ARTÍCULO DEL BLOG
- 5 minutos de lectura
Cuidado con los ingenieros sociales: 3 ataques de alto perfil que no puedes ignorar
Mientras las noticias sobre otra preocupante filtración de datos del Pentágono ocupan los titulares de todo el mundo, analizamos tres ataques de ingeniería social de gran repercusión y lo que nos enseñan.
While the exact number of social engineering attacks globally is difficult to determine, the 2022 Verizon Data Breach Incidents Report suggests 82% of breaches involve humans.
Los sectores más específicos
En el Informe de Tendencias de Actividad de Phishing para el 3er Trimestre de 2022, el número total de ataques de phishing alcanzó un récord de 1 270 0883, lo que equivale al peor trimestre para ataques de phishing jamás observado.
En términos de industrias objetivo, el informe encontró que los ataques contra el sector financiero seguían siendo los más grandes, representando el 23,2% de todo el phishing, mientras que los ataques contra webmail y Software-as-a-Service (SaaS) llegaron al 17%; y los ataques minoristas/eCommerce llegaron al 4,1%. Matthew Harris, Director de Producto de OpSec Security, también señaló que: "El sector de Logística y Envíos experimentó un gran aumento del volumen de fraude, liderado específicamente por un gran aumento del phishing contra el Servicio Postal de EE.UU."
En cuanto a las amenazas basadas en el correo electrónico, John Wilson, Senior Fellow en Investigación de Amenazas de Fortra, señaló que hubo un "aumento del 488% en los ataques de correo electrónico basados en respuestas en el tercer trimestre de 2022 en comparación con el segundo". Un aumento tan pronunciado y significativo demuestra aún más la necesidad de medidas de seguridad adicionales para detener la creciente ola de estafas por correo electrónico que representan una grave amenaza para las organizaciones en casi todas las industrias.
Estafas inspiradas en la Copa Mundial de la FIFA 2018
Por lo general, los ciberdelincuentes tienden a aprovechar la expectación que rodea a los eventos mundiales y nacionales para realizar negocios lucrativos, ¡y la Copa Mundial de la FIFA Rusia 2018 no fue una excepción! En el período previo al evento, innumerables estafadores se dirigieron a los aficionados al fútbol de todo el mundo con correos electrónicos de phishing con temática de la Copa Mundial, en particular cada vez que se abría la venta de entradas para los partidos.
Los investigadores de Kapersky Lab informaron: "Cada vez que se ponían a la venta las entradas, los estafadores enviaban spam y activaban clones de páginas y sitios oficiales de la FIFA que ofrecían falsos regalos supuestamente de empresas colaboradoras. Y a medida que se acercaba el acontecimiento, las estafas cibernéticas alcanzaban su punto álgido".
En cuanto a las formas que adoptaban las estafas, incluían correos electrónicos de phishing que ofrecían regalos de entradas o la posibilidad de ganar un viaje a un partido; correos falsos enviados fraudulentamente en nombre de la FIFA y sus patrocinadores; sitios web falsos y clonados destinados a robar credenciales personales, financieras y de tarjetas bancarias; y tácticas de ingeniería social que ofrecían tentadoras "ofertas especiales" para atraer a las víctimas a abrir archivos adjuntos y descargar malware.
The FIFA World Cup’s phishing and spoofing attacks show the need for extra security measures due to the prevalence of “too-good-to-be-true” scams.
Atraco a un banco en Bangladesh
En febrero de 2016, salieron a la luz informes sobre la sustracción de 81 millones de dólares de cuentas del Bangladesh Bank en tan solo unas horas. Considerado uno de los mayores robos bancarios de todos los tiempos, lo que diferenció a este ataque fue la diferencia en la táctica. Tradicionalmente, los ataques bancarios consistían en robar las credenciales de acceso de los titulares de las cuentas para acceder a sus fondos. En el caso del Bangladesh Bank, los ciberdelincuentes se dirigieron al propio banco y utilizaron las credenciales SWIFT de los empleados para enviar más de tres docenas de solicitudes fraudulentas de transferencia de dinero al Banco de la Reserva Federal de Nueva York, transfiriendo millones de los fondos del banco a cuentas en Filipinas, Sri Lanka y otras partes de Asia.
Los piratas informáticos accedieron a la red del banco a través de un correo electrónico de phishing que contenía malware diseñado para cubrir sus huellas. Un golpe de fortuna en forma de "error" de impresora ayudó al Banco a descubrir el atraco y tomar medidas para evitar la pérdida de otros 850 millones de dólares. Los piratas informáticos podrían haberse llevado más de no ser por un error tipográfico en la palabra "foundation" (que los piratas escribieron erróneamente como "fandation") en una de las solicitudes de transferencia de dinero, del que se percató el Banco de la Reserva Federal de Nueva York.
Para el sector bancario y otros sectores y organizaciones afines, la brecha fue una mala noticia porque puso de manifiesto las vulnerabilidades de la red SWIFT y de los procesos bancarios mundiales. Los piratas informáticos demostraron que eran capaces de socavar el sistema que, hasta 2016, se había considerado a prueba de balas.
Cuando dos gigantes tecnológicos perdieron millones
Puede resultar sorprendente, pero incluso los gigantes tecnológicos, como Facebook y Google, son susceptibles de ser víctimas de un ataque de phishing, y en este caso les costó a cada uno de ellos más de 100 millones de dólares, transferidos a un hacker residente en Lituania.
Un ejemplo de libro de texto de phishing dirigido, los ataques consistieron en dirigirse a empleados específicos con correos electrónicos fraudulentos enviados desde cuentas de correo electrónico falsas diseñadas para parecer enviadas por un proveedor chino auténtico. Los correos también contenían facturas falsas adjuntas, y los empleados que los recibían respondían simplemente ingresando dinero en las cuentas bancarias de la empresa falsa.
Aunque lo insólito de la historia es que se descubrió al pirata informático y se recuperó parte de los fondos, sirve como un recordatorio más de por qué siguen produciéndose estos ataques -y tienen éxito-, y es por culpa de las personas.
Resulta preocupante que, aunque los empleados de estas empresas hubieran recibido formación sobre cómo identificar los ataques de phishing y spear phishing, puede que no hubiera sido suficiente. Un estudio muestra que los participantes que recibieron una formación exhaustiva mostraron muy pocos cambios de comportamiento tres meses después, y seguían exponiéndose al robo de credenciales y a las estafas de phishing.
Cuando se trata del reto de la ciberseguridad, sus sistemas son tan fuertes como su eslabón más débil, y basta un error humano para comprometer seriamente un sistema.
Dado el papel central que desempeña el ser humano en el éxito de los ciberataques, es más importante que nunca invertir en sistemas de seguridad que mitiguen el riesgo a la hora de proteger una organización y a sus empleados. DMARC es un protocolo que merece la pena implantar, ya que evita los mismos ataques de suplantación de identidad y phishing por correo electrónico que provocaron estos tres casos de estudio.
Descubra cómo podemos ayudar a su organización a proteger su dominio de correo electrónico y evitar un uso no autorizado que podría convertirla en un ejemplo del peor de los casos. Póngase en contacto hoy mismo y reduzca su vulnerabilidad a los ataques de ingeniería social y su devastador impacto.
Compartir
ÚLTIMOS ARTÍCULOS
- 12 minutos de lectura
Por qué el SSO es esencial para las empresas modernas
- 16 minutos de lectura
Cómo funcionan las políticas DMARC - p=none, p=quarantine, p=reject
- 12 minutos de lectura
Protégete contra las amenazas de ciberseguridad navideñas
