Puestos

El correo electrónico es un canal fundamental para la generación de contactos B2B y la comunicación con los clientes, pero también es uno de los canales más utilizados para los ciberataques y los fraudes por correo electrónico. Los ciberdelincuentes siempre están innovando sus ataques para robar más información y activos financieros. Mientras las organizaciones siguen contraatacando con medidas de seguridad más estrictas, los ciberdelincuentes deben evolucionar constantemente sus tácticas y mejorar sus técnicas de phishing y suplantación de identidad.

En 2023, investigadores de seguridad de todo el mundo han detectado un aumento drástico en el uso de ataques de phishing basados en aprendizaje automático (ML) e inteligencia artificial (IA) que no son detectados por las soluciones tradicionales de seguridad del correo electrónico. El principal objetivo de estos ataques es manipular el comportamiento humano y engañar a las personas para que realicen acciones no autorizadas, como transferir dinero a cuentas de estafadores.

Aunque la amenaza de los ataques basados en el correo electrónico y el fraude por correo electrónico siempre están evolucionando, no se quede atrás. Conozca las tendencias de fraude por correo electrónico que tendrán lugar en los próximos años en cuanto a tácticas, herramientas y malware de los estafadores. A través de esta entrada del blog le mostraré cómo los ciberdelincuentes están desarrollando sus tácticas, y le explicaré cómo su empresa puede evitar que se produzcan este tipo de ataques por correo electrónico.

Tipos de fraudes por correo electrónico de los que hay que tener cuidado en 2023

1. Compromiso del correo electrónico comercial (BEC)

COVID-19 ha obligado a las organizaciones a implantar entornos de trabajo a distancia y a pasar a la comunicación virtual entre empleados, socios y clientes. Aunque esto tiene algunas ventajas que enumerar, el inconveniente más evidente es el alarmante aumento de los BEC en el último año. BEC es un término más amplio utilizado para referirse a los ataques de fraude por correo electrónico, como la suplantación de identidad y el phishing.

La idea común es que un ciberatacante utilice su nombre de dominio para enviar correos electrónicos a sus socios, clientes o empleados, intentando robar credenciales corporativas para acceder a activos confidenciales o iniciar transferencias bancarias. El BEC ha afectado a más del 70% de las organizaciones en el último año y ha provocado la pérdida de activos de la empresa por valor de miles de millones de dólares.

2. Evolución de los ataques de phishing por correo electrónico

Los ataques de phishing por correo electrónico han evolucionado drásticamente en los últimos años, aunque el motivo sigue siendo el mismo: manipular a sus socios, empleados y clientes de confianza para que hagan clic en enlaces maliciosos encapsulados en un correo electrónico que parece enviado por usted, con el fin de iniciar la instalación de malware o el robo de credenciales. Los estafadores evolucionan y envían correos electrónicos de phishing difíciles de detectar. Desde escribir líneas de asunto impecables y contenidos sin errores hasta crear páginas de destino falsas con un alto nivel de precisión, rastrear manualmente sus actividades se ha vuelto cada vez más difícil en 2023.

3. Hombre en el medio

Atrás quedaron los días en que los atacantes enviaban correos electrónicos mal escritos que incluso un profano podía identificar como fraudulentos. Hoy en día, los actores de amenazas se aprovechan de los problemas de seguridad SMTP, como el uso de cifrado oportunista en las transacciones de correo electrónico entre dos servidores de correo electrónico que se comunican, espiando la conversación después de revertir con éxito la conexión segura a una sin cifrar. Los ataques MITM como el downgrade SMTP y el DNS spoofing han ido ganando popularidad en 2023.

4. Fraude del director general

El fraude de los directores generales se refiere a los esquemas que se están llevando a cabo y que tienen como objetivo a los ejecutivos de alto nivel con el fin de obtener acceso a información confidencial. Los atacantes lo hacen tomando la identidad de personas reales, como directores generales o directores financieros, y enviando un mensaje a personas de niveles inferiores dentro de la organización, socios y clientes, engañándoles para que entreguen información sensible. Este tipo de ataque también se denomina Business Email Compromise o whaling. En un entorno empresarial, algunos delincuentes se aventuran a crear un correo electrónico más creíble, haciéndose pasar por los responsables de la toma de decisiones de una organización. Esto les permite pedir transferencias de dinero fáciles o información sensible sobre la empresa.

