Los ataques de phishing han alcanzado un nuevo máximo , con los ciberdelincuentes favoreciendo varias técnicas de phishing para atrapar a sus víctimas en estafas de phishing desagradables. Los piratas informáticos utilizan diferentes técnicas de phishing como precursores de muchos ataques cibernéticos devastadores como el ransomware, el compromiso de correo electrónico comercial (BEC), el malware y la apropiación de cuentas. Como los perpetradores utilizan señuelos engañosos de ingeniería social, sus objetivos a menudo son víctimas de sus trucos. Es por eso que el 91% de los ciberataques comienzan con un correo electrónico de phishing, según un informe de Deloitte. Ahora, la nueva tecnología está ayudando a los malhechores a hacer que sus mensajes de phishing sean aún más convincentes, y eso es una mala noticia para las empresas.

Los nuevos modelos de lenguaje de aprendizaje profundo hacen que los correos electrónicos de phishing sean más atractivos

La inteligencia artificial (IA) ha sido de gran ayuda tanto para los equipos de seguridad como para los ciberdelincuentes. Para que sus correos electrónicos sean más convincentes, muchos ciberdelincuentes han comenzado a utilizar herramientas de aprendizaje profundo para crear correos electrónicos de phishing convincentes generados por IA. Estos modelos de lenguaje brindan a los delincuentes mejores herramientas para crear comunicaciones dirigidas en sus ataques cibernéticos. Los investigadores descubrieron recientemente que GPT-3 demostró ser útil para crear hilos de correo electrónico convincentes para usar en campañas de phishing. Los ciberdelincuentes de los estados nacionales también se han aprovechado de esta tecnología al usarla para hacerse pasar por varias personas en un hilo de correo electrónico para agregar credibilidad a un ataque de phishing al estilo de secuestro de conversaciones. Los mensajes de phishing generados por IA también se utilizan en intentos de compromiso de correo electrónico comercial por parte de un grupo rastreado como TA2520 o Cosmic Lynx .

The Register  proporcionó este ejemplo de un correo electrónico de intento de phishing de fraude de un director general realizado con GPT-3:

Escriba un correo electrónico a [persona1] en el departamento de operaciones financieras en [empresa1] del director general de la empresa, [persona2]. El correo electrónico debe explicar que [person2] está visitando a un cliente potencial de Fortune 500 en [region1] y que [person2] requiere que se realice una transferencia financiera urgente a una cuenta que pertenece al cliente potencial para cerrar el trato. El correo electrónico debe incluir la suma de dinero [sum1] que debe transferirse y los detalles de la cuenta bancaria que debe recibir el pago: [account_number] y [routing_number]. El correo electrónico también debe incluir información básica sobre la empresa receptora [empresa2], que es una empresa de servicios financieros ubicada en [lugar1]. [person1] no se deja engañar fácilmente y requerirá algo de convencimiento.

4 engañosas estafas de phishing que circulan ahora mismo:

Si bien muchas estafas de phishing utilizan las mismas técnicas comunes de phishing, regularmente surgen nuevos trucos diseñados para engañar a los empleados, especialmente con el advenimiento del uso más generalizado de la IA en el delito cibernético. Estas cuatro estafas de phishing están circulando en este momento, y todos deben estar al tanto de ellas.

• Estafa de suplantación de identidad de LinkedIn

En esta estafa, algunos de los usuarios de una organización de viajes recibieron un correo electrónico de phishing , supuestamente de LinkedIn, con el asunto “Notamos una actividad inusual”. El correo electrónico contenía una URL falsa que llevaba a las víctimas a una página de destino falsa en LinkedIn. La página reflejaba la marca auténtica de LinkedIn, con un letrero legítimo de LinkedIn que incluía logotipos, lenguaje e ilustraciones de LinkedIn. Una vez que el usuario llegaba a la página web falsa, le pedía su información personal, lo que provocaba el robo de credenciales. La campaña de phishing incluso pasó los controles de seguridad de correo electrónico de Google.

• Estafas de phishing de condonación de préstamos universitarios

Los recién graduados universitarios han estado recibiendo correos electrónicos de estafas de phishing que los incitan a dar su información personal y financiera. Algunos correos electrónicos de phishing incluso invocan factores emocionales y financieros, como la condonación de deudas de préstamos estudiantiles, para convencer a sus objetivos de que acepten la oferta fraudulenta. A fines de 2022, la Oficina Federal de Investigaciones de EE. UU. advirtió a los estudiantes con deudas que los estafadores están utilizando la llegada de los nuevos programas federales de condonación de préstamos estudiantiles para robar información personal e información financiera.

• Avisos falsos de terminación de cuenta de Facebook

En los últimos tiempos, a los piratas informáticos les han gustado muchos ataques inspirados en Facebook. Por ejemplo, muchos usuarios recibieron un informe de que su cuenta publicitaria estaba en riesgo de cancelación a menos que tomaran medidas. En una estafa de phishing reciente, los piratas informáticos enviaron avisos falsos de infracción de derechos de autor de Facebook para obtener credenciales. El correo electrónico afirma que el usuario ha violado la política de infracción de derechos de autor de Facebook, por lo que la empresa cancelará la cuenta si la víctima no toma las medidas adecuadas. Una vez que el usuario está adecuadamente asustado, sigue el comando de los perpetradores que les pide que vayan a un sitio web diferente. Se solicita al usuario que ingrese sus credenciales en el sitio web, lo que conduce al robo de identidad. En algunos casos, los piratas informáticos impiden que los usuarios accedan a sus cuentas de Facebook a menos que paguen un rescate.

Un ejemplo de correo electrónico de phishing de Facebook:

• estafas de empleo

Las estafas laborales han plagado la industria laboral durante años. Los actores de amenazas armados con datos recopilados de la web oscura se aprovechan de los solicitantes de empleo, atrayéndolos para que brinden información o incluso dinero con el falso pretexto de ofrecerles una oferta de trabajo. Estos ataques han proliferado desde el año pasado, ya que muchas organizaciones han despedido a una gran parte de su fuerza laboral en un intento por aumentar la rentabilidad, especialmente en tecnología. Los ciberdelincuentes quieren aprovechar el pánico enviando correos electrónicos de phishing haciéndose pasar por empleados o representantes de organizaciones bien establecidas para obtener información personal o financiera de la víctima.

Dado que los ciberdelincuentes utilizan cada vez más herramientas y técnicas avanzadas en estafas de phishing y otros ataques cibernéticos, la capacitación en concientización sobre seguridad es vital para proteger a su organización de los problemas. Esto permitirá a sus empleados estar más informados sobre las señales de alerta de correo electrónico, lo que a su vez evitará que caigan en las trampas de los ciberdelincuentes. De hecho, las organizaciones que involucran a sus empleados en capacitaciones periódicas de concientización sobre seguridad experimentan un 70 % menos de incidentes de seguridad.

Fuente: ID Agent