Kljub tehnološkemu napredku napadalci še vedno najpogosteje ciljajo na človeški dejavnik. Zadnje statistike razkrivajo, da socialni inženiring ostaja ena izmed najpogostejših in najučinkovitejših taktik kibernetskih napadov, ki podjetjem in posameznikom povzročajo milijardne škode.
Kibernetski kriminal z obrazom človeka
Po podatkih FBI so ameriški potrošniki v letu 2024 izgubili več kot 12,5 milijarde dolarjev zaradi spletnih prevar in zlorabe osebnih podatkov. Kar tretjina prijavljenih napadov je povzročila neposredno finančno škodo, v številnih primerih pa so napadalci uporabili prepričljiva sporočila, telefonske klice ali celo lažne zaposlitvene ponudbe, da so žrtve prepričali k prenosu denarja ali delitvi občutljivih informacij.
Phishing, lažno predstavljanje in druge oblike socialnega inženiringa so v zadnjem letu predstavljale skoraj četrtino vseh kibernetskih kaznivih dejanj, prijavljenih FBI-ju, pri tem pa se napadi vedno bolj prilagajajo posameznim ciljem in uporabljajo personalizirane taktike.
Škoda, ki se meri v milijardah
Napadi s socialnim inženiringom so podjetjem v povprečju povzročili za okoli 130.000 dolarjev škode na incident, večji napadi pa so škodo merili celo v milijonih. Globalno naj bi bile izgube zaradi spletnih prevar že čez 1 bilijon dolarjev letno. Posebej skrb vzbujajoča so poročila o severnokorejskih “IT delavcih”, ki s pomočjo lažnih identitet ustvarijo od 250 do 600 milijonov dolarjev letno za financiranje državnih operacij.
Vzpon novih tehnik
Čeprav se je skupno število phishing napadov v zadnjem letu nekoliko zmanjšalo, postajajo ti vse bolj ciljno usmerjeni in težje prepoznavni. Še posebej hitro naraščajo napadi preko telefonskih klicev (t. i. vishing), ki so se v drugi polovici 2024 povečali za več kot 440 %. Velik porast so beležile tudi SMS prevare, kot so lažna cestninska obvestila, kjer je število prijavljenih primerov v enem letu zraslo za skoraj 3.000 %.
Taktike postajajo tudi bolj sofisticirane: napadalci pogosto začnejo z “neškodljivim” klepetom in šele nato uporabijo pridobljeno zaupanje za krajo podatkov ali denarja.
Umetna inteligenca – nova grožnja in novo orodje
Poseben izziv predstavljajo napadi, ki izkoriščajo generativno umetno inteligenco. Po ocenah strokovnjakov lahko danes s pomočjo AI prepričljivo phishing sporočilo nastane v le nekaj minutah, medtem ko je ročna priprava v preteklosti trajala več ur. Študije kažejo, da imajo AI‑ustvarjena sporočila celo do 42 % večjo uspešnost kot običajna, še večjo pa, če jih pregleda človek in jih dodatno prilagodi.
Kar 47 % organizacij danes meni, da so grožnje, povezane z umetno inteligenco, njihov največji izziv na področju varnosti.
Kako naprej?
Kibernetska varnost ostaja vse bolj kompleksen izziv, a ključ do večje odpornosti je še vedno v izobraževanju uporabnikov in rednem preverjanju notranjih postopkov. Več kot polovica organizacij še vedno nima ustrezno nastavljenih zaščit, kot je DMARC za zaščito pred lažnim predstavljanje elektronskih naslovov. Z izobraževanjem zaposlenih, tehničnimi ukrepi in večjo ozaveščenostjo je mogoče občutno zmanjšati tveganje, da človek postane najšibkejši člen v verigi varnosti.