Wg 9. edycji raportu The Cost of cybercrime Accenture, ataki taki phishingowe (podszywanie się pod osobę lub instytucję w celu wyłudzenia informacji) kosztowały przeciętną organizację 1,4 mln dolarów. Wartości te wydają się niepełne, ponieważ w raporcie uwzględniono tylko cztery główne elementy, które były źródłem strat: zakłócenie działalności, utrata informacji, utrata dochodów i uszkodzenie sprzętu.
Jednak phishing jest wykorzystywany przy wielu innych rodzajach przestępstw, w tym przejęciach firmowej poczty e-mail, instalacji złośliwego oprogramowania, ataków ransomware czy botnetów. Raport Verizon z naruszenia danych z 2020 wykazał, że prawie jeden na trzy ataki dotyczył phishingu. Według Internet Complaint Center /2019/ phishing / vishing / smishing / pharming to najczęstsze metody oszustw online.
Aktualnie mamy do czynienia z całkowicie nowymi metodami ataków phishingowych, które unikają rozpoznania przed wykryciem przez obrońców i ofiary. Napastnicy wykorzystuje teraz media inne niż poczta e-mail, w tym pocztę głosową, komunikatory i platformy do współpracy, ponieważ użytkownicy mają rozwiniętą ochronę wiadomości e-mail, ale nie biorą pod uwagę ataków z innych stron. Niezwykle ważne jest to, by obrońcy byli w stanie zidentyfikować wiele rodzajów phishingu, w tym:
- Masowy phishing: e-maile są wysyłane do dużej grupy osób i wykorzystują ogólną wiadomość, aby nakłonić użytkowników do kliknięcia łącza lub pobrania pliku. Ataki często polegają na fałszowaniu wiadomości e-mail, więc wiadomość wydaje się pochodzić z legalnego źródła.
- Spear phishing: to ukierunkowana metoda inżynierii społecznej. Atakujący wybierają osobę, na przykład administratora globalnego lub specjalistę HR, przeprowadzają rozpoznanie, a następnie tworzą wiadomość e-mail, która wykorzystuje te badania do oszukania ofiary.
- Wielorybnictwo (whaling): te e-maile są skierowane do kogoś z zespołu zarządzającego. Podobnie jak spear phishing, ataki te rozpoczynają się od rozpoznania, które atakujący wykorzystuje do napisania wiadomości e-mail, która wygląda na prawdziwą.
- Przejęcie firmowej poczty e-mail: w tych atakach przeciwnicy włamują się na konto osoby z wyższego kierownictwa, np. dyrektora generalnego, a następnie wykorzystują to konto, aby poprosić bezpośredniego podwładnego o przelanie pieniędzy.
- Klonowanie phishingu (clone phishing): hakerzy klonują wiarygodną wiadomość e-mail, a następnie zmieniają łącze lub załącznik.
- Vishing: to próba wyłudzenia informacji przy użyciu telefonu. Ofiary proszone są o oddzwonienie i podanie numeru PIN lub numeru konta.
Źródło: Microsoft