U samo 12 mjeseci, napadači su pokušali ukrasti više od 300 miliona dolara putem napada poznatih kao kompromitacija emailova dobavljača (VEC – Vendor Email Compromise), a prema podacima kompanije Abnormal AI, 7% napada uključivalo je zaposlenike koji su već ranije bili meta sličnog napada.
Rizik od VEC napada raste s veličinom organizacije
Zaposlenicima je teško razlikovati legitimne poruke od malicioznih, naročito kada emailovi izgledaju kao da dolaze od pouzdanih dobavljača. Zaposlenici u najvećim organizacijama, s više od 50.000 zaposlenih, imali su najveću stopu sekundarne interakcije s VEC porukama.
U svim regijama, 72% zaposlenih u velikim kompanijama koji su pročitali VEC poruku nastavili su dalje djelovati po njoj – odgovarajući na poruku ili je prosljeđujući.
„Napadi putem socijalnog inženjeringa zasnovani na emailu nikada nisu bili uvjerljiviji niti efikasniji“, rekao je Mike Britton, CIO u kompaniji Abnormal AI. „Napadači preuzimaju legitimne komunikacijske niti s dobavljačima i kreiraju sofisticirane poruke koje prolaze neopaženo kroz zastarjele sigurnosne sisteme. A budući da zaposleni vjeruju da su ti emailovi stvarni, reaguju na njih alarmantno često.“
Telekomunikacijska industrija imala je najvišu stopu interakcije s VEC porukama – čak 71,3%, što daleko nadmašuje drugoplasirani energetski sektor s 56%. Među najranjivijima su zaposlenici u prodaji, posebno na početnim pozicijama, gdje čak 86% mladih prodavača reaguje na pročitane VEC poruke.
VEC prijetnje u porastu u EMEA regiji
Organizacije u ovoj regiji posebno su podložne VEC napadima, uprkos većoj pažnji koju posvećuju kompromitaciji poslovnih emailova (BEC – Business Email Compromise).
Na primjer, u EMEA regiji stopa angažmana s VEC porukama je 90% veća nego kod BEC poruka, a ponovna interakcija s VEC je najviša u svijetu – više nego dvostruko u odnosu na BEC. Ovo ukazuje na to da zaposlenici više vjeruju vanjskim izvorima (npr. dobavljačima) nego unutrašnjim, što ih čini posebno ranjivim na lažno predstavljanje dobavljača.
Takođe, organizacije iz EMEA regije imaju najnižu stopu prijavljivanja VEC napada – svega 0,27%, dok istovremeno bilježe najvišu stopu prijavljivanja BEC napada (4,22%).
Nedostatak prijavljivanja sigurnosnih incidenata putem emaila
Samo 1,46% pročitanih naprednih email napada koji se oslanjaju na tekst bude prijavljeno. Da bi se to stavilo u perspektivu – prosječna mjesečna količina takvih napada koju primi srednja firma sa 1.500 do 3.000 zaposlenih između marta 2024. i marta 2025. iznosila je oko 560 po 1.000 email sandučića. To znači da se svakog mjeseca procjenjuje između 840 i 1.680 napada koji nisu prijavljeni sigurnosnom timu. Kod većih organizacija, te brojke mogu biti znatno veće.
Neki zaposlenici možda misle da su ispunili svoju obavezu ako jednostavno ignorišu ili izbrišu sumnjivi email. Međutim, sigurnosni stručnjaci znaju da brisanje bez prijave može biti jednako štetno, jer uskraćuje timu za sigurnost mogućnost da istraži incident, ukloni slične prijetnje i preduzme mjere za sprječavanje budućih napada.
Svaki put kad zaposlenik mora odlučiti da li je email legitiman, postoji rizik od ljudske greške. A ako pogriješe, sajber kriminalci će to bez oklijevanja iskoristiti, što može imati velike finansijske posljedice za cijelu organizaciju.
„Iako je količina VEC napada manja u odnosu na phishing ili ransomware, njihova uspješnost – i mogući finansijski uticaj – daleko su veći, naročito sada kada AI omogućava napadačima da još lakše imitiraju pouzdane dobavljače“, dodao je Britton. „Da bi spriječile skupe ljudske greške, organizacije moraju preći s reaktivne edukacije na proaktivne zaštitne mehanizme koji blokiraju prijetnje prije nego što stignu u pristiglu poštu.“
Izvor:Help Net Security