Según un nuevo informe del FBI, muchas empresas perdieron más de $676 millones como resultado de fraudes electrónicos en 2017. Lo que representa un 88 por ciento más que el año anterior. Claramente, las empresas están perdiendo la guerra contra los estafadores de correo electrónico. Esto ya que los ataques de phishing se han vuelto cada vez más sofisticados y generalizados.
El phishing es un método de engaño utilizado para obtener acceso a una cuenta protegida con credenciales. Pueden ser redes sociales, cuentas bancarias u otro recurso protegido. Los hackers suelen utilizar un correo electrónico o mensaje de texto para engañar al usuario. Y hacerse con la información de inicio de sesión. Una vez que el usuario revela un nombre de usuario y contraseña, el atacante secuestrará la cuenta.
El resultado puede ser tan devastador como una cuenta bancaria completamente vacía. Es por ello que todos los individuos y las empresas deben tomar en serio el phishing como fraude online.
Métodos de prevención
Hay varios tipos de ataques de phishing. Primero está el estándar. Se produce cuando se envían mensajes que suplantan a una marca conocida con la intención de robar credenciales de usuario. Por otro lado está el spear phishing. Este implica correos electrónicos muy elaborados comúnmente dirigidos a roles específicos dentro de una empresa.
Por último están los ataques de Business Email Compromise (BEC). Estos generalmente están dirigidos a un individuo específico e incluyen instrucciones de un «alto ejecutivo» u otra autoridad respetada. Con los ataques de phishing en aumento, las personas dentro y fuera de un entorno empresarial deben tomar medidas para evitar intentos de phishing antes de caer presas de ellos. Para prevenirlo se pueden usar ciertos métodos:
Educarse en materia de fraude online
Primero hay que preguntarse esto: ¿podría yo identificar instantáneamente un intento de phishing si recibió un correo? OpenDNS tiene un cuestionario de phishing en-línea para evaluar tu capacidad de detectar diferencias entre sitios web falsos y reales. Si tu organización no ha invertido en capacitación sobre concienciación de phishing para empleados, es muy recomendable tomarlo.
Mejoras los procesos de negocios
Cuando se trata de transferencias monetarias grandes, se debería crear una verificación secundaria en el proceso. Por ejemplo, tu empresa podría decidir que cualquier cantidad superior a $XXX requiere dos formas de verificación desde del solicitante. Podría ser un correo electrónico complementado con una llamada telefónica. O una firma del administrador del solicitante.
Invierte en tecnología sólida
Invertir en buena tecnología resulta una buena solución antispam es la primera línea de defensa. Y ayudará a detectar muchos de los correos electrónicos fraudulentos antes de que lleguen a la bandeja de entrada. Estas herramientas son cada vez más utilizadas, incluso en conjunto con verificaciones de dos pasos.
Elabora un plan de respuesta
Los errores suceden y son inevitables. Al dar a conocer un plan en caso de un intento de phishing exitoso, esto logrará mejorar la organización de tu equipo. Y así minimizar el acceso del atacante. Este plan debe incluir recursos de TI sénior, equipos financieros y grupos de comunicación para movilizar cualquiera de las resoluciones necesarias.