5. Señuelos para vacunas COVID-19

Los investigadores de seguridad han revelado que los piratas informáticos siguen tratando de sacar provecho de los temores relacionados con la pandemia de COVID-19. Estudios recientes arrojan luz sobre la mentalidad de los ciberdelincuentes, revelando un interés continuado en el estado de pánico que rodea a la pandemia de COVID-19 y un aumento apreciable de los ataques de phishing y de compromiso del correo electrónico comercial (BEC) dirigidos a los dirigentes de las empresas. El medio para perpetrar estos ataques es un señuelo de una falsa vacuna contra la COVID-19 que despierta instantáneamente el interés de los receptores del correo electrónico.

¿Cómo puede mejorar la seguridad del correo electrónico?

  • Configure su dominio con estándares de autenticación de correo electrónico como SPF, DKIM y DMARC
  • Pase de la supervisión de DMARC a la aplicación de DMARC para obtener la máxima protección contra BEC, fraudes de CEO y ataques de phishing evolucionados
  • Supervisar sistemáticamente el flujo de correo electrónico y los resultados de la autenticación de vez en cuando
  • Hacer obligatorio el cifrado en SMTP con MTA-STS para mitigar los ataques MITM
  • Obtenga notificaciones periódicas sobre los problemas de entrega del correo electrónico con detalles sobre sus causas de origen con los informes SMTP TLS (TLS-RPT)
  • Mitigar el error de SPF manteniéndose siempre por debajo del límite de 10 búsquedas de DNS
  • Ayude a sus destinatarios a identificar visualmente su marca en sus bandejas de entrada con BIMI

PowerDMARC es su plataforma SaaS de autenticación de correo electrónico única que reúne todos los protocolos de autenticación de correo electrónico como SPF, DKIM, MTA-STS, TLS-RPT y BIMI en un solo panel. Regístrese hoy para obtener su analizador DMARC gratuito.

Los profesionales del marketing son los diseñadores de la imagen de marca, por lo que deben conocer estos 5 famosos términos de Phishing, que pueden causar estragos en la reputación de una empresa. El phishing es un tipo de vector de ataque que implica un sitio web o un correo electrónico que parece provenir de una organización de buena reputación, pero que en realidad se crea con la intención de recopilar información sensible como nombres de usuario, contraseñas y detalles de tarjetas de crédito (también conocidos como Card Data). Los ataques de phishing son comunes en el mundo online.

Cuando su empresa es víctima de un ataque de phishing, puede causar daños a la marca e interferir en su clasificación en los motores de búsqueda o en la tasa de conversión. Debería ser una prioridad para los profesionales del marketing protegerse contra los ataques de phishing porque son un reflejo directo de la consistencia de su empresa. Por lo tanto, como vendedores, debemos proceder con extrema precaución cuando se trata de estafas de phishing.

Las estafas de phishing existen desde hace muchos años. No te preocupes si no te has enterado antes, no es culpa tuya. Algunos dicen que la ciberestafa nació hace 10 años, pero el phishing se convirtió oficialmente en un delito en 2004. Como las técnicas de phishing siguen evolucionando, encontrarse con un nuevo correo electrónico de phishing puede resultar rápidamente confuso, y a veces es difícil saber si el mensaje es legítimo o no. Puede protegerse mejor a sí mismo y a su organización estando atento a estas cinco técnicas comunes de phishing.

5 términos comunes de phishing que debe conocer

1) Suplantación de identidad por correo electrónico 

Los correos electrónicos de phishing suelen enviarse de forma masiva desde un dominio que imita a uno legítimo. Una empresa puede tener la dirección de correo electrónico [email protected], pero una empresa de phishing puede utilizar [email protected] El objetivo es engañarle para que haga clic en un enlace malicioso o comparta información sensible, haciéndose pasar por una empresa real con la que hace negocios. Un dominio falso a menudo implica la sustitución de caracteres, como el uso de "r" y "n" uno al lado del otro para crear "rn" en lugar de "m".

