Existe un sin número de posibilidades para que los cibercriminales ingresen a las organizaciones, sin embargo, los eslabones más débiles de la cadena pueden ser los empleados y a su vez el correo electrónico. A medida que las personas se vuelven más hábiles para reconocer correos fraudulentos, los criminales se han especializado para incluir información personal o detalles muy específicos relacionado con la vida personal o laboral de la víctima, lo que incrementa la probabilidad de que estos correos se consideren verdaderos.
La BBC informó que una compañía de medios con sede en Escocia ahora está demandando a un ex empleado que cayó en una estafa de Compromiso de Correo Electrónico Comercial (BEC). En la estafa, el empleado recibió correos electrónicos que parecían ser del director general y solicitó transferencias bancarias. El empleado intercambió correos con su gerente de línea a quien le realizó un primer pago y luego realizó tres pagos subsiguientes mientras su jefe directo estaba de vacaciones. En total, £$193.250 fueron transferidos a los estafadores. La compañía recuperó £$85.000 de su banco e interpuso una demanda al empleado, quien ya había sido despedido por el incidente y adicional, se le cobró el saldo restante de £$108.000 puesto que ignoró una advertencia de seguridad del banco sobre las estafas de las transferencias bancarias.
Por esta razón, Trend Micro Incorporated, líder global en soluciones de ciberseguridad, presenta algunas recomendaciones para dejar de culpar a las víctimas de las estafas de correo electrónico y, en su lugar, implementar la capacitación a los usuarios y dar a conocer los controles de seguridad y de proceso, para evitar que se produzcan estafas de BEC.
Entrena a tus empleados, es gratis
Según el ejemplo anterior, el empleado afirmó que nunca recibió capacitación de la compañía sobre cómo detener un fraude en línea. Es importante asegurarse de que sus empleados estén al tanto de estos ataques y puedan buscar signos de que el correo que reciben podría ser un fraude. Capacítelos para que no respondan, o abran un archivo adjunto o eventualmente hagan clic en un enlace cuando un correo electrónico sea sospechoso o inesperado.
La simulación gratuita de phishing y la capacitación del usuario están disponibles con Trend Micro Phish Insight. Con él, puede enviar correos electrónicos de prueba de phishing a sus usuarios, recompensar y reconocer a los empleados que identifican los correos electrónicos como sospechosos y ofrecer capacitación a quienes más lo necesitan.
Prevenga las estafas de BEC con Email Security
Los correos electrónicos de BEC generalmente no tienen un archivo adjunto malicioso o URL maliciosas, puesto que se basan únicamente en la ingeniería social. Cloud App Security para Office 365 utiliza dos métodos de AI para detectar fraudes BEC. El primero es un sistema de reglas que se basa en la ingeniería social y los comportamientos de los atacantes. Entre las reglas, hay una que busca coincidencias tanto de los nombres como el de los usuarios de alto perfil para mostrar al remitente cuando el correo electrónico proviene de un dominio de cuenta gratuita.
El segundo es Writing Style DNA, el cual se emplea para identificar los intentos de suplantación más difíciles de detectar. Este sistema crea un modelo de IA sobre el estilo de escritura de usuarios de alto perfil, se crea extrayendo metadatos de correos electrónicos enviados previamente, así que cuando llega un correo electrónico con un nombre coincidente o similar a un usuario de alto perfil, el sistema de estilo de la escritura compara con el modelo para identificar el alto perfil del usuario. Puedes ver cómo funciona en este breve video.
Los empleados y la seguridad en el Teletrabajo
El teletrabajo no es nuevo, pero para muchas compañías en esta coyuntura del COVID-19, el porcentaje de colaboradores bajo esta modalidad ha aumentado significativamente y a gran velocidad, lo que significa un gran impacto en los planes de implementación de una nueva infraestructura y la identificación de novedosos procesos para hacerlo de forma idónea y segura.
La continuidad del negocio debe ir a la par de la implementación de estas nuevas estrategias donde la tecnología y la educación de los empleados es crucial. En la situación actual, las actividades de los empleados dependen en mayor medida de las herramientas digitales como correo electrónico, social media, videoconferencias, entre otras, lo que representa el escenario perfecto para que los cibercriminales incrementen la cantidad y precisión de los ataques.
Así que estos riesgos pueden mitigarse teniendo en cuenta los siguientes consejos:
- Ofrezca a sus trabajadores remotos las herramientas de seguridad y productividad necesarias para protegerse y cuidar sus recursos de TI no corporativos.
- Incluya una cuenta de almacenamiento en la nube que sea administrada por la empresa, para proteger los documentos de trabajo, así se evitará que los empleados encuentren versiones gratuitas que no sean seguras.
- Permita que los clientes y socios de la cadena de suministro interactúen con usted de manera segura.
- Motive a sus empleados para que verifiquen las fuentes de información sobre los mensajes que reciban y así evitar caer en actos de ciberdelincuencia.