Cyberkriminella utforskar nya taktiker vid sidan av de traditionella metoderna som ransomware och nätfiske. Proofpoints rapport "State of the Phish" identifierar fyra framväxande metoder som växer snabbt: TOAD, MFA-kringgående attacker, användning av QR-koder och BEC-attacker med generativ AI.
TOAD-attacker (Telefonorienterad attackleverans) utgör en ny typ av hot där skadliga meddelanden verkar ofarliga och enbart innehåller ett telefonnummer och eventuellt felaktig information. När mottagaren ringer det angivna numret aktiveras attackkedjan, och de cyberkriminella, ofta verksamma från callcenter runtom i världen, manipulerar offret till att avslöja känslig information eller infektera sina enheter.
MFA-kringgående attacker har blivit allt vanligare och mer sofistikerade. Angriparna använder avancerade tekniker och tillgängliga paket för att kringgå multifaktorautentisering (MFA), vilket gör det möjligt för dem att ta sig förbi det extra säkerhetsskiktet som MFA erbjuder. Detta är särskilt oroande med tanke på att MFA ofta ses som en effektiv metod för att skydda mot kontokapningar, och många organisationer förlitar sig på det.
QR-koder har börjat användas som ett alternativ till länkar eller bilagor i nätfiskeattacker. Detta är en farlig utveckling eftersom QR-koder kan undvika automatiserad upptäckt och presenterar användarna med en bekant interaktionsform som de kanske inte misstänker. Det är svårt att avgöra om en QR-kod leder till en legitim sida eller om den döljer skadligt innehåll, vilket gör dem till ett effektivt verktyg för angripare.
BEC-attacker (Business Email Compromise) som använder generativ AI blir allt vanligare och mer sofistikerade. Genom att använda generativ AI kan angriparna skapa mer övertygande och personliga e-postmeddelanden, vilket ökar sannolikheten för att offret agerar enligt deras önskemål. Detta är särskilt bekymmersamt i icke-engelsktalande länder, där BEC-attacker fortsätter att öka i omfattning.
Trots att hotbilden förändras och hoten blir mer sofistikerade är många organisationer otillräckligt förberedda. Enligt rapporten är det endast en liten andel av organisationerna som utbildar sina användare för att känna igen och förebygga dessa nya typer av attacker.