Los ataques de phishing evolucionan constantemente y son cada vez más indetectables. Los actores de la amenaza están utilizando tácticas de ingeniería social para suplantar dominios y enviar correos electrónicos fraudulentos desde un dominio legítimo, con fines maliciosos.

2) Spear Phishing 

Un ataque de spear phishing es una nueva forma de ciberataque que utiliza información falsa para acceder a cuentas que tienen un nivel de seguridad más alto. Los atacantes profesionales tienen como objetivo comprometer a una sola víctima, y para llevar a cabo esta idea, investigan el perfil social de la empresa y los nombres y funciones de los empleados dentro de la misma. A diferencia del phishing, el Spear phishing es una campaña dirigida contra una organización o individuo. Estas campañas son cuidadosamente construidas por los actores de la amenaza con el único propósito de dirigirse a una persona o personas específicas para obtener acceso a una organización.

3) La caza de ballenas

El whaling es una técnica muy selectiva que puede comprometer los correos electrónicos de asociados de alto nivel. El objetivo, que es similar a otros métodos de phishing, es engañar a los empleados para que hagan clic en un enlace malicioso. Uno de los ataques de correo electrónico más devastadores que pasan por las redes corporativas es la estafa de whaling. Estos intentos de lucro personal utilizan el poder de persuasión para disminuir la resistencia de las víctimas, engañándolas para que entreguen los fondos de la empresa. El whaling también se conoce como fraude del director general, ya que los atacantes suelen hacerse pasar por personas con cargos de autoridad, como el director general de una empresa.

4) Compromiso del correo electrónico empresarial 

El Business Email Compromise (BEC) es una forma de ciberdelincuencia que puede ser extremadamente costosa para las empresas. Este tipo de ciberataque utiliza el fraude por correo electrónico para influir en los dominios de las organizaciones para que participen en actividades fraudulentas que resultan en el compromiso y el robo de datos sensibles. Los ejemplos de BEC pueden incluir estafas de facturas, suplantación de dominios y otras formas de ataques de suplantación de identidad. Cada año una organización media puede perder hasta 70 millones de dólares por estafas BEC, conozca más sobre las estadísticas de ataques BEC de 2020. En un ataque típico, los estafadores se dirigen a funciones específicas de los empleados dentro de una organización enviando una serie de correos electrónicos fraudulentos que dicen provenir de un colega de alto nivel, un cliente o un socio comercial. Pueden instruir a los destinatarios para que realicen pagos o divulguen datos confidenciales.

5) Phishing de pescadores 

Muchas empresas tienen miles de clientes y reciben cientos de quejas a diario. A través de las redes sociales, las empresas pueden escapar de los confines de sus limitaciones y llegar a sus clientes. Para ello, las empresas suelen utilizar herramientas de gestión de comunidades y gestión de la reputación en línea. Esto permite a una empresa ser flexible y adaptarse a las demandas de sus clientes. El angler phishing consiste en ponerse en contacto con clientes descontentos a través de las redes sociales y hacerse pasar por parte de una empresa. La estafa del angler phishing es una estratagema sencilla utilizada para engañar a los usuarios ocasionales de las redes sociales haciéndoles creer que una empresa está intentando solucionar sus problemas cuando, en realidad, la persona que está al otro lado se está aprovechando de ellos.

Cómo proteger a su organización de la suplantación de identidad y el fraude por correo electrónico

Su proveedor de servicios de correo electrónico puede venir con paquetes de seguridad integrados como parte de su servicio. Sin embargo, estos actúan como filtros de spam que ofrecen protección contra los intentos de phishing entrantes. Sin embargo, cuando los estafadores envían un correo electrónico utilizando su nombre de dominio a las bandejas de entrada de los destinatarios, como en el caso de BEC, whaling y otras formas de ataques de suplantación de identidad enumeradas anteriormente, no servirán de nada. Por ello, es necesario aprovechar las soluciones de autenticación de correo electrónico, como DMARC, de inmediato y pasar a una política de aplicación.

