Викрадені облікові дані співробітників є одним із найефективніших способів для зловмисників проникнути в інфраструктуру компанії. У 2022 році кількість мобільних фішингових атак була більшою, ніж будь-коли.
Коли вони отримають під рукою облікові дані будь-якого з облікових записів, їм набагато легше обійти заходи безпеки та отримати доступ до конфіденційних даних. Але як зловмисники отримують ці облікові дані? У багатьох випадках відповідь – мобільний фішинг. Глобальне дослідження Lookout «The Global State of Mobile Phishing Report» показало, що у 2022 році кількість мобільних фішингових атак була найвищою за весь час: кожен третій особистий пристрій і кожен третій корпоративний пристрій постраждали від принаймні однієї щоквартально припинялася атака. Ця тенденція зберігалася в першому кварталі 2023 року.
Як BYOD змінив ландшафт фішингу
🔎 Частота мобільних фішингових атак на мобільні телефони в усьому світі у 2022 році (Зображення: Lookout).
Змішане робоче середовище та політика використання власного пристрою (BYOD) можуть бути двома причинами збільшення. Компанії змушені були погодитися з тим, що персональні мобільні пристрої все частіше використовуються в професійних цілях. Однак важливо пам’ятати, що будь-який мобільний пристрій – персональний чи корпоративний, керований чи некерований, iOS чи Android – вразливий до спроб фішингу.
Смартфони та планшети полегшили продуктивність співробітників з будь-якого місця, але вони також принесли нові виклики для команд ІТ і безпеки. Політика BYOD означає, що більше людей, ніж будь-коли, використовують свої особисті пристрої для роботи. Це означає, що ризики, з якими вони стикаються під час використання цих пристроїв в особистих цілях, також становлять ризики для компанії. ІТ-команди та служби безпеки також мають значно менший доступ до цих пристроїв, ніж пристрої, що належать компанії, а це означає, що важче контролювати ці підвищені ризики.
Цілеспрямовані атаки на особисті пристрої співробітників
Ці фактори означають, що зловмисники тепер націлені на особисті пристрої користувачів, щоб проникнути в корпоративне середовище. Працівник може стати жертвою атаки соціальної інженерії через приватні канали, такі як соціальні мережі, WhatsApp або електронна пошта. Якщо це так, зловмисники можуть отримати доступ до мереж або даних його роботодавця. Це також не одноразова подія: дані Lookout показують, що до 2022 року понад 50 відсотків персональних пристроїв піддавалися тій чи іншій формі мобільного фішингу принаймні раз на квартал.
На кону мільйони
Дані — це не єдине, чим ризикують компанії, коли співробітники потрапляють на фішинг. За оцінками Lookout, максимальний фінансовий вплив успішної фішингової атаки збільшився майже до 5.000 мільйонів доларів для компаній із XNUMX співробітників. Суворо регульовані галузі, такі як страхування, банківська справа та юридична справа, вважаються найприбутковішими ринками та особливо вразливі до атак через велику кількість конфіденційних даних, які вони зберігають.
Ці високі витрати відбуваються в той час, коли фішингові атаки досягли рекордного рівня. Порівняно з 2020 роком, кількість фішингових атак зараз на 10 відсотків більше на корпоративних пристроях і на 20 відсотків більше на персональних. Крім того, люди натискають фішингові посилання частіше, ніж у 2020 році, що може означати, що зловмисники стають кращими у створенні автентичних повідомлень. Маючи на кону більше ризиків і грошей, ніж будь-коли раніше, організації повинні адаптувати свої стратегії безпеки, щоб захистити свої дані.
Захистіть дані від загроз мобільного фішингу
Ландшафт мобільного фішингу є більш підступним, ніж будь-коли, особливо в умовах збільшення віддаленої роботи. Групи інформаційних технологій і служби безпеки повинні застосовувати стратегії, які дозволять їм візуалізувати, виявляти та зменшувати ризики даних, пов’язані з фішинговими атаками на всіх пристроях співробітників. Це стосується незалежно від того, чи є пристрої корпоративними чи приватними. За допомогою правильної стратегії, заснованої на принципі нульової довіри та SASE (Secure Access Service Edge), можна зробити гібридний робочий світ безпечним.
«Виявлення фішингу на пристрої та за допомогою штучного інтелекту через хмарну платформу безпеки дозволяє зупинити атаки там, де вони починаються. Таке рішення безпеки не дозволяє користувачам підключатися до фішингових веб-сайтів як на корпоративних, так і на персональних пристроях», — сказав Саша Спангенберг, глобальний архітектор рішень MSSP у Lookout. «Таке рішення виявляє та блокує фішингові атаки через будь-який мобільний додаток і не дозволяє співробітникам розкривати облікові дані або завантажувати шкідливе програмне забезпечення. Захист від загроз мобільного фішингу має бути пріоритетом, якщо гібридна робота є реальністю».
Більше на Lookout.com
Про Lookout Співзасновники Lookout Джон Герінг, Кевін Махаффі та Джеймс Берджесс об’єдналися в 2007 році з метою захистити людей від загроз безпеці та конфіденційності, пов’язаних зі все більш зв’язаним світом. Ще до того, як смартфони були в кишені кожного, вони зрозуміли, що мобільність матиме глибокий вплив на те, як ми працюємо та живемо.