¿El conocimiento de su cliente bancario es suficiente para detener el próximo ataque de phishing?

El phishing es una de las formas más antiguas de fraude digital, y no muestra señales de desaparecer en el corto plazo. En un entorno donde el 97% de las personas no puede reconocer con precisión un correo phishing, aproximadamente el 30% de los correos electrónicos phishing son abiertos por sus destinatarios. los creadores de estos ataques tienen todos los incentivos para continuar sus actividades.

En 2016, se crearon 13,000 nuevos sitios web de phishing, con más de 400,000 visitas cada mes. Aún más alarmante es que, desde 2016, el número de sitios web de phishing ha aumentado en un 250%. El bajo costo operativo de lanzar un ataque de phishing, combinado con el hecho de que se requiere muy poco conocimiento técnico para hacerlo, lo convierte en una estrategia muy atractiva para los delincuentes.

A medida que los ataques de phishing se vuelven más comunes, también se vuelven más específicos y sofisticados: esto hace que sea aún más difícil para las personas saber si un correo electrónico, una página de redes sociales o incluso un sitio web es legítimo o la creación de ciberdelincuentes. Estos ataques solo continuarán avanzando, lo que significa que las organizaciones deben hacer un mayor esfuerzo para proteger su marca y sus clientes.

Cualquiera puede ser víctima de un ataque de phishing

En mayo de 2017, un sofisticado ataque de phishing golpeó a Google. A los usuarios de Gmail se les enviaron correos electrónicos de contactos aparentemente legítimos, lo que les llevó a abrir un documento de Google Docs compartido. Después de hacer clic en el enlace del mensaje, se les mostró a los usuarios una pestaña emergente en la que se les pedía que concedieran permisos a lo que parecía ser la aplicación de Google Docs. La aplicación era en realidad falsa y se utilizó para recopilar información de contacto de los usuarios y enviar más mensajes para extender aún más el ataque.

El ataque a Gmail lanzó una amplia red, y estaba dirigido a cualquier persona con una cuenta de Gmail.

Spear phishing es una forma de phishing que adopta un enfoque diferente: los atacantes seleccionan cuidadosamente sus objetivos y usan ingeniería social para adaptar los ataques a cada víctima individual. Business Email Compromise (BEC), mientras tanto, es una forma de spear phishing en la que los atacantes pretenden ser ejecutivos o funcionarios financieros dentro de una organización con el fin de obtener acceso a dinero o información confidencial. Entre enero de 2015 y diciembre de 2016, BEC aumentó en 1300% con $ 5.3 mil millones en pérdidas expuestas entre octubre de 2013 y junio de 2016.

Los ataques de Spear phishing son exitosos porque a menudo implican investigación y planificación por parte de los atacantes. Los correos electrónicos están diseñados para parecer completamente legítimos; Los atacantes incluso pueden investigar conversaciones por correo electrónico dentro de una organización para hacer que la redacción de un correo electrónico suene lo más auténticamente posible. Estos ataques pueden tomar la forma de un atacante que pretende ser un oficial financiero y le pide a un empleado del departamento de finanzas que realice una transferencia a la cuenta del delincuente. O bien, el atacante puede hacerse pasar por un miembro del departamento de TI, aprovechando la confianza del usuario y convenciéndole de que renuncie a sus credenciales.

Con estos ataques cada vez más sofisticados y diversos, educar a sus usuarios ya no es suficiente para proteger a su organización del próximo ataque principal de phishing. Si bien muchas empresas están implementando algunas medidas de seguridad antiphishing, los ataques avanzan a un ritmo tan rápido que las medidas de seguridad antiphishing básicas no pueden mantenerse.