Correo electrónico de phishing y videollamada deepfake
Un ataque de ingeniería social asistido por IA engañó a un trabajador financiero de una empresa multinacional para que pagara 200 millones de dólares de Hong Kong, unos 25,6 millones de dólares estadounidenses.
Este pulido ataque comenzó con un correo electrónico. Un trabajador financiero recibió un correo electrónico, supuestamente del director financiero (CFO) de la empresa con sede en el Reino Unido, solicitando una transacción financiera secreta. El trabajador de finanzas sospechó que el correo electrónico era un intento de phishing adecuado a la solicitud de transacción secreta. Sin incautación, las sospechas del trabajador financiero se disiparon tras una videollamada del supuesto director financiero. ¿Qué disipó sus dudas? Las personas que asistieron a la videollamada parecían y sonaban como colegas que el trabajador de finanzas reconoció. El trabajador de finanzas creía que todos los participantes en la convocatoria eran reales. Entonces, al tener lo que creía que era una confirmación visual, el trabajador de finanzas accedió a realizar el cuota.
Sin incautación, CADA PERSONA que el trabajador de finanzas vio en la videoconferencia de varias personas era FALSA.
Escuche a Chris Hadnagy, director ejecutante de Social-Engineer, LLC, dialogar sobre este ataque en el Podcast de Social-Engineer: The SE Etc. Series – Episodio 248.
Malware de banca móvil que captura datos faciales
Un nuevo tipo de malware troyano descubierto por la empresa de ciberseguridad Group-IB es el primero de su tipo en capturar datos faciales con el fin de irrumpir en cuentas bancarias. El malware, llamado GoldPickaxe, es capaz de compendiar documentos de identidad, datos de inspección facial e interceptar SMS.
Las campañas de ingeniería social que distribuyen el malware GoldPickaxe están dirigidas a Asia-Pacífico. A los posibles objetivos se les envían mensajes de phishing o smishing, escritos en su idioma tópico, haciéndose ocurrir por autoridades o servicios gubernamentales a través de la aplicación LINE (una aplicación de correo). Los mensajes intentan engañarlos para que instalen aplicaciones fraudulentas, como una aplicación falsa de ‘Pensión Digital’ alojada en sitios web que se hacen ocurrir por Google Play. Los investigadores de seguridad de IB-Group informan que si se descarga la aplicación falsa, GoldPickaxe solicita a la víctima que grabe un vídeo como método de confirmación en la aplicación falsa. El vídeo aguafuerte se utiliza luego como materia prima para la creación de vídeos deepfake facilitados por servicios de inteligencia fabricado de intercambio de rostros.
Prueba. Educar. Proteger.
A medida que avanza la tecnología, incluso lo hacen las tácticas de los actores maliciosos. Ahora estamos viendo sofisticados ataques de ingeniería social que combinan métodos tradicionales como el phishing con tecnología de inteligencia fabricado. Es crucial que las personas y las organizaciones se mantengan alerta e implementen medidas de seguridad para guarecerse contra estos ataques híbridos. Nuestros programas de servicios administrados, Vishing, Phishing, SMiShing y Evaluaciones de seguridad, probarán, educarán y protegerán la primera carrera de defensa de su empresa: sus empleados. Aplicamos metodologías científicamente probadas para descubrir vulnerabilidades, fijar riesgos y proporcionar soluciones. Los compromisos se centran en la simulación de ataques de ingeniería social y determinan la posibilidad de que los activos corporativos sean violados y comprometidos.
Asóciese con nosotros y fortalezca su postura de seguridad. Por cortesía contáctenos hoy para una consulta.
Incluso te puede interesar
Ataques de phishing e IA
Ataques de vishing e IA