A medida que avanza el año, asimismo avanzan las estafas de ingeniería social. Sabemos que estas estafas van en aumento, pero ¿qué son exactamente y cómo protegemos a nuestras empresas de ellas? Veamos dos estafas comunes de ingeniería social que esperamos ver en el cuarto trimestre de 2024 y analicemos formas de mantenernos seguros para poder estar preparados.
Estafas que comprometen el correo electrónico empresarial
El FBI afirma que las estafas de compromiso de correo electrónico empresarial (BEC) son “uno de los delitos en serie más perjudiciales desde el punto de instinto financiero”. En una estafa BEC, los actores maliciosos enviarán un correo electrónico que supuestamente proviene de una fuente conocida, lo que hace que parezca una solicitud legítima. El FBI proporciona los siguientes ejemplos:
Un proveedor con el que su empresa tráfico regularmente envía una cuenta con una dirección postal actualizada.
- La directora ejecutiva de una empresa le pide a su asistente que compre docenas de tarjetas de regalo para enviarlas como galardón a los empleados. Solicita los números de serie para poder enviarlos por correo electrónico de inmediato.
- Un comprador de vivienda recibe un mensaje de su compañía de títulos con instrucciones sobre cómo transferir su cuota auténtico.
¿Cuáles son las formas en que podemos protegernos de estas estafas? El FBI ofrece los siguientes consejos:
- No haga clic en nadie en un correo electrónico o mensaje de texto no solicitado que le solicite modernizar o realizar la información de la cuenta. Busque el número de teléfono de la empresa por su cuenta (no utilice el que le proporciona un posible estafador) y llame a la empresa para preguntar si la solicitud es legítima.
- Examine cuidadosamente la dirección de correo electrónico, la URL y la ortografía en cualquier correspondencia.
- Ten cuidado con lo que descargas. Nunca cala un archivo adjunto de correo electrónico de determinado que no conoce y tenga cuidado con los archivos adjuntos que se le reenvían.
- Verifique las solicitudes de cuota y operación en persona, si es posible, o llamando a la persona para cerciorarse de que sea legítima. Debe realizar cualquier cambio en el número de cuenta o en los procedimientos de cuota con la persona que realiza la solicitud.
Estafas de vishing e inteligencia sintético
Si ha estado en Internet durante los últimos meses, sin duda habrá notado que la IA se menciona en casi todas partes. Una cosa es segura: la IA está aquí y llegó para quedarse. La IA incluso se ha utilizado en relación con estafas de vishing (o phishing de voz). Los delincuentes están aprovechando la IA generativa para clonar voces y utilizarlas en ataques de vishing. Han estado llegando informes de atacantes que se hacen acontecer por miembros de la tribu que necesitan metálico. En un caso, un atacante llamó a determinado haciéndose acontecer por su nieta. El individuo atacado estaba tan convencido de que se trataba de su nieta que le dio su metálico al atacante. Desafortunadamente, podemos esperar que casos como este aumenten en cantidad. Adicionalmente, estas mismas técnicas se pueden utilizar para hacerse acontecer por el director ejecutante, apoderado u otros empleados de su empresa con camino privilegiado.
¿Qué pasa con el vishing sin el uso de IA? ¿Es una amenaza? Vimos esto demostrado en un ejemplo del mundo actual con el ciberataque de MGM Resorts. Este ataque, que le costó a MGM más de 100.000.000 de dólares, comenzó con una emplazamiento vishing al servicio de presencia técnica de la ordenamiento. Utilizando información extraída de las redes sociales, el atacante se hizo acontecer por un empleado de MGM Resorts. Finalmente, este atacante pudo beneficiarse esta información para obtener derechos de administrador e implementar ransomware. Esto muestra claramente el peligro del vishing, incluso sin el apoyo de la IA.