Den cyberkriminella som stjäl information eller pengar från ett litet företag är förmodligen en mästare på bedrägeri och manipulation samt en teknoexpert.

När Nancy Butler fick ett samtal från någon som påstod sig vara från hennes IT-tjänst för två år sedan, hon antog att det var en rutinkontroll av en legitim personal. Så, som hon hade gjort många gånger under sådana samtal, Butler bad uppringaren att bekräfta hennes kontonummer och annan information så "jag kunde vara säker på att de var som de sa att de var."

"Efter att allt hade bekräftats släppte jag in dem i datorn bara för att upptäcka att de omedelbart låste mig utanför min dator, åtkomst till och stal från ett bankkonto, kreditkort och flera onlinekonton, "säger Butler, en affärscoach och motiverande talare baserad i Waterford, Connecticut. Tjuvarna krävde också betalning innan de släppte in henne i hennes dator igen – hon betalade inte, och hon hittade ett IT-företag som kunde låsa upp det.

När cyberbrottslingar intensifierar sina attacker mot företag såväl som enskilda datoranvändare, de förlitar sig mer på social ingenjörskonst, praxis att lura eller manipulera någon, ofta med e-post men också med telefonsamtal, för att få personlig eller ekonomisk information. När ett företag attackeras, kund- och leverantörsdata är i fara. Cybersäkerhetsexperter säger att små företag blir allt mer måltavla.

Phishing-bedrägerier använder ofta social ingenjörskonst. Bedrägerierna är vanligtvis förtäckta i realistiska e-postmeddelanden som uppmuntrar mottagaren att klicka på en länk eller bilaga; det klicket laddar ner skadlig programvara som kallas skadlig programvara som kan fånga information och skicka tillbaka den till brottslingen. Mejlen kan se ut som att de kommer från ett företags bank eller ett annat företag. Phishing är också ett sätt för ransomware, skadlig programvara som låser datorer, som ska planteras på en enhet. Medan vissa cyberbrottslingar riktar sig till småföretag, malware kan också planteras när en anställd klickar på ett personligt e-postmeddelande på en företagsmaskin.

När det gäller att hacka sig in på webbplatser, cyberbrottslingar letar fortfarande efter sårbarheter som de kan utnyttja, men det är deras förmåga att lura företag som orsakar många av problemen, säger Terry Kasdan, ägare av atCommunications, ett webbplatsutvecklingsföretag baserat i Northbrook, Illinois.

Den typ av erfarenhet Butler hade blir allt vanligare med webbplatsattacker.

"En hacker kan ringa ett företag, säg något om att 'Jag arbetar för ditt webbhotell, ' och lägg till den riktiga värdens namn för att ge samtalet trovärdighet, " Kasdan säger. Hackare kan få information om en webbplats och dess värdföretag från onlinekataloger; sedan, om de kan manipulera en anställd till att ge upp ett lösenord, de kan komma in på webbplatsen, stjäla information och skada eller inaktivera den.

Ett företag kan bli ett offer indirekt – dess egna system behöver inte attackeras för att en cybertjuv ska stjäla information eller pengar.

Tjernlund Products mejlade en ombeställning till en av sina leverantörer i Kina och fick ett mejl tillbaka om att företaget hade en ny bank som Tjernlund Products borde göra sina betalningar till. Detta var inte en ovanlig situation; företagets leverantörer i Kina byter ofta bank, sa Andrew Tjernlund, marknadschef för White Bear Lake, Minnesota-baserad tillverkare av tillverkare av komponenter för ventilationssystem.

Månader senare, efter att försändelsen aldrig kom, Tjernlund Products kontaktade leverantören, som undersökte och upptäckte att dess e-post hade hackats. Tjernlund Products gick ut cirka 20 dollar, 000, även om leverantören gav företaget en rejäl paus vid nästa order för att kompensera för en del av förlusten.

Andrew Tjernlund säger att han och hans andra chefer insåg att de var indirekta offer för ett hacking, och att de litade för mycket på att bankbytet var legitimt. De är mer försiktiga nu.

"Vi testar våra leverantörer när de byter bank, fråga dem om vilken hårfärg vi har eller när vi senast träffades personligen – sådana saker, säger Tjernlund.

The government and some private companies like insurers keep count of the number of reported cyberattacks including those that use social engineering, but many companies don't tell authorities when they've been attacked. Business owners don't want to publicize the fact that their systems or websites have been hacked; they worry about losing customers and being shunned by vendors who fear their systems could also be compromised. Cybercriminals are able to hack into one company's system through another's—when discount retailer Target had a data breach in 2013 hackers first invaded the system of a Target supplier.

The more employees and devices a company has, the more vulnerable it is, says Tyler Olson, owner of Shyld, a cybersecurity startup based in Minneapolis.

"There's an unlimited offensive capability and defense is really hard, " Olson says. "It takes only one entry point in the organization."

The entry point could be the employee who clicks on an email. "Once they're inside the network, they can potentially find additional vulnerabilities. They can sit and wait or they can do some destruction immediately, " Olson says

Olson, who also owns an information technology company, got the inspiration for his cybersecurity firm from his experience working on the technology team for the 2008 re-election campaign of then-Sen. Norm Coleman (R-Minn.). A video posted on YouTube showed how to hack into the campaign database; a hacker did that and the personal and credit card information of thousands of contributors to Coleman's campaign were posted on the internet, with Wikileaks claiming responsibility for disseminating the data.

© 2019 Associated Press. Alla rättigheter förbehållna.