El compromiso de correo electrónico comercial (BEC) es un gran negocio para los ciberdelincuentes. Según el Estudio de delitos cibernéticos del FBI de 2021, el phishing de BEC fue responsable de casi 2021 millones de dólares en pérdidas en 2,4.
BEC es básicamente un tipo de ataque de phishing. Lookout examina cómo ha evolucionado el phishing moderno más allá del correo electrónico. Con la proliferación de teléfonos inteligentes y tabletas, los atacantes ahora van mucho más allá del correo electrónico. Ahora también están utilizando otras plataformas, como mensajes de texto, aplicaciones de mensajería como Signal y WhatsApp, y aplicaciones de redes sociales para atacar y comprometer a sus objetivos. Con tantas aplicaciones SaaS que los empleados usan todos los días, un solo ataque de phishing exitoso podría afectar a toda la organización. La nube ha facilitado la productividad, pero también ha aumentado el impacto del phishing.
¿Qué es el compromiso de correo electrónico comercial, BEC?
En los ataques BEC tradicionales, el atacante compra o recopila listas de contactos que contienen los nombres, direcciones de correo electrónico y números de teléfono de directores financieros, equipos financieros y proveedores. Se envía un mensaje dirigido haciéndose pasar por un alto ejecutivo (generalmente el director ejecutivo) y que contiene una solicitud de pago urgente, p. B. se va a hacer para un proyecto de tiempo crítico. Los atacantes a menudo envían decenas de miles de mensajes de phishing al año, y si una sola persona muerde el anzuelo, puede provocar grandes pérdidas para una empresa.
Sin embargo, BEC se ha desarrollado mucho más allá de estos parámetros clásicos. A medida que los ataques se vuelven más populares, las organizaciones necesitan desarrollar sus defensas. Al igual que con cualquier ataque de phishing, la concientización y la educación son el primer paso en la prevención, pero ciertamente no el único.
Piense más allá del correo electrónico para evitar riesgos de phishing
Los dispositivos móviles representan un desafío mayor para los objetivos de phishing, ya que la capacitación en seguridad cibernética a menudo no aborda los dispositivos móviles. Los cursos de capacitación sobre phishing generalmente solicitan a los usuarios que busquen indicadores que solo se pueden ver en una computadora de escritorio. Desafortunadamente, muchas aplicaciones de correo electrónico móvil no muestran la dirección de correo electrónico del remitente y limitan la capacidad de obtener una vista previa de los hipervínculos a sitios web potencialmente falsos.
Para agravar el problema, las empresas dependen de las comunicaciones móviles en todo momento del día, especialmente ahora que la mayoría de los usuarios trabajan de forma remota. Los ejecutivos que se comunican con sus equipos a través de correo electrónico móvil o aplicaciones de mensajería esperan atención inmediata, lo que tienta a los empleados a caer en estafas de phishing.
Además, hay más canales a través de los cuales los atacantes pueden propagar sus estafas a través del teléfono móvil. Muchos usuarios no esperan que se entreguen enlaces de phishing a través de plataformas como mensajería SMS, Facebook Messenger, WhatsApp o Signal, pero se está volviendo cada vez más común. El FBI incluso emitió un anuncio de servicio públicoque los atacantes ahora están utilizando plataformas de reuniones virtuales para realizar estafas BEC.
El phishing moderno es la puerta de entrada a las empresas
Los dispositivos móviles no solo son mucho más fáciles para el phishing, sino que tienen el mismo acceso a las aplicaciones y los datos que interesan a las empresas. Como los usuarios pueden trabajar desde cualquier lugar, ya sea con un teléfono inteligente o una tableta, confían cada vez más en estos dispositivos. Cualquier error que cometan en estos dispositivos, incluso si son administrados por el departamento de TI, presenta riesgos que finalmente pueden comprometer la infraestructura.
Según la experiencia de Lookout, no existe un enfoque único para prevenir BEC y phishing, pero un buen punto de partida es reconocer que los ataques de phishing no se limitan al correo electrónico. Cualquier estrategia que se centre solo en el correo electrónico pasa por alto los métodos utilizados para atacar a los usuarios móviles. También requiere un enfoque de plataforma unificada que asegure todos los puntos finales, incluidos los dispositivos móviles, contra las amenazas basadas en la web.
Más en Lookout.com
Acerca de Lookout Los cofundadores de Lookout, John Hering, Kevin Mahaffey y James Burgess, se unieron en 2007 con el objetivo de proteger a las personas de los riesgos de seguridad y privacidad que plantea un mundo cada vez más conectado. Incluso antes de que los teléfonos inteligentes estuvieran en el bolsillo de todos, se dieron cuenta de que la movilidad tendría un profundo impacto en la forma en que trabajamos y vivimos.