Skip to main content

Si recibes un correo con el concepto "factura", sospecha: puede ser phishing

Phishing
user

04/12/2018 - 19:45

No es ninguna novedad que el phishing se haya convertido en uno de los problemas más relevantes de nuestro tiempo en el ámbito de la ciberseguridad: cada mes se crean cerca de un millón y medio de páginas dedicadas a esta clase de fraude online mientras que las vías para llegar a empresas y usuarios se multiplican: aunque la más usada continúa siendo el email, también proliferan en los últimos tiempos los ataques a través de redes sociales.

El documento State of Phishing Defense 2018 de Cofense cruza la información obtenida de 135 millones de emails de phishing enviados a una muestra de 1.400 empresas con datos sobre ataques reales recopilada por su unidad Phishing Defense Center (PDC). De informe se desprenden valiosas conclusiones acerca de esta ciberamenaza en la que ciberdelincuentes se hacen pasar por empresas conocidas como PayPal o LinkedIn, entidades financieras o incluso tu propio CEO.

Cerca de un 10% de los emails son maliciosos, aunque la temporalidad es relevante. Mientras que en enero la cifra baja hasta el 7%, en julio sube hasta el 13%. Tampoco todas las empresas se ven afectadas por igual por esta suplantación de identidad digital en los mensajes, sino que los utilities, bufetes y asesorías legales son los más afectados, con un 20% y 19% respectivamente, mientras que los sectores tecnológico y el financiero únicamente sufrieron un 7% de ataques.

Por tipos, la categoría preferida continúa siendo el archivo malicioso oculto en un archivo adjunto del email, evadiendo así el escáner de URL que no pasan muchas páginas web fraudulentas.

La palabra factura aparece en 6 de cada 10 asuntos de mail de phising

Según muestra el informe de Cofense, 6 de las 10 campañas de phishing más efectivas de 2018 contenían en el asunto el término “invoice” -factura en inglés-. Los asuntos favoritos restantes también aluden a vocabulario financiero, incluyendo palabras como pago o transferencia, lo que explica el incremento de ataques en los meses de verano, momento en el que las compañías deben rendir cuentas con su año fiscal internacional. De este modo, los empleados del departamento financiero de las organizaciones son el blanco preferido de los ciberdelincuentes al tratarse de un segmento más accesible y vulnerable.

Desde el blog de Panda Security apuntan a la prevención y a la concienciacióncomo principales herramientas para no caer ante este engaño digital en el que las técnicas de ingeniería social son las protagonistas. Formar a los empleados de todos los estratos de la empresa es fundamental para que puedan detectar mensajes de phishing, identificando elementos sospechosos como el idioma, el dominio del remitente o los fallos ortográficos o gramaticales -fruto del uso de traducciones automáticas-.

Por otra parte, los simulacros de phishing son herramientas clave, así como las soluciones avanzadas de seguridad, la coordinación entre departamentos y un sistema de alertas ante posibles riesgos. Puedes acceder al informe completo de Cofense pinchando aquí.

Ver ahora: