Estos son los diez 'ganchos' de más éxito en las campañas de phishing contra empresas

  • Actualidad

Los ataques de phishing siguen una estela ascendente desde hace tiempo y, con la pandemia y el teletrabajo, han aumentado. La firma de seguridad Sophos ha analizado los cebos más exitosos que utilizan los ciberdelincuentes en sus campañas para romper las barreras de seguridad de las empresas, utilizando a su eslabón más débil: el empleado.

Recomendados: 

Los desastres ocurren... ¿tienes un plan de continuidad de negocio? Webinar

Ransomware desde el punto de vista empresarial Leer

Panda Security Report. Sodinokibi Leer 

Secure&IT. Seguridad 360º Leer 

Esta nueva investigación de Sophos ha seleccionado los cebos utilizados en los ataques de phishing en los que más pican los empleados de las empresas, en una llamada de atención a las empresas para que refuercen la seguridad de los usuarios, y los conciencien sobre la importancia de la seguridad.

Por orden de importancia, los ganchos más exitosos en el último año han sido los siguientes:

- Código de conducta. El empleado recibe una carta de RRHH que expone los nuevos códigos de conducta de la compañía. Dado que la mayoría del personal sabe que es un contenido de lectura obligatoria, es la estafa en la que más caen los empleados.

- Resumen del cierre fiscal retrasado. Este email notifica al personal que su documentación fiscal va a llegar con retraso y facilita un enlace en el que conocer de cuánto tiempo se trata ese retraso. Dada la relevancia de esta información, son muchos los trabajadores que pinchan en el enlace para saber qué pasará con su documentación.

- Mantenimiento programado del servidor. Aunque resulte sorprendente que esta amenaza se sitúe en el número 3, ya que es probable que muchos trabajadores ignoren este tipo de mensajes, el teletrabajo ha cambiado algunas conductas y saber cuándo se puede interrumpir el acceso es ahora más relevante.

- Tiene una nueva tarea. Esta amenaza se trata de un phishing semi-dirigido ya que el administrador simula utilizar el programa interno que utilice la empresa para que no sea tan obvia la amenaza. Hay que tener en cuenta que los cibercriminales manejan la mayoría de las herramientas empresariales y pueden utilizarlas en tu contra.

- Nueva prueba del sistema de correo electrónico. Solo requiere de un clic rápido en un email para ayudar a un compañero. Las probabilidades de que al menos alguien pinche en el enlace son altas.

- Actualización de la política de vacaciones. La crisis del coronavirus ha obligado a muchas empresas a cambiar sus políticas de vacaciones. Esta información es de alto interés para toda la plantilla por lo que también es un riesgo importante.

- ¿Te has dejado las luces encendidas? En este mensaje, el administrador del edificio informa de que uno de los coches de los trabajadores se ha quedado con las luces encendidas. Al recibir un enlace en el que acceder a la imagen del vehículo en cuestión podría parecer sospechoso, pero también puede pensarse que es un protocolo de GDPR. Muchos trabajadores pincharan solo para asegurarse de que no es su vehículo.

- Fallo en la entrega del servicio de mensajería. Este es un truco probado y comprobado que los cibercriminales han usado durante años. Hoy en día, es especialmente creíble debido al aumento de compras por internet y de envío a domicilio. Como en la mayoría de los casos, es el vendedor quién selecciona la empresa de mensajería con la que trabaja es fácil que los trabadores piquen al estar esperando un envío y no saber exactamente que empresa lo entregará.

- Documento seguro. Este truco es ampliamente utilizado en las estafas de phishing, en el que se envió un documento seguro por parte del equipo de RRHH con una razón plausible para acceder a él. El email trata de convencerte de que introduzcas las contraseñas donde normalmente no habría porqué hacerlo o te solicitan un ajuste de configuración de tu ordenador para “mejorar tu seguridad” cuando es todo lo contrario.

- Mensaje de redes sociales. Las notificaciones simuladas de redes sociales son cebos muy utilizados. En este caso se trata de una notificación de LinkedIn con el mensaje “Tienes mensajes no leídos de [cualquier nombre]”.