Du kan förlora mycket i ett nätfiskebedrägeri. Dessa attacker visar precis hur mycket.
Nätfiskeattacker har skjutit i höjden, med angripare som utnyttjar de senaste sårbarheterna och möjligheterna i den massiva övergången till distansarbete och molnlagring.
Nätfiske är en bluff där angripare skickar människor skadlig e-post, meddelanden eller telefonsamtal för att lura dem att klicka på skadliga länkar eller bilagor, besöka bedrägliga webbplatser, dela känsliga uppgifter eller göra dem mottagliga för cyberattack.
Att falla offer för nätfiskeattacker leder nu regelbundet till betydande ekonomiska förluster för individer och företag. Här är några av de mest ekonomiskt skadliga nätfiskeattackerna i historien.
1. Facebook och Google
Mellan 2013 och 2015 föll Facebook och Google offer för en bluff med falska fakturor och förlorade över 100 miljoner dollar. I bluffen startade Evaldas Rimasauskas, en litauisk hackare, ett falskt företag som utgav sig som Quanta Computer, en Taiwan-baserad datortillverkare som arbetar med Facebook och Google.
Gärningsmannen öppnade vidare bankkonton för penningtvätt i flera länder, inklusive Cypern och Lettland, under samma namn som det falska företaget.
Evaldas fortsatte med att skicka fakturor till anställda på Facebook och Google, vilket ledde till att de överförde de begärda medlen till honom. Men han arresterades så småningom, anklagades formellt för bedrägeri via kabel och tvingades förverka 49,7 miljoner dollar.
2. Sony bilder
Sony blev offer för en spjutfiskeattack (en av många olika typer av nätfiskeattacker) som hindrade företaget från att släppa en komedifilm över hela världen. Attacken var kopplad till "Guardians of Peace", hackergruppen som läckte ut enorma mängder konfidentiell information om företagets anställda och dess filmportfölj 2014.
För att utföra attacken skickade cyberbrottslingar Sony-anställda e-postmeddelanden, inklusive vd Michael Lynton, och uppmanade dem att verifiera sitt Apple-ID pga. till "misstänkt kontobeteende". E-postmeddelandena innehöll också länkar till nätfiskewebbplatser som skapats för att stjäla de anställdas inloggning referenser.
Månader senare bröt hackarna mot företagets Microsofts System Center Configuration Manager (SCCM). Detta gjorde det möjligt för dem att installera skadlig programvara på alla anställdas enheter, stjäla terabyte med privat data och radera originalkopiorna från Sony-datorer.
De cyberbrottslingar läckte fyra outgivna filmer och ett stort antal konfidentiellt material, inklusive privat kommunikation mellan chefer, personnummer och anställdas löner, via fildelning nätverk. För att främja sin agenda krävde hacktivistgruppen Sony avbryter den planerade releasen av "The Interview", en komedifilm.
Trots att Sony inte släppt någon officiell kostnadsberäkning, tyder tidiga utvärderingar av omfattningen av företagsskador på förluster som överstiger över 100 miljoner.
3. Crelan Bank
2016 var den belgiska banken Crelan riktade med en Business Email Compromise (BEC) bluff, vilket resulterade i en förlust på 75,8 miljoner dollar. Gärningsmannen, som utger sig för att vara bankens vd, bad ekonomiavdelningen att godkänna överföringen av beloppet, vilket de gjorde.
Attacken upptäcktes under en internrevision och rapporterades till justitiedepartementet, men angriparna kunde aldrig identifieras. Som svar antog banken stränga åtgärder för att förstärka sina interna säkerhetsrutiner.
4. FACC
Fischer Advanced Composite Components (FACC) är ett Österrike-baserat företag som är specialiserat på tillverkning av flyg- och rymddelar. Dess kundbas inkluderar branschledare som Boeing, Airbus och Rolls-Royce.
2015/16 markerade ett ödesdigert affärsår för företaget då det blev offer för en BEC-bedrägeri och förlorade uppskattningsvis 55 miljoner dollar. Händelsen utspelade sig när en gärningsman utger sig för att vara företagets VD i ett e-postmeddelande bad redovisningsavdelningen att överföra medlen till en utländsk bank som en del av ett "förvärvsprojekt".
