Puestos

Los profesionales del marketing son los diseñadores de la imagen de marca, por lo que deben conocer estos 5 famosos términos de Phishing, que pueden causar estragos en la reputación de una empresa. El phishing es un tipo de vector de ataque que implica un sitio web o un correo electrónico que parece provenir de una organización de buena reputación, pero que en realidad se crea con la intención de recopilar información sensible como nombres de usuario, contraseñas y detalles de tarjetas de crédito (también conocidos como Card Data). Los ataques de phishing son comunes en el mundo online.

Cuando su empresa es víctima de un ataque de phishing, puede causar daños a la marca e interferir en su clasificación en los motores de búsqueda o en la tasa de conversión. Debería ser una prioridad para los profesionales del marketing protegerse contra los ataques de phishing porque son un reflejo directo de la consistencia de su empresa. Por lo tanto, como vendedores, debemos proceder con extrema precaución cuando se trata de estafas de phishing.

Las estafas de phishing existen desde hace muchos años. No te preocupes si no te has enterado antes, no es culpa tuya. Algunos dicen que la ciberestafa nació hace 10 años, pero el phishing se convirtió oficialmente en un delito en 2004. Como las técnicas de phishing siguen evolucionando, encontrarse con un nuevo correo electrónico de phishing puede resultar rápidamente confuso, y a veces es difícil saber si el mensaje es legítimo o no. Puede protegerse mejor a sí mismo y a su organización estando atento a estas cinco técnicas comunes de phishing.

5 términos comunes de phishing que debe conocer

1) Suplantación de identidad por correo electrónico 

Los correos electrónicos de phishing suelen enviarse de forma masiva desde un dominio que imita a uno legítimo. Una empresa puede tener la dirección de correo electrónico [email protected], pero una empresa de phishing puede utilizar [email protected] El objetivo es engañarle para que haga clic en un enlace malicioso o comparta información sensible, haciéndose pasar por una empresa real con la que hace negocios. Un dominio falso a menudo implica la sustitución de caracteres, como el uso de "r" y "n" uno al lado del otro para crear "rn" en lugar de "m".

Los ataques de phishing evolucionan constantemente y son cada vez más indetectables. Los actores de la amenaza están utilizando tácticas de ingeniería social para suplantar dominios y enviar correos electrónicos fraudulentos desde un dominio legítimo, con fines maliciosos.

2) Spear Phishing 

Un ataque de spear phishing es una nueva forma de ciberataque que utiliza información falsa para acceder a cuentas que tienen un nivel de seguridad más alto. Los atacantes profesionales tienen como objetivo comprometer a una sola víctima, y para llevar a cabo esta idea, investigan el perfil social de la empresa y los nombres y funciones de los empleados dentro de la misma. A diferencia del phishing, el Spear phishing es una campaña dirigida contra una organización o individuo. Estas campañas son cuidadosamente construidas por los actores de la amenaza con el único propósito de dirigirse a una persona o personas específicas para obtener acceso a una organización.

3) La caza de ballenas

El whaling es una técnica muy selectiva que puede comprometer los correos electrónicos de asociados de alto nivel. El objetivo, que es similar a otros métodos de phishing, es engañar a los empleados para que hagan clic en un enlace malicioso. Uno de los ataques de correo electrónico más devastadores que pasan por las redes corporativas es la estafa de whaling. Estos intentos de lucro personal utilizan el poder de persuasión para disminuir la resistencia de las víctimas, engañándolas para que entreguen los fondos de la empresa. El whaling también se conoce como fraude del director general, ya que los atacantes suelen hacerse pasar por personas con cargos de autoridad, como el director general de una empresa.

4) Compromiso del correo electrónico empresarial 

El Business Email Compromise (BEC) es una forma de ciberdelincuencia que puede ser extremadamente costosa para las empresas. Este tipo de ciberataque utiliza el fraude por correo electrónico para influir en los dominios de las organizaciones para que participen en actividades fraudulentas que resultan en el compromiso y el robo de datos sensibles. Los ejemplos de BEC pueden incluir estafas de facturas, suplantación de dominios y otras formas de ataques de suplantación de identidad. Cada año una organización media puede perder hasta 70 millones de dólares por estafas BEC, conozca más sobre las estadísticas de ataques BEC de 2020. En un ataque típico, los estafadores se dirigen a funciones específicas de los empleados dentro de una organización enviando una serie de correos electrónicos fraudulentos que dicen provenir de un colega de alto nivel, un cliente o un socio comercial. Pueden instruir a los destinatarios para que realicen pagos o divulguen datos confidenciales.

5) Phishing de pescadores 

Muchas empresas tienen miles de clientes y reciben cientos de quejas a diario. Gracias a las redes sociales, las empresas pueden escapar de sus limitaciones y llegar a sus clientes. Esto permite a una empresa ser flexible y ajustarse a las demandas de sus clientes. El angler phishing es el acto de llegar a los clientes descontentos a través de las redes sociales y fingir ser parte de una empresa. La estafa del angler phishing es una táctica sencilla que se utiliza para engañar a los usuarios ocasionales de las redes sociales, haciéndoles creer que una empresa está tratando de solucionar sus problemas cuando, en realidad, la persona que está al otro lado se está aprovechando de ellos.

