Es esa época del año nuevamente, cuando los pensamientos de los empleados se dirigen a sus grandes listas de compras. Es casi inevitable que los empleados hagan algunas de sus compras navideñas en el trabajo o mientras usan dispositivos de trabajo. También pueden usar sus cuentas de correo electrónico del trabajo para crear cuentas en línea o comunicarse con los minoristas. Además, la creación de una gran cantidad de cuentas nuevas o contraseñas actualizadas significa que el riesgo de reutilización y reciclaje de contraseñas será alto. Agregue abundante phishing de innumerables estafas de correos que están dirigidos tanto a empresas como a consumidores, y verá por qué esta no es la época más maravillosa del año para el departamento de TI de una empresa.

Better Business Bureau ha publicado su “Lista traviesa” anual de estafas de compras que probablemente atrapen a los consumidores y varios de los fraudes en su lista también podrían causar problemas al empleador de ese consumidor.

Alertas sobre cuentas comprometidas  

Este popular esquema ocupa el cuarto lugar en la lista BBB. En este escenario, los malos actores afirman que una cuenta se ha visto comprometida. Esta estafa es un peligro de igualdad de oportunidades para consumidores y empresas. En este escenario, los malos actores afirman que una cuenta en línea (Amazon, Paypal y Netflix son populares) o una cuenta bancaria se ha visto comprometida. Las víctimas reciben un correo electrónico, una llamada o un mensaje de texto que explica que ha habido actividad sospechosa en una de sus cuentas y deben tomar medidas de inmediato. Esa acción generalmente incluye proporcionar las credenciales de su cuenta a los delincuentes.

Compromiso de credenciales mediante el reciclaje

En un nuevo estudio global  realizado por Morning Consult para IBM, los  investigadores estimaron que las personas en todo el mundo crearon un promedio de 15 nuevas cuentas en línea por persona en los últimos 12 meses gracias a la pandemia global que impide las compras y el entretenimiento y el 82% de los encuestados admitió que había reutilizado regularmente las mismas contraseñas al crear nuevas cuentas de trabajo y personales.

Sitios web similares

Esta es la temporada para la falsificación épica. Correos electrónicos de phishing con enlaces maliciosos adjuntos. Será una amenaza común en las bandejas de entrada este año. La suplantación de marca es un factor importante en estos ataques, con sitios web similares creados por malos actores listos para atraer a los empleados para que descarguen malware, entreguen credenciales o compartan información privada.

Caridades falsas 

Se estima que el 40% de todas las donaciones caritativas se reciben durante las últimas semanas del año, ya que se celebran importantes festividades en todo el mundo que inspiran generosidad. La pandemia mundial todavía está afectando la recaudación de fondos en persona, lo que ha provocado más eventos de caridad en línea. Los mensajes fraudulentos de organizaciones benéficas pueden atraer a los incautos, anotando información personal, datos financieros y contraseñas de donantes incautos.

Notificaciones de envío falsas 

Las notificaciones de envío son un clásico del phishing. Dado que la pandemia sigue dificultando que muchas personas compren en persona, más consumidores realizan compras en línea, lo que genera más oportunidades para los malos actores. Están enviando rápidamente correos electrónicos de phishing con enlaces adjuntos que conducen a ransomware o malware, así como a estafas de pago que pueden ser un riesgo BEC.

Suplantación de marca 

Siempre un clásico, esta táctica es un elemento de otros esquemas, así como un riesgo de phishing independiente. Microsoft es la marca comercial más imitada del mundo. La  Comisión Federal de Comercio  informa que una de cada tres personas que denunciaron a un imitador de negocios desde julio de 2020 hasta junio de 2021 dijeron que los estafadores afirmaban ser de Amazon y el 6% afirmaba ser de Apple.

Estafas de facturas / pagos 

La ajetreada temporada navideña y la lucha de fin de año para las empresas los deja muy abiertos al tipo de ingeniería social que impulsa las estafas de facturas / pagos. Las ausencias en días festivos son una gran ventaja para los malos porque significa que algunas personas cubrirán a otras y es posible que la persona que la reemplaza no esté familiarizada con una amenaza, lo que facilita que los malos los engañen para que envíen dinero.

¿Cómo proteger a tu empresa de estos problemas?

Capacitación intensiva en concientización sobre seguridad  

En  un estudio del Reino Unido  sobre empresas que ejecutan simulaciones de phishing, los investigadores descubrieron que es probable que entre el 40 y el 60% de sus empleados abran enlaces o archivos adjuntos maliciosos. Sin embargo,  después de aproximadamente 6 meses de capacitación , el porcentaje de empleados que mordieron el anzuelo se redujo entre un 20% y un 25%, y después de 6 meses más de capacitación, el porcentaje de empleados que abrieron mensajes de phishing se redujo a solo entre un 10% y un 18%.

Esté atento a las credenciales comprometidas 

Más de  cinco mil millones de conjuntos de credenciales  y partes robadas de información de identificación personal están disponibles en la Dark Web en este momento, lo que crea un gran riesgo de compromiso de credenciales para las empresas.

Fuente: ID Agent