När FACC insåg att de blivit lurade, genomförde FACC motåtgärder som ledde till att överföringen av 12 miljoner dollar blockerades. Trots detta fick företagets vd Walter Stephan och finanschefen sparken efter händelsen. Företaget lämnade också in en stämningsansökan mot dem, med hänvisning till deras underlåtenhet att implementera säkerhetskontroller och tillsyn.
5. Upsher-Smith Laboratories
Upsher-Smith Laboratories, ett läkemedelsföretag i Minnesota, är ett annat högprofilerat offer för en VD-bedrägeriattack. Företaget gav efter för bluffen 2014 när bedragare som maskerade sig som företagets VD mailade företagets leverantörsreskontrakoordinator.
Denna bluff ledde till nio banköverföringar inom tre veckor, vilket resulterade i en förlust på över 50 miljoner. Företaget upptäckte dock den pågående attacken och återkallade framgångsrikt en banköverföring, vilket minskade förlusten till 39 miljoner dollar.
6. Ubiquiti nätverk
Under 2015 förlorade Ubiquiti Networks, en San Jose-baserad nätverkstekniktillverkare, 46,7 miljoner dollar på VD-bedrägerier. I det här fallet utgav sig angriparen som både företagets VD och advokat, och informerade finansavdelningen om att pengar behövdes för att underlätta ett konfidentiellt förvärv.
Med hjälp av nätfiske-e-postmeddelanden övertygade gärningsmannen företagets ekonomiavdelning att överföra pengar från företagets dotterbolag i Hongkong till angriparens utlandskonton.
Ubiquiti gjorde sedan 14 banköverföringar inom 17 dagar till flera länder, inklusive Kina, Ryssland, Ungern och Polen. Efter att ha upptäckt bedrägeriet inledde företaget rättsliga förfaranden i flera utländska jurisdiktioner och fick tillbaka 8,1 miljoner dollar.
7. Leoni AG
Leoni AG, en ledande tråd- och kabeltillverkare med huvudkontor i Tyskland, led en förlust på cirka 44 miljoner dollar efter en nätfiske-e-postattack. Incidenten 2016 involverade bedragare som, som utgav sig för att vara företagets högre tyska chefer, lurade en finansanställd på företagets rumänska kontor för att överföra pengarna till utländska konton.
8. Toyota Boshoku Corporation
2019 blev Toyota Boshoku Corporation, ett europeiskt dotterbolag till Toyota-koncernen och en ledande leverantör av Toyota-bildelar, mål för en BEC-attack. Incidenten involverade en angripare som utgav sig för att vara dotterbolagets affärspartner och begärde en omedelbar överföring av pengar till ett okänt bankkonto.
Gärningsmannen motiverade transaktionens brådska med att en eventuell försening skulle hindra tillverkningen av delar. Detta ledde till att företagets ekonomi- och redovisningsavdelning förlorade över 37 miljoner dollar.
9. Xoom Corporation
Ett nätfiskebedrägeri som riktade sig till Xoom Corporation, en ledande leverantör av elektroniska överföringstjänster, resulterade i en förlust på 30,8 miljoner USD. Bolagets rapport för fjärde kvartalet 2014 citerade BEC som orsaken till förlusten.
Attacken involverade bedragare som imiterade Xoom-anställda och bad finansavdelningen att sätta in pengarna på bedrägliga utländska konton. Efter händelsen sa Xooms finanschef (CFO), Matt Hibbard, upp sig.
Skydda dig själv och ditt företag från nätfiskeattacker
Trots att stora företag är de primära målen är nätfiskebedrägerier som drabbar miljontals enskilda användare alldeles för vanliga. Dessa attacker leder inte bara till direkta monetära förluster, utan också produktivitet och dataförlust, skada på rykte och kundförlust.
Kostnaderna för nätfiskeattacker håller redan på att omforma hur individer och företag arbetar och hanterar risker. För att försvara sig mot nätfiskeattacker är det avgörande att vidta skyddsåtgärder, inklusive att använda stark lösenord, implementera tvåfaktorsautentisering och tillhandahålla utbildning i säkerhetsmedvetenhet anställda.