Un ataque de phishing a tu empresa que alcance el éxito puede suponer una auténtica ruina. Se calcula que un ataque phishing supone de media una pérdida de más de 80.000 dólares, según el Informe de tendencias de actividad de phishing de APWG.
Por hacernos una idea de la magnitud de esta “industria”, el número de sitios de phishing detectados en el segundo trimestre de 2020 fue de 146.994, frente a los 165.772 observados en el primer trimestre. Los ciberdelincuentes cada vez mejoran más sus técnicas para que creamos que los mensajes de correo electrónico que recibimos son fidedignos cuando, en realidad, son una estafa. De hecho, hasta emplean certificados de seguridad SSL en sus páginas web. Para detectar incluso los mensajes más realistas, una buena y continua formación de nuestros empleados es clave para evitar ser víctimas, tanto de estos ataques como de cualquier otro.
Los falsos remitentes más usados
Cuando los atacantes se dirijan a tu negocio, suplantarán la identidad de una empresa que conocemos o en la que confiamos: bancos, telecomunicaciones, seguridad, Correos, paquetería… o incluso una tienda online. Estos falsos remitentes más comúnmente utilizados son:
- Bancos y cajas. El objetivo es hacerse con los números de tarjetas de crédito, tarjetas de coordenadas, PIN secreto, etc.
- Organismos oficiales, como la AEAT, para infectar el ordenador, robar datos privados, bancarios y estafar económicamente al usuario.
- Pasarelas de pago online (como PayPal, Mastercard, Visa, etc.). De nuevo, la motivación principal es robar datos bancarios
- Redes sociales, con el fin de robar cuentas de usuarios, obtener sus datos privados y suplantar su identidad. Puede suponer un importante varapalo para la confianza en tu negocio.
- Páginas de compra/venta y subastas (como Amazon o eBay). También pueden estafarte, a ti o a tus clientes.
- Soporte técnico y de ayuda. Aquí se pretende robar cuentas, acceder a datos y archivos personales.
- Otros servicios, como almacenamiento en la nube o paquetería. En ambos casos puede ser para acceder a tus datos y, con ellos, conseguir las credenciales bancarias.
Asuntos de mensaje que te deben hacer sospechar
El asunto de mensaje de correo electrónico que más efectividad ha demostrado en campañas de phishing es un texto urgente para verificar de inmediato una contraseña. Se calcula que casi 4 de cada 10 usuarios (un 39%) cae en la trampa. Pero hay otros textos que tienen éxito. Las redes sociales se usan mucho como señuelo y tienen éxito, especialmente si LinkedIn es el tema: el 55% de los mensajes de phishing con esta palabra logró su objetivo, mientras que cuando es Facebook quien aparece, la tasa de éxito está en el 28%.
Así pues, los 10 asuntos de phishing con más clics son:
- Se requiere cambio de contraseña inmediatamente (26%)
- Microsoft / Office 365: Desactivación de correo electrónico en proceso (14%)
- Verificación de contraseña requerida inmediatamente (13%)
- RRHH: Aumento salarial (8%)
- Dropbox: documento compartido contigo (8%)
- TI: Mantenimiento programado del servidor – Sin acceso a Internet (7%)
- Office 365: cambie su contraseña inmediatamente (6%)
- Advertencia de RRHH sobre el uso de objetos personales (6%)
- Airbnb: nuevo inicio de sesión en dispositivo (6%)
- Slack: restablecimiento de contraseña para la cuenta (6%)
Si no esperabas el mensaje, sospecha. Si observamos que en el mensaje hay textos como que han notado alguna actividad sospechosa o intentos de inicio de sesión o que existe algún problema con su cuenta o su información de pago o que debemos confirmar cierta información personal, salvo que lo hayamos pedido expresamente, suelen ser falsos. De igual forma, si hay una factura falsa, nos piden que hagamos clic en un enlace para realizar un pago o nos ofrecen un cupón para cosas gratis, las alarmas de que estamos ante un intento de engañarnos deberían saltar inmediatamente.
Aunque los filtros de correo son cada vez más potentes, la ingeniería y habilidad de los delincuentes va a veces por encima de las empresas de seguridad, por lo que no es de extrañar que algún mensaje se acabe colando en nuestra bandeja de entrada. Por eso, nunca está de más añadir capas adicionales de protección. Algunos ejemplos como la inmunización del endpoint o la inteligencia operacional pueden resultarte verdaderamente útiles para tu empresa.
