La llamada técnica de ingeniería social es una forma de manipulación psicológica diseñada para engañar a las personas para que obtengan involuntariamente información sensible mediante el engaño. ESET, una empresa de ciberseguridad, está llamando la atención sobre una técnica de ataque menos conocida pero cada vez más común para los ciberdelincuentes: la suplantación.
En este método, los atacantes se hacen pasar por una persona de confianza (como colegas y socios comerciales) para engañar a las víctimas e involucrarlas en actividades que podrían ponerlas a ellas o al empleador en problemas. Un ejemplo típico es un atacante que se hace pasar por el director ejecutivo de una empresa específica (en su ausencia) y acepta transacciones y pedidos fraudulentos inmediatos en su nombre.
Hablamos de suplantación de identidad cuando un delincuente finge ser otra persona, en este caso, para obtener información u obtener acceso a una persona, empresa o sistema informático. Para lograr su objetivo, los ciberdelincuentes se comunican con sus víctimas a través de llamadas telefónicas, correos electrónicos o aplicaciones de mensajería, entre otras cosas.
Es casi inconcebible cuánta información de la empresa está disponible hoy en plataformas como LinkedIn: incluso la estructura corporativa completa y la lista de empleados se pueden recopilar a partir de ella. Los ciberdelincuentes pueden usar la información que han obtenido para pedirle a otro empleado de la empresa que inicie una transferencia, pague una factura o envíe información importante en nombre de un colega. Un ataque tan dirigido y personalizado puede ser muy peligroso para las empresas, ya que también puede provocar el robo de datos y pérdidas financieras.
Según TEISS, los ataques de suplantación de identidad en línea son frecuentes en todo el mundo y pueden representar una amenaza para empresas de cualquier tamaño, independientemente del tamaño de la empresa. El número de casos en 2019 aumentó en aproximadamente un 70 por ciento en comparación con el año anterior.
Las soluciones de seguridad protegen contra ataques técnicos, pero los métodos de suplantación de identidad se basan más en el engaño humano y los métodos psicológicos y se aprovechan del exceso de confianza de las personas. Por lo tanto, la formación de los empleados en conciencia de seguridad en esta dirección también es de suma importancia. Los expertos de ESET también ofrecen más consejos para que sea más probable que sea víctima de este tipo de estafa.
¡Veamos cómo funcionan los correos electrónicos falsos!
Muchos delincuentes intentan evocar un sentido de urgencia y miedo en su objetivo, lo que incita a la víctima a completar la tarea requerida sin pensar. A menudo, los deseos de los delincuentes contienen algo inusual y sospechoso. Por ejemplo, pueden referirse a contratos, transacciones de las que no hemos oído hablar o clientes que no conocemos. Los ciberdelincuentes suelen dar plazos muy breves para completar la tarea requerida y nos piden que mantengamos la confidencialidad de las instrucciones.
Los mensajes a menudo contienen errores gramaticales y, a menudo, también tergiversan la imagen de la empresa. Sin embargo, los atacantes que dominan la suplantación de identidad también pueden crear correos electrónicos que parezcan muy reales, con una foto oficial o la firma del empleado que finalmente envió el mensaje. Entonces, si encontramos la solicitud en el mensaje extraña, sospechemos, incluso si el formulario de correo electrónico parece real, y verifiquemos con alguien más antes de pedir aprobación o aprobación.
En la primavera de 2019, por ejemplo, el director general de una empresa energética inglesa anónima transfirió 220 mil euros a la cuenta de un proveedor húngaro desconocido, en la que se imitó con éxito la voz del líder de la empresa alemana. Al fingir la voz, el jefe ordenó que la voz se transmitiera de inmediato, y su voz fue imitada tan bien que el tono, el tono habitual y la velocidad del habla, también fueron perfectos. Los estafadores transfirieron inmediatamente la cantidad correspondiente de aproximadamente 72 millones de HUF de la cuenta húngara a un número de cuenta mexicano.
¡Pensemos en las conexiones!
A veces estamos muy ocupados y tomamos decisiones casi sin pensar. Pero, en cambio, tómese unos segundos más y considere si ese mensaje en particular tiene sentido. ¿Por qué este colega pide transferir la cantidad o estos datos sensibles? ¡Considere cualquier cosa inusual que se aparte de las operaciones comerciales tradicionales de la compañía como una señal de advertencia! Podemos ser víctimas de fraude incluso si el correo electrónico proviene de una persona aparentemente de confianza como nuestro CEO. Esté atento y verifique cualquier solicitud con otros colegas también.
También es posible que los ciberdelincuentes sepan que alguien está de vacaciones y actúen como si estuvieran ocupando su lugar. En este caso, verificaremos la información relevante con nuestro supervisor o empleados.
¡Verifique su dirección de correo electrónico!
¿Recibimos un correo electrónico comercial de una cuenta personal? Incluso si la dirección de correo electrónico parece pertenecer a alguien que conocemos, preferimos responder a la dirección de correo electrónico oficial de esa persona. Tenga en cuenta que los piratas informáticos también pueden usar una dirección de correo electrónico que a primera vista puede parecer una dirección de correo electrónico corporativa oficial, pero el nombre de dominio tiene ligeras diferencias. ¿Cuáles son las inconsistencias más comunes en las direcciones de correo electrónico? A menudo intercambian un mensaje con alguien como ella; Por ejemplo, «rn» se usa en lugar de «m», este método se llama «typosquatting».
¡Veamos eso también!
¿Sospechamos que hemos recibido un mensaje fraudulento? Llame al remitente o comuníquese con él a través de otro canal de comunicación y solicite el mensaje. Tenga en cuenta que el correo electrónico no es el único canal de comunicación que los piratas informáticos pueden utilizar para hacerse pasar por usted. También pueden contactarnos a través de aplicaciones de mensajería populares como WhatsApp. Entonces, si recibimos un mensaje de WhatsApp sospechoso, aún podemos escribir un mensaje a la dirección de correo electrónico de la empresa remitente o llamarnos.
En cambio, por supuesto, podemos preguntarle a la otra parte en persona. No tenga miedo de distraer a alguien en el trabajo, incluso si está muy ocupado en este momento. Incluso si no podemos contactar a nuestro gerente cara a cara, podemos hablar con su adjunto, su adjunto u otras personas que se espera estén informadas del asunto. Por ejemplo, el director financiero o el director general seguramente estarán familiarizados con el pago de una factura grande y urgente, así que no dude en preguntarles.
¡Crea una etiqueta «exterior»!
Las etiquetas «externas» le permiten distinguir los mensajes de correo electrónico que provienen de fuera del dominio de su empresa. Estos indicadores alertan a los destinatarios si un correo en particular no proviene de la organización y pueden ayudar a identificar correos electrónicos que intentan falsificar un dominio (por ejemplo, en los casos ‘m’ y ‘rn’ mencionados anteriormente).
Si bien las recomendaciones anteriores requieren tiempo adicional, podemos estar seguros de que el tiempo que invertimos valdrá la pena, ya que esta puede ser la forma de proteger nuestro lugar de trabajo de un ciberataque dirigido.
Los atacantes también pueden intentar animarnos a hacer clic en un enlace o archivo adjunto malicioso, así que no olvide buscar una solución de seguridad integral que también pueda detectar y bloquear este tipo de amenaza.
«Quiero ser un aficionado a la televisión. Entusiasta certificado de la cultura pop. Académico de Twitter. Estudiante aficionado».