Easy Solutions alertó sobre el creciente uso del BEC, una nueva forma de phishing para estafar a las empresas, sus empleados y usuarios. El esquema conocido como Afectación de E-mails Corporativos (BEC, por su sigla en inglés) es un uso que se le da al spearphishing (una forma de phishing) en el que los atacantes pretenden ser ejecutivos u oficiales financieros de una organización con el fin de obtener acceso a fondos o información sensible.
María Lobato, Directora de Marketing de Easy Solutions, explica que, “entre enero de 2015 y diciembre de 2016, los ataques BEC aumentaron en 1.300% y el Centro de Quejas de Crímenes en Internet del FBI reportó que entre octubre de 2013 y junio de 2016 los criminales intentaron robar más de US$5.300 millones en esquemas BEC”. El phishing vía e-mail es un ataque muy común: los estafadores suplantan la identidad de una compañía con el fin de robar información sensible de la organización entidad y de sus usuarios. Estos correos son construidos a partir de ingeniosas técnicas de ingeniería social para convencer a sus potenciales víctimas de que en realidad se trata de mensajes legítimos. En particular, el “spearphishing” es una forma de phishing con un enfoque diferente: los atacantes seleccionan cuidadosamente a sus víctimas y utilizan ingeniería social para adaptar cada ataque según la identidad de la víctima a quién va dirigido.
“Los ataques de spearphishing son exitosos porque involucran un exhaustivo proceso de investigación y planeación por parte de los atacantes. Los e-mails son creados para parecer completamente legítimos; los atacantes pueden incluso investigar los intercambios de correos electrónicos dentro de una organización para lograr que sus mensajes suenen lo más auténticos posible. Estos ataques usualmente toman la forma de solicitudes al área financiera para que se realicen transferencias de altas sumas de dinero. Incluso, el atacante puede aparentar ser un miembro del departamento de TI, sacando ventaja de la confianza del usuario para convencerlo de revelar sus credenciales”, destaca María Lobato.
El phishing sigue vivo
El phishing es una de las formas más antiguas de fraude digital y no muestra signos de desaparecer pronto. De acuerdo al informe El Pulso del Cibercrimen 2017 de Easy Solutions, el 97% de las personas no puede reconocer con precisión un e-mail de phishing y cerca del 30% de estos correos son abiertos por sus destinatarios. Con estos indicadores los creadores de estos ataques tienen serios incentivos para continuar con sus actividades delictivas. De acuerdo al informe, en 2016, se crearon 13.000 sitios nuevos de phishing, con más de 400.000 visitas cada mes. Pero aún más alarmante es el hecho que, desde 2016, el número de sitios de phishing aumentó en 250%. “El bajo costo operacional para lanzar un ataque de phishing, combinado con que se necesita muy poco conocimiento técnico para hacerlo, hace de esta una estrategia muy llamativa para los criminales”, destaca la ejecutiva. “A medida que se vuelven más comunes, los ataques de phishing también son más sofisticados, lo cual causa que sea más difícil que la gente determine con certeza si un e-mail, una página de redes sociales o un sitio web es legítimo o producto de esfuerzos cibercriminales. Estos ataques solo seguirán avanzando, es decir, las organizaciones necesitan más de un mecanismo para proteger su marca y sus usuarios”, afirma.
Consejos para implementar una fuerte estrategia antiphishing
1. Fortalezca sus habilidades de detección, como el uso de tecnología de Machine Learning, para garantizar que los ataques sean eficientemente detectados.
2. Implemente un protocolo de autenticación de e-mails como DMARC para reducir el riesgo de mensajes falsos.
3. Saque provecho de la autenticación multifactorial para reducir el riesgo de brechas de cuentas.
4. Asóciese con un proveedor que brinde monitoreo 24x7x365 para detectar y desactivar usos fraudulentos del nombre de su marca. Seguir estos consejos le ayudará a proteger su organización de manera que cuando el siguiente ataque ocurra, pueda detenerlo antes de que llegue a ser lanzado.