En el mundo actual, fuertemente digitalizado, los ataques de BEC y el fraude del CEO pueden resultar en pérdidas masivas, y ninguna empresa está a salvo. Los delincuentes podrían hacer de la suya su próximo objetivo desafortunado.
Pero no se preocupe. Lo tenemos todo controlado con nuestra lista de 10 mejores prácticas para prevenir los ataques de BEC y el fraude del CEO.
¿Qué son los ataques de BEC y el fraude del CEO?
El BEC (business email compromise – compromiso del correo electrónico empresarial) es un ciberataque en el cual un hacker obtiene ilícitamente el acceso a una cuenta de correo electrónico empresarial y suplanta la propietario legítimo para engañar la empresa y a sus empleados, clientes o socios, para que transfieran dinero a la cuenta del estafador.
La estafa del CEO (Chief Executive Officer – Director General) es un tipo de ataque muy similar, pero no se limita a la definición anterior. Por ejemplo, las estafas con tarjetas regalo están asociadas al fraude del CEO, y son prácticamente imposible de rastrear una vez que se han enviado. Sin embargo, estos ataques de phishing no son necesariamente específicos del CEO. Por ejemplo, los ciberdelincuentes podrían suplantar a los directores de recursos humanos. El empleado sospecha aún menos cuando el remitente es alguien inferior en la empresa y más parecido a su categoría jerárquica .
Las 10 mejores prácticas de seguridad contra los ataques de BEC y el fraude del CEO
1. Forme a sus empleados para que sepan detectar estas estrategias comunes de suplantación de identidad
Falsificación de nombres de dominio: este método consiste en que los hackers falsifican el apartado «Mail From» del remitente para que coincida con el dominio del objetivo en el sobre del mensaje, o bien utilizan un nombre de dominio real en el apartado «Mail From» pero utilizan un dominio «Reply-To» falsificado en el encabezado.
Tras un rápido examen, el encabezado del correo electrónico revela una dirección de retorno no asociada a la dirección «De». Así, al responder al mensaje, escribirías a [email protected] en lugar de al Banco HSBC.
La falsificación del nombre de la pantalla: es, de lejos, la técnica más común de los BEC. El estafador registra una cuenta de correo electrónico gratuito que a menudo contiene un nombre de un ejecutivo de la empresa. Luego, configuran el nombre mostrado para que coincida con el de su director general u otros ejecutivos y envían correos electrónicos de phishing desde esta dirección. Funciona porque los empleados a menudo sólo se fijan en el nombre mostrado y no comprueban la dirección de correo electrónico real.
Lookalike Domain Spoofing: este método consiste en registrar dominios falsos con nombres que contienen caracteres de apariencia similar a otros. A continuación, los atacantes utilizan estos dominios para enviar correos electrónicos de phishing. Si no se presta suficiente atención, el destinatario pensará que el mensaje procede de un dominio legítimo.
Cuenta de correo electrónico comprometida: este es otro método habitualmente utilizado por los estafadores. Comporta el uso de cuentas de correos electrónicos legítimos pirateados para exfiltrar información o robar dinero.
2. Reivindicar el nombre
Es altamente recomendable que se registren todos los nombres de dominio similares al suyo para evitar los ataques que utilizan la suplantación de dominios similares.
3. Compartir en exceso NO es cuidar
Sea prudente con lo que publica en las plataformas y las redes sociales, especialmente los nombres de los sitios, los datos de la estructura de la empresa y la información que comparte fuera de la oficina.
4. Utilice SPF, DKIM y DMARC
Sender Policy Framework (SPF), DomainKeys Identified Mail (DKIM) y Domain-based Message Authentication, Reporting & Conformance (DMARC) son herramientas de autenticación de correo electrónico y anti-spoofing. Asegúrese de que su dominio tiene registros SPF, DKIM y DMARC válidos y que su servidor/proveedor de correo analiza todo el tráfico entrante con estas herramientas.