Cómo proteger a su organización de la suplantación de identidad y el fraude por correo electrónico

Su proveedor de servicios de correo electrónico puede venir con paquetes de seguridad integrados como parte de su servicio. Sin embargo, estos actúan como filtros de spam que ofrecen protección contra los intentos de phishing entrantes. Sin embargo, cuando los estafadores envían un correo electrónico utilizando su nombre de dominio a las bandejas de entrada de los destinatarios, como en el caso de BEC, whaling y otras formas de ataques de suplantación de identidad enumeradas anteriormente, no servirán de nada. Por ello, es necesario aprovechar las soluciones de autenticación de correo electrónico, como DMARC, de inmediato y pasar a una política de aplicación.

  • DMARC autentifica sus correos electrónicos alineándolos con los estándares de autenticación SPF y DKIM.
  • Especifica a los servidores receptores cómo deben responder a los correos electrónicos que no superan las comprobaciones de autenticación.
  • Los informes agregados de DMARC (RUA) le proporcionan una mayor visibilidad de su ecosistema de correo electrónico y de los resultados de autenticación y le ayudan a supervisar sus dominios fácilmente.
  • Los informes forenses de DMARC (RUF) le ofrecen un análisis en profundidad de los resultados de los fallos de DMARC, lo que le ayuda a responder más rápidamente a los ataques de suplantación de identidad.

¿Cómo puede ayudar PowerDMARC a su marca?

PowerDMARC es más que su proveedor de servicios DMARC, es una plataforma SaaS multi-tenant que proporciona una amplia gama de soluciones de autenticación y programas DMARC MSSP. Hacemos que la autenticación del correo electrónico sea fácil y accesible para todas las organizaciones, desde las pequeñas empresas hasta las multinacionales.

  • Le ayudamos a pasar de p=none a p=reject en un abrir y cerrar de ojos, para proteger su marca de ataques de suplantación de identidad, spoofing de dominios y phishing.
  • Le ayudamos a configurar fácilmente los informes DMARC para su con gráficos y tablas completos y vistas de informes RUA en 6 formatos diferentes para facilitar su uso y ampliar su visibilidad
  • Nos preocupamos por su privacidad, por lo que puede cifrar sus informes DMARC RUF con su clave privada
  • Le ayudamos a generar informes programados en PDF sobre los resultados de la autenticación
  • Proporcionamos una solución de aplanamiento de SPF dinámico como PowerSPF para que nunca supere el límite de 10 búsquedas de DNS
  • Le ayudamos a que el cifrado TLS sea obligatorio en SMTP, con MTA-STS para proteger su dominio de los ataques de vigilancia generalizados
  • Le ayudamos a que su marca sea visualmente identificable en las bandejas de entrada de los destinatarios con BIMI

Regístrese en PowerDMARC hoy mismo para obtener una prueba gratuita de la herramienta de análisis DMARC y pase de una política de supervisión a una de ejecución para proporcionar a su dominio la máxima protección contra los ataques BEC, phishing y spoofing.

La suplantación de identidad por correo electrónico ha evolucionado a lo largo de los años, pasando de los jugadores que enviaban correos de broma a convertirse en una actividad muy lucrativa para los hackers de todo el mundo.

De hecho, a principios y mediados de los 90, AOL sufrió algunos de los primeros grandes ataques de phishing por correo electrónico. Se utilizaron generadores aleatorios de tarjetas de crédito para robar las credenciales de los usuarios, lo que permitió a los hackers obtener un mayor acceso a la base de datos de toda la empresa AOL.

Estos ataques se desactivaron cuando AOL actualizó sus sistemas de seguridad para evitar más daños. Esto llevó a los piratas informáticos a desarrollar ataques más sofisticados utilizando tácticas de suplantación de identidad que todavía se utilizan ampliamente en la actualidad.

Si saltamos a la actualidad, los ataques de suplantación de identidad que han afectado recientemente a la Casa Blanca y a la OMS demuestran que cualquier entidad es, en un momento u otro, vulnerable a los ataques por correo electrónico.

Según el informe de investigación de violaciones de datos de 2019 de Verizon, aproximadamente el 32% de las violaciones de datos experimentadas en 2019 incluyeron phishing de correo electrónico e ingeniería social, respectivamente.

Con esto en mente, vamos a echar un vistazo a los diferentes tipos de ataques de phishing y por qué suponen una gran amenaza para su negocio hoy en día.

Empecemos.

1. Falsificación del correo electrónico

Los ataques de suplantación de identidad por correo electrónico se producen cuando un hacker falsifica el encabezado del correo electrónico y la dirección del remitente para que parezca que el correo electrónico procede de alguien de confianza. El objetivo de un ataque de este tipo es engatusar al destinatario para que abra el correo y posiblemente haga clic en un enlace o inicie un diálogo con el atacante

Estos ataques se basan en gran medida en técnicas de ingeniería social, en lugar de utilizar métodos de hacking tradicionales.

