El phishing no decrece: cada día se envían 6.400 millones de emails fraudulentos
- Vulnerabilidades
Si además tenemos en cuenta que según Cofense, un 91% de todos los ciberataques comienzan con un mail de phishing, no cabe duda de la peligrosidad de estas estafas.
Los empleados envían y reciben cada día decenas de emails y entre ellos hay cada vez más correos falsos que pueden causar multitud de problemas para sus empresas. Así lo demuestra el informe 2018 Email Fraud Landscape, que señala que cada día se envían 6.400 millones de emails fraudulentos. Si además tenemos en cuenta que según Cofense, un 91% de todos los ciberataques comienzan con un mail de phishing, no cabe duda de la peligrosidad de estas estafas.
Una de las más peligrosas es la estafa BEC (Business Email Compromise), un tipo de ataque de phishing donde el ciberatacante se hace pasar por un cliente o proveedor e intenta obtener dinero de ello. A diferencia de la mayoría de ataques de phishing, que se basan en envíos masivos e indiscriminados, las estafas BEC suelen buscar perfiles individuales muy concretos. En este sentido, hay un tipo de estafa BEC más sofisticada conocida como “el fraude del CEO”, en el que el ciberatacante se hace pasar por el máximo responsable de la compañía. El objetivo es hacer el mail lo más creíble posible.
Las estafas BEC añaden un sentimiento de urgencia y autoridad, especialmente las que son de tipo fraude del CEO, ya que nadie quiere ponerse en un compromiso delante del jefe. Los ciberdelincuentes se aprovechan de ello y por eso son tan peligrosas y costosas para las empresas: de acuerdo con datos del FBI, han supuesto un coste total para las compañías de más de 12.000 millones de dólares desde 2013.
Según Panda Security, el primer elemento a tener en cuenta para evitar los ataques de phishing es sentido común y calma antes de dar un paso en falso. Otras maneras de evitar los ataques por email incluyen hacer simulacros de phishing para que los empleados aprendan a distinguirlos; aplicar detección de ingeniería social, con el fin de que los empleados se planteen preguntas antes de responder al email; y cifrado de emails, para evitar el robo de información sensible.
Estas prácticas son también válidas para las estafas BEC, pero no son suficientes. Al tratarse de un tipo de phishing tan personalizado, es conveniente verificar de todas las formas posibles la procedencia del email, y comprueben el contenido del email con su compañero sospechoso de haber sido suplantado o el CEO, ya sea mediante el teléfono o de manera presencial.