Trots att så kallade vd-bedrägerier (business email compromise) bara utgör cirka sju procent av det totala antalet spjutfiskeattacker har de enligt FBI kostat över 26 miljarder dollar bara under de senaste fyra åren.
I en stor global studie av 1,5 miljoner spjutfiskeattacker visar IT-säkerhetsföretaget Barracuda Networks varför den här typen av riktade attacker genererar så mycket pengar till cyberkriminella.
Studien visar bland annat att riktade vd-bedrägerier där avsändaren utger sig för att vara en kollega har tre gånger högre klickfrekvens än vanliga spjutfiskeattacker som bygger på volym. Vd-bedrägerierna genomförs nästan alltid på vardagar och är i 85 procent av fallen utformade för att ge intryck av att ärendet är brådskande. De är också noga riktade för att övertyga mottagaren om att meddelandet är legitimt. I genomsnitt riktar sig en attack till sex mottagare och i 94,5 procent av fallen är antalet mottagare mindre än 25 personer.
Utvecklas hela tiden
Trovärdiga men falska avsändare, noga valda mottagare, tajming och social engineering är några av ingredienserna som gör det svårt att värja sig mot den här typen av attacker.
– För att öka motståndskraften krävs en kombination av modern teknik och löpande utbildning, säger Peter Gustafsson, ansvarig för Barracuda Networks verksamhet i Norden.
– Man bör ha klart för sig att spjutfiskeattacker hela tiden utvecklas för att kringgå upptäckt. Det är också en av anledningarna till att de är så inkomstbringande. Artificiell intelligens och e-postsäkerhet som ser till helheten ökar möjligheterna att stå emot en attack väsentligt. Att träna medarbetarna och exempelvis simulera spjutfiskeattacker förbättrar också möjligheterna att motverka olika angrepp, fortsätter Peter Gustafsson.