Esto puede parecer un enfoque poco sofisticado o de "baja tecnología" para un ciberataque. En realidad, sin embargo, son extremadamente eficaces para atraer a la gente a través de correos electrónicos convincentes enviados a empleados desprevenidos. La ingeniería social no se aprovecha de los fallos de la infraestructura de seguridad de un sistema, sino de la inevitabilidad del error humano.

Echa un vistazo:

En septiembre de 2019, Toyota perdió 37 millones de dólares por una estafa por correo electrónico.

Los piratas informáticos lograron falsificar una dirección de correo electrónico y convencer a un empleado con autoridad financiera para que alterara la información de la cuenta para una transferencia electrónica de fondos.

Lo que supone una pérdida masiva para la empresa.

2. Compromiso del correo electrónico empresarial (BEC)

Según el Informe de Delitos en Internet 2019 del FBI, las estafas BEC dieron lugar a más de 1,7 millones de dólares y representaron más de la mitad de las pérdidas por ciberdelincuencia experimentadas en 2019.

El BEC se produce cuando un atacante accede a una cuenta de correo electrónico empresarial y la utiliza para hacerse pasar por el propietario de esa cuenta con el fin de causar daños a una empresa y a sus empleados.

Esto se debe a que el BEC es una forma muy lucrativa de ataque por correo electrónico, que produce altos rendimientos para los atacantes y por lo que sigue siendo una amenaza cibernética popular.

Un pueblo de Colorado perdió más de un millón de dólares por una estafa BEC.

El atacante rellenó un formulario en el sitio web local en el que solicitaba a una empresa de construcción local que recibiera pagos electrónicos en lugar de recibir los cheques habituales por los trabajos que estaban realizando en la ciudad.

Un empleado aceptó el formulario y actualizó la información de pago y, como resultado, envió más de un millón de dólares a los atacantes.

3. Compromiso del correo electrónico del proveedor (VEC)

En septiembre de 2019, Nikkei Inc. el mayor medio de comunicación de Japón, perdió 29 millones de dólares.

Un empleado de la oficina estadounidense de Nikkei transfirió el dinero siguiendo las instrucciones de los estafadores, que se hicieron pasar por un ejecutivo de la dirección.

Un ataque VEC es un tipo de estafa por correo electrónico que compromete a los empleados de una empresa proveedora. Como nuestro ejemplo anterior. Y, por supuesto, resulta en enormes pérdidas financieras para la empresa.

¿Qué pasa con DMARC?

Las empresas de todo el mundo están aumentando sus presupuestos de ciberseguridad para limitar los ejemplos que hemos enumerado anteriormente. Según IDC, se prevé que el gasto mundial en soluciones de seguridad alcance los 133.700 millones de dólares en 2022.

Pero lo cierto es que la adopción de soluciones de seguridad para el correo electrónico como DMARC es lenta.

La tecnología DMARC llegó a la escena en 2011 y es eficaz para prevenir los ataques BEC dirigidos, que como sabemos son una amenaza probada para las empresas de todo el mundo.

DMARC funciona tanto con SPF como con DKIM, lo que le permite determinar qué acciones deben tomarse contra los correos electrónicos no autentificados para proteger la integridad de su dominio.

LEA: ¿Qué es el DMARC y por qué su empresa debe incorporarse hoy mismo?

Cada uno de los casos anteriores tenía algo en común: la visibilidad.

Esta tecnología puede reducir el impacto que la actividad de phishing por correo electrónico puede tener en su empresa. He aquí cómo:

  • Mayor visibilidad. La tecnología DMARC envía informes para proporcionarle una visión detallada de la actividad del correo electrónico en su empresa. PowerDMARC utiliza un potente motor de Inteligencia de Amenazas que ayuda a producir alertas en tiempo real de ataques de suplantación de identidad. Esto se combina con la elaboración de informes completos, lo que permite a su empresa tener una mayor visión de los registros históricos de un usuario.
  • Mayor seguridad del correo electrónico. Podrá hacer un seguimiento de los correos electrónicos de su empresa para detectar cualquier amenaza de suplantación de identidad y phishing. Creemos que la clave de la prevención es la capacidad de actuar rápidamente, por lo tanto, PowerDMARC tiene centros de operaciones de seguridad 24/7 en el lugar. Tienen la capacidad de retirar los dominios que abusan de su correo electrónico inmediatamente, ofreciendo a su empresa un mayor nivel de seguridad.
    El mundo está inmerso en la pandemia de COVID-19, pero esto sólo ha proporcionado una amplia oportunidad para que los hackers se aprovechen de los sistemas de seguridad vulnerables.

Los recientes ataques de suplantación de identidad tanto a la Casa Blanca como a la OMS ponen de manifiesto la necesidad de un mayor uso de la tecnología DMARC.

 

A la luz de la pandemia de COVID-19 y el aumento del phishing en el correo electrónico, queremos ofrecerte 3 meses de protección DMARC GRATIS. Simplemente haz clic en el botón de abajo para empezar ahora mismo 👇.