere analyse)

• Spanien 90 procent sammenlignet med 77 procent (stigning på 13 procentpoint)

• Tyskland 86 procent sammenlignet med 75 procent (stigning på 11 procentpoint)

• Frankrig 80 procent sammenlignet med 75 procent (stigning på 5 procentpoint)

Insidertrusler

Tendensen til hyppigere jobskift gør det sværere og sværere for organisationer at beskytte deres data: 65 procent af organisationerne rapporterer, at de har oplevet tab af data på grund af insideraktivitet. Blandt de respondenter, der har skiftet arbejde, indrømmede næsten halvdelen (44 procent), at de har taget data med, når de har forladt deres tidligere arbejdsplads.

Plads til forbedring

De cyberkriminelle grupperinger har stadig en udpræget evne til at være innovative og en stærk vilje til at afprøve nye teknologier og metoder for at få deres angreb til at lykkes. Samtidig viser årets State of the Phish-rapport det samme nedslående mønster som tidligere år, når det gælder de ansattes sikkerhedsbevidsthed. For eksempel er mere end en tredjedel af de adspurgte ikke i stand til at definere grundlæggende begreber som "skadelig software", "phishing" og "ransomware".

Derudover har kun 56 procent af organisationerne udviklet et uddannelsesprogram for at øge sikkerhedsbevidstheden i hele personalestyrken, og kun 35 procent gennemfører faktiske simuleringer af phishing-angreb, som begge er vigtige bestanddele i arbejdet med at opbygge et effektivt uddannelsesprogram.

– I dag spiller netop uddannelse en stor rolle. Manglende viden og fejl er ofte en direkte følge af, at virksomheder ikke arbejder tilstrækkeligt effektivt med at uddanne de ansatte i cybersikkerhed. Det handler om at skabe gode rutiner, så alle ansatte er bevidste om, hvordan de skal rapportere mistænkelig aktivitet, og hvordan man skal agere, hvis der sker fejl, siger Annika Westlund, som er nordisk chef hos Proofpoint.

– I og med at virksomheder i stadig stigende grad bliver udsat for cybertrusler, og at disse angreb afhænger af menneskelig interaktion for at lykkes – for eksempel ved at nogen klikker på et link eller åbner en vedhæftet fil – er det foruroligende, at så få har velfungerende rutiner for uddannelse. Det er rent ud sagt forbløffende.Leverandører
Tilbage til toppen