Según ESET Threat Report D1 2022, las amenazas por correo electrónico experimentaron un aumento del 2022 % en los primeros cuatro meses de 37. Las estafas de phishing utilizan tácticas de correo electrónico falso para engañar a los atacantes para que instalen malware, roben credenciales y engañen a los usuarios para que realicen transferencias de dinero corporativas. Los estafadores utilizan técnicas de ingeniería social diseñadas para hacer que el comprador se apresure a actuar sin pensar.
Estas tácticas incluyen:
- Uso de ID/dominios/números de teléfono de remitente falsos y, a veces, errores tipográficos o nombres de dominio internacionalizados (IDN)
- Cuentas de remitentes secuestradas que son casi imposibles de detectar como intentos de phishing,
- Investigación en línea (a través de las redes sociales) para hacer que los intentos de phishing sean más creíbles
- Logotipos oficiales, encabezados, pies de página, etc. usar,
- Crear una sensación de urgencia o emoción que empuja al usuario a tomar decisiones precipitadas.
- Enlaces acortados que ocultan el verdadero destino del remitente,
- Portales de entrada de aspecto legítimo, sitios web, etc. creación.
Según el último informe DBIR de Verizon, cuatro vectores fueron responsables de la mayoría de los incidentes de seguridad el año pasado: credenciales, phishing, exploits y botnets. Los dos primeros tratan sobre el error humano. Una cuarta parte (25 %) del total de infracciones examinadas en el informe fueron el resultado de ataques de ingeniería social. Combinado con los errores humanos y el abuso de privilegios, el elemento humano representó el 82% de todas las violaciones.
Los trabajadores domésticos y distraídos con dispositivos mal protegidos han sido atacados brutalmente por los actores de amenazas. En abril de 2020, Google afirmó bloquear hasta 18 millones de correos electrónicos maliciosos y de phishing en todo el mundo todos los días.
A medida que muchos de estos empleados regresan a la oficina, también existe el riesgo de que estén expuestos a más ataques de phishing basados en llamadas de voz y smishing por SMS. Es más probable que los usuarios en movimiento hagan clic en enlaces y abran archivos adicionales que no deberían. Esto puede llevar a:
- descargas de ransomware,
- troyanos bancarios,
- Robo/violaciones de datos,
- malware de criptominería,
- implementaciones de botnets,
- Cuentas pirateadas para su uso en ataques posteriores,
- Interceptación de correos electrónicos comerciales (BEC) que resulta en pérdida de dinero debido a facturas/solicitudes de pago fraudulentas.
Si bien el costo promedio de una violación de datos es de más de $ 4,2 millones, que es un récord hoy en día, algunas violaciones de ransomware cuestan varias veces más.
El Gerente de Producto y Marketing de ESET Turquía, Can Erginkurban, enfatizó que la capacitación siempre es importante y dijo: “Se debe realizar capacitación regular para prevenir ataques contra los empleados. La capacitación en concientización sobre el phishing debe ser solo una parte de una estrategia de varios niveles para combatir las amenazas de ingeniería social. Incluso el personal más capacitado a veces puede ser víctima de estafas sofisticadas. Es por eso que los controles de seguridad también son importantes. Si desea proteger a su organización contra los ataques de phishing, definitivamente debe apoyar a sus empleados con capacitaciones”. dijo.
Sé el primero en comentar