  • DMARC autentifica sus correos electrónicos alineándolos con los estándares de autenticación SPF y DKIM.
  • Especifica a los servidores receptores cómo deben responder a los correos electrónicos que no superan las comprobaciones de autenticación.
  • Los informes agregados de DMARC (RUA) le proporcionan una mayor visibilidad de su ecosistema de correo electrónico y de los resultados de autenticación y le ayudan a supervisar sus dominios fácilmente.
  • Los informes forenses de DMARC (RUF) le ofrecen un análisis en profundidad de los resultados de los fallos de DMARC, lo que le ayuda a responder más rápidamente a los ataques de suplantación de identidad.

¿Cómo puede ayudar PowerDMARC a su marca?

PowerDMARC es más que su proveedor de servicios DMARC, es una plataforma SaaS multi-tenant que proporciona una amplia gama de soluciones de autenticación y programas DMARC MSSP. Hacemos que la autenticación del correo electrónico sea fácil y accesible para todas las organizaciones, desde las pequeñas empresas hasta las multinacionales.

  • Le ayudamos a pasar de p=none a p=reject en un abrir y cerrar de ojos, para proteger su marca de ataques de suplantación de identidad, spoofing de dominios y phishing.
  • Le ayudamos a configurar fácilmente los informes DMARC para su con gráficos y tablas completos y vistas de informes RUA en 6 formatos diferentes para facilitar su uso y ampliar su visibilidad
  • Nos preocupamos por su privacidad, por lo que puede cifrar sus informes DMARC RUF con su clave privada
  • Le ayudamos a generar informes programados en PDF sobre los resultados de la autenticación
  • Proporcionamos una solución de aplanamiento de SPF dinámico como PowerSPF para que nunca supere el límite de 10 búsquedas de DNS
  • Le ayudamos a que el cifrado TLS sea obligatorio en SMTP, con MTA-STS para proteger su dominio de los ataques de vigilancia generalizados
  • Le ayudamos a que su marca sea visualmente identificable en las bandejas de entrada de los destinatarios con BIMI

Regístrese en PowerDMARC hoy mismo para obtener una prueba gratuita de la herramienta de análisis DMARC y pase de una política de supervisión a una de ejecución para proporcionar a su dominio la máxima protección contra los ataques BEC, phishing y spoofing.

El peor tipo de estafa de phishing es el que no se puede ignorar simplemente: como el fraude del CEO. Correos electrónicos supuestamente del gobierno, diciéndole que haga ese pago pendiente relacionado con los impuestos o que se arriesgue a una acción legal. Correos electrónicos que parecen enviados por su escuela o universidad, en los que se le pide que pague esa matrícula que no ha pagado. O incluso un mensaje de tu jefe o director general, diciéndote que les transfieras dinero "como un favor".

¿Qué es el fraude de los directores generales?

El ataque de fraude al director general es una estafa de phishing por correo electrónico en la que los estafadores se hacen pasar por el director general de una empresa en un intento de convencer a los empleados de que les envíen dinero. Los correos electrónicos suelen incluir el nombre real y el título comercial del CEO de la empresa.

El problema de este tipo de correos electrónicos es que se hacen pasar por una figura de autoridad, ya sea el gobierno, la junta directiva de tu universidad o tu jefe en el trabajo. Se trata de personas importantes, e ignorar sus mensajes tendrá casi seguro graves consecuencias. Así que te ves obligado a mirarlos, y si parecen lo suficientemente convincentes, puede que te los creas.

Usted no es inmune al fraude de los directores generales

Una estafa de 2.300 millones de dólares al año es lo que es. Quizá se pregunte: "¿Qué puede hacer que las empresas pierdan tanto dinero por una simple estafa por correo electrónico?". Pero se sorprendería de lo convincentes que pueden ser los correos electrónicos de fraude de los directores generales.

