¿Alguna vez escuchaste que alguien sufrió de ataques phishing? A lo primero, vamos a conocer como funciona. Este ataque intenta adquirir información de manera fraudulenta, haciéndose pasar por una persona o empresa de confianza por medio de un correo electrónico. Aunque no sólo se lleva a cabo por medio de correos sino también por mensajes instantáneos e incluso por llamadas telefónicas.
Esta forma sencilla de atacar, es la más peligrosa y temida por las empresas. Mediante este engaño de identidad, los delincuentes enredan a las víctimas para que compartan información confidencial como contraseñas y números de tarjetas de crédito.
Pero justo de eso te voy a comentar hoy, de lo importante que es contar con un antivirus en tu compañía. Todo lo que necesitas saber y los riesgos serios de no contar con uno, como actúa el antivirus en tu empresa y lo eficiente que puede llegar a ser.
No creas que es sólo publicidad, es una necesidad a la que muchos no prestan atención y luego terminan lamentándolo con grandes pérdidas económicas.
Tipos de ataques phishing
Pese a los diferentes tipos de ataques, el phishing siempre trata de llegar al mismo objetivo, usurpar identidades y robar información a sus víctimas. La diferencia es que actúan con técnicas diferentes, ahora te cuento cuales son y cómo identificarlas.
1. Spear Phishing
A diferencia de los otros tipos de phishing que tratan de “pescar” a la mayor cantidad de víctimas, este se enfoca y personaliza su ataque a un solo objetivo.
El ciberdelincuente estudia bien a su víctima u organización, previo al ataque el hacker hace un reconocimiento de datos. Los mismos que adquiere de internet, como por ejemplo nombres, cargos, direcciones de correo electrónico, etc.
Una vez con esos datos, el atacante suele realizar un correo en el que suplanta la identidad de un ejecutivo de la organización. En dicho correo, el hacker le pide a la víctima que envíe un pago al ejecutivo, siendo un enlace que desvía dicho monto al atacante.
A través de esta técnica la empresa puede perder una fuerte cantidad de dinero, por lo que este ataque le sale muy caro a las empresas grandes u organizaciones pequeñas.
Cualquiera puede ser la víctima, los mismos empleados e incluso hasta ejecutivos de mayor rango, pueden ser perjudicados por este tipo de ataque.
2. Phishing de clonación
Este actúa por medio de correos electrónicos, se hace pasar por una persona o entidad de confianza. Engaña a su víctima, clona el correo y hace una copia de la información que brinda el usuario.
Esto pasa porque en el correo que envían hay archivos y documentos disfrazados con virus maliciosos. De esa manera pueden suplantar la identidad del usuario y la puede utilizar para nuevos actos ilícitos, haciéndose pasar por un integrante de la organización o una persona de confianza.
Es por eso que se recomienda no abrir archivos adjuntos en correos de dudosa procedencia, revisar bien el correo de la empresa o entidad bancaria que le escribe. Si es posible, es recomendable llamar a la organización en el momento para verificar si en realidad dicho trámite lo están necesitando, o es una trampa de phishing.
3. Phishing telefónico
Como dijimos antes, las amenazas de phishing no solo se hacen a través de correos electrónicos, las llamadas telefónicas también son el medio en que se desarrollan estas técnicas de ciberataque.
Aquí el atacante llama a su víctima, asegurando que es miembro de la policía, entidad bancaria o de alguna agencia tributaria. Luego intimida al usuario diciendo que ha cometido una infracción o que tiene una deuda, y debe pagarla o iría arrestado por esa cuestión.
Como es de costumbre, el delincuente pide que se realice una transferencia o depósito bancario, en otros casos también que el pago sea con tarjetas prepago ya
¿Puedes ser victima de pishing?
Sí, cualquier empresa puede ser víctima de phishing, desde la más pequeña hasta la más grande empresa.
