Proofpoint, företag inom cybersäkerhet och regelefterlevnad, släpper i dag den nionde upplagan av sin årliga State of the Phish-rapport, som kartlägger hur cyberkriminella använder såväl nya som beprövade taktiker i sina attacker.
Årets upplaga visar att svenska företag sticker ut på flera sätt: man drabbas oftare av ransomware-attacker, oftare av BEC-relaterade attacker (Business Email Compromise) och oftare av nätfiskeattacker än motsvarande EMEA-länder.
Undersökningen bygger på fler än 18 miljoner e-postmeddelanden som rapporterats av slutanvändare samt 135 miljoner simulerade nätfiskeattacker skickade under en ettårsperiod. Rapporten innehåller också en undersökning av uppfattningar hos 7 500 anställda samt 1 050 säkerhetsexperter i 15 länder, bland annat Sverige.
Hela 94 procent av de svenska organisationerna som rapporterade att de varit utsatta för en e-postbaserad nätfiskeattack, drabbades av minst en framgångsrik attack under 2022 – högst av samtliga EMEA-länder i undersökningen. Och 50 procent av dem rapporterade samtidigt att incidenterna orsakat direkta ekonomiska förluster. Sverige sticker ut i statistiken: globalt uppgav 84 procent av organisationerna att de drabbades av en framgångrisk attack under 2022, vilket är en ökning med hela 76 procent jämfört med 2021.
Hotaktörer förlitar sig fortfarande på etablerade taktiker som att utge sig för att vara ett etablerat varumärke, kompromettering av företagets e-post (Business Email Compromise, BEC) och ransomware, men under året har man även skalat upp användningen av mindre etablerade och innovativa metoder för att infiltrera organisationer.
– Även om traditionellt nätfiske fortfarande är framgångsrikt har många hotaktörer gått över till nya tekniker, som till exempel telefonbaserade attacker och AitM-nätfiske (adversary-in-the-middle) som kringgår multifaktorautentisering med hjälp av mellanhänder. Dessa tekniker har använts i riktade attacker i flera år, men under 2022 har vi sett att de användes de i stor skala, säger Ryan Kalember, vice VD, cybersäkerhetsstrategi, Proofpoint.
– Vi har också sett en markant ökning av sofistikerade phishing-kampanjer där hotaktörerna använder flera olika karaktärer och håller i gång längre konversationer med sina måltavlor. Oavsett om det är en nationalstatsansluten grupp eller en BEC-aktör finns det många cyberkriminella som lägger den tid och de resurser som krävs för mer långsiktiga angrepp.
Cyberutpressning fortsätter att skapa problem
Även kring ransomware-attacker sticker Sverige ut i rapporten. 90 procent av de svenska organisationerna drabbades av ett försök till ransomware-attack under det senaste året. Av dem var 82 procent av angreppen fullbordade och organisationen fick filer krypterade, men bara strax över hälften av dessa organisationer (52 procent) rapporterar att de fått tillbaka sina filer efter att de betalat lösensumman.
Den globala statistiken visar att 76 procent av samtliga organisationer varit utsatta för försök till ransomware-attack, 64 procent att angreppet var framgångsrikt och även globalt uppgår andelen organisationer som återfått tillgång till sina filer efter betalning till ungefär 50 procent. Noterbart är också att drygt två tredjedelar av organisationerna globalt rapporterar att de varit utsatta för flera separata ransomware-infektioner.
De flesta infekterade organisationerna valde att betala lösensumman, och många gjorde det mer än en gång. Svenska organisationer var mer benägna än andra att betala lösensumman – 80 procent jämfört med 64 procent globalt.
Av de Svenska organisationer som drabbats av ransomware hade en överväldigande majoritet (92 procent) en cyberförsäkring på plats, och de flesta försäkringsbolag var villiga att betala lösensumman antingen delvis eller i sin helhet (78 procent).