En 2016, Mattel estuvo a punto de perder 3 millones de dólares por un ataque de phishing cuando una ejecutiva de finanzas recibió un correo electrónico del director general en el que se le pedía que enviara un pago a uno de sus proveedores en China. Pero solo después de comprobarlo con el director general se dio cuenta de que nunca había enviado el correo electrónico. Afortunadamente, la empresa colaboró con las fuerzas de seguridad de China y Estados Unidos para recuperar su dinero unos días después, pero eso casi nunca ocurre con estos ataques.

La gente tiende a creer que estas estafas no les van a pasar... hasta que les pasan a ellos. Y ese es su mayor error: no prepararse para el fraude del CEO.

Las estafas de phishing no sólo pueden costar a su organización millones de dólares, sino que pueden tener un impacto duradero en la reputación y la credibilidad de su marca. Corre el riesgo de ser visto como la empresa que perdió dinero por una estafa de correo electrónico y de perder la confianza de sus clientes cuya información personal sensible almacena.

En lugar de luchar para controlar los daños después del hecho, tiene mucho más sentido asegurar sus canales de correo electrónico contra las estafas de phishing selectivo como ésta. Estas son algunas de las mejores maneras de asegurar que su organización no se convierta en una estadística en el informe del FBI sobre BEC.

Cómo prevenir el fraude de los directores generales: 6 sencillos pasos

  1. Eduque a su personal en materia de seguridad
    Este punto es absolutamente crítico. Los miembros de su plantilla, y en especial los de finanzas, deben comprender cómo funciona el compromiso del correo electrónico empresarial. Y no nos referimos sólo a una aburrida presentación de dos horas sobre cómo no escribir la contraseña en un post-it. Tiene que enseñarles a detectar señales sospechosas de que un correo electrónico es falso, a estar atentos a direcciones de correo electrónico falsificadas y a solicitudes anormales que otros miembros del personal parecen estar haciendo a través del correo electrónico.
  2. Estéatento a los signos reveladores de la suplantación de identidad
    Los estafadores por correo electrónico utilizan todo tipo de tácticas para que acceda a sus peticiones. Pueden ser desde solicitudes/instrucciones urgentes para transferir dinero como forma de conseguir que actúe rápidamente y sin pensar, o incluso pedirle acceso a información confidencial para un "proyecto secreto" que los altos cargos no están dispuestos a compartir con usted todavía. Se trata de señales de alarma muy serias, por lo que debes comprobarlo dos y tres veces antes de emprender cualquier acción.
  3. Protéjase con DMARC
    La forma más fácil de evitar una estafa de phishing es no recibir nunca el correo electrónico en primer lugar. DMARC es un protocolo de autenticación de correo electrónico que verifica los correos electrónicos procedentes de su dominio antes de entregarlos. Cuando se aplica DMARC en su dominio, cualquier atacante que se haga pasar por alguien de su propia organización será detectado como un remitente no autorizado, y su correo electrónico será bloqueado de su bandeja de entrada. No tendrá que lidiar con correos electrónicos falsos en absoluto.

Conozca qué es DMARC.

  1. Obtenga una aprobación explícita para las transferencias bancarias
    Ésta es una de las formas más fáciles y sencillas de evitar las transferencias de dinero a las personas equivocadas. Antes de comprometerse con cualquier transacción, obligue a solicitar la aprobación explícita de la persona que solicita el dinero utilizando otro canal que no sea el correo electrónico. En el caso de las transferencias de mayor cuantía, obligue a recibir una confirmación verbal.
  2. Marcarlos correos electrónicos con extensiones similares
    El FBI recomienda que su organización cree reglas del sistema que marquen automáticamente los correos electrónicos que utilicen extensiones demasiado similares a las suyas. Por ejemplo, si su empresa utiliza "123-business.com", el sistema podría detectar y marcar los correos electrónicos que utilicen extensiones como "123_business.com".
  3. Comprarnombres de dominio similares
    Los atacantes suelen utilizar nombres de dominio de aspecto similar para enviar correos electrónicos de phishing. Por ejemplo, si su organización tiene una "i" minúscula en su nombre, podrían utilizar una "I" mayúscula, o sustituir la letra "E" por el número "3". Esto le ayudará a reducir las posibilidades de que alguien utilice un nombre de dominio muy similar para enviarle correos electrónicos.