5. Habilita TFA
La TFA (autenticación de dos factores) requiere que el usuario proporcione dos formas de autenticación: una contraseña y un código de verificación, una huella digital u otra forma de verificación.
6. Deshágase de las contraseñas del tipo «123»
Implemente políticas relativas a las contraseñas y exija cambios regulares de las mismas en su empresa. Una contraseña fuerte debería:
- Cumplir con un requisito de longitud mínima.
- Incluir tanto letras como números.
- Contener letras minúsculas y también mayúsculas.
- No contener un nombre completo o una fecha de nacimiento.
- No utilice nunca contraseñas comunes como Password1, Password123, Letmein, etc.
7. Cuidado con lo desconocido
Aunque es bueno salir de su zona de confort y adentrarse en lo desconocido de vez en cuando, esto no se aplica a cuando se reciben correos electrónicos de remitentes desconocidos. No los abra, ni haga clic en los enlaces, ni descargue los archivos adjuntos. En caso de duda, señale el mensaje y comuníquelo al equipo de seguridad informática de la empresa.
8. Establecer normas estrictas para las transferencias electrónicas
Antes de dar curso a una solicitud de transferencia, compruebe minuciosamente la identidad de los proveedores autorizados y la autenticidad de la factura adjunta. Para estar seguro, confirme en persona o por teléfono utilizando los números conocidos previamente o los que pueda encontrar en el sitio web oficial del vendedor.
9. Un antivirus funcionando diariamente mantiene alejado al doliente
De acuerdo, no tiene que ejecutar el software antivirus todos los días. Pero asegúrese de ejecutarlo con frecuencia y regularidad y de mantenerlo siempre actualizado.
10. Ofrezca formación sobre seguridad a sus empleados
Aunque las prácticas de seguridad convencionales, como las defensas tecnológicas y los filtros de correo electrónico, pueden ser eficaces, la formación en materia de seguridad de su personal es vital para evitar ser víctima de los ataques de BEC y de los fraudes de los CEO.
Aparte de los fraudes BEC y CEO, hay numerosos tipos de phishing a la espera para aprovecharse del empleado perfectamente desprevenido de su empresa y lanzar un ataque devastador. Cada día se envían más de mil millones de correos electrónicos de phishing, y muchos de ellos eluden los filtros de seguridad. Por lo tanto, es necesario poder confiar en que sus empleados estén atentos y detecten las estafas de phishing.
Investigar las últimas tendencias y estrategias de phishing y formar adecuadamente a sus empleados puede ser una tarea complicada, así que déjelo en manos de profesionales.
Estas son algunas de las ventajas para elegir ATTACK Simulator:
- Simulación automatizada de ataques – simulamos todo tipo de ciberataques.
- Escenarios realistas – evaluamos la vulnerabilidad de los usuarios a la hora de ceder datos empresariales o personales mediante páginas web realistas.
- Análisis del comportamiento de los usuarios – recogemos los datos de los usuarios y los recopilamos en extensos informes para ofrecerle una imagen detallada del nivel de concienciación de seguridad de sus empleados.
- Réplicas de archivos maliciosos – nuestros correos electrónicos contienen réplicas de archivos maliciosos, para que la simulación sea lo más realista posible.
- Lecciones interactivas – si los empleados no reconocen nuestras trampas y caen en una, descubrirán lecciones sobre las mejores prácticas de seguridad.
- Suplantación de marcas – nos convertimos en marcas populares para que las simulaciones de phishing sean aún más realistas.
El programa de formación de concienciación sobre la seguridad de ATTACK Simulator le ayudará a equipar a sus empleados con los conocimientos necesarios y las prácticas actuales de seguridad para mantener su empresa a salvo de los estafadores y evitar daños potencialmente irreparables.
¡Ponga a prueba a sus empleados con nuestra prueba gratuita de formación en materia de seguridad y determine cuál es su posición frente a un ataque de phishing.
Atribución:
Imagen destacada: Foto de Marina Zaharkina en Unsplash
