En días pasados la capital del Ecuador amaneció con una noticia “Las cuentas del Banco Central del @aguadequito han sido atacadas digitalmente” esto puso a todos preocupados, se trata del mencionado fraude en la Empresa Pública Metropolitana de Agua Potable y Saneamiento (Epmaps). Se realizan investigaciones de quienes pudieron ser los culpables de las transferencias fraudulentas dentro de la institución, el destino del 1,3 millones de dólares eran bancos en Estados Unidos y Hong Kong.
El alcalde de la ciudad menciona, que ya las autoridades están investigando lo acontecido. Y a todo esto el Banco Central, responde: “ El Banco Central informa que todos los sistemas y cuentas que administra la institución se encuentran protegidos por los más altos estándares tecnológicos de seguridad”. Esto es verdad, pero hay técnicas que atacan al eslabón más débil de la cadena LOS USUARIOS.
Te invitamos a conocer Human Shield, nuestra plataforma que te permite concientizar a tus colaboradores para que no sean víctimas de los ciberdelincuentes.
Dentro de un contexto de seguridad, la ingeniería social significa el uso de manipulación psicológica para engañar a las personas y que por consecuencia divulguen información confidencial o proporcionen acceso a fondos. El arte de la ingeniería social podría incluir información de redes sociales, como: LinkedIn, Facebook entre otros, lo que permite una vulneración de la información sobre el personal de una organización; esto puede incluir su información de contacto, conexiones, amigos, negocios en curso y más. Escenarios de ataque comunes
Empresas que trabajan con un proveedor extranjero: esta estafa aprovecha una larga relación de transferencia bancaria con un proveedor, pero solicita que los fondos se envíen a una cuenta diferente.
Empresa que recibe o inicia una solicitud de transferencia bancaria: al comprometer y/o falsificar las cuentas de correo electrónico de los altos ejecutivos, otro empleado recibe un mensaje para transferir fondos a alguna parte, o una institución financiera recibe una solicitud de la empresa para enviar fondos a otra cuenta. Estas solicitudes parecen genuinas ya que provienen de la dirección de correo electrónico correcta.
Contactos comerciales que reciben correspondencia fraudulenta: al hacerse cargo de la cuenta de correo electrónico de un empleado y enviar facturas a los proveedores de la compañía, el dinero se transfiere a cuentas falsas.
Suplantación de ejecutivos y abogados: los estafadores fingen ser abogados o ejecutivos que se ocupan de asuntos confidenciales y urgentes.
Robo de datos: los correos electrónicos fraudulentos solicitan todos los formularios de declaración de salarios o impuestos (W-2) o una lista de la empresa de información de identificación personal (PII). Estos provienen de cuentas de correo electrónico ejecutivas comprometidas y / o falsificadas y se envían al departamento de recursos humanos, cuentas o departamentos de auditoría.
¿Quiénes son los principales objetivos?
El CEO no siempre es el que está en la mira de un criminal. Hay otros grupos de empleados considerados objetivos valiosos dados sus roles y acceso a fondos o información:
Las Finanzas El departamento de finanzas es especialmente vulnerable en las empresas que regularmente realizan grandes transferencias bancarias. Con demasiada frecuencia, las políticas internas descuidadas solo exigen un correo electrónico del CEO u otra persona de alto rango para iniciar la transferencia. Los delincuentes cibernéticos generalmente obtienen acceso a través de phishing, pasan unos meses haciendo reconocimiento y formulan un plan. Reflejan los protocolos habituales de autorización de transferencia bancaria, secuestran una cuenta de correo electrónico relevante y envían la solicitud a la persona adecuada en finanzas para transmitir los fondos. Además del CFO, este podría ser cualquier persona en cuentas autorizadas para transferir fondos. Recursos humanos Representa una carretera maravillosamente abierta hacia la empresa moderna. Después de todo, tiene acceso a todas las personas de la organización, gestiona la base de datos de empleados y se encarga de la contratación. Como tal, una función importante es abrir currículums vitae de miles de solicitantes potenciales. Todo lo que los ciberdelincuentes deben hacer es incluir software espía dentro de un currículum vitae y pueden comenzar subrepticiamente sus primeras actividades de recopilación de datos. Además, las estafas W2 y PII se han vuelto más comunes. Recursos Humanos recibe solicitudes de correos electrónicos falsificados y termina enviando información de los empleados, como números de seguridad social y direcciones de correo electrónico de los empleados, a organizaciones criminales.
Equipo ejecutivo
Cada miembro del equipo ejecutivo puede considerarse un objetivo de alto valor. Muchos poseen algún tipo de autoridad financiera. Si se piratean sus cuentas de correo electrónico, generalmente proporciona a los ciberdelincuentes acceso a todo tipo de información confidencial, sin mencionar la inteligencia sobre el tipo de acuerdos que pueden estar en curso. Por lo tanto, las cuentas ejecutivas deben recibir una atención particular desde una perspectiva de seguridad.
"Las personas están acostumbradas a tener una solución tecnológica [pero] la ingeniería social pasa por alto todas las tecnologías, incluidos los cortafuegos. La tecnología es crítica, pero tenemos que mirar a las personas y los procesos. La ingeniería social es una forma de piratería que utiliza tácticas de influencia". Kevin Mitnick
Debemos ser conscientes de que LOS USUARIOS son el eslabón más débil de la cadena de la ciberseguridad y por ello es importante que estén constantemente actualizados de las formas de ataque.
La forma más eficiente para evitar ataques de Ingeniería Social es la simulación de ataques y esto puede ser posible gracias a Human Shield, desde donde puede enviar ataques personalizados a la realidad ecuatoriana a todos los usuarios de su organización.
Si quiere conocer más de esta solución y de muchas más no dude en contactarnos para entregarle el acceso directo a una prueba SIN COSTO de nuestra plataforma.
Hasta la próxima.