Artículo de blog
- 5 minutos de lectura
- Sendmarc
Cuidado con los ingenieros sociales: 3 ataques de alto perfil que no puedes ignorar
Mientras las noticias sobre otra preocupante filtración de datos del Pentágono ocupan los titulares de todo el mundo, analizamos tres ataques de ingeniería social de gran repercusión y lo que nos enseñan.
While the exact number of social engineering attacks globally is difficult to determine, the 2022 Verizon Data Breach Incidents Report suggests 82% of breaches involve humans.
Los sectores más específicos
En el Informe de tendencias de la actividad dePhishing correspondiente al tercer trimestre de 2022, el número total de ataques phishing alcanzó la cifra récord de 1 270 0883, lo que equivale al peor trimestre en cuanto a ataques de phishing jamás observado.
En cuanto a los sectores atacados, el informe señala que los ataques contra el sector financiero siguen siendo los más importantes, con un 23,2% del total de phishing, mientras que los ataques contra el correo web y el software como servicio (SaaS) se sitúan en el 17%, y los ataques contra el comercio minorista y electrónico en el 4,1%. Matthew Harris, Director de Producto de OpSec Security, también señaló que: "El sector de Logística y Envíos experimentó un gran aumento del volumen de fraude, liderado específicamente por un gran aumento del phishing contra el Servicio Postal de Estados Unidos."
En lo que respecta específicamente a las amenazas basadas en el correo electrónico, John Wilson, Senior Fellow en Investigación de Amenazas de Fortra, señaló que se produjo un "aumento del 488% en los ataques por correo electrónico basados en respuestas en el tercer trimestre de 2022 en comparación con el segundo". Un aumento tan pronunciado y significativo demuestra aún más la necesidad de medidas de seguridad adicionales para detener la creciente ola de estafas por correo electrónico que representan una grave amenaza para las organizaciones en casi todas las industrias.
Estafas inspiradas en la Copa Mundial de la FIFA 2018
Por lo general, los ciberdelincuentes tienden a aprovechar la expectación que rodea a los eventos mundiales y nacionales en busca de negocios lucrativos, ¡y la Copa Mundial de la FIFA 2018 en Rusia no fue una excepción! En el período previo al evento, innumerables estafadores se dirigieron a los aficionados al fútbol de todo el mundo con correos electrónicos phishing temáticos de la Copa Mundial, en particular cuando se abría la venta de entradas para los partidos.
Los investigadores de Kapersky Lab informaron: "Cada vez que se ponían a la venta las entradas, los estafadores enviaban spam y activaban clones de páginas y sitios oficiales de la FIFA que ofrecían falsos regalos supuestamente de empresas colaboradoras. Y a medida que se acercaba el evento, las ciberestafas alcanzaban su punto álgido".
En cuanto a las formas que adoptaban las estafas, incluían correos electrónicos phishing que ofrecían sorteos de entradas o la posibilidad de ganar un viaje a un partido; correos electrónicos falsos enviados fraudulentamente en nombre de la FIFA y sus patrocinadores; sitios web falsos y clonados destinados a robar credenciales personales, financieras y de tarjetas bancarias; y tácticas de ingeniería social que ofrecían tentadoras "ofertas especiales" para inducir a las víctimas a abrir archivos adjuntos y descargar programas maliciosos.
The FIFA World Cup’s phishing and spoofing attacks show the need for extra security measures due to the prevalence of “too-good-to-be-true” scams.
Atraco a un banco en Bangladesh
En febrero de 2016, salieron a la luz informes sobre la sustracción de 81 millones de dólares de cuentas del Bangladesh Bank en solo unas horas. Considerado uno de los mayores robos bancarios de todos los tiempos, lo que diferenció a este ataque fue la diferencia en la táctica. Tradicionalmente, los asaltos bancarios consistían en robar las credenciales de acceso de los titulares de las cuentas para acceder a sus fondos. En el caso del Bangladesh Bank, los ciberdelincuentes atacaron el propio banco y utilizaron las credenciales SWIFT de los empleados para enviar más de tres docenas de solicitudes fraudulentas de transferencia de dinero al Banco de la Reserva Federal de Nueva York, transfiriendo millones de los fondos del banco a cuentas en Filipinas, Sri Lanka y otras partes de Asia.
Los piratas informáticos accedieron a la red del banco a través de un correo electrónico dephishing que contenía malware diseñado para cubrir sus huellas. Un golpe de fortuna en forma de "error" de impresión ayudó al Banco a descubrir el atraco y tomar medidas para evitar la pérdida de otros 850 millones de dólares. Los hackers podrían haberse llevado más si no hubiera sido por un error tipográfico en la palabra "foundation" (que los hackers escribieron erróneamente como "fandation") en una de las solicitudes de transferencia de dinero, del que se percató el Banco de la Reserva Federal de Nueva York.
Para el sector bancario y las industrias y organizaciones relacionadas, la brecha fue una mala noticia porque puso al descubierto las vulnerabilidades de la red SWIFT y los procesos bancarios mundiales. Los piratas informáticos demostraron que eran capaces de socavar el sistema que, hasta 2016, se había considerado a prueba de balas.
Cuando dos gigantes tecnológicos perdieron millones
Puede resultar sorprendente, pero incluso los gigantes tecnológicos, como Facebook y Google, son susceptibles de ser víctimas de un ataque phishing , y en este caso les costo a cada uno de ellos más de 100 millones de dólares, transferidos a un hacker residente en Lituania.
Los ataques, un ejemplo de libro de texto de phishing selectivo, se dirigían a empleados concretos con correos electrónicos fraudulentos enviados desde cuentas de correo electrónico falsas diseñadas para que parecieran enviados por un proveedor chino auténtico. Los correos también contenían adjuntos de facturas falsas, y los empleados que los recibían respondían simplemente ingresando dinero en las cuentas bancarias de la empresa falsa.
Aunque lo insólito de la historia es que el hacker fue capturado y se recuperó parte de los fondos, sirve como un recordatorio más de por qué estos ataques siguen produciéndose -y teniendo éxito- y es por culpa de las personas.
Resulta preocupante que, aunque los empleados de estas empresas hubieran recibido formación sobre cómo identificar los ataques de phishing y spear phishing , puede que no hubiera sido suficiente. Un estudio muestra que los participantes que recibieron una formación exhaustiva mostraron muy pocos cambios de comportamiento tres meses después, y seguían exponiéndose al robo de credenciales y a las estafas de phishing .
En lo que respecta al reto de la ciberseguridad, tu sistemas son tan fuertes como su eslabón más débil, y solo un error humano para comprometer seriamente un sistema.
Dado el papel central que desempeña el ser humano en el éxito de los ciberataques, es más importante que nunca invertir en sistemas de seguridad que mitiguen el riesgo a la hora de proteger una organización y a sus empleados. DMARC es un protocolo que merece la pena implantar, ya que evita los mismos ataques de suplantación de identidad y phishing por correo electrónico que provocaron estos tres casos de estudio.
Descubra cómo podemos ayudar a tu organización a proteger su dominio de correo electrónico y evitar un uso no autorizado que podría convertirlo en un ejemplo del peor escenario posible. Ponte en contacto hoy mismo y reduce tu vulnerabilidad a los ataques de ingeniería social y su devastador impacto.