Slutanvändare faller offer för falska “Microsoft”-e-postmeddelanden
Under 2022 observerade Proofpoint nästan 1 600 kampanjer som involverade någon form av varumärkesmissbruk. Microsoft var det mest missbrukade varumärket med över 30 miljoner nätfiskeförsök och skräppost-meddelanden som använde varumärket eller innehöll referenser till en produkt som Office eller OneDrive. På listan över de varumärken som cyberkriminella oftast utnyttjar återfinns även Google, Amazon, DHL, Adobe och DocuSign. I sammanhanget är det också värt att notera att vid den typ av AitM-attacker som blivit allt vanligare under det senaste året är organisationens riktiga inloggningssida som användaren kommer att få se – i många fall handlar det om Microsoft Det är värt att notera att AitM-attacker kommer att visa organisationens riktiga inloggningssida för användaren, vilket i många fall är Microsoft 365.
Med tanke på mängden varumärkesrelaterade attacker är det alarmerande att nästan hälften av svenskarna (42 procent) i undersökningen anger att de tror att ett e-postmeddelande är säkert om det innehåller ett välkänt varumärke, och att 59 procent tror att en e-postadress alltid motsvarar varumärkets faktiska webbplats.
Svenska företag bland de värst drabbade av försök till BEC-attacker
I Sverige var BEC-attacker mer vanligt förekommande än globalt. 92 procent av de svenska organisationerna uppgav att de blivit utsatta, jämfört med omkring tre fjärdedelar globalt. Tillsammans med Nederländerna (även där 92 procent) är Sverige därmed i topp bland alla länder globalt i undersökningen när det kommer till att bli utsatta av BEC-attacker.
Insiderhot
Trenden att människor i högre utsträckning byter jobb gör det samtidigt allt svårare för organisationer att skydda sin data – 70 procent av de svenska organisationerna rapporterar att de har upplevt dataförlust på grund insider-aktivitet. Bland respondenter som har bytt jobb erkände nästan hälften (46 procent) att de tagit med sig data när de lämnat sin tidigare arbetsplats.
Utrymme för förbättring
De cyberkriminella grupperingarna visar fortsatt hög förmåga att vara innovativa och stark vilja att testa nya teknologier och metoder för att lyckas med sina attacker. Samtidigt visar årets State of the Phish-rapport samma dystra mönster kring anställdas säkerhetsmedvetenhet. Till exempel klarar fler än en tredjedel av de tillfrågade globalt inte av att definiera begrepp som ”skadlig mjukvara”, ”nätfiske” och ”ransomware”.
Dessutom har endast 40 procent av de svenska organisationerna ett utvecklat utbildningsprogram för att öka säkerhetsmedvetenheten över hela sin personalstyrka, och endast 34 procent genomför faktiska simuleringar av nätfiskeattacker. Ett framgångsrikt program för att öka säkerhetsmedvetenheten i en organisation behöver innehålla både teoretiska och praktiska komponenter. Dessutom är det endast 18 procent av de svenska företagen som kontinuerligt utbildar och tränar sina mest utsatta anställda, vilket är lägst av samtliga 14 länder i Proofpoints undersökning.
- I dag handlar mycket om just de här utbildningsfrågorna. Kunskapsluckor och slarv är många gånger en direkt effekt av att företag inte arbetar tillräckligt effektivt med att utbilda sin personal i cybersäkerhet. Det handlar om att skapa goda rutiner så att alla anställda är medvetna om hur de ska flagga misstänkt aktivitet och hur man ska agera om något går fel, säger Annika Westlund, Nordenchef på Proofpoint.
- Givet att svenska företag i allt större utsträckning utsätts för cyberhot, och att dessa attacker är beroende av mänsklig interaktion för att bli framgångsrika – exempelvis att någon klickar på en länk eller öppnar en bilaga – är det oroväckande att så få har tillräckligt bra rutiner kring utbildning. Det är faktiskt rent av förvånande.