Согласно исследованию, мобильные сценарии атак — включая SMS-мошенничество и голосовой фишинг (vishing) — демонстрируют значительно более высокий уровень успешности, чем традиционные письма. В симуляциях фишинговых кампаний мобильные атаки показали примерно на 40% более высокий показатель отклика пользователей. Средний уровень переходов по вредоносным ссылкам в e-mail составил 1,4%, тогда как телефонные и мобильные сценарии достигали около 2%.
Авторы отчёта связывают это с изменением тактики киберпреступников. По мере усиления корпоративной защиты электронной почты злоумышленники смещают акцент на психологическое воздействие и прямой контакт с жертвой. В Verizon отмечают рост использования так называемого «предлога» — схемы, при которой преступник заранее формирует доверительные отношения с сотрудником, выдавая себя за коллегу, подрядчика, техническую поддержку или руководителя.
Подобные атаки особенно опасны для финансовых и административных подразделений компаний. После установления контакта злоумышленники могут убедить сотрудника изменить банковские реквизиты, передать доступы или выполнить действия, открывающие путь для более серьёзных инцидентов, включая внедрение программ-вымогателей.
По данным отчёта, человеческий фактор фигурировал в 62% зарегистрированных утечек данных — показатель вырос ещё на 2% по сравнению с прошлым годом. Социальная инженерия стала причиной 16% всех инцидентов.
Исследование также зафиксировало другую важную тенденцию: эксплуатация уязвимостей впервые обошла кражу учётных данных как основной способ первоначального проникновения в инфраструктуру компаний. На использование уязвимостей пришлось 31% атак против 13% для украденных логинов и паролей. В Verizon считают, что ускорение связано с применением ИИ-инструментов, позволяющих злоумышленникам сокращать время между обнаружением уязвимости и её эксплуатацией с месяцев до часов.
Дополнительную угрозу формирует так называемый Shadow AI — использование сотрудниками сторонних ИИ-сервисов без одобрения компании. Согласно DBIR, 67% работников используют некорпоративные AI-аккаунты на рабочих устройствах, нередко загружая в них конфиденциальные данные, исходный код и внутреннюю документацию.
На фоне роста мобильных атак Verizon рекомендует компаниям пересматривать подходы к кибербезопасности. В частности, речь идёт о расширении программ обучения сотрудников, включении мобильных сценариев в антифишинговые тренировки и более жёстком контроле политики BYOD («принеси своё устройство»). В противном случае злоумышленники смогут обходить дорогостоящие корпоративные системы защиты через самый уязвимый элемент — доверие человека.
Источник: https://www.zdnet.com/article/mobile-phishing-is-a-bigger-threat-than-email-now/Если вам понравился материал, кликните значок — вы поможете нам узнать, каким статьям и новостям следует отдавать предпочтение. Если вы хотите обсудить материал —не стесняйтесь оставлять свои комментарии : возможно, они будут полезны другим нашим читателям!