Como te indicamos antes, este ataque cibernético “pesca” la mayor cantidad de empresas para robar sus identidades y a su vez engañar a sus clientes. De esa manera no solo “pesca” la organización sino a los usuarios que confían en ellos.
Para lograr la suplantación de identidades, pueden hacerlo mediante dos objetivos:
- A través de tus empleados, que pueden recibir un email, llamada telefónica o mensaje SMS, con el que intentarán robar datos personales. Por medio de ellos y sin que lo sepan pueden ser la trampa para que los hackers ingresen a la empresa.
- La web de tu empresa puede ser atacada para suplantar a otras organizaciones y enviar correos de phishing para robar datos personales a clientes de la entidad suplantada.
Identifica un ataque phishing en tu empresa
Para identificar esta amenaza de phishing en tus correos es muy simple. Percátate en las faltas ortográficas del mensaje, si el correo carece de coherencia o si al solicitar la información personal no hay una razón previa. Además en el tono con el que se dirigen, si el mensaje es amenazante, adulador o de urgencia.
Si recibes correos de ese modo o incoherentes, no lo pienses y comunícate directamente con la organización legítima. Además de eso, presta atención a estas señales de phishing que te pueden ayudar a evitar este ataque:
- Reconoce el remitente
No confíes en cualquier remitente, aunque sea un usuario conocido, mucho menos si es alguien con quien tienes poca relación o comunicación.
Actualmente no hay que confiar en ningún correo, porque no se sabe de los virus que estén incrustados.
Para eso es recomendable no abrirlos y contactarse directamente con la persona por otro medio, o caso contrario para contar con mayor seguridad es mejor tener instalado un antivirus en tu dispositivo.
El antivirus detectará si el correo tiene malware en su interior, si es recomendable abrir el mensaje o descartarlo. En ESET Security contamos con este tipo de softwares que te ayudarán a detectar amenazas en tus correos electrónicos y evites ciberataques en tu empresa.
- Mensaje alarmista
Hay que tener muy en cuenta que ninguna entidad puede pedir datos personales por medio de un correo electrónico.
Por eso mismo, si a tu correo llegan mensajes de carácter urgente y alarmistas, no actúes. Porque eso es lo que quieren provocar, una acción inmediata al miedo de perder datos o cuentas personales.
Fíjate bien en la información que te solicitan, no des click a ningún enlace ni nada que se vea sospechoso. Comunicarse con la organización involucrada es la mejor opción.
- Archivos adjuntos
Todo tipo de malware se puede esconder en los archivos adjuntos y el phishing es solo la primera técnica para encriptar más virus en tus dispositivos.
No se recomienda abrir ningún archivo que sea de formato imagen, pdf, documento word, excel, etc. Podría tener malware y más tipos de malware en su interior.
- Enlaces de dudosa procedencia
Al igual que los archivos adjuntos, los enlaces que insertan en el correo son muy peligrosos y una puerta abierta a que invadan tus dispositivos de varios virus.
En los peores casos, estos enlaces fraudulentos pueden tener virus que se introduzcan directamente a la base de datos de tu empresa, se instalen en el disco duro del equipo y robe toda la información o mucho peor que se borre todo.
De cualquier manera, sea el medio o la forma en la que ataquen a tu empresa, el daño será grande y no solo por la información que puedan clonar sino también por las pérdidas económicas que se pueden generar.
¿Cómo proteger mi empresa?
La primera opción para proteger tu empresa de este tipo de ataques cibernéticos, es sin duda tener instalado un buen antivirus que tenga firewall y anti malware. Esto ayudará a mantener segura tu empresa y protegida la información del disco duro de tus equipos.
A parte de contar con un buen antivirus en tu equipo, se recomienda mantener a todo el personal informado de las amenazas que pueden llegar a haber en los correos o sitios web desconocidos.
Y como último punto, evita los medios en los que se pueda generar el ataque por parte del hacker. Toma en cuenta nuestra información y mantén protegida tu empresa de posibles amenazas cibernéticas con los antivirus de ESET.