Una nueva estrategia de phishing se propaga por la red; de enero de 2015 a diciembre de 2016 los ataques aumentaron 1.300%.
Easy Solutions alertó sobre el creciente uso del BEC, una nueva forma de phishing que tiene por objetivo estafar a empresas y empleados, a través del mecanismo Afectación de Emails Corporativos (BEC por su sigla en inglés) en el que los atacantes pretenden ser ejecutivos u oficiales financieros de una organización con el fin de obtener acceso a fondos o información sensible.
María Lobato, directora de Marketing en Easy Solutions, explicó que, entre enero de 2015 y diciembre de 2016, los ataques BEC aumentaron en 1.300% y que entre octubre de 2013 y junio de 2016 los criminales intentaron robar más de 5.300 millones de dólares en esquemas BEC. Sin embargo, desde 2016, el número de sitios de phishing aumento 250%; su bajo costo operacional, combinado con el poco conocimiento técnico necesario, hace de esta una estrategia muy llamativa para los criminales.
El spearphishing es una forma de phishing en donde los atacantes seleccionan cuidadosamente a sus víctimas y utilizan ingeniería social para adaptar cada ataque según la identidad de la víctima a quién va dirigido. Gracias a ese proceso de investigación, los atacantes aciertan en sus operaciones, pues llegan al punto de estudiar el intercambio de mensajes corporativos para que estos parezcan auténticos.
El phishing es una de las formas más antiguas de fraude digital, se propaga por correo electrónico y el 97% de las personas asegura no reconocer un email con phishing, mientras el 30% de los correos que se envían con estas características, son abiertos por sus destinatarios.
Un plan de seguridad multinivel puede reducir el riesgo de las empresas ante estos ataques. Si bien educar a los usuarios finales sobre cómo identificar correos y sitios web falsificados resulta útil, se debe implementar un protocolo de autenticación de emails; sacar provecho de la autenticación multifactorial para reducir el riesgo de brecha de cuentas y asociarse con un proveedor que monitoree, detecte y desactive usos fraudulentos o maliciosos.