Las simulaciones de phishing pueden capacitar a los empleados para resistir estos cuatro ciberataques basados ​​en phishing

Los mensajes de phishing contienen muchas de las amenazas cibernéticas más devastadoras de la actualidad, que incluyen ransomware, vulneración de correo electrónico empresarial y robo de cuentas. Los intentos de phishing pueden ser difíciles de detectar para los empleados, especialmente porque los ataques de phishing se han vuelto más sofisticados y aprovechan tecnologías de inteligencia artificial como ChatGPT. Sin embargo, hay esperanza para los profesionales de TI que se esfuerzan por proteger los sistemas y los datos de sus organizaciones de los costosos problemas cibernéticos. La capacitación en concienciación sobre ciberseguridad que incluye simulación de phishing es una forma muy eficaz de educar a los empleados sobre el phishing. Veamos cuatro de los ataques de phishing más peligrosos que se pueden mitigar con capacitación en concienciación sobre seguridad.

Compromiso de correo electrónico empresarial (BEC)

Aunque los ataques de ransomware se consideran la peor forma de ciberataque, los ataques de vulneración de correo electrónico empresarial (BEC) no se quedan atrás y causan el máximo daño a organizaciones de todos los sectores. Estos ataques han aumentado significativamente en los últimos tiempos, lo que ha provocado graves daños financieros y a la reputación. La principal razón de la proliferación de estos ataques es que requieren menos esfuerzo y están en gran medida automatizados, con un menor riesgo de ser detectado y una probabilidad mucho mayor de obtener un pago.
Estos ataques comienzan cuando los cibercriminales piratean o falsifican cuentas de correo electrónico de una empresa de confianza para obtener dinero, tarjetas de regalo, datos confidenciales y detalles financieros de manera fraudulenta. Existen muchas variantes de esta estafa, pero estas son las más comunes:

• Los ciberdelincuentes intentan hacerse pasar por un ejecutivo o una figura de confianza dentro de la organización víctima, aprovechándose de la ingenuidad de los empleados para obligarlos a cumplir con la solicitud.
• Los actores maliciosos afirman ser proveedores o prestadores de servicios de la empresa objetivo y afirman que se les debe el pago de una factura pendiente.
• Los ciberdelincuentes se hacen pasar por alguien de la organización víctima, como un empleado de otra sucursal de la empresa, y solicitan dinero o el pago de una factura falsa.

Si una empresa sufre un ataque BEC, su impacto puede devastar sus ingresos presentes y futuros, dañar su marca y sus relaciones comerciales. Incluso grandes corporaciones como Google, Facebook y Toyota han sufrido ataques BEC, que han provocado pérdidas millonarias. La Oficina Federal de Investigaciones (FBI) de Estados Unidos afirma que el BEC es 64 veces peor que el ransomware para las empresas.

Los ataques BEC se basan principalmente en técnicas de ingeniería social, lo que hace que los antivirus, los filtros de spam y las listas negras de correo electrónico sean ineficaces contra ellos. Sin embargo, las organizaciones podrían utilizar la IA para detectar estas amenazas, ya que la IA considera el contenido de un mensaje para determinar si el mensaje es una amenaza. Un alto nivel de concienciación reforzado por la educación de los empleados y sólidas técnicas de prevención interna, especialmente para el personal privilegiado, puede ayudar a las empresas a poner freno a esta amenaza.

Toma de control de una cuenta

En un ataque de robo de una cuenta, los cibercriminales roban las credenciales de la cuenta de un usuario para facilitar otros delitos cibernéticos. Mediante trucos de ingeniería social en correos electrónicos de phishing, los piratas informáticos obligan a los usuarios a proporcionar sus credenciales y luego toman posesión de sus cuentas impidiéndoles acceder a ellas. Para ello, utilizan diversas técnicas, entre ellas:

• Relleno de credenciales: los atacantes utilizan herramientas automatizadas para ingresar grandes volúmenes de pares de nombres de usuario y contraseñas robados en varios sitios web, aprovechando el hecho de que muchos usuarios reutilizan las contraseñas en múltiples servicios.
• Keylogging: el malware instalado en el dispositivo de la víctima registra cada pulsación de tecla, incluidas las contraseñas y otra información confidencial, que luego se envía al atacante.
• Secuestro de sesión: el atacante explota una sesión informática válida para obtener acceso no autorizado a información o servicios en un sistema informático robando el token de sesión.
• Intercambio de SIM: el atacante convence a un operador de telefonía móvil para que cambie el número de teléfono de la víctima a una tarjeta SIM propiedad del atacante, que luego puede usarse para restablecer contraseñas y eludir la autenticación de dos factores.
• Ataques de intermediario: implican interceptar y posiblemente alterar la comunicación entre dos partes que creen que se están comunicando directamente entre sí. Estos ataques se llevan a cabo para capturar credenciales de inicio de sesión o manipular detalles de transacciones.
• Ataques de fuerza bruta: el atacante utiliza el método de prueba y error para adivinar la información de inicio de sesión o las claves de cifrado o para encontrar una página web oculta. Este método se basa en la persistencia del atacante y en el uso de software para probar muchas combinaciones rápidamente.
• Ingeniería social: esta categoría más amplia incluye técnicas más allá del phishing, donde el atacante utiliza la manipulación psicológica para engañar a alguien y obtener acceso a su cuenta o información personal.
• Malware y spyware: son tipos específicos de software malicioso diseñados para infiltrarse en el dispositivo de un usuario sin ser detectado, recopilando información que conduce al robo de cuentas.

Si bien las instituciones financieras y los sitios web de comercio electrónico experimentan una mayor incidencia de fraudes de apropiación de cuentas que otras industrias, ninguna empresa es inmune a este peligro. Por ejemplo, los piratas informáticos pueden apropiarse de una cuenta de comercio electrónico existente y usarla para comprar bienes de alto valor, pagando con las credenciales de pago almacenadas de la víctima y cambiando la dirección de envío por la suya propia.

Spear phishing

El spear phishing es un ataque por correo electrónico muy específico y bien investigado que puede afectar a cualquier persona dentro de una empresa. Se estima que el 65 % de los grupos de ciberdelincuentes llevan a cabo ciberataques selectivos mediante correos electrónicos de spear phishing. Si bien los intentos de spear phishing suelen dirigirse a personas específicas dentro de una empresa, también pueden dirigirse a los empleados en general. Los ciberdelincuentes que utilizan esta técnica se aseguran cuidadosamente de que sus mensajes maliciosos sean detallados y altamente creíbles.

Un ataque de spear phishing comienza con un correo electrónico de phishing de una fuente aparentemente confiable. Sin embargo, ese correo electrónico puede llevar al destinatario por varios caminos peligrosos. Los actores maliciosos pueden intentar persuadir al destinatario para que realice acciones como:

• Entregando sus credenciales
• Proporcionar acceso a sistemas o datos confidenciales
• Transferencia de dinero
• Compartir información privilegiada
• Al hacer clic en un enlace malicioso>
• Descargar un documento cargado de malware

Debido al alto potencial de pago de los ataques de spear phishing, los actores de amenazas dedican un tiempo considerable a investigar su objetivo. Utilizan tácticas inteligentes, enfoques diseñados individualmente y técnicas de ingeniería social para captar la atención de las víctimas y luego obligarlas a hacer clic en los enlaces de phishing.

Por ejemplo, el FBI publicó una advertencia sobre una estafa de phishing en la que actores maliciosos enviaban mensajes diseñados para parecer que provenían del Centro Nacional para Niños Desaparecidos y Explotados. El asunto del correo electrónico era “Búsqueda de niños desaparecidos” y un archivo .zip titulado “Recursos” contenía tres archivos maliciosos.

Whaling

El whaling es un ciberataque basado principalmente en correos electrónicos en el que los cibercriminales intentan atrapar a un “pez gordo”, como, por ejemplo, alguien dentro de la alta dirección de una empresa. Casi el 60% de las organizaciones afirman que un ejecutivo ha sido el objetivo de ataques whaling, y en aproximadamente la mitad de esos ataques, los ejecutivos atacados cayeron en la trampa. Para llevar a cabo este ataque, los actores maliciosos dedican un tiempo considerable a investigar y perfilar a un objetivo de alto valor para obtener una recompensa potencial considerable. Recientemente, los correos electrónicos whaling se han vuelto muy sofisticados con la adopción de terminología empresarial fluida, conocimiento de la industria, referencias personales y direcciones de correo electrónico falsificadas. Incluso los ojos cautelosos pueden no identificar un correo electrónico whaling.

Un ataque de phishing de tipo whaling suele dirigirse a ejecutivos de alto nivel, como directores ejecutivos o directores financieros, mediante la elaboración de correos electrónicos altamente personalizados y convincentes que parecen proceder de fuentes fiables. El índice IBM X-force Threat Intelligence Index 2024 detectó un aumento del 71 % en los ciberataques que aprovechan identidades robadas en 2023 en comparación con 2022. Por ejemplo, un atacante podría enviar un correo electrónico a un director financiero de la empresa, haciéndose pasar por el director ejecutivo, con una solicitud urgente de una transferencia financiera. El correo electrónico podría incluir el nombre real del director ejecutivo, su puesto e incluso detalles sobre las actividades recientes de la empresa, lo que lo haría parecer legítimo. Podría decir: “Hola [nombre del director financiero], necesitamos transferir $250000 a nuestro nuevo proveedor para el próximo proyecto. Por favor, procese esto urgentemente y envíeme una confirmación una vez que esté hecho. Atentamente, [nombre del director ejecutivo]”. Además, para mejorar su autenticidad, el correo electrónico también puede contener direcciones de correo electrónico o dominios falsificados. Si el CFO cumple sin verificar la solicitud a través de otros medios, los fondos podrían transferirse a la cuenta del atacante, lo que resultaría en una pérdida financiera significativa para la empresa.

Fuente